Nastavení VPN Server
Díky balíčku VPN Server může zařízení DiskStation snadno plnit funkci serveru VPN. Uživatelé systému DSM tak mohou získat vzdálený a zabezpečený přístup ke sdíleným prostředkům v rámci místní sítě zařízení DiskStation. Integrací běžných protokolů VPN – PPTP, OpenVPN a L2TP/IPSec – nabízí balíček VPN Server možnosti vytvoření a správy služby VPN přesně podle vašich potřeb. Chcete-li vybrat některý z následujících typů serveru VPN a povolit služby VPN na vašem zařízení DiskStation, nainstalujte si a spusťte balíček VPN Server.
Poznámka:
- Povolení služby VPN bude mít vliv síťový výkon systému.
- Instalovat a nastavit balíček VPN Server mohou pouze uživatelé systému DSM ze skupiny administrators.
PPTP
PPTP (Point-to-Point Tunneling Protocol) je běžně používané řešení VPN podporované většinou klientů (včetně Windows, Mac, Linux a mobilních zařízení). Další informace o protokolu PPTP najdete zde.
Povolení serveru VPN PPTP:
- Otevřete položku VPN Server a přejděte do části Nastavení > PPTP na levém panelu.
- Zaškrtněte možnost Povolit server VPN PPTP.
- Do pole Dynamická IP adresa zadejte virtuální IP adresu serveru VPN. Další informace najdete v části O dynamické IP adrese.
- Nastavením možnosti Maximální počet připojení omezíte počet souběžných připojení VPN.
- Nastavením možnosti Maximální počet připojení se stejným účtem omezíte počet souběžných připojení VPN se stejným účtem.
- Z rozevírací nabídky Ověřování vyberte některou z následujících možností pro ověřování klientů VPN:
- PAP: Hesla klientů VPN nebudou při ověřování šifrována.
- MS-CHAP v2: Hesla klientů VPN budou při ověřování šifrována pomocí Microsoft CHAP verze 2.
- Pokud pro ověřování používáte MS-CHAP v2, vyberte z rozevírací nabídky Šifrování některou z následujících možností pro šifrování připojení VPN:
- Bez MPPE: Připojení VPN nebude chráněno pomocí mechanismu šifrování.
- Požadovat MPPE (40/128 bitů): Připojení VPN bude zabezpečeno 40bitovým nebo 128bitovým mechanismem šifrování, a to podle nastavení klienta.
- Maximální MPPE (128 bitů): Připojení VPN bude zabezpečeno 128bitovým mechanismem šifrování, který zajišťuje nejvyšší úroveň zabezpečení.
- Nastavením možnosti MTU (Maximum Transmission Unit, maximální přenosová jednotka) omezíte velikost datového paketu prostřednictvím sítě VPN.
- Zaškrtněte možnost Použít ruční DNS a zadejte IP adresu serveru DNS, který bude předávat DNS klientům PPTP. Pokud je tato možnost zakázána, bude server DNS využívaný zařízením DiskStation předáván klientům.
- Nastavení aktivujete kliknutím na možnost Použít.
Poznámka:
- Pokud se připojujete k síti VPN, musí se nastavení ověřování a šifrování klientů VPN shodovat s nastaveními zadanými v rámci balíčku VPN Server. V opačném případě se klienti nebudou moci úspěšně připojovat.
- Pro zajištění kompatibility s většinou klientů PPTP v operačních systémech Windows, Mac OS, Mac iOS a Android je výchozí hodnota MTU nastavena na 1400. Pro komplikovanější síťová prostředí může být požadována menší hodnota MTU. Zkuste snížit velikost MTU, pokud neustále dochází k chybě časového limitu nebo připojení není stabilní.
- Ověřte nastavení předávání portů a brány firewall na zařízení DiskStation a směrovači a zajistěte, aby port TCP 1723 byl otevřený.
- Služba PPTP VPN je již součástí některých směrovačů a port 1723 může být obsazen. Aby balíček VPN Server fungoval správně, bude pravděpodobně nutné vestavěnou službu PPTP VPN zakázat prostřednictvím rozhraní pro správu směrovače, aby funkce PPTP balíčku VPN Server fungovala. Kromě toho některé starší směrovače blokují protokol GRE (protokol IP 47), který způsobí selhání připojení VPN. Doporučujeme, abyste použili směrovač, který podporuje průchod VPN.
