Переносим сервер в собственное облако. Настройка OpenVPN сервера на сетевом накопителе QNAP.

Июль, 06th 2019Рубрика: Безопасность | Советы 1201
Подписаться на комментарии по RSS

Переносим сервер в собственное облако

Ещё совсем недавно, работать на серверах в облаке считалось чем-то экстраординарным. Однако, в плане безопасности, всё стремительно поменялось и теперь выносить физические сервера в облака стало жизненно важной необходимостью. Полагаю, догадываетесь по какой причине. Сегодня расскажу об одной интересной и практически бесплатной схеме построения такого облака на базе сетевого накопителя QNAP для удаленного доступа к терминальному серверу.

QNAP у нас будет выступать в качестве OpenVPN сервера, а терминальный сервер будет подключаться к нему в качестве клиента. При такой схеме работы, абсолютно не важно, в каком месте находится сам сервер, главное чтобы был выход в Интернет. Это крайне удобно, если требуется оперативно сменить его местоположение или нет возможности использовать статический IP адрес. На пользователях локальной сети это никак не отразиться и им не придётся каждый раз менять настройки.

схема сети с сервером в облаке

Предвижу вполне логичный вопрос – зачем плодить сущности с сетевым накопителем? Не проще ли настроить VPN непосредственно на роутере?

Да, проще, если у вас имеется нормальный роутер. У меня же в наличие оказался далеко не свежий D-link DSR-250N (были к нему некоторые вопросы при работе c OpenVPN, почитать можно тут) и сетевой накопитель начального уровня QNAP TS-219P II. Было решено использовать то что есть.

Кстати, на днях планирую опубликовать ещё одну статью про объединение удалённых офисов через L2TP IPSec. Сеть будет подниматься на роутерах MikroTik (в качестве клиентов) и Keenetik Extra II (в качестве L2TP IPSec сервера). Следите за новостями, будет интересно.

Настройка OpenVPN сервера на сетевом накопителе QNAP

Установка QVPN Service на сетевом накопителе QNAP

Тут всё очень просто. В панели управления сетевым накопителем переходим в «App Center» и устанавливаем «QVPN Service». Приложение предлагает на выбор несколько вариантов организации VPN-сервера (PPTP, L2TP/IPSec и OpenVPN). Тут же можно настроить и клиентское подключение к VPN, но нас интересует именно OpenVPN сервер.

Все настройки уже прописаны, достаточно просто активировать наш OpenVPN сервер и прописать пользователей, которым разрешен доступ к VPN. При желании можно изменить стандартный порт (UDP 1194), на котором сервер принимает соединения, задать максимальное число клиентов и выбрать протокол шифрования.

Настройка OpenVPN сервера на сетевом накопителе QNAP

Кликнув по кнопке «Загрузить сертификат», получаем не только сам сертификат, но и краткую инструкцию в виде файла readme.txt плюс готовый файл с настройками для клиента:

client
dev tun
script-security 3
proto udp
explicit-exit-notify 1
remote XX.XX.XX.XX 1194
resolv-retry infinite
nobind
ca ca.crt
auth-user-pass
reneg-sec 0
cipher AES-128-CBC
tls-cipher TLS-SRP-SHA-RSA-WITH-3DES-EDE-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA
comp-lzo

Здесь XX.XX.XX.XX - ваш IP адрес, полученный от провайдера (желательно статический). О настройке OpenVPN клиентов я уже рассказывал ранее:

Чтобы увидеть наш сервер снаружи осталось пробросить на роутере порт 1194 на внутренний адрес нашего сетевого накопителя (в примере 192.168.10.2). Теперь мы можем попадать в локальную сеть нашего офиса по защищённому каналу связи. И на этом можно было бы закончить, но остался один крайне важный момент.

В самом начале я сказал что устанавливать соединение с офисом будет терминальный сервер, а потому нужно обеспечить к нему доступ из локальной сети.

Сервер при подключении по VPN получает адрес 10.8.0.3 виртуальной сети 10.8.0.0/24, в то время как у пользователей адреса локальной сети 192.168.10.0/24. Следовательно, на роутере нужно дополнительно прописать статический маршрут, чтобы компьютеры локальной сети знали как найти наш сервер.

статический маршрут для сети OpenVPN на роутере D-Link

И вот в этом месте у многих могут возникнуть трудности с понимаем. Задача правильно прописать маршрутизацию тут не самая очевидная. Для сети 10.8.0.0/24 шлюзом будет выступать наш сетевой накопитель с адресом 192.168.10.2 и обрабатываться это будет на сетевом интерфейсе LAN, так как маршрутизация идёт уже внутри нашей сети (постарался наглядно показать это на схеме сети).

Настройка статического маршрута на роутере D-Link

Вот теперь всё. Оставляйте комментарии и подписывайтесь на мой блог.

Подписывайтесь на канал Яндекс.Дзен и узнавайте первыми о новых материалах, опубликованных на сайте.

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

ваш комментарий будет опубликован после проверки
на указанный адрес будет отправлено письмо с кодом активации. Вы можете настроить собственный профиль и стать активным участником или автором.