Konfiguracja pakietu VPN Server
Pakiet VPN Server umożliwia używanie urządzenia Synology NAS jako serwera VPN, co zapewnia użytkownikom zdalny i bezpieczny dostęp do zasobów udostępnianych w sieci lokalnej urządzenia Synology NAS. Dzięki integracji powszechnie stosowanych protokołów VPN — PPTP, OpenVPN, L2TP/IPSec — VPN Server umożliwia wdrożenie usługi VPN i zarządzanie nią odpowiednio do potrzeb użytkowników.
Uwaga:
- Włączenie usługi VPN pogarsza wydajność sieci systemu.
- Instalować i konfigurować pakiet VPN Server mogą tylko członkowie grupy administrators.
PPTP
Protokół PPTP (Point-to-Point Tunneling Protocol) jest powszechnie używany jako rozwiązanie VPN obsługiwane przez większość klientów (w tym Windows, Mac, Linux oraz urządzenia przenośne). Więcej informacji na temat protokołu PPTP można znaleźć tutaj.
Aby włączyć serwer PPTP VPN:
- Uruchom usługę VPN Server, a następnie w lewym panelu wybierz pozycje PPTP.
- Zaznacz pole wyboru Włącz serwer PPTP VPN.
- W polu Dynamiczny adres IP określ wirtualny adres IP serwera VPN. Więcej informacji można znaleźć w temacie Informacje o dynamicznym adresie IP.
- Zmień wartość ustawienia Maksymalna liczba połączeń, aby ograniczyć liczbę jednoczesnych połączeń VPN.
- Zmień wartość ustawienia Maksymalna liczba połączeń z tym samym kontem, aby ograniczyć liczbę jednoczesnych połączeń VPN przy użyciu jednego konta.
- Z listy rozwijanej Uwierzytelnienie wybierz jedną z poniższych pozycji, aby określić protokół uwierzytelniania klientów VPN:
- PAP: hasła klientów VPN nie będą szyfrowane podczas uwierzytelniania.
- MS-CHAP v2: hasła klientów VPN będą szyfrowane podczas uwierzytelniania przy użyciu protokołu Microsoft CHAP w wersji 2.
- Jeżeli w powyższym ustawieniu wybrano protokół MS-CHAP v2, z listy rozwijanej Szyfrowanie wybierz jedną z poniższych pozycji, aby określić mechanizm szyfrowania połączenia VPN:
- Bez MPPE: połączenie VPN nie będzie chronione mechanizmem szyfrowania.
- Opcjonalne MPPE: połączenie VPN będzie lub nie będzie chronione mechanizmem szyfrowania z 40- lub 128-bitowym kluczem, w zależności od ustawień klienta.
- Wymagaj MPPE: połączenie VPN będzie chronione mechanizmem szyfrowania z 40- lub 128-bitowym kluczem, w zależności od ustawień klienta.
- Ustaw wartość MTU (maksymalna jednostka transmisji), aby ograniczyć rozmiar pakietu danych przesyłanych przez VPN.
- Zaznacz pole wyboru Użyj ręcznego DNS i określ adres IP serwera DNS, który będzie wysyłać dane serwerów DNS do klientów PPTP. Jeżeli ta opcja będzie wyłączona, do klientów będą wysyłane dane serwera DNS używanego przez urządzenie Synology NAS.
- Kliknij przycisk Zastosuj, aby zastosować zmiany.
Uwaga:
- Podczas łączenia się z siecią VPN ustawienia uwierzytelniania i szyfrowania klientów VPN muszą być takie same jak ustawienia określone w pakiecie VPN Server. W przeciwnym razie klienci nie będą mogli się połączyć.
- Aby zapewnić zgodność z większością klientów PPTP pracujących pod kontrolą systemów operacyjnych Windows, Mac OS, iOS oraz Android, domyślną wartość MTU trzeba ustawić na 1400. W przypadku bardziej złożonego środowiska sieciowego może być wymagana mniejsza wartość MTU. Zmniejsz rozmiar MTU, jeżeli powtarza się błąd przekroczenia limitu czasu lub połączenia są niestabilne.
