Konfiguracja serwera VPN
W sekcji Ustawienia w panelu po lewej stronie wybierz dowolny z następujących typów serwera VPN, aby włączyć usługę VPN na serwerze DiskStation.
Uwaga:
- Włączenie usługi VPN pogarsza wydajność połączeń sieciowych systemu.
PPTP
Protokół PPTP (Point-to-Point Tunneling Protocol) jest powszechnie używany jako rozwiązanie VPN obsługiwane przez większość klientów (w tym Windows, Mac, Linux oraz urządzenia mobilne). Więcej informacji o PPTP można uzyskać tutaj.
Aby włączyć serwer PPTP VPN:
- Zaznacz opcję Włącz serwer PPTP VPN.
- Określ wirtualny adres IP serwera VPN w polach Dynamiczny adres IP. Aby uzyskać więcej informacji, zobacz poniżej temat Informacje o dynamicznym adresie IP.
- Ustaw wartość Maksymalna liczba połączeń, aby ograniczyć liczbę jednoczesnych połączeń VPN.
- Wybierz jedną z poniższych wartości z rozwijanego menu Uwierzytelnienie, aby uwierzytelniać klientów VPN:
- PAP: Hasła klientów VPN nie będą szyfrowane podczas uwierzytelniania.
- MS-CHAP v2: Hasła klientów VPN będą szyfrowane podczas uwierzytelniania przy użyciu protokołu Microsoft CHAP wersja 2.
- W przypadku użycia protokołu MS-CHAP v2 do uwierzytelniania wybierz dowolną z poniższych wartości z rozwijanego menu Szyfrowanie, aby szyfrować połączenie VPN:
- Brak: Połączenie VPN nie będzie chronione mechanizmem szyfrowania.
- Wymagaj MPPE (40/128 bitów): Połączenie VPN będzie chronione 40- lub 128-bitowym mechanizmem szyfrowania, w zależności od ustawień klienta.
- Maksymalne MPPE (128 bitów): Połączenie VPN będzie chronione 128-bitowym mechanizmem szyfrowania, który oferuje najwyższy poziom zabezpieczeń.
- Ustaw wartość MTU (Maksymalna jednostka transmisji), aby ograniczyć rozmiar pakietu danych przesyłanych poprzez sieć VPN.
- Zaznacz pole wyboru Użyj ręcznego DNS, a następnie podaj numer IP serwera DNS, aby przesłać wartości DNS do klientów PPTP. W przeciwnym razie ustawienie będzie takie jak bieżące ustawienie DNS DiskStation.
- Kliknij przycisk OK.
Uwaga:
- Typy uwierzytelniania i szyfrowania u klientów VPN muszą być takie same jak ustawienia określone na serwerze VPN Server.
- Aby umożliwić jej zastosowanie do większości klientów PPTP z systemami Windows, Mac OS, Mac iOS oraz Android, domyślna wartość MTU wynosi 1400. W przypadku bardziej skomplikowanego środowiska sieciowego może być wymagana mniejsza wartość MTU. Spróbuj zmniejszyć rozmiar MTU, jeżeli powtarza się błąd przekroczenia limitu czasu lub występuje niestabilne połączenie.
- Sprawdź przekierowanie portów oraz ustawienia zapory sieciowej na serwerze DiskStation i routerze, aby upewnić się, że port TCP 1723 jest otwarty.
- Usługa VPN PPTP jest wbudowana w niektóre routery, dlatego port 1723 jest zajęty. Wyłącz wbudowaną usługę PPTP VPN za pomocą interfejsu zarządzania routerem, aby umożliwić działanie protokołu PPTP aplikacji VPN Server. Ponadto niektóre stare routery blokują protokół GRE (protokół 47 IP), co może powodować problemy połączenia VPN. Zalecane jest stosowanie routera obsługującego połączenia przechodzące (ang. passthrough) VPN.
OpenVPN
OpenVPN to rozwiązanie „open source” implementujące usługę VPN. Chroni ono połączenia VPN za pomocą mechanizmu szyfrowania SSL/TLS. Aby uzyskać więcej informacji na temat usługi OpenVPN, patrz tutaj.
Aby włączyć serwer OpenVPN VPN:
- Zaznacz Włącz serwer OpenVPN.
- Określ wirtualny wewnętrzny adres IP serwera VPN w polach Dynamiczny adres IP. Aby uzyskać więcej informacji, zobacz poniżej temat Informacje o dynamicznym adresie IP.
- Ustaw wartość Maksymalna liczba połączeń, aby ograniczyć liczbę jednoczesnych połączeń VPN.
- Zaznacz Włącz kompresję łącza VPN, aby kompresować dane podczas transferu.
- Kliknij przycisk OK.
Uwaga:
- VPN Server nie obsługuje trybu mostkowania do połączeń pomiędzy witrynami.
- Sprawdź przekierowanie portów oraz ustawienia zapory sieciowej na serwerze DiskStation i routerze, aby upewnić się, że port UDP 1194 jest otwarty.
Aby wyeksportować plik konfiguracyjny:
Kliknij Eksportuj konfigurację. Usługa OpenVPN umożliwia serwerowi VPN wydanie certyfikatu uwierzytelniania klientom. Wyeksportowany plik to plik zip zawierający plik ca.crt (plik certyfikatu serwera VPN), openvpn.ovpn (plik konfiguracyjny dla klienta) oraz README.txt (proste instrukcje na temat konfiguracji połączenia OpenVPN dla klienta). Aby uzyskać więcej informacji, patrz Synology VPN — Przewodnik użytkownika.