OpenVPN
OpenVPN je řešení typu open source pro službu VPN. Zabezpečuje připojení VPN pomocí šifrovacího mechanismu SSL/TLS. Další informace o OpenVPN najdete zde.
Povolení serveru VPN OpenVPN:
- Otevřete položku VPN Server a přejděte do části Nastavení > OpenVPN na levém panelu.
- Zaškrtněte políčko Povolit server OpenVPN.
- Do pole Dynamická IP adresa zadejte virtuální interní IP adresu serveru VPN. Další informace najdete v části O dynamické IP adrese.
- Nastavením možnosti Maximální počet připojení omezíte počet souběžných připojení VPN.
- Nastavením možnosti Maximální počet připojení se stejným účtem omezíte počet souběžných připojení VPN se stejným účtem.
- Zaškrtněte políčko Povolit kompresi na lince VPN, pokud chcete při přenosu komprimovat data. Touto možností zvýšíte rychlost přenosu, budou však intenzivněji využívány systémové prostředky.
- Zaškrtnutím možnosti Povolit klientům přístup k síti LAN serveru povolíte klientům možnost přístupu k síti LAN serveru.
- Zaškrtnutím možnosti Povolit režim serveru IPv6 povolíte server OpenVPN pro odesílání adres IPv6. nejdříve bude potřeba získat předponu prostřednictvím 6in4/6to4/DHCP-PD v části Ovládací panel > Síť > Síťové rozhraní. Poté vyberte předponu na této stránce.
- Nastavení aktivujete kliknutím na možnost Použít.
Poznámka:
- Balíček VPN Server nepodporuje režim mostu pro připojení typu Site-to-Site.
- Ověřte nastavení předávání portů a brány firewall na zařízení DiskStation a směrovači a zajistěte, aby port UDP 1194 byl otevřený.
- Pokud používáte grafické rozhraní OpenVPN v systému Windows Vista nebo Windows 7, pamatujte, že nástroj Řízení uživatelských účtů (UAC) je povolen již ve výchozím nastavení. Pokud je tato možnost povolena, je nutné pro bezproblémové připojení přes grafické rozhraní OpenVPN použít možnost Spustit jako správce.
- Pokud povolíte režim serveru IPv6 v systému Windows s rozhraním OpenVPN GUI, mějte na paměti následující skutečnosti:
- Název rozhraní používaný serverem VPN nemůže obsahovat mezeru, např. název LAN 1 je nutné změnit na LAN1.
- Možnost redirect-gateway je nutné nastavit v souboru openvpn.ovpn na straně klienta. Pokud nechcete nastavit tuto možnost, měli byste nastavit server DNS pro rozhraní VPN ručně. Můžete použít Google IPv6 DNS: 2001:4860:4860::8888.
Postup exportování konfiguračního souboru:
Klikněte na položku Exportovat konfiguraci. OpenVPN umožňuje serveru VPN vydávat klientům certifikáty ověření. Exportovaný soubor je soubor zip, který obsahuje ca.crt (soubor certifikátu pro server VPN), openvpn.ovpn (konfigurační soubor pro klienta) a README.txt (jednoduché pokyny , jakým způsobem nastavit pro klienta připojení OpenVPN). Další informace najdete v uživatelské příručce pro Synology VPN.
L2TP/IPSec
Protokol L2TP (Layer 2 Tunneling Protocol) přes IPSec nabízí virtuálním privátním sítím vyšší zabezpečení a je podporován u většiny klientů (včetně Windows, Mac, Linux a mobilních zařízení). Další informace o protokolu L2TP najdete zde.
Poznámka:
- Chcete-li protokol L2TP/IPSec používat, ověřte, zda je na zařízení DiskStation nainstalován systém DSM 4.3 nebo novější.
Povolení serveru VPN L2TP/IPSec:
- Otevřete položku VPN Server a přejděte do části Nastavení > L2TP/IPSec na levém panelu.