- Sprawdź przekierowanie portów oraz ustawienia zapory sieciowej w urządzeniu Synology NAS i na routerze, aby upewnić się, że port TCP 1723 jest otwarty.
- Niektóre routery mają wbudowaną usługę VPN PPTP, dlatego port 1723 może być już zajęty. Aby zapewnić prawidłowe działanie pakietu VPN Server, konieczne może być wyłączenie wbudowanej usługi VPN PPTP za pośrednictwem interfejsu zarządzania routera. Pozwoli to na prawidłowe działanie protokołu PPTP pakietu VPN Server. Ponadto niektóre starsze routery blokują protokół GRE (protokół IP nr 47), co powoduje problemy z połączeniem VPN. Zaleca się stosowanie routera obsługującego funkcję VPN pass-through.
OpenVPN
OpenVPN to rozwiązanie typu open source przeznaczone do wdrażania usługi VPN. Zapewnia ono ochronę połączenia VPN za pomocą mechanizmu szyfrowania SSL/TLS. Więcej informacji na temat rozwiązania OpenVPN można znaleźć tutaj.
Aby włączyć serwer OpenVPN VPN:
- Uruchom usługę VPN Server, a następnie w lewym panelu wybierz pozycje OpenVPN.
- Zaznacz pole wyboru Włącz serwer OpenVPN.
- W polu Dynamiczny adres IP określ wirtualny wewnętrzny adres IP serwera VPN. Więcej informacji można znaleźć w temacie Informacje o dynamicznym adresie IP.
- Zmień wartość ustawienia Maksymalna liczba połączeń, aby ograniczyć liczbę jednoczesnych połączeń VPN.
- Zmień wartość ustawienia Maksymalna liczba połączeń z tym samym kontem, aby ograniczyć liczbę jednoczesnych połączeń VPN przy użyciu jednego konta.
- Ustaw Port i Protokół dla transmisji danych OpenVPN. Możesz określić, do którego portu serwera Synology NAS oraz za pośrednictwem którego protokołu pakiety danych będą przesyłane w sieci VPN. Domyślnie jest to port UDP 1194.
Uwaga: Aby zapewnić prawidłowe działanie usług na serwerze Synology NAS, należy unikać przypisywania takiego samego zestawu portów i protokołów, jak innym usługom firmy Synology. Dodatkowe informacje można znaleźć w tym artykule. - Skonfiguruj Szyfrowanie z menu rozwijanego w celu szyfrowania pakietów danych w tunelach VPN.
- Skonfiguruj Uwierzytelnianie z menu rozwijanego w celu uwierzytelniania klientów VPN.
- Zaznacz pole wyboru Włącz kompresję łącza VPN, aby kompresować dane podczas transferu. Ta opcja może przyspieszyć transmisję, ale powoduje większe użycie zasobów systemowych.
- Zaznacz pole wyboru Pozwól klientom na dostęp do sieci LAN serwera, aby zezwalać klientom na dostęp do sieci LAN serwera.
- Zaznacz pole wyboru Włącz tryb serwera IPv6, aby umożliwić serwerowi OpenVPN wysyłanie adresów IPv6. Najpierw uzyskaj prefiks za pośrednictwem pola 6in4/6to4/DHCP-PD na stronie Panel sterowania > Sieć > Interfejs sieciowy. Następnie wybierz ten prefiks na tej stronie.
- Kliknij przycisk Zastosuj, aby zastosować zmiany.
Uwaga:
- Pakiet VPN Server nie obsługuje trybu mostkowania do połączeń między lokalizacjami.
- Sprawdź przekierowanie portów oraz ustawienia zapory sieciowej w urządzeniu Synology NAS i na routerze, aby upewnić się, że port UDP 1194 jest otwarty.
