VPN Server beállítása
A VPN Server csomaggal ön könnyedén VPN szerverré alakíthatja a(z) DiskStation eszközét, és lehetővé teheti a DSM felhasználók számára, hogy távolról és biztonságosan hozzáférjenek a(z) DiskStation helyi hálózatán belül megosztott erőforrásokhoz. A VPN Server beépített egyszerű VPN protokollokkal rendelkezik - PPTP, OpenVPN és L2TP/IPSec - és így lehetőségeket biztosít az ön egyéni igényei szerint beállított VPN szolgáltatások létrehozásához és kezeléséhez. Bármelyik következő VPN szervertípus kiválasztásához és a VPN szolgáltatások DiskStation eszközön való engedélyezéséhez telepítse és indítsa el a VPN Server csomagot.
Megjegyzés:
- A VPN szolgáltatás engedélyezése befolyásolja a rendszer hálózati teljesítményét.
- Csak az administrators csoporthoz tartozó DSM felhasználók telepíthetik és állíthatják be a VPN Servert.
PPTP
A PPTP (Pontok közötti Alagút Protokoll) egy gyakran használt VPN megoldás, amely a legtöbb kliens támogat (a Windows, Mac, Linux és mobil eszközök egyaránt). A PPTP további információinak elérhetőségi helye: itt.
A PPTP VPN szerver engedélyezéséhez:
- Nyissa meg a VPN Server programot, majd ugorjon a bal oldali panelen található Beállítások > PPTP menüpontra.
- Jelölje ki a PPTP VPN kiszolgáló engedélyezése pontot.
- Határozzon meg egy virtuális IP-címet a VPN szerverhez a Dinamikus IP-cím mezőbe. További információkat a lenti A Dinamikus IP-címről részben talál.
- Határozza meg