Een VPN-server instellen
Onder Instellingen in het linkerdeelvenster kunt u de volgende VPN-servertypes kiezen om de VPN-service van het DiskStation te activeren.
Opmerking:
- Als u VPN-service inschakelt, zal dit de systeemprestaties beïnvloeden.
PPTP
PPTP (Point-to-Point Tunneling Protocol) is een veelgebruikte VPN-oplossing die door de meeste clients wordt ondersteund (zoals Windows, Mac, Linux en mobiele toestellen). Meer informatie over PPTP vindt u hier.
Om een PPTP VPN-server in te schakelen:
- Tik op PPTP VPN-server inschakelen.
- Geef een virtueel ip-adres van de VPN-server op in de velden Dynamisch ip-adres. Zie Over Dynamisch ip-adres hieronder voor meer informatie.
- Stel Maximum aantal verbindingen in om het aantal gelijktijdige VPN-verbindingen te beperken.
- Kies uit de volgende opties in het keuzemenu Verificatie om VPN-clients te verifiëren:
- PAP: Wachtwoorden van VPN-clients worden niet gecodeerd tijdens de verificatie.
- MS-CHAP v2: De wachtwoorden van VPN-clients worden tijdens verificatie versleuteld met Microsoft CHAP versie 2.
- Als u gebruik maakt van MS-CHAP v2 voor verificatie, kiest u in het keuzemenu een Codering om de VPN-verbinding te coderen:
- Geen: De VPN-verbinding wordt niet beveiligd met een coderingsmechanisme.
- MPPE (40/128 bit) vereist: VPN-verbinding wordt beveiligd met een coderingsmechanisme van 40-bit of 128-bit, afhankelijk van de instelling van de client.
- Maximum MPPE (128 bit): De VPN-verbinding wordt beveiligd met een 128-bitcoderingsmechanisme. Dit is het hoogste beveiligingsniveau.
- Stel MTU (Maximum Transmission Unit) in om de grootte van datapakketjes in het VPN-netwerk te beperken.
- Tik op Handmatige DNS gebruiken en geef een ip-adres van een DNS-server op om DNS voor PPTP-clients te forceren, anders wordt hier de DNS-instelling van het DiskStation weergegeven.
- Klik op OK.
Opmerking:
- de verificatie- en coderingstypes van de VPN-clients moeten gelijk zijn aan de opgegeven instelling in VPN-server.
- Voor de meeste PPTP-clients met Windows-, Mac OS-, Mac iOS- en Android-besturingssystemen wordt de MTU op de standaardwaarde van 1400 ingesteld. In complexere netwerkomgevingen is wellicht een kleinere MTU-waarde nodig. Verminder de MTU-grootte bij herhaaldelijke time-outfouten of bij onstabiele verbindingen.
- Controleer de instellingen voor poort doorsturen en van de firewall op uw DiskStation en router om er zeker van te zijn dat tcp-poort 1723 open is.
- PPTP VPN-service is geïntegreerd in enkele routers, waardoor poort 1723 bezet kan zijn. Schakel de geïntegreerde PPTP VPN-dienst uit via de eigen beheerinterface van de router zodat de PPTP van VPN Server kan functioneren. Daarnaast blokkeren enkele oude routers het GRE-protocol (ip-protocol 47), waardoor de VPN-verbinding niet tot stand komt. Het wordt aanbevolen een router te gebruiken die ondersteuning biedt voor VPN-passthrough-verbindingen.
OpenVPN
OpenVPN is een open-sourceoplossing voor het implementeren van een VPN-service. Het beveiligt de VPN-verbinding met het coderingsmechanisme SSL/TLS. Meer informatie over OpenVPN vindt u hier.
Om een OpenVPN VPN-server in te schakelen:
- Tik op OpenVPN-server inschakelen.
- Geef een virtueel intern ip-adres van de VPN-server op in de velden Dynamisch ip-adres. Zie Over Dynamisch ip-adres hieronder voor meer informatie.
- Stel Maximum aantal verbindingen in om het aantal gelijktijdige VPN-verbindingen te beperken.
- Tik op Compressie op de VPN-koppeling inschakelen als u de gegevens tijdens de overdracht wilt comprimeren.
- Klik op OK.
Opmerking:
- VPN Server ondersteunt geen brugmodus voor site-to-site-verbindingen.
- Controleer de poort doorsturen- en firewallinstellingen op DiskStation en of de UDP-poort 1194 van de router open is.
Om het configuratiebestand te exporteren:
Klik op Configuratie exporteren. Met OpenVPN kan een VPN-server een verificatiecertificaat uitgeven aan de clients. Het geëxporteerde bestand is een zipbestand met daarin ca.crt (certificaatbestand voor VPN-server), openvpn.ovpn (configuratiebestand voor de client) en README.txt (eenvoudige instructie over het instellen van een OpenVPN-verbinding op de client). Meer informatie vindt u in de Synology VPN Gebruikershandleiding.
