Eu sei que existem muitos temas com configurações OpenVPN. No entanto, ele mesmo se deparou com o fato de que basicamente não há informações sistemáticas sobre o tema do título e decidiu compartilhar sua experiência antes de tudo com aqueles que não são gurus na administração do OpenVPN, mas gostariam de conseguir conexão de sub-redes remotas como site a site no NAS Synology. Ao mesmo tempo, deixe uma nota para si mesmo como lembrança.
Então. Há um NAS Synology DS918 + com o pacote VPN Server instalado, configurado com OpenVPN e usuários que podem se conectar ao servidor VPN. Não vou entrar em detalhes sobre a configuração do servidor na interface DSM (portal da web do servidor NAS). Essas informações estão disponíveis no site do fabricante.
O problema é que a interface DSM (versão 6.2.3 no momento da publicação) possui um número limitado de configurações para gerenciar o servidor OpenVPN. Em nosso caso, é necessário um esquema de conexão de site a site, ou seja, Os hosts de sub-rede do cliente VPN devem ver os hosts de sub-rede do servidor VPN e vice-versa. As configurações típicas disponíveis no NAS permitem o acesso apenas de hosts na sub-rede do cliente VPN para hosts na sub-rede do servidor VPN.
Para configurar o acesso às sub-redes do cliente VPN a partir da sub-rede do servidor VPN, precisamos fazer o login no NAS via SSH e configurar manualmente o arquivo de configuração do servidor OpenVPN.
Para editar arquivos no NAS via SSH, é mais conveniente para mim usar o Midnight Commander. Para fazer isso, conectei a fonte packages.synocommunity.com no Package Center e instalei o pacote Midnight Commander.
Vamos para o NAS via SSH com uma conta com direitos de administrador.
Digite sudo su e digite novamente a senha do administrador:
Digite o comando mc e inicie o Midnight Commander:
Em seguida, vá para o diretório / var / packages / VPNCenter / etc / openvpn / e encontre o arquivo openvpn.conf:
De acordo com a tarefa, precisamos conectar 2 sub-redes remotas. Para fazer isso, criamos contas no NAS por meio do DSM 2 com direitos limitados a todos os serviços NAS e fornecemos acesso apenas à conexão VPN nas configurações do servidor VPN. Para cada cliente, precisamos configurar um IP estático alocado pelo servidor VPN e rotear o tráfego por meio desse IP da sub-rede do servidor VPN para a sub-rede do cliente VPN.
Dados iniciais:
sub-rede do servidor VPN: 192.168.1.0/24.
Pool de endereços do servidor OpenVPN 10.8.0.0/24. O próprio servidor OpenVPN recebe o endereço 10.8.0.1.
Sub-rede do cliente VPN 1 (usuário VPN): 192.168.10.0/24, deve receber um endereço estático no servidor OpenVPN 10.8.0.5 Sub-
rede do cliente VPN 2 (usuário VPN-GUST): 192.168.5.0/24, deve receber um endereço estático 10.8 no servidor OpenVPN 0,4
No diretório de configurações, crie uma pasta ccd e crie arquivos de configurações com nomes correspondentes aos logins do usuário.
Para o usuário VPN, escreva as seguintes configurações no arquivo:
Para o usuário VPN-GUST, escreva o seguinte no arquivo:
Resta apenas ajustar a configuração do servidor OpenVPN - adicionar um parâmetro para ler as configurações do cliente e adicionar roteamento às sub-redes do cliente:
Na captura de tela acima, as primeiras 2 linhas de configuração são configuradas usando a interface DSM (colocando uma caixa de seleção no parâmetro "Permitir que os clientes acessem a rede local do servidor" nas configurações do servidor OpenVPN).
A linha ccd client-config-dir indica que as configurações do cliente estão localizadas na pasta ccd.
Em seguida, 2 linhas de configuração adicionam rotas às sub-redes do cliente por meio dos gateways OpenVPN correspondentes.
Finalmente, a topologia de sub-rede deve ser aplicada para funcionar corretamente.
Não tocamos em todas as outras configurações do arquivo.
Após registrar as configurações, não se esqueça de reiniciar o serviço VPN Server no gerenciador de pacotes. Nos hosts ou no gateway dos hosts de sub-rede do servidor, registre as rotas para as sub-redes do cliente por meio do NAS.
No meu caso, o roteador (192.168.1.1) atuou como o gateway para todos os hosts na sub-rede em que o NAS está localizado (seu IP 192.168.1.3). Neste roteador, adicionei entradas de roteamento para as redes 192.168.5.0/24 e 192.168.10.0/24 ao gateway 192.168.1.3 (NAS) para a tabela de rota estática.
Não se esqueça de que, com o firewall ativado no NAS, você também precisará configurá-lo. Além disso, um firewall pode ser habilitado no lado do cliente, que também precisará ser configurado.
PS. Não sou um profissional em tecnologias de rede e, em particular, no trabalho com OpenVPN, apenas compartilho minha experiência e publico as configurações que fiz, que me permitiram configurar a comunicação entre sub-redes como site a site. Talvez haja uma configuração mais simples e / ou correta, só ficarei feliz se você compartilhar sua experiência nos comentários.