Центр знаний

Synology SSL VPN

Synology SSL VPN — это служба VPN, которая поддерживает аутентификацию и шифрование по протоколу SSL/TLS. Служба предлагает быстрый и безопасный доступ VPN к веб-страницам, файлам и приложениям в Интернете или локальных сетях.

Общее управление

Настройка Synology SSL VPN

  1. Выберите VPN Plus Server > Synology VPN > SSL VPN.
  2. Установите флажок Включить Synology SSL VPN.
  3. Настройте указанные ниже параметры:
    • Активные лицензии. Проверьте количество активных лицензий для премиум-функций. Чтобы добавить лицензии, на левой панели выберите Лицензия.
    • Диапазон IP-адресов клиентов. Выберите диапазон IP-адресов клиентов (т. е. подсеть или диапазон IP-адресов, связанных с Synology Router) в качестве виртуальных IP-адресов, доступных для клиентов. Чтобы добавить больше подсетей или диапазонов IP-адресов, выберите Объект > Пул адресов.
    • Собственное имя домена. Нажмите Редактировать, чтобы изменить настройки домена.
    • Порт. Укажите порт для подключений с использованием этого протокола. Порт по умолчанию — 443. Если активированы и Synology SSL VPN, и WebVPN, не рекомендуется использовать порт 443 для Synology SSL VPN, чтобы не снизить скорость работы WebVPN.
    • Уровень безопасности.
      • Авто. Это параметр по умолчанию и рекомендуется для улучшения совместимости с веб-браузерами. Кроме того, настройка методов шифрования, которые лучше всего подходят для клиентских устройств, выполняется автоматически.
      • Современная совместимость. этот уровень безопасности использует актуальные пакеты шифрования для VPN-подключений. Обратите внимание, что этот параметр поддерживает только веб-браузеры TLS 1.3.
    • Запретить дублирование входов. Установите этот флажок, чтобы учетные записи не создавали несколько подключений с использованием этого протокола.
    • Включить раздельное туннелирование. Этот параметр позволяет клиентам получать доступ к ресурсам в указанных локальных подсетях или диапазонах IP-адресов через VPN, в то время как остальной трафик проходит через шлюз по умолчанию. Нажмите Редактировать, чтобы добавить объекты (например, подсети или диапазоны IP-адресов) в Список раздельных туннелей.
  4. Нажмите Применить, чтобы завершить настройку. Настраиваемый URL-адрес веб-портала VPN Plus отобразится в нижней части этой страницы.

Примечание.

  • URL-адрес веб-портала VPN Plus может отображаться в одной из следующих форм:
    • Внутренний IP-адрес. С помощью данного URL-адреса, например «https://192.168.1.2:443», получить доступ к веб-порталу могут только локальные пользователи. Его можно вручную заменить внешним IP-адресом и получить URL-адрес, с помощью которого можно будет получить удаленный доступ, а также добавить к нему номер порта в том случае, если используется нестандартный порт.
    • Внешний IP-адрес. С помощью данного URL-адреса локальные и удаленные пользователи могут получить доступ к веб-порталу.
    • Имя домена. С помощью данного URL-адреса, например, «https://example.synology.me:443», локальные и удаленные пользователи могут получить доступ к веб-порталу. Для получения URL-адреса имени домена прежде всего задайте внешний IP-адрес, совпадающий с именем домена, на сервере DNS или используйте службу Synology DDNS (см. инструкции). Если стандартный порт 443 не используется, добавьте нестандартный порт (например, 500) к имени домена (например, «example.com:500»).
  • Объект, указанный в поле Диапазон IP-адресов клиентов, будет добавлен в Список разделенных туннелей и не может быть удален. Чтобы удалить этот объект, выберите другой объект в поле Диапазон IP-адресов клиентов.
  • Если необходимо использовать Synology SSL VPN с современной совместимостью (уровень безопасности), проверьте следующее на клиентских устройствах:
    • Версия Synology SSL VPN Client является актуальной.
    • Веб-браузер поддерживает TLS 1.3.
  • SSTP VPN будет недоступен, если для уровня безопасности выбран параметр Современная совместимость. Чтобы использовать SSTP VPN и SSL VPN одновременно, переключите уровень безопасности на Авто.

Установка стороннего сертификата на Synology Router

Сетевой администратор может купить сертификат в доверенном стороннем центре сертификации и установить его на устройство Synology Router. После установки все клиенты смогут получать бесперебойный доступ к веб-порталу VPN Plus, при этом уведомления в браузере отображаться не будут.

  1. Выберите Панель управления > Службы > Сертификат в SRM.
  2. В разделе Действие нажмите Импортировать сертификат.
  3. Нажмите Обзор и выберите секретный ключ и сертификат.
  4. Нажмите кнопку OK для импорта сертификата.

Установка сертификата Synology Router на клиентские устройства

В случае отсутствия сторонних доверенных сертификатов сетевой администратор может создать самозаверяющий сертификат устройства Synology Router и установить его на все клиентские устройства.

  1. Выберите Панель управления > Службы > Сертификат в SRM.
  2. В разделе Действие нажмите Создать сертификат > Создать самозаверяющий сертификат. Следуйте инструкциям мастера на экране, чтобы создать сертификат для веб-портала VPN Plus.
  3. В разделе Сертификат сервера нажмите Экспортировать сертификат, чтобы скачать самозаверяющий сертификат.
  4. Поделитесь этим сертификатом с локальными пользователями. Попросите их установить его на свои устройства в соответствии с инструкциями в руководстве по использованию.

Руководство по использованию

В этом разделе вы узнаете, как подключить клиентские устройства к Synology SSL VPN.