L2TP/IPSec
Protokół L2TP (Layer 2 Tunneling Protocol) za pośrednictwem protokołu IPSec zapewnia wirtualnym sieciom prywatnym większe bezpieczeństwo i jest obsługiwany przez większość klientów (takich jak komputery z systemami Windows, Mac i Linux oraz urządzenia mobilne). Więcej informacji o L2TP można uzyskać tutaj.
Zanim zaczniesz:
Aby można było korzystać z protokołu L2TP/IPSec, serwer DiskStation musi działać z systemem DSM 4.3 lub nowszym.
Aby włączyć serwer L2TP/IPSec VPN:
- Zaznacz pole wyboru Włącz serwer L2TP/IPSec VPN.
- Określ wirtualny adres IP serwera VPN w polu Dynamiczny adres IP. Aby uzyskać więcej informacji, zobacz poniżej temat Informacje o dynamicznym adresie IP.
- Ustaw wartość Maksymalna liczba połączeń, aby ograniczyć liczbę jednoczesnych połączeń VPN.
- Wybierz jedną z poniższych wartości z rozwijanego menu Uwierzytelnienie, aby uwierzytelniać klientów VPN:
- PAP: Hasła klientów VPN nie będą szyfrowane podczas uwierzytelniania.
- MS-CHAP v2: Hasła klientów VPN będą szyfrowane podczas uwierzytelniania przy użyciu protokołu Microsoft CHAP wersja 2.
- Ustaw wartość MTU (Maksymalna jednostka transmisji), aby ograniczyć rozmiar pakietu danych przesyłanych poprzez sieć VPN.
- Zaznacz pole wyboru Użyj ręcznego DNS, a następnie podaj numer IP serwera DNS, aby przesłać wartości DNS do klientów L2TP/IPSec. W przeciwnym razie ustawienie będzie takie jak bieżące ustawienie DNS DiskStation.
- Wprowadź i potwierdź Klucz wstępny. Jest to tajny klucz, który można przekazać użytkownikowi L2TP/IPSec w celu uwierzytelniania połączeń.
- Kliknij przycisk OK.
Uwaga:
- Typy uwierzytelniania i szyfrowania u klientów VPN muszą być takie same jak ustawienia określone na serwerze VPN Server.
- Aby umożliwić jej zastosowanie do większości klientów L2TP/IPSec z systemami Windows, Mac OS, Mac iOS oraz Android, domyślna wartość MTU wynosi 1400. W przypadku bardziej skomplikowanego środowiska sieciowego może być wymagana mniejsza wartość MTU. Spróbuj zmniejszyć rozmiar MTU, jeżeli powtarza się błąd przekroczenia limitu czasu lub występuje niestabilne połączenie.
- Sprawdź przekierowanie portów oraz ustawienia zapory sieciowej na serwerze DiskStation i routerze, aby upewnić się, że porty UDP 1701, 500 i 4500 są otwarte.
- Usługa VPN L2TP lub IPSec jest wbudowana w niektóre routery, dlatego porty 1701, 500 lub 4500 mogą być zajęte. Wyłącz wbudowaną usługę L2TP lub IPSec VPN za pomocą interfejsu zarządzania routerem, aby umożliwić działanie protokołów L2TP/IPSec aplikacji VPN Server. Zalecane jest stosowanie routera obsługującego połączenia przechodzące (ang. passthrough) VPN.
Informacje o dynamicznym adresie IP
W zależności od wartości wprowadzonej w opcji Dynamiczny adres IP pakiet VPN Server podczas przydzielania adresów IP klientom VPN dokona wyboru z zakresu wirtualnych adresów IP. Na przykład, jeśli dynamiczny adres IP serwera VPN jest ustawiony na „10.0.0.0”, wirtualny adres IP klienta VPN może mieć wartość od „10.0.0.1” do „10.0.0.[maksymalna liczba połączeń]” dla protokołu PPTP i „10.0.0.2” do „10.0.0.255” dla usługi OpenVPN.
Ważne:Przed określeniem dynamicznego adresu IP dla serwera VPN należy pamiętać o następujących kwestiach:
-
Dynamiczny adres IP dozwolony dla serwera VPN powinien mieć jedną z następujących wartości:
-
Od „10.0.0.0” do „10.255.255.0”
-
Od „172.16.0.0” do „172.31.255.0”
-
Od „192.168.0.0” do „192.168.255.0”
-
Określony dynamiczny adres IP serwera VPN oraz przydzielone wirtualne adresy IP dla klientów VPN nie powinny kolidować z jakimikolwiek adresami IP obecnie używanymi w sieci lokalnej.
Informacje o ustawieniach bramy klienta dla połączenia VPN
Przed nawiązaniem połączenia z siecią lokalną stacji DiskStation przez VPN może być wymagana zmiana ustawień bramy klientów na potrzeby połączenia VPN. W przeciwnym wypadku po ustanowieniu połączenia VPN ich połączenie z Internetem może okazać się niemożliwe. Aby uzyskać szczegółowe informacje, patrz Synology VPN — Przewodnik użytkownika.