sítěbezpečnost

Synology SRM router pro spojení vícero lokálních sítí v 2. vrstvě přes VPN

Pořídil jsem si směrovač Synology RT2600AC, který obsahuje balíček VPN Plus server s možností S2S. Tato služba využívá IPSec, která nedovolí vytvoření přemostění sítí v 2. vrstvě. Navíc Synology VPNPlus S2S služba není zadarmo (i když používá balík libreswan). Protože mám v domácí síti DLNA/ UPnP servery, chci aby byl jejich obsah automaticky vidět i ve vzdálených sítích. Tento požadavek diktuje, aby všechny lokální sítě byly spojeny do jedné podsítě vytvořením mostů na konci každého VPN tunelu.To lze dosáhnout pomocí OpenVPN, který je k dispozici zdarma na serveru Synology VPN Plus.  Další dva směrovače jsem vybral TP-Link TL-WR1043ND v4 z důvodů poměru ceny a výkonu a možností využití alternativního firmware. Původní firmware jsem na nich nahradil alternativním z LEDE-Project, takže jsem mohl vyladit jemné konfigurace.

OpenVPN server konfigurace na RT2600AC

drwxr-xr-x    3 root     system        4096 Oct  7 07:35 .drwxr-xr-x   11 root     system        4096 Nov  6 12:59 ..drwxr-xr-x    2 root     system        4096 Nov  1 16:24 keys-rw-r--r--    1 root     system         949 Oct  8 21:25 openvpn.conf-rwxr-xr-x    1 root     root            48 Oct  6 15:33 openvpn.up
dev tapsyno_vpnplus_syncmanagement 127.0.0.1 1195server 10.51.8.0 255.255.255.0max-clients 20cipher AES-256-CBCauth SHA512dh /var/packages/VPNPlusServer/target/etc/openvpn/keys/dh3072.pemca /var/packages/VPNPlusServer/target/etc/openvpn/keys/ca.crtcert /var/packages/VPNPlusServer/target/etc/openvpn/keys/server.crtkey /var/packages/VPNPlusServer/target/etc/openvpn/keys/server.key #toto je sdileny klic, ktery musi byt ulozen i na strane klientatls-auth /var/packages/VPNPlusServer/target/etc/openvpn/keys/ta.key 0persist-tunpersist-keyverb 3script-security 2up /var/packages/VPNPlusServer/etc/openvpn/openvpn.up #log-append /var/log/openvpn.logkeepalive 10 60reneg-sec 0plugin /var/packages/VPNPlusServer/target/lib/radiusplugin.so /var/packages/VPNPlusServer/target/etc/openvpn/radiusplugin.cnfclient-cert-not-requiredusername-as-common-nameduplicate-cnproto udpport 1194status /tmp/ovpn_status_2_result 5status-version 2client-to-clientpush "route 10.51.8.0 255.255.255.0"
#!/bin/sh/usr/syno/sbin/brctl addif lbr0 tap0/usr/syno/sbin/brctl stp lbr0 on/usr/syno/sbin/brctl setmaxage lbr0 40

OpenVPN klientská konfigurace na TL-WR1043ND

clientdev taptls-clientremote xxxxx.xxx 1194pullproto udpscript-security 2reneg-sec 0auth SHA512cipher AES-256-CBCauth-user-pass /etc/openvpn/xxxxx-xxx.secretkey-direction 1ca /etc/openvpn/xxxxx-xxx.catls-auth /etc/openvpn/xxxxx-xxx.keyexplicit-exit-notify

3 thoughts on “Synology SRM router pro spojení vícero lokálních sítí v 2. vrstvě přes VPN

  1. {:gb}Adding client-to-client settings to pass traffic from one VPN net to another VPN net into server conf file{:}{:cs}Přidal jsem nastavení client-to-client do konfiguračního souboru serveru, aby procházely pakety z jedné VPN sítě do druhé{:}

  2. which files should I put to openvpn server at openwrt to make it work?
    only /var/packages/VPNPlusServer/target/etc/openvpn/keys/server.key ?

    1. Hi Paul, you have put on OpenWRT /etc/openvpn/xxxxxx.ca mergered files server.crt and ca.crt (ca_bundle.crt) from /var/packages/VPNPlusServer/target/etc/openvpn/keys/ and copy a static key ta.key to /etc/openvpn/xxxxxx.key

Comments are closed.