sítěbezpečnost

Synology SRM router pro spojení vícero lokálních sítí v 2. vrstvě přes VPN

Pořídil jsem si směrovač Synology RT2600AC, který obsahuje balíček VPN Plus server s možností S2S. Tato služba využívá IPSec, která nedovolí vytvoření přemostění sítí v 2. vrstvě. Navíc Synology VPNPlus S2S služba není zadarmo (i když používá balík libreswan). Protože mám v domácí síti DLNA/ UPnP servery, chci aby byl jejich obsah automaticky vidět i ve vzdálených sítích. Tento požadavek diktuje, aby všechny lokální sítě byly spojeny do jedné podsítě vytvořením mostů na konci každého VPN tunelu.

To lze dosáhnout pomocí OpenVPN, který je k dispozici zdarma na serveru Synology VPN Plus.  Další dva směrovače jsem vybral TP-Link TL-WR1043ND v4 z důvodů poměru ceny a výkonu a možností využití alternativního firmware. Původní firmware jsem na nich nahradil alternativním z LEDE-Project, takže jsem mohl vyladit jemné konfigurace.

OpenVPN server konfigurace na RT2600AC

drwxr-xr-x    3 root     system        4096 Oct  7 07:35 .
drwxr-xr-x   11 root     system        4096 Nov  6 12:59 ..
drwxr-xr-x    2 root     system        4096 Nov  1 16:24 keys
-rw-r--r--    1 root     system         949 Oct  8 21:25 openvpn.conf
-rwxr-xr-x    1 root     root            48 Oct  6 15:33 openvpn.up
dev tap

syno_vpnplus_sync
management 127.0.0.1 1195
server 10.51.8.0 255.255.255.0

max-clients 20
cipher AES-256-CBC
auth SHA512

dh /var/packages/VPNPlusServer/target/etc/openvpn/keys/dh3072.pem
ca /var/packages/VPNPlusServer/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNPlusServer/target/etc/openvpn/keys/server.crt
key /var/packages/VPNPlusServer/target/etc/openvpn/keys/server.key #toto je sdileny klic, ktery musi byt ulozen i na strane klienta
tls-auth /var/packages/VPNPlusServer/target/etc/openvpn/keys/ta.key 0

persist-tun
persist-key

verb 3

script-security 2
up /var/packages/VPNPlusServer/etc/openvpn/openvpn.up 

#log-append /var/log/openvpn.log

keepalive 10 60
reneg-sec 0

plugin /var/packages/VPNPlusServer/target/lib/radiusplugin.so /var/packages/VPNPlusServer/target/etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
duplicate-cn

proto udp
port 1194

status /tmp/ovpn_status_2_result 5
status-version 2

client-to-client
push "route 10.51.8.0 255.255.255.0"
#!/bin/sh
/usr/syno/sbin/brctl addif lbr0 tap0
/usr/syno/sbin/brctl stp lbr0 on
/usr/syno/sbin/brctl setmaxage lbr0 40

OpenVPN klientská konfigurace na TL-WR1043ND

client
dev tap
tls-client

remote xxxxx.xxx 1194

pull

proto udp

script-security 2

reneg-sec 0

auth SHA512

cipher AES-256-CBC

auth-user-pass /etc/openvpn/xxxxx-xxx.secret

key-direction 1
ca /etc/openvpn/xxxxx-xxx.ca
tls-auth /etc/openvpn/xxxxx-xxx.key

explicit-exit-notify

3 thoughts on “Synology SRM router pro spojení vícero lokálních sítí v 2. vrstvě přes VPN

  1. which files should I put to openvpn server at openwrt to make it work?
    only /var/packages/VPNPlusServer/target/etc/openvpn/keys/server.key ?

    1. Hi Paul, you have put on OpenWRT /etc/openvpn/xxxxxx.ca mergered files server.crt and ca.crt (ca_bundle.crt) from /var/packages/VPNPlusServer/target/etc/openvpn/keys/ and copy a static key ta.key to /etc/openvpn/xxxxxx.key

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

This site uses Akismet to reduce spam. Learn how your comment data is processed.