Подключение к Synology SSL VPN

Веб-браузеры на компьютерах (кроме Firefox):

  1. Откройте веб-браузер и введите URL-адрес веб-портала VPN Plus в адресной строке.
  2. Выполните вход с помощью учетных данных SRM.
  3. Нажмите SSL VPN на левой панели.
  4. Нажмите Скачать, чтобы установить Synology SSL VPN Client на локальном компьютере.
  5. Для завершения установки следуйте инструкциям мастера на экране.
  6. При запуске клиента SSL VPN веб-страница будет автоматически обновлена.
  7. Нажмите Подключиться для подключения с помощью Synology SSL VPN. (См. Примечание внизу.)
  8. Теперь все подключения, выполняемые с локального компьютера, будут осуществляться через Synology SSL VPN.
  9. Чтобы прекратить использование этой службы VPN, нажмите Отключить на веб-портале VPN Plus.

Firefox на компьютерах:

  1. Откройте Firefox и введите URL-адрес веб-портала VPN Plus в адресной строке.
  2. Выполните вход с помощью учетных данных SRM.
  3. Нажмите SSL VPN на левой панели.
  4. Нажмите Скачать, чтобы установить Synology SSL VPN Client на локальном компьютере.
  5. Для завершения установки следуйте инструкциям мастера на экране.
  6. Вернитесь на веб-портал VPN Plus > SSL VPN и нажмите кнопку здесь, чтобы добавить исключение безопасности для браузера.
  7. На веб-странице отобразится уведомление браузера. Нажмите Дополнительно... > Принять риск и продолжить.
  8. Нажмите Продолжить. Теперь все подключения, выполняемые с локального компьютера, будут осуществляться через Synology SSL VPN.
  9. Чтобы прекратить использование этой службы VPN, нажмите Отключить на веб-портале VPN Plus.

Примечание.

  • Если вы впервые выполняете вход на веб-портал VPN Plus с клиентской операционной системы, перед созданием подключения VPN вам потребуется создать PIN-код, состоящий как минимум из 8 символов. Этот механизм предотвращает несанкционированный вход на вредоносный сервер VPN.
  • После настройки PIN-кода необходимо повторно ввести PIN-код при первом подключении к другому серверу VPN в той же клиентской операционной системе.
  • PIN-код не может быть изменен после настройки VPN. Если вы забыли PIN-код или хотите его изменить, вам потребуется удалить Synology SSL VPN Client и установить его еще раз.

Устройства под управлением iOS/Android:

  1. Скачайте и установите Synology VPN Plus (в магазине Apple App Store/Google Play) на мобильное устройство.
    Примечание. Пакет приложений Android (APK) также доступен в Центре загрузок Synology. Дополнительную информацию об установке приложения вручную на устройстве с ОС Android см. в этой статье.
  2. Откройте Synology VPN Plus, введите IP-адрес или имя домена (например, «vpn.service.com») устройства Synology Router.
    Примечание. При использовании пользовательского порта, отличного от 443, добавьте номер порта после имени домена или IP-адреса с двоеточием (например, «prefix.domain.com:10001»).
  3. Выполните вход с помощью учетных данных SRM.
  4. Коснитесь Подключиться для подключения с помощью Synology SSL VPN.
  5. Теперь все подключения, выполняемые с мобильного устройства, будут осуществляться через Synology SSL VPN.
  6. Чтобы прекратить использование данной службы VPN, коснитесь Отключиться.

Примечание.

  • Служба Synology SSL VPN допускает использование только двух клиентов: Synology SSL VPN Client и мобильное приложение Synology VPN Plus.
  • Synology SSL VPN Client и мобильное приложение Synology VPN Plus совместимы только с VPN Plus Server.
  • Если сетевой администратор включил раздельное туннелирование, через VPN будет проходить только трафик веб-страниц/приложений/серверов назначения в указанных локальных подсетях или диапазонах IP-адресов. Остальной трафик проходит через шлюз по умолчанию.

Установка сертификата на устройство

При отсутствии в пакете VPN Plus Server сторонних доверенных сертификатов во избежание повторного отображения уведомлений в браузере можно скачать и установить на компьютер самозаверяющий сертификат.

  1. Перейдите на веб-портал VPN Plus.
  2. Нажмите на значок с силуэтом человека в правом верхнем углу.
  3. Нажмите Конфигурации.
  4. Во всплывающем окне нажмите Скачать, чтобы скачать сертификат ca.crt на свой компьютер.

Выполните указанные ниже действия по установке сертификата в соответствии с операционной системой компьютера.

Для Windows:

  1. Дважды нажмите на файл ca.crt на компьютере.
  2. Нажмите Открыть > Установить сертификат... > Далее.
  3. Выберите Поместить все сертификаты в следующее хранилище.
  4. Нажмите Обзор и выберите Доверенные корневые центры сертификации.
  5. Нажмите OK и следуйте инструкциям мастера на экране для завершения установки.
  6. Снова откройте браузер для начала использования сертификата.

Для Mac:

  1. Дважды нажмите на файл ca.crt на компьютере.
  2. Выберите пункт Система для параметра Цепочка ключей и нажмите Добавить.
  3. Введите учетные данные пользователя и нажмите Изменить цепочку ключей.
  4. На компьютере Mac откройте Доступ к цепочке ключей.
  5. На левой панели в разделе Цепочки ключей выберите Система и затем в разделе Категория выберите Сертификаты.
  6. Найдите и дважды нажмите на нужный сертификат.
  7. Во всплывающем окне нажмите Доверие и выберите пункт Всегда доверять для параметра При использовании этого сертификата.
  8. Закройте всплывающее окно и следуйте инструкциям на экране, чтобы завершить установку.
Общее управление
Руководство по использованию