Ich weiß, dass es viele Themen mit OpenVPN-Einstellungen gibt. Ich selbst war jedoch mit der Tatsache konfrontiert, dass es im Grunde keine systematisierten Informationen zum Thema des Titels gibt, und entschied mich, meine Erfahrungen zunächst mit denen zu teilen, die keine Gurus in der OpenVPN-Administration sind, aber eine Verbindung von Remote-Subnetzen wie Site-to-Site auf NAS erreichen möchten Synologie. Hinterlassen Sie sich gleichzeitig eine Notiz als Andenken.
Damit. Es gibt eine NAS Synology DS918 + mit installiertem VPN-Serverpaket, die mit OpenVPN konfiguriert ist, und Benutzer, die eine Verbindung zum VPN-Server herstellen können. Ich werde nicht auf die Details der Einrichtung des Servers in der DSM-Schnittstelle (NAS-Server-Webportal) eingehen. Diese Informationen sind auf der Website des Herstellers verfügbar.
Das Problem ist, dass die DSM-Schnittstelle (Version 6.2.3 zum Zeitpunkt der Veröffentlichung) eine begrenzte Anzahl von Einstellungen für die Verwaltung des OpenVPN-Servers aufweist. In unserem Fall ist ein Verbindungsschema von Ort zu Ort erforderlich, d.h. VPN-Client-Subnetz-Hosts müssen VPN-Server-Subnetz-Hosts sehen und umgekehrt. Typische auf dem NAS verfügbare Einstellungen ermöglichen den Zugriff nur von Hosts im VPN-Client-Subnetz auf Hosts im VPN-Server-Subnetz.
Um den Zugriff auf die Subnetze der VPN-Clients über das VPN-Server-Subnetz zu konfigurieren, müssen Sie sich über SSH beim NAS anmelden und die OpenVPN-Serverkonfigurationsdatei manuell konfigurieren.
Um Dateien auf dem NAS über SSH zu bearbeiten, ist es für mich bequemer, den Midnight Commander zu verwenden. Zu diesem Zweck habe ich die Quelle packages.synocommunity.com im Package Center verbunden und das Midnight Commander-Paket installiert.
Wir gehen über SSH unter einem Konto mit Administratorrechten zum NAS.
Geben Sie sudo su ein und geben Sie das Administratorkennwort erneut ein:
Geben Sie den Befehl mc ein und starten Sie Midnight Commander:
Wechseln Sie anschließend in das Verzeichnis / var / packages / VPNCenter / etc / openvpn / und suchen Sie die Datei openvpn.conf:
Je nach Aufgabe müssen wir 2 Remote-Subnetze verbinden. Zu diesem Zweck erstellen wir über DSM 2 Konten auf dem NAS mit eingeschränkten Rechten für alle NAS-Dienste und gewähren in den VPN-Servereinstellungen nur Zugriff auf die VPN-Verbindung. Für jeden Client müssen wir eine vom VPN-Server zugewiesene statische IP konfigurieren und den Datenverkehr über diese IP vom VPN-Server-Subnetz zum VPN-Client-Subnetz weiterleiten.
Anfangsdaten:
VPN-Server-Subnetz: 192.168.1.0/24.
OpenVPN Server Adresspool 10.8.0.0/24. Der OpenVPN-Server selbst erhält die Adresse 10.8.0.1.
Subnetz VPN-Client 1 (VPN-Benutzer): 192.168.10.0/24, sollte eine statische Adresse auf dem OpenVPN-Server erhalten 10.8.0.5
Subnetz VPN-Client 2 (VPN-GUST-Benutzer): 192.168.5.0/24 sollte eine statische Adresse 10.8 auf dem OpenVPN-Server erhalten .0.4
Erstellen Sie im Einstellungsverzeichnis einen ccd-Ordner und erstellen Sie Einstellungsdateien mit Namen, die den Benutzeranmeldungen entsprechen.
Schreiben Sie für den VPN-Benutzer die folgenden Einstellungen in die Datei:
Für den VPN-GUST-Benutzer schreiben Sie Folgendes in die Datei:
Es bleibt nur die Konfiguration des OpenVPN-Servers anzupassen - fügen Sie einen Parameter zum Lesen der Clienteinstellungen und zum Hinzufügen von Routing zu Client-Subnetzen hinzu:
Im obigen Screenshot werden die ersten beiden Konfigurationszeilen über die Schnittstelle konfiguriert DSM (Aktivieren des Kontrollkästchens "Clients den Zugriff auf das lokale Netzwerk des Servers ermöglichen" in den OpenVPN-Servereinstellungen).
Die Zeile client-config-dir ccd gibt an, dass sich die Clienteinstellungen im Ordner ccd befinden.
Anschließend fügen 2 Konfigurationszeilen Routen zu Client-Subnetzen über die entsprechenden OpenVPN-Gateways hinzu.
Schließlich muss die Subnetz-Topologie angewendet werden, um ordnungsgemäß zu funktionieren.
Wir berühren nicht alle anderen Einstellungen in der Datei.
Vergessen Sie nach dem Festlegen der Einstellungen nicht, den VPN-Serverdienst im Paketmanager neu zu starten. Registrieren Sie auf den Hosts oder dem Gateway für die Server-Subnetz-Hosts Routen zu den Client-Subnetzen über den NAS.
In meinem Fall fungierte der Router (192.168.1.1) als Gateway für alle Hosts in dem Subnetz, in dem sich der NAS befindet (seine IP 192.168.1.3). Auf diesem Router habe ich der statischen Routentabelle Routing-Einträge für die Netzwerke 192.168.5.0/24 und 192.168.10.0/24 zum Gateway 192.168.1.3 (NAS) hinzugefügt.
Vergessen Sie nicht, dass Sie bei aktivierter Firewall auf dem NAS diese ebenfalls konfigurieren müssen. Außerdem kann auf der Clientseite eine Firewall aktiviert sein, die ebenfalls konfiguriert werden muss.
PS. Ich bin kein Experte für Netzwerktechnologien und insbesondere bei der Arbeit mit OpenVPN teile ich nur meine Erfahrungen und veröffentliche die von mir vorgenommenen Einstellungen, mit denen ich die Verbindung zwischen Subnetzen als Site-to-Site konfigurieren konnte. Vielleicht gibt es eine einfachere und / oder korrekte Einstellung, ich würde mich nur freuen, wenn Sie Ihre Erfahrungen in den Kommentaren teilen.