- Jeżeli interfejs użytkownika OpenVPN jest używany w systemie Windows Vista lub Windows 7, pamiętaj, że funkcja Kontrola konta użytkownika (User Account Control, UAC) jest domyślnie włączona. W przypadku, gdy jest włączona, w celu prawidłowego połączenia przy użyciu interfejsu użytkownika OpenVPN trzeba użyć polecenia Uruchom jako administrator.
- Podczas włączania trybu serwera IPv6 w systemie Windows przy użyciu interfejsu użytkownika OpenVPN uwzględnij następujące zalecenia:
- Nazwa interfejsu używanego przez VPN nie może zawierać spacji, np. LAN 1 należy zmienić na LAN1.
- W pliku openvpn.ovpn po stronie klienta należy włączyć opcję redirect-gateway. Można też nie włączać tej opcji, ale należy wtedy ręcznie ustawić serwer DNS interfejsu VPN. Można użyć serwera DNS IPv6 firmy Google: 2001:4860:4860::8888.
Aby wyeksportować plik konfiguracyjny:
Kliknij przycisk Eksportuj konfigurację. Usługa OpenVPN umożliwia serwerowi VPN wydawanie certyfikatów uwierzytelniania klientom. Wyeksportowany plik to plik .zip zawierający plik openvpn.ovpn (plik konfiguracyjny klienta) oraz README.txt (proste instrukcje na temat konfiguracji połączenia OpenVPN na kliencie). Więcej informacji można znaleźć tutaj.
Uwaga:
- Przy każdym uruchomieniu serwera VPN Server będzie automatycznie kopiowany i używany certyfikat widoczny na stronie Panel sterowania > Bezpieczeństwo > Certyfikat. Aby użyć certyfikatu wystawionego przez inny urząd certyfikacji, wybierz pozycje Panel sterowania > Bezpieczeństwo > Certyfikat > Dodaj, zaimportuj certyfikat i ponownie uruchom serwer VPN Server.
- Serwer VPN Server będzie automatycznie uruchamiany ponownie po każdej zmianie pliku certyfikatu na stronie Panel sterowania > Bezpieczeństwo > Certyfikat. Konieczne będzie również wyeksportowanie nowego pliku .opvn do wszystkich klientów.
L2TP/IPSec
Protokół L2TP (Layer 2 Tunneling Protocol) za pośrednictwem protokołu IPSec zapewnia wirtualnym sieciom prywatnym większe bezpieczeństwo i jest obsługiwany przez większość klientów, takich jak komputery Mac, komputery z systemem Windows lub Linux oraz urządzenia mobilne. Więcej informacji na temat protokołu L2TP można znaleźć tutaj.
Uwaga:
- Aby można było korzystać z protokołu L2TP/IPSec, w urządzeniu Synology NAS powinien być zainstalowany system DSM w wersji 4.3 lub nowszej.
Aby włączyć serwer L2TP/IPSec VPN:
- Uruchom usługę VPN Server, a następnie w lewym panelu wybierz pozycje L2TP/IPSec.
- Zaznacz pole wyboru Włącz serwer L2TP/IPSec VPN.
- W polu Dynamiczny adres IP określ wirtualny adres IP serwera VPN. Więcej informacji można znaleźć w temacie Informacje o dynamicznym adresie IP.
- Zmień wartość ustawienia Maksymalna liczba połączeń, aby ograniczyć liczbę jednoczesnych połączeń VPN.
- Zmień wartość ustawienia Maksymalna liczba połączeń z tym samym kontem, aby ograniczyć liczbę jednoczesnych połączeń VPN przy użyciu jednego konta.
- Z listy rozwijanej Uwierzytelnienie wybierz jedną z poniższych pozycji, aby określić protokół uwierzytelniania klientów VPN:
- PAP: hasła klientów VPN nie będą szyfrowane podczas uwierzytelniania.
- MS-CHAP v2: hasła klientów VPN będą szyfrowane podczas uwierzytelniania przy użyciu protokołu Microsoft CHAP w wersji 2.
- Ustaw wartość MTU (maksymalna jednostka transmisji), aby ograniczyć rozmiar pakietu danych przesyłanych przez VPN.
