Je sais qu'il existe de nombreux thèmes avec des paramètres OpenVPN. Cependant, j'ai moi-même été confronté au fait qu'il n'y avait fondamentalement aucune information systématique sur le sujet du titre et j'ai décidé de partager mon expérience tout d'abord avec ceux qui ne sont pas des gourous de l'administration OpenVPN, mais qui aimeraient réaliser la connexion de sous-réseaux distants comme site-à-site sur NAS Synology. En même temps, laissez une note pour vous-même comme souvenir.
Alors. Il existe un NAS Synology DS918 + avec le package VPN Server installé, configuré avec OpenVPN et des utilisateurs pouvant se connecter au serveur VPN. Je n'entrerai pas dans les détails de la configuration du serveur dans l'interface DSM (portail web du serveur NAS). Ces informations sont disponibles sur le site Web du fabricant.
Le problème est que l'interface DSM (version 6.2.3 au moment de la publication) dispose d'un nombre limité de paramètres pour gérer le serveur OpenVPN. Dans notre cas, un schéma de connexion de site à site est nécessaire, c'est-à-dire Les hôtes de sous-réseau de client VPN doivent voir les hôtes de sous-réseau de serveur VPN et vice versa. Les paramètres typiques disponibles sur le NAS autorisent uniquement l'accès des hôtes de sous-réseau client VPN aux hôtes de sous-réseau du serveur VPN.
Pour configurer l'accès aux sous-réseaux clients VPN à partir du sous-réseau du serveur VPN, nous devons nous connecter au NAS via SSH et configurer manuellement le fichier de configuration du serveur OpenVPN.
Pour éditer des fichiers sur le NAS via SSH, il est plus pratique pour moi d'utiliser le Midnight Commander. Pour ce faire, j'ai connecté la source packages.synocommunity.com dans le Package Center et installé le package Midnight Commander.
On accède au NAS via SSH sous un compte avec des droits d'administrateur.
Tapez sudo su et entrez à nouveau le mot de passe administrateur:
Tapez la commande mc et lancez Midnight Commander:
Ensuite, allez dans le répertoire / var / packages / VPNCenter / etc / openvpn / et trouvez le fichier openvpn.conf:
Selon la tâche, nous devons connecter 2 sous-réseaux distants. Pour ce faire, nous créons des comptes sur le NAS via DSM 2 avec des droits limités sur tous les services NAS et donnons accès uniquement à la connexion VPN dans les paramètres du serveur VPN. Pour chaque client, nous devons configurer une adresse IP statique allouée par le serveur VPN et acheminer le trafic via cette adresse IP du sous-réseau du serveur VPN vers le sous-réseau du client VPN.
Données initiales:
sous-réseau du serveur VPN: 192.168.1.0/24.
Pool d'adresses de serveur OpenVPN 10.8.0.0/24. Le serveur OpenVPN lui-même reçoit l'adresse 10.8.0.1.
Client VPN 1 sous-réseau (utilisateur VPN): 192.168.10.0/24, devrait recevoir une adresse statique sur le serveur OpenVPN 10.8.0.5 Sous-
réseau client VPN 2 (utilisateur VPN-GUST): 192.168.5.0/24, devrait recevoir une adresse statique 10.8 sur le serveur OpenVPN .0.4
Dans le répertoire des paramètres, créez un dossier ccd et créez des fichiers de paramètres avec des noms correspondant aux connexions utilisateur.
Pour l'utilisateur VPN, écrivez les paramètres suivants dans le fichier:
Pour l'utilisateur VPN-GUST, écrivez ce qui suit dans le fichier:
Il ne reste plus qu'à ajuster la configuration du serveur OpenVPN - ajouter un paramètre pour lire les paramètres client et ajouter le routage vers les sous-réseaux clients:
Dans la capture d'écran ci-dessus, les 2 premières lignes de configuration sont configurées à l'aide de l'interface DSM (mettre une case à cocher sur le paramètre "Autoriser les clients à accéder au réseau local du serveur" dans les paramètres du serveur OpenVPN).
La ligne ccd client-config-dir indique que les paramètres client se trouvent dans le dossier ccd.
Ensuite, 2 lignes de configuration ajoutent des routes aux sous-réseaux clients via les passerelles OpenVPN correspondantes.
Enfin, la topologie de sous-réseau doit être appliquée pour fonctionner correctement.
Nous ne touchons pas à tous les autres paramètres du fichier.
Après avoir défini les paramètres, n'oubliez pas de redémarrer le service VPN Server dans le gestionnaire de packages. Sur les hôtes ou la passerelle pour les hôtes du sous-réseau du serveur, enregistrez les routes vers les sous-réseaux clients via le NAS.
Dans mon cas, le routeur (192.168.1.1) a agi en tant que passerelle pour tous les hôtes du sous-réseau dans lequel se trouve le NAS (son IP 192.168.1.3). Sur ce routeur, j'ai ajouté des entrées de routage pour les réseaux 192.168.5.0/24 et 192.168.10.0/24 à la passerelle 192.168.1.3 (NAS) à la table de routage statique.
N'oubliez pas qu'avec le pare-feu activé sur le NAS, vous devrez également le configurer. De plus, un pare-feu peut être activé du côté client, qui devra également être configuré.
PS. Je ne suis pas un professionnel des technologies réseau et en particulier dans le travail avec OpenVPN, je viens de partager mon expérience et de publier les paramètres que j'ai faits, ce qui m'a permis de configurer la connexion entre sous-réseaux comme site à site. Peut-être qu'il y a un réglage plus simple et / ou correct, je ne serai heureux que si vous partagez votre expérience dans les commentaires.