設定 VPN 伺服器
在左側面板的設定下方,請選擇下列任何一個 VPN 伺服器種類來在 DiskStation 上啟動 VPN 伺服。
PPTP
PPTP (點對點通道協議) 是常用的 VPN 解決方案,且大多數的用戶端 (包含 Windows、Mac、Linux 及行動裝置) 皆支援 PPTP。如需更多 PPTP 的相關資訊,請參閱此處。
若要啟動 PPTP VPN 伺服器:
- 勾選啟動 PPTP VPN 伺服器。
- 在動態 IP 位址欄位中指定 VPN 伺服器的虛擬 IP 位址。請參閱下方的關於動態 IP 位址來瞭解更多資訊。
- 設定最大連線數量來限制 VPN 連線的共同連線數量。
- 從認證下拉式選單中選擇下列其中一個項目來認證 VPN 用戶端:
- PAP:VPN 客戶端的密碼在認證過程中將不加密。
- MS-CHAP v2:VPN 客戶端的密碼在認證過程中將使用 Microsoft CHAP version 2 加密。
- 如果您使用 MS-CHAP v2 的認證方式,請從加密下拉式選單中選擇下列其中一個項目來加密 VPN 連線。
- No MPPE:VPN 連線不會受到加密機制保護。
- Require MPPE (40/128 bit):VPN 連線會受到 40-bit 或 128-bit (取決於用戶端設定) 加密機制保護。
- Maximum MPPE (128 bit):VPN 連線會受到 128-bit 加密機制保護,提供最高層級的安全性。
- 設定 MTU (最大傳輸單元) 來限制 VPN 網路傳輸的資料封包大小。
- 勾選手動設定 DNS 並指派 DNS 伺服器 IP 給 PPTP 用戶端 (否則會使用 DiskStation 現存的 DNS 設定)。
- 按一下確定。
注意:
- VPN 用戶端使用的認證及加密種類必須與 VPN Server 上的設定相同。
- 為適用於大部分的 PPTP 用戶端,如:Windows、Mac OS、Mac iOS 與 Android 系統,預設的 MTU 值為 1400。若您的網路環境較為複雜,您可能需要設定一個較小的 MTU 值。若您經常收到逾時訊息或連線不穩定,請縮小您的 MTU 值設定。
- 請檢查您 DiskStation 與路由器上的連接埠轉送規則與防火牆設定,以確認 TCP 1723 埠已開啟。
- 部分路由器已內建 PPTP VPN 服務,因此佔用了 1723 連接埠。您需先透過路由器的管理介面關閉其 PPTP VPN 服務,才能使 VPN Server 上的 PPTP VPN 服務正常運作。此外,部分舊式路由器可能會封鎖 GRE 協定 (即 IP 協定 47) ,造成 VPN 連線失敗。建議您使用支援 VPN passthrough 連線的路由器。
OpenVPN
OpenVPN 是開放原始碼 (open source) 的 VPN 服務解決方案。它會以 SSL/TLS 加密機制保護 VPN 連線。如需更多 OpenVPN 的相關資訊,請參閱 此處。
若要啟動 OpenVPN VPN 伺服器:
- 勾選啟動 OpenVPN 伺服器。
- 在動態 IP 位址欄位中指定 VPN 伺服器的虛擬內部 IP 位址。請參閱下方的關於動態 IP 位址來瞭解更多資訊。
- 設定最大連線數量來限制 VPN 連線的共同連線數量。
- 如果您要在傳輸資料時壓縮資料,請勾選啟動 VPN 壓縮連線。
- 按一下確定。
注意:
- VPN Server 不支援站台對站台的橋接模式。
- 請檢查您 DiskStation 與路由器上的埠轉送規則與防火牆設定,以確認 UDP 1194 埠已開啟。
若要匯出設定檔:
按一下匯出設定檔。OpenVPN 可讓 VPN 伺服器發行認證檔案供用戶端使用。所匯出的檔案為 zip 壓縮檔,其中包含 ca.crt (VPN 伺服器的憑證檔案)、openvpn.ovpn (用戶端使用的設定檔案),以及 README.txt (用戶端如何設定 OpenVPN 連線的簡易說明)。如需更多資訊,請參閱 Synology VPN 使用手冊。