- Zaznacz pole wyboru Użyj ręcznego DNS i określ adres IP serwera DNS, który będzie wysyłać dane serwerów DNS do klientów L2TP/IPSec. Jeżeli ta opcja będzie wyłączona, do klientów będą wysyłane dane serwera DNS używanego przez urządzenie Synology NAS.
- W celu zapewnienia najwyższej wydajności połączenia VPN, wybierz opcję Uruchom w trybie jądra.
- Wprowadź klucz wstępny i potwierdź go. Jest to klucz tajny, który można przekazać użytkownikowi VPN L2TP/IPSec w celu uwierzytelniania połączeń.
- Zaznacz pole wyboru Włącz tryb zgodności SHA2-256 (96 bitów), aby umożliwić niektórym klientom (niezgodnym z normą RFC) korzystanie z połączenia L2TP/IPSec.
- Kliknij przycisk Zastosuj, aby zastosować zmiany.
Uwaga:
- Podczas łączenia się z siecią VPN ustawienia uwierzytelniania i szyfrowania klientów VPN muszą być takie same jak ustawienia określone w pakiecie VPN Server. W przeciwnym razie klienci nie będą mogli się połączyć.
- Aby zapewnić zgodność z większością klientów L2TP/IPSec pracujących pod kontrolą systemów operacyjnych Windows, Mac OS, iOS oraz Android, domyślną wartość MTU trzeba ustawić na 1400. W przypadku bardziej złożonego środowiska sieciowego może być wymagana mniejsza wartość MTU. Zmniejsz rozmiar MTU, jeżeli powtarza się błąd przekroczenia limitu czasu lub połączenie jest niestabilne.
- Sprawdź przekierowanie portów oraz ustawienia zapory sieciowej w urządzeniu Synology NAS i na routerze, aby upewnić się, że porty UDP 1701, 500 i 4500 są otwarte.
- Niektóre routery mają wbudowaną usługę VPN L2TP lub IPSec, dlatego porty 1701, 500 lub 4500 mogą być już zajęte. Aby zapewnić prawidłowe działanie pakietu VPN Server, konieczne może być wyłączenie wbudowanej usługi VPN L2TP lub IPSec za pośrednictwem interfejsu zarządzania routera. Pozwoli to na prawidłowe działanie protokołu L2TP/IPSec pakietu VPN Server. Zaleca się stosowanie routera obsługującego funkcję VPN pass-through.
Informacje o dynamicznym adresie IP
W zależności od wartości wprowadzonej w polu Dynamiczny adres IP podczas przydzielania adresów IP klientom VPN przez VPN Server zostanie wybrany adres z określonego zakresu wirtualnych adresów IP. Na przykład jeżeli dynamiczny adres IP serwera VPN jest ustawiony na 10.0.0.0, klient VPN może mieć wirtualny adres IP z zakresu od 10.0.0.1 do 10.0.0.[maksymalna liczba połączeń] w przypadku protokołu PPTP oraz od 10.0.0.2 do 10.0.0.255 w przypadku protokołu OpenVPN.
Ważne: Przed określeniem dynamicznego adresu IP dla serwera VPN, należy pamiętać o następujących kwestiach:
- Dynamiczny adres IP dozwolony dla serwera VPN powinien mieć jedną z następujących wartości:
- 10.0.0.0 do 10.255.255.0
- 172.16.0.0 do 172.31.255.0
- 192.168.0.0 do 192.168.255.0
- Określony dynamiczny adres IP serwera VPN oraz przydzielone klientom VPN wirtualne adresy IP nie powinny kolidować z jakimikolwiek adresami IP używanymi w sieci lokalnej.
Informacje o ustawieniach bramy klienta na potrzeby połączenia VPN
Przed nawiązaniem połączenia z siecią lokalną urządzenia Synology NAS przez sieć VPN może być wymagana zmiana ustawień bramy klientów na potrzeby połączenia VPN. W przeciwnym wypadku po ustanowieniu połączenia VPN ich połączenie z Internetem może okazać się niemożliwe. Szczegółowe informacje można znaleźć tutaj.