Sé que hay muchos temas con configuraciones de OpenVPN. Sin embargo, yo mismo me enfrenté al hecho de que básicamente no hay información sistematizada sobre el tema del título y decidí compartir mi experiencia en primer lugar con aquellos que no son gurús en la administración de OpenVPN, pero les gustaría lograr la conexión de subredes remotas como sitio a sitio en NAS. Synology. Al mismo tiempo, deje una nota para usted como recuerdo.
Entonces. Hay un NAS Synology DS918 + con el paquete VPN Server instalado, configurado con OpenVPN y usuarios que pueden conectarse al servidor VPN. No entraré en los detalles de la configuración del servidor en la interfaz DSM (portal web del servidor NAS). Esta información está disponible en el sitio web del fabricante.
El problema es que la interfaz DSM (versión 6.2.3 en el momento de la publicación) tiene un número limitado de configuraciones para administrar el servidor OpenVPN. En nuestro caso, se requiere un esquema de conexión de sitio a sitio, es decir, Los hosts de la subred del cliente VPN deben ver los hosts de la subred del servidor VPN y viceversa. La configuración típica disponible en el NAS solo permite el acceso desde los hosts de la subred del cliente VPN a los hosts de la subred del servidor VPN.
Para configurar el acceso a las subredes del cliente VPN desde la subred del servidor VPN, debemos iniciar sesión en el NAS a través de SSH y configurar manualmente el archivo de configuración del servidor OpenVPN.
Para editar archivos en el NAS a través de SSH, me resulta más conveniente utilizar Midnight Commander. Para hacer esto, conecté la fuente packages.synocommunity.com en el Centro de paquetes e instalé el paquete Midnight Commander.
Acudimos al NAS vía SSH bajo una cuenta con derechos de administrador.
Escriba sudo su y vuelva a ingresar la contraseña de administrador:
escriba el comando mc e inicie Midnight Commander: a
continuación, vaya al directorio / var / packages / VPNCenter / etc / openvpn / y busque el archivo openvpn.conf:
Según la tarea, necesitamos conectar 2 subredes remotas. Para hacer esto, creamos cuentas en el NAS a través de DSM 2 con derechos limitados a todos los servicios del NAS y damos acceso solo a la conexión VPN en la configuración del servidor VPN. Para cada cliente, necesitamos configurar una IP estática asignada por el servidor VPN y enrutar el tráfico a través de esta IP desde la subred del servidor VPN a la subred del cliente VPN.
Datos iniciales:
subred del servidor VPN: 192.168.1.0/24.
Grupo de direcciones del servidor OpenVPN 10.8.0.0/24. El propio servidor OpenVPN recibe la dirección 10.8.0.1.
Subred del cliente VPN 1 (usuario VPN): 192.168.10.0/24, debe recibir una dirección estática en el servidor OpenVPN 10.8.0.5 Subred del
cliente VPN 2 (usuario VPN-GUST): 192.168.5.0/24, debe recibir una dirección 10.8 estática en el servidor OpenVPN .0.4
En el directorio de configuración, cree una carpeta ccd y cree archivos de configuración con los nombres correspondientes a los inicios de sesión de los usuarios.
Para el usuario de VPN, escriba la siguiente configuración en el archivo:
Para el usuario de VPN-GUST, escriba lo siguiente en el archivo:
Solo queda ajustar la configuración del servidor OpenVPN: agregue un parámetro para leer la configuración del cliente y agregar enrutamiento a las subredes del cliente:
En la captura de pantalla anterior, las primeras 2 líneas de configuración se configuran usando la interfaz DSM (poniendo una casilla de verificación en el parámetro "Permitir que los clientes accedan a la red local del servidor" en la configuración del servidor OpenVPN).
La línea ccd client-config-dir indica que la configuración del cliente se encuentra en la carpeta ccd.
Luego, 2 líneas de configuración agregan rutas a las subredes del cliente a través de las puertas de enlace OpenVPN correspondientes.
Finalmente, la topología de subred debe aplicarse para que funcione correctamente.
No tocamos todas las demás configuraciones en el archivo.
Después de establecer la configuración, no olvide reiniciar el servicio del servidor VPN en el administrador de paquetes. En los hosts o la puerta de enlace para los hosts de la subred del servidor, registre las rutas a las subredes del cliente a través del NAS.
En mi caso, el enrutador (192.168.1.1) actuó como puerta de enlace para todos los hosts en la subred en la que se encuentra el NAS (su IP 192.168.1.3). En este enrutador, agregué entradas de enrutamiento para las redes 192.168.5.0/24 y 192.168.10.0/24 a la puerta de enlace 192.168.1.3 (NAS) a la tabla de rutas estáticas.
No olvide que con el firewall activado en el NAS, también deberá configurarlo. Además, se puede habilitar un firewall en el lado del cliente, que también deberá configurarse.
PD. No soy un profesional en tecnologías de red y, en particular, al trabajar con OpenVPN, solo comparto mi experiencia y publico la configuración que hice, lo que me permitió configurar la conexión entre subredes como sitio a sitio. Quizás haya una configuración más simple y / o correcta, solo me alegraré si compartes tu experiencia en los comentarios.