L2TP/IPSec
L2TP (Layer 2 Tunneling Protocol) via IPSec biedt virtuele privénetwerken verbeterde beveiliging en wordt door de meeste clients ondersteund (zoals Windows, Mac, Linux en mobiele apparaten). Meer informatie over L2TP vindt u hier.
Voor u start:
Om L2TP/IPSec te gebruiken, moet uw DiskStation op versie DSM 4.3 of hoger draaien.
Om L2TP/IPSec VPN-server in te schakelen:
- Tik op L2TP/IPSec VPN-server inschakelen.
- Geef een virtueel ip-adres van de VPN-server op in het veld Dynamisch ip-adres. Zie Over Dynamisch ip-adres hieronder voor meer informatie.
- Stel Maximum aantal verbindingen in om het aantal gelijktijdige VPN-verbindingen te beperken.
- Kies uit de volgende opties in het keuzemenu Verificatie om VPN-clients te verifiëren:
- PAP: Wachtwoorden van VPN-clients worden niet gecodeerd tijdens de verificatie.
- MS-CHAP v2: De wachtwoorden van VPN-clients worden tijdens verificatie versleuteld met Microsoft CHAP versie 2.
- Stel MTU (Maximum Transmission Unit) in om de grootte van datapakketjes in het VPN-netwerk te beperken.
- Tik op Handmatige DNS gebruiken en geef een ip-adres van een DNS-server op om DNS voor L2TP/IPSec-clients te forceren, anders wordt hier de DNS-instelling van het DiskStation weergegeven.
- Voer een vooraf gedeelde sleutel in en bevestig deze. Deze geheime sleutel kunt u aan uw L2TP/IPSec-gebruiker verstrekken om de verbinding te verifiëren.
- Klik op OK.
Opmerking:
- de verificatie- en coderingstypes van de VPN-clients moeten gelijk zijn aan de opgegeven instelling in VPN-server.
- Voor de meeste L2TP/IPSec-clients met Windows-, Mac OS-, Mac iOS- en Android-besturingssystemen wordt de MTU op de standaardwaarde van 1 400 ingesteld. In complexere netwerkomgevingen is wellicht een kleinere MTU-waarde nodig. Verminder de MTU-grootte bij herhaaldelijke time-outfouten of bij onstabiele verbinding.
- Controleer de poort doorsturen- en firewallinstellingen op uw DiskStation en router om u ervan te vergewissen dat de UDP-poorten 1701, 500 en 4500 open zijn.
- L2TP of IPSec VPN-service is geïntegreerd in enkele routers, waardoor poort 1701, 500 of 4500 bezet kan zijn. Schakel de geïntegreerde L2TP van IPSec VPN-service uit via de eigen beheersinterface van de router zodat de L2TP/IPSec van VPN Server kan functioneren. Het wordt aanbevolen een router te gebruiken die ondersteuning biedt voor VPN-passthrough-verbindingen.
Over Dynamisch ip-adres
Afhankelijk van het nummer dat is ingevoerd onder Dynamisch ip-adres, kiest VPN Server een ip-adres uit een reeks virtuele ip-adressen als een ip-adres aan een VPN-client wordt toegekend. Als bijvoorbeeld het dynamische ip-adres van een VPN-server is ingesteld op "10.0.0.0", kan het bereik voor de virtuele ip-adressen voor clients tussen "10.0.0.1" en "10.0.0.[maximum aantal verbindingen]" liggen voor PPTP, en tussen "10.0.0.2" en "10.0.0.255" voor OpenVPN.
Belangrijk: denk hieraan voordat u het dynamische ip-adres van een VPN-server instelt:
-
Dynamische ip-adressen voor een VPN-server moeten voldoen aan het volgende:
-
Tussen "10.0.0.0" en "10.255.255.0"
-
Tussen "172.16.0.0" en "172.31.255.0"
-
Tussen "192.168.0.0" en "192.168.255.0"
-
Het opgegeven dynamische ip-adres van een VPN-server en de toegekende ip-adressen voor VPN-clienten mogen niet in conflict komen met andere ip-adressen die momenteel in het lokale netwerk worden gebruikt.
Over de Gateway-instelling voor VPN-verbinding van clients
Voordat een DiskStation op een lokaal netwerk wordt aangesloten via een VPN, moet eventueel de gateway-instelling voor VPN-verbinding worden gewijzigd op de clients. Anders kan eventueel geen verbinding met internet worden gemaakt als een VPN-verbinding tot stand wordt gebracht. Meer informatie vindt u in de Synology VPN Gebruikershandleiding.