L2TP/IPSec
L2TP (Layer 2 Tunneling Protocol) over IPSec 提供更安全的虛擬私有網路,且大多數的用戶端均支援 (Windows、Mac、Linux 及行動裝置)。如需更多 L2TP 的相關資訊,請參閱此處。
在您開始進行之前:
若要使用 L2TP/IPSec,請確認您的 DiskStation 搭載 DSM 4.3 或以上版本。
若要啟動 L2TP/IPSec VPN 伺服器:
- 勾選啟動 L2TP/IPSec VPN 伺服器。
- 在動態 IP 位址欄位中指定 VPN 伺服器的虛擬 IP 位址。請參閱下方的關於動態 IP 位址來瞭解更多資訊。
- 設定最大連線數量來限制 VPN 連線的共同連線數量。
- 從認證下拉式選單中選擇下列其中一個項目來認證 VPN 用戶端:
- PAP:VPN 客戶端的密碼在認證過程中將不加密。
- MS-CHAP v2:VPN 客戶端的密碼在認證過程中將使用 Microsoft CHAP version 2 加密。
- 設定 MTU (最大傳輸單元) 來限制 VPN 網路傳輸的資料封包大小。
- 勾選手動設定 DNS 並指派 DNS 伺服器 IP 給 L2TP/IPSec 用戶端 (否則會使用 DiskStation 現存的 DNS 設定)。
- 輸入並確認預先共用金鑰。L2TP/IPSec 使用者可透過此金鑰來驗證連線。
- 按一下確定。
注意:
- VPN 用戶端使用的認證及加密種類必須與 VPN Server 上的設定相同。
- 為適用於大部分的 L2TP/IPSec 用戶端,如:Windows、Mac OS、Mac iOS 與 Android 系統,預設的 MTU 值為 1400。若您的網路環境較為複雜,您可能需要設定一個較小的 MTU 值。若您經常收到逾時訊息或連線不穩定,請縮小您的 MTU 值設定。
- 請檢查您 DiskStation 與路由器上的連接埠轉送規則與防火牆設定,以確認 UDP 1701、500、4500 埠已開啟。
- 部分路由器已內建 L2TP 或 IPSec VPN 服務,因此佔用了 1701、500 或 4500 連接埠。您需先透過路由器的管理介面關閉其 L2TP 及 IPsec VPN 服務,才能使 VPN Server 上的 L2TP/IPsec VPN 服務正常運作。建議您使用支援 VPN passthrough 連線的路由器。
關於動態 IP 位址
VPN Server 會視您在動態 IP 位址中輸入的數字,從虛擬 IP 位址範圍中選擇一個 IP 位址來分配給 VPN 用戶端使用。例如,如果 VPN 伺服器的動態 IP 位址是設定為「10.0.0.0」,則 PPTP VPN 用戶端的虛擬 IP 位址範圍是「10.0.0.1」至「10.0.0.[最大連線數量]」;OpenVPN 用戶端的虛擬 IP 位址範圍則是「10.0.0.2」至「10.0.0.255」。
重要事項:指定 VPN 伺服器的動態 IP 位址之前,請注意:
-
VPN 伺服器的動態 IP 位址必須為下列其中一個位址:
-
從「10.0.0.0」至「10.255.255.0」
-
從「172.16.0.0」至「172.31.255.0」
-
從「192.168.0.0」至「192.168.255.0」
-
您指定的 VPN 伺服器動態 IP 位址以及指派給 VPN 用戶端的虛擬 IP 位址不能與區域網路中已經使用的任何 IP 位址產生衝突。
關於用戶端進行 VPN 連線時使用的閘道設定
使用 VPN 連線至 DiskStation 的區域網路之前,用戶端可能需要為 VPN 連線變更閘道器設定。否則,在 VPN 連線建立之後,它們可能會無法連線至網際網路。如需詳細資訊,請參閱 Synology VPN 使用手冊。