Nastavení balíčku VPN Server
V části Nastavení na levém panelu můžete pomocí některého z následujících typů serverů VPN povolit službu VPN na zařízení DiskStation.
Poznámka:
- Povolení služby VPN bude mít vliv síťový výkon systému.
PPTP
PPTP (Point-to-Point Tunneling Protocol) je běžně používané řešení VPN podporované většinou klientů (včetně Windows, Mac, Linux a mobilních zařízení). Další informace o protokolu PPTP naleznete zde.
Povolení serveru VPN PPTP:
- Zaškrtněte možnost Povolit server VPN PPTP.
- Do pole Dynamická IP adresa zadejte virtuální IP adresu serveru VPN. Další informace naleznete v části O dynamické IP adrese.
- Nastavením možnosti Maximální počet připojení omezíte počet souběžných připojení VPN.
- Z rozevírací nabídky Ověření vyberte některou z následujících možností pro ověřování klientů VPN:
- PAP: Hesla klientů VPN nebudou při ověřování šifrována.
- MS-CHAP v2: Hesla klientů VPN budou při ověřování šifrována pomocí Microsoft CHAP verze 2.
- Pokud pro ověřování používáte MS-CHAP v2, z rozevírací nabídky Šifrování vyberte některou z následujících možností pro šifrování připojení VPN:
- Žádné: Připojení VPN nebude chráněno pomocí šifrovacího mechanismu.
- Vyžádat MPPE (40/128 bitů): Připojení VPN bude chráněno 40bitovým nebo 128bitovým šifrovacím mechanismem v závislosti na nastavení klienta.
- Maximální MPPE (128 bitů): Připojení VPN bude chráněno 128bitovým šifrovacím mechanismem, který zajišťuje nejvyšší úroveň zabezpečení.
- Nastavením možnosti MTU (Maximum Transmission Unit, maximální přenosová jednotka) omezíte velikost datového paketu prostřednictvím sítě VPN.
- Zaškrtněte políčko Použít ruční DNS a zadejte IP adresu serveru DNS pro zaslání DNS klientům PPTP, jinak bude použito aktuální nastavení DNS zařízení DiskStation.
- Klepněte na možnost OK.
Poznámka:
- Typy ověření a šifrování klientů VPN musí být identické s nastavením zadaným na serveru VPN.
- Pro většinu klientů PPTP se systémem Windows, Mac OS, Mac iOS a Android je výchozí hodnota MTU nastavena na 1400. Pro komplikovanější síťová prostředí může být požadována menší hodnota MTU. Pokuste se snížit velikost MTU, pokud neustále dochází k chybě časového limitu nebo připojení není stabilní.
- Ověřte nastavení předávání portů a brány firewall na zařízení DiskStation a směrovači a zajistěte, aby port TCP 1723 byl otevřený.
- Služba VPN PPTP je v některých směrovačích vestavěna, a proto je port 1723 obsazen. Aby služba PPTP v rámci balíčku VPN server fungovala, měli byste vestavěnou službu VPN PPTP zakázat prostřednictvím rozhraní pro správu směrovače. Kromě toho některé starší směrovače blokují protokol GRE (protokol IP 47), který způsobí selhání připojení VPN. Doporučujeme použít jiný směrovač podporující připojení průchodu VPN.
OpenVPN
OpenVPN je řešení typu open source pro službu VPN. Zabezpečuje připojení VPN pomocí šifrovacího mechanismu SSL/TLS. Další informace o OpenVPN naleznete zde.
Povolení serveru VPN OpenVPN:
- Zaškrtněte políčko Povolit server OpenVPN.
- Do pole Dynamická IP adresa zadejte virtuální interní IP adresu serveru VPN. Další informace naleznete v části O dynamické IP adrese.
- Nastavením možnosti Maximální počet připojení omezíte počet souběžných připojení VPN.
- Zaškrtněte políčko Povolit kompresi na lince VPN, pokud chcete při přenosu komprimovat data.
- Klepněte na možnost OK.
Poznámka:
- VPN Server nepodporuje režim mostu pro připojení typu Site-to-Site.
- Ověřte nastavení předávání portů a brány firewall na zařízení DiskStation a směrovači a zajistěte, aby port UDP 1194 byl otevřený.
Exportování konfiguračního souboru:
Klepněte na položku Exportovat konfiguraci. OpenVPN umožňuje serveru VPN vydávat klientům certifikáty ověření. Exportovaný soubor je soubor zip, který obsahuje ca.crt (soubor certifikátu pro server VPN), openvpn.ovpn (konfigurační soubor pro klienta) a README.txt (jednoduché pokyny , jakým způsobem nastavit pro klienta připojení OpenVPN). Další informace naleznete v uživatelské příručce pro Synology VPN.
