Переносим сервер в собственное облако. Настройка OpenVPN сервера на сетевом накопителе QNAP.
Ещё совсем недавно, работать на серверах в облаке считалось чем-то экстраординарным. Однако, в плане безопасности, всё стремительно поменялось и теперь выносить физические сервера в облака стало жизненно важной необходимостью. Полагаю, догадываетесь по какой причине. Сегодня расскажу об одной интересной и практически бесплатной схеме построения такого облака на базе сетевого накопителя QNAP для удаленного доступа к терминальному серверу.
QNAP у нас будет выступать в качестве OpenVPN сервера, а терминальный сервер будет подключаться к нему в качестве клиента. При такой схеме работы, абсолютно не важно, в каком месте находится сам сервер, главное чтобы был выход в Интернет. Это крайне удобно, если требуется оперативно сменить его местоположение или нет возможности использовать статический IP адрес. На пользователях локальной сети это никак не отразиться и им не придётся каждый раз менять настройки.
Предвижу вполне логичный вопрос – зачем плодить сущности с сетевым накопителем? Не проще ли настроить VPN непосредственно на роутере?
Да, проще, если у вас имеется нормальный роутер. У меня же в наличие оказался далеко не свежий D-link DSR-250N (были к нему некоторые вопросы при работе c OpenVPN, почитать можно тут) и сетевой накопитель начального уровня QNAP TS-219P II. Было решено использовать то что есть.
Кстати, на днях планирую опубликовать ещё одну статью про объединение удалённых офисов через L2TP IPSec. Сеть будет подниматься на роутерах MikroTik (в качестве клиентов) и Keenetik Extra II (в качестве L2TP IPSec сервера). Следите за новостями, будет интересно.
Настройка OpenVPN сервера на сетевом накопителе QNAP
Тут всё очень просто. В панели управления сетевым накопителем переходим в «App Center» и устанавливаем «QVPN Service». Приложение предлагает на выбор несколько вариантов организации VPN-сервера (PPTP, L2TP/IPSec и OpenVPN). Тут же можно настроить и клиентское подключение к VPN, но нас интересует именно OpenVPN сервер.
Все настройки уже прописаны, достаточно просто активировать наш OpenVPN сервер и прописать пользователей, которым разрешен доступ к VPN. При желании можно изменить стандартный порт (UDP 1194), на котором сервер принимает соединения, задать максимальное число клиентов и выбрать протокол шифрования.
Кликнув по кнопке «Загрузить сертификат», получаем не только сам сертификат, но и краткую инструкцию в виде файла readme.txt плюс готовый файл с настройками для клиента:
client dev tun script-security 3 proto udp explicit-exit-notify 1 remote XX.XX.XX.XX 1194 resolv-retry infinite nobind ca ca.crt auth-user-pass reneg-sec 0 cipher AES-128-CBC tls-cipher TLS-SRP-SHA-RSA-WITH-3DES-EDE-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA comp-lzo
Здесь XX.XX.XX.XX - ваш IP адрес, полученный от провайдера (желательно статический). О настройке OpenVPN клиентов я уже рассказывал ранее:
Чтобы увидеть наш сервер снаружи осталось пробросить на роутере порт 1194 на внутренний адрес нашего сетевого накопителя (в примере 192.168.10.2). Теперь мы можем попадать в локальную сеть нашего офиса по защищённому каналу связи. И на этом можно было бы закончить, но остался один крайне важный момент.
В самом начале я сказал что устанавливать соединение с офисом будет терминальный сервер, а потому нужно обеспечить к нему доступ из локальной сети.
Сервер при подключении по VPN получает адрес 10.8.0.3 виртуальной сети 10.8.0.0/24, в то время как у пользователей адреса локальной сети 192.168.10.0/24. Следовательно, на роутере нужно дополнительно прописать статический маршрут, чтобы компьютеры локальной сети знали как найти наш сервер.
И вот в этом месте у многих могут возникнуть трудности с понимаем. Задача правильно прописать маршрутизацию тут не самая очевидная. Для сети 10.8.0.0/24 шлюзом будет выступать наш сетевой накопитель с адресом 192.168.10.2 и обрабатываться это будет на сетевом интерфейсе LAN, так как маршрутизация идёт уже внутри нашей сети (постарался наглядно показать это на схеме сети).
Вот теперь всё. Оставляйте комментарии и подписывайтесь на мой блог.






Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.