背景
Synology NAS用のOpenVPNパッケージの喜びはすぐに消えてしまいました。 小規模オフィス用のネットワークをセットアップする試みは、ほとんど開始することなく終了しました。 パッケージを構成するためのインターフェースには、このパッケージ自体のすべての魅力がありませんでした(ログインとパスワードによる認証のみが利用可能です)。
最近、私は記事に出くわしました: 「証明書認証を使用してトラフィックをOpenVPNトンネルにルーティングするようにNAS Synologyに教えます。
必要なもののようです。 しかし!
判明したように、ファームウェアの腸へのそのような「実際の」介入でも、TAPインターフェースを介した接続を上げることはできません。
じゃあ 途中で停止しないでください...
問題の本質
上記の記事で示されているように、TAPアダプターのタイプのみですべてを実行すると、次の効果が得られます。
1. VPN接続を選択し、接続をクリックします。
2. SSHセッションでは、トンネルが上昇し、サーバーが応答し、データが到着していることがわかります。 しかし、Synologyインターフェースは「接続」があることを教えてくれます。
3. 15〜20秒後、インターフェイスは接続に失敗したことを丁寧に通知し、動作中の接続を閉じます。
何が起こっているかを詳細に調査した結果、デバイスのすべてのスクリプトで、OpenVPN接続のステータスを決定するアルゴリズムが規定されており、TUNにしかなれないという事実に基づいています。
これは、スクリプト内のすべてのコメントでも証明されています。
問題解決
この記事の執筆時点では、DMS 5.0-4493 Update 1がデバイスにインストールされています。
したがって、ここで説明するすべては彼女に関連しています。
スクリプトの管理の利便性のために、管理ネットワーク共有にすべてを保存することが決定されました。
その上にOpenVPNフォルダーを作成します。これには、クライアントが機能するために必要なすべてが含まれます。
1. OpenVPN構成ファイル「tap.conf」:
dev tap proto udp remote ServerIP 444 client tls-client ns-cert-type server ca key/ca.crt cert key/Client1.crt key key/Client1.key comp-lzo yes tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 ping-restart 12 ping 3 status log/openvpn-status.log log log/openvpn.log script-security 2 float
2.証明書フォルダー:「キー」
3.ログのあるフォルダー:「log」
4.スクリプトがVPNを開始/停止します。
Start.sh(トンネルスタート):
#!/bin/sh CONF_DIR="/volume1/adm/OpenVPN/" OPENVPN_CONF="tap.conf" KERNEL_MODULES="x_tables.ko ip_tables.ko iptable_filter.ko nf_conntrack.ko nf_defrag_ipv4.ko nf_conntrack_ipv4.ko nf_nat.ko iptable_nat.ko ipt_REDIRECT.ko xt_multiport.ko xt_tcpudp.ko xt_state.ko ipt_MASQUERADE.ko tun.ko" SERVICE="ovpnc" # Make device if not present (not devfs) if [ ! -c /dev/net/tun ]; then # Make /dev/net directory if needed if [ ! -d /dev/net ]; then mkdir -m 755 /dev/net fi mknod /dev/net/tun c 10 200 fi /usr/syno/bin/iptablestool --insmod $SERVICE ${KERNEL_MODULES} echo "Starting openvpn client..." /usr/sbin/openvpn --daemon --cd ${CONF_DIR} --config ${OPENVPN_CONF} --writepid /var/run/ovpn_client.pid
nf_conntrack_ipv4.ko nf_nat.ko iptable_nat.ko ipt_REDIRECT.ko xt_multiport.ko xt_tcpudp.ko xt_state.ko ipt_MASQUERADE.ko tun.ko" #!/bin/sh CONF_DIR="/volume1/adm/OpenVPN/" OPENVPN_CONF="tap.conf" KERNEL_MODULES="x_tables.ko ip_tables.ko iptable_filter.ko nf_conntrack.ko nf_defrag_ipv4.ko nf_conntrack_ipv4.ko nf_nat.ko iptable_nat.ko ipt_REDIRECT.ko xt_multiport.ko xt_tcpudp.ko xt_state.ko ipt_MASQUERADE.ko tun.ko" SERVICE="ovpnc" # Make device if not present (not devfs) if [ ! -c /dev/net/tun ]; then # Make /dev/net directory if needed if [ ! -d /dev/net ]; then mkdir -m 755 /dev/net fi mknod /dev/net/tun c 10 200 fi /usr/syno/bin/iptablestool --insmod $SERVICE ${KERNEL_MODULES} echo "Starting openvpn client..." /usr/sbin/openvpn --daemon --cd ${CONF_DIR} --config ${OPENVPN_CONF} --writepid /var/run/ovpn_client.pid
Stop.sh(トンネル停止):
#!/bin/sh echo "Kill openvpn client..." /bin/kill `cat /var/run/ovpn_client.pid` 2>/dev/null
OnLine.sh(サーバーが利用できない場合、トンネルを再起動します):
#!/bin/sh ping -c 3 10.23.122.1 if [ $? -ne 0 ]; then echo "Stoping VPN.." sh Stop.sh echo "Sleep 5." sleep 5 echo "Start...." sh Start.sh fi
一般に、これで十分です。
テストが示すように、インターネットまたはリモートサーバーが切断されると、VPNは自動的に正常に再起動します。 OnLineスクリプトは、NASとともにVPNを自動的に開始するために作成されました。 しかし、フルタイムスケジューラを使用すると、スクリプトの実行を「1時間ごと」に追加できるため、可用性チェックを追加しました。
この実装では、NASファームウェアはトンネルについてはわかりませんが(それは良いことです)、同時にリモートネットワークのすべてのリソースが利用可能です(VPNからIPへのネットワークバックアップは正常に機能します)。