- Zaškrtněte možnost Povolit server VPN L2TP/IPSec.
- Do pole Dynamická IP adresa zadejte virtuální IP adresu serveru VPN. Další informace najdete v části O dynamické IP adrese.
- Nastavením možnosti Maximální počet připojení omezíte počet souběžných připojení VPN.
- Nastavením možnosti Maximální počet připojení se stejným účtem omezíte počet souběžných připojení VPN se stejným účtem.
- Z rozevírací nabídky Ověřování vyberte některou z následujících možností pro ověřování klientů VPN:
- PAP: Hesla klientů VPN nebudou při ověřování šifrována.
- MS-CHAP v2: Hesla klientů VPN budou při ověřování šifrována pomocí Microsoft CHAP verze 2.
- Nastavením možnosti MTU (Maximum Transmission Unit, maximální přenosová jednotka) omezíte velikost datového paketu prostřednictvím sítě VPN.
- Zaškrtněte možnost Použít ruční DNS a zadejte IP adresu serveru DNS, který bude předávat DNS klientům L2TP/IPSec. Pokud je tato možnost zakázána, bude server DNS využívaný zařízením DiskStation předáván klientům.
- Zadejte a potvrďte předsdílený klíč. Tento tajný klíč můžete získat od uživatele L2TP/IPSec VPN pro ověření připojení.
- Nastavení aktivujete kliknutím na možnost Použít.
Poznámka:
- Pokud se připojujete k síti VPN, musí se nastavení ověřování a šifrování klientů VPN shodovat s nastaveními zadanými v rámci balíčku VPN Server. V opačném případě se klienti nebudou moci úspěšně připojovat.
- Pro zajištění kompatibility s většinou klientů L2TP/IPSec v operačních systémech Windows, Mac OS, Mac iOS a Android je výchozí hodnota MTU nastavena na 1400. Pro komplikovanější síťová prostředí může být požadována menší hodnota MTU. Pokuste se snížit velikost MTU, pokud neustále dochází k chybě časového limitu nebo připojení není stabilní.
- Ověřte nastavení předávání portů a brány firewall na zařízení DiskStation a směrovači a zajistěte, aby porty UDP 1701, 500 a 4500 byly otevřené.
- Služba VPN L2TP nebo IPSec je již součástí některých směrovačů a porty 1701, 500 nebo 4500 mohou být obsazeny. Aby balíček VPN Server fungoval správně, bude pravděpodobně nutné vestavěnou službu L2TP nebo IPSec VPN zakázat prostřednictvím rozhraní pro správu směrovače, aby protokol L2TP/IPSec balíčku VPN Server fungoval. Doporučujeme, abyste použili směrovač, který podporuje průchod VPN.
O dynamické IP adrese
V závislosti na čísle zadaném v poli Dynamická IP adresa bude VPN Server při přiřazování IP adresy klientům VPN volit z rozsahu virtuálních IP adres. Pokud je například dynamická IP adresa serveru VPN nastavena na hodnotu „10.0.0.0“, může virtuální IP adresa klienta VPN mít rozsah od „10.0.0.1“ do „10.0.0.[maximální počet připojení]“ v případě protokolu PPTP a od „10.0.0.2“ do „10.0.0.255“ v případě OpenVPN.
Důležité upozornění:Před zadáním dynamické IP adresy serveru VPN nezapomínejte na tyto pokyny:
-
Dynamické IP adresy povolené pro server VPN by měly být následující:
-
Od „10.0.0.0“ do „10.255.255.0“
-
Od „172.16.0.0“ do „172.31.255.0“
-
Od „192.168.0.0“ do „192.168.255.0“
-
Zadaná dynamická IP adresa serveru VPN a přiřazené virtuální IP adresy pro klienty VPN by neměly kolidovat s IP adresami, která jsou v současnosti využívány v místní síti.
O nastavení brány klienta pro připojení VPN
Před připojením do místní sítě zařízení DiskStation pomocí VPN budou klienti pravděpodobně muset změnit nastavení brány pro připojení VPN. V opačném případě nebude při navázání připojení VPN fungovat připojení k Internetu. Podrobnější informace najdete v uživatelské příručce pro Synology VPN.