L2TP/IPSec
L2TP (Layer 2 Tunneling Protocol) přes IPSec nabízí virtuálním privátním sítím vyšší zabezpečení a je podporován většinou klientů (včetně Windows, Mac, Linux a mobilních zařízení). Další informace o protokolu L2TP naleznete zde.
Než začnete:
Chcete-li protokol L2TP/IPSec používat, ověřte, zda je na zařízení DiskStation nainstalován systém DSM 4.3 nebo novější.
Povolení serveru VPN L2TP/IPSec:
- Zaškrtněte možnost Povolit server VPN L2TP/IPSec.
- Do pole Dynamická IP adresa zadejte virtuální IP adresu serveru VPN. Další informace naleznete v části O dynamické IP adrese.
- Nastavením možnosti Maximální počet připojení omezíte počet souběžných připojení VPN.
- Z rozevírací nabídky Ověření vyberte některou z následujících možností pro ověřování klientů VPN:
- PAP: Hesla klientů VPN nebudou při ověřování šifrována.
- MS-CHAP v2: Hesla klientů VPN budou při ověřování šifrována pomocí Microsoft CHAP verze 2.
- Nastavením možnosti MTU (Maximum Transmission Unit, maximální přenosová jednotka) omezíte velikost datového paketu prostřednictvím sítě VPN.
- Zaškrtněte políčko Použít ruční DNS a zadejte IP adresu serveru DNS pro zaslání DNS klientům L2TP/IPSec, jinak bude použito aktuální nastavení DNS zařízení DiskStation.
- Zadejte a potvrďte předsdílený klíč. Tento tajný klíč můžete získat od uživatele L2TP/IPSec pro ověření připojení.
- Klepněte na možnost OK.
Poznámka:
- Typy ověření a šifrování klientů VPN musí být identické s nastavením zadaným na serveru VPN.
- Pro většinu klientů L2TP/IPSec se systémem Windows, Mac OS, Mac iOS a Android je výchozí hodnota MTU nastavena na 1400. Pro komplikovanější síťová prostředí může být požadována menší hodnota MTU. Pokuste se snížit velikost MTU, pokud neustále dochází k chybě časového limitu nebo připojení není stabilní.
- Ověřte nastavení předávání portů a brány firewall na zařízení DiskStation a směrovači a zajistěte, aby porty UDP 1701, 500 a 4500 byly otevřené.
- Služba L2TP nebo VPN IPSec je v některých směrovačích vestavěna, a proto jsou porty 1701, 500 nebo 4500 obsazeny. Aby služba L2TP/IPSec v rámci balíčku VPN server fungovala, měli byste vestavěnou službu VPN L2TP nebo IPSec zakázat prostřednictvím rozhraní pro správu směrovače. Doporučujeme použít jiný směrovač podporující připojení průchodu VPN.
O dynamické IP adrese
V závislosti na čísle zadaném v poli Dynamická IP adresa bude VPN Server při přiřazování IP adresy klientům VPN volit z rozsahu virtuálních IP adres. Pokud je například dynamická IP adresa serveru VPN nastavena na hodnotu „10.0.0.0“, může virtuální IP adresa klienta VPN mít rozsah od „10.0.0.1“ do „10.0.0.[maximální počet připojení]“ v případě protokolu PPTP a od „10.0.0.2“ do „10.0.0.255“ v případě OpenVPN.
Důležité upozornění:Před zadáním dynamické IP adresy serveru VPN nezapomínejte na tyto pokyny:
-
Dynamické IP adresy povolené pro server VPN by měly být následující:
-
Od „10.0.0.0“ do „10.255.255.0“
-
Od „172.16.0.0“ do „172.31.255.0“
-
Od „192.168.0.0“ do „192.168.255.0“
-
Zadaná dynamická IP adresa serveru VPN a přiřazené virtuální IP adresy pro klienty VPN by neměly kolidovat s IP adresami, která jsou v současnosti využívány v místní síti.
O nastavení brány klienta pro připojení VPN
Před připojením do místní sítě zařízení DiskStation pomocí VPN budou klienti pravděpodobně muset změnit nastavení brány pro připojení VPN. V opačném případě nebude při navázání připojení VPN fungovat připojení k Internetu. Podrobnější informace naleznete v uživatelské příručce pro Synology VPN.