设置 VPN Server
请在左侧面板的设置下方选择下列任一 VPN 服务器类型来在 DiskStation 启用 VPN 服务。
PPTP
PPTP(Point-to-Point Tunneling Protocol,点对点信道协议)是常用的 VPN 解决方案,且大多数的客户端(包含 Windows、Mac、Linux 及移动设备)皆支持 PPTP 协议。要了解更多有关 PPTP 的详情,请参阅此处。
若要启动 PPTP VPN 服务器:
- 请勾选启用 PPTP VPN 服务器。
- 在动态 IP 地址栏中指定 VPN 服务器的虚拟 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。
- 设置连接数量上限可限制 VPN 同时连接的数量。
- 从认证下拉菜单中选择下列其中一个项目来验证 VPN 客户端:
- PAP:验证时不加密 VPN 客户端的密码。
- MS-CHAP v2:验证时使用 Microsoft CHAP 版本 2 加密 VPN 客户端的密码。
- 如果您使用 MS-CHAP 版本2 的验证方式,请从加密下拉菜单中选择下列其中一个项目来加密 VPN 连接:
- 无:VPN 连接不会受到加密机制的保护。
- 需要 MPPE(40/128 位):VPN 连接会受到 40 位或 128 位加密机制(视客户端的设置而定)的保护。
- 最高 MPPE(128 位):VPN 连接会受到 128 位加密机制的保护,该机制提供最高的安全性。
- 设置 MTU(最大传输单元)来限制 VPN 网络传输的数据封包大小。
- 勾选手动设置 DNS 并指派 DNS 服务器 IP 将 DNS 推送给 PPTP 客户端,否则将会使用 DiskStation 现存的 DNS 设置。
- 单击确定。
注:
- VPN 客户端使用的认证及加密类型必须与 VPN Server 上的设置相同。
- 若要适用于大部分的 PPTP 客户端,如运行 Windows、Mac OS、Mac iOS 与 Android 操作系统的客户端,默认的 MTU 值为 1400。若您的网络环境较为复杂,您可能需要设置一个较小的 MTU 值。若您经常收到超时消息或发生连接不稳定的情况,请缩小您的 MTU 值设置。
- 请检查您 DiskStation 的端口转发规则与防火墙设置以及路由器,确认 TCP 1723 端口已打开。
- 部分路由器已内置 PPTP VPN 服务,因此将已占用了 1723 端口。您需先通过路由器的管理接口禁用内置的 PPTP VPN 服务,才能使 VPN Server 上的 PPTP VPN 服务正常运作。此外,部分旧式路由器可能会封锁 GRE 协议(即 IP 协议 47),造成 VPN 连接失败。建议您使用支持 VPN pass-through 连接的路由器。
OpenVPN
OpenVPN 是实施 VPN 服务的开放原始码解决方案。它会使用 SSL/TLS 加密机制来保护 VPN 连接。如需更多 OpenVPN 的相关信息,请参阅此处。
若要启动 OpenVPN VPN 服务器:
- 请勾选启用 OpenVPN 服务器。
- 在动态 IP 地址栏中指定 VPN 服务器的虚拟内部 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。
- 设置连接数量上限可限制 VPN 同时连接的数量。
- 如果您要在传输数据时压缩数据,请勾选启用 VPN 链接压缩。
- 单击确定。
注:
- VPN Server 不支持点对点连接的桥接模式。
- 请检查您 DiskStation 的端口转发规则与防火墙设置以及路由器,确认 UDP 1194 端口已打开。
若要导出配置文件:
请单击导出配置。OpenVPN 可让 VPN 服务器发行认证文件供客户端使用。所导出的文件为 zip 压缩文件,其中包含 ca.crt(VPN 服务器的证书文件)、openvpn.ovpn(供客户端使用的配置文件案)以及 README.txt(客户端如何设置 OpenVPN 连接的简易说明)。如需更多信息,请参阅 Synology VPN 用户指南。
L2TP/IPSec
IPSec 上的 L2TP(第二层隧道协议)提供更高安全性的虚拟专用网络,且大多数的客户端(包含 Windows、Mac、Linux 和移动设备)皆支持该协议。要了解更多有关 L2TP 的详情,请参阅此处。
在您开始进行之前:
开始使用 L2TP/IPSec 前,请先确认 DiskStation 运行 DSM 4.3 或更高版本。
若要启用 L2TP/IPSec VPN 服务器:
- 请勾选启用 L2TP/IPSec VPN 服务器。
- 在动态 IP 地址栏中指定 VPN 服务器的虚拟 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。
- 设置连接数量上限可限制 VPN 同时连接的数量。
- 从认证下拉菜单中选择下列其中一个项目来验证 VPN 客户端:
- PAP:验证时不加密 VPN 客户端的密码。
- MS-CHAP v2:验证时使用 Microsoft CHAP 版本 2 加密 VPN 客户端的密码。
- 设置 MTU(最大传输单元)来限制 VPN 网络传输的数据封包大小。
- 勾选手动设置 DNS 并指派 DNS 服务器 IP 将 DNS 推送给 L2TP/IPSec 客户端,否则将会使用 DiskStation 现存的 DNS 设置。
- 输入预共享密钥并进行确认。此密钥可授与您的 L2TP/IPSec 用户来验证连接。
- 单击确定。
注:
- VPN 客户端使用的认证及加密类型必须与 VPN Server 上的设置相同。
- 若要适用于大部分的 L2TP/IPSec 客户端,如运行 Windows、Mac OS、Mac iOS 与 Android 操作系统的客户端,默认的 MTU 值为 1400。若您的网络环境较为复杂,您可能需要设置一个较小的 MTU 值。若您经常收到超时消息或发生连接不稳定的情况,请缩小您的 MTU 值设置。
- 请检查您 DiskStation 的端口转发规则与防火墙设置以及路由器,确认 UDP 1701、500 与 4500 端口已打开。
- 部分路由器已内置 L2TP 或 IPSec VPN 服务,因此将已占用 1701、500 或 4500 端口。您需先通过路由器的管理接口禁用内置的 L2TP 或 IPSec VPN 服务,才能使 VPN Server 上的 L2TP/IPSec 服务正常运作。建议您使用支持 VPN pass-through 连接的路由器。
关于动态 IP 地址
VPN Server 会视您在动态 IP 地址中输入的数字,从一组虚拟 IP 地址范围中选择一个 IP 地址来分配给 VPN 客户端使用。例如,如果 VPN 服务器的动态 IP 地址是设置为 “10.0.0.0”,则 PPTP VPN 客户端的虚拟 IP 地址范围为 “10.0.0.1” 至 “10.0.0.[连接数量上限]”;OpenVPN 客户端的虚拟 IP 地址范围则为 “10.0.0.2” 至 “10.0.0.255”。
重要事项:指定 VPN 服务器的动态 IP 地址之前,请注意:
-
VPN 服务器的动态 IP 地址必须为下列其中一个地址:
-
从 “10.0.0.0” 到 “10.255.255.0”
-
从 “172.16.0.0” 到 “172.31.255.0”
-
从 “192.168.0.0” 到 “192.168.255.0”
-
您指定的 VPN 服务器动态 IP 地址以及指派给 VPN 客户端的虚拟 IP 地址不能与局域网中已经使用的任何 IP 地址产生冲突。
关于客户端进行 VPN 连接时使用的网关设置
使用 VPN 连接至 DiskStation 的局域网之前,客户端可能需要为 VPN 连接变更网关设置。否则,创建 VPN 连接后,它们可能将无法连接至 Internet。如需详细信息,请参阅 Synology VPN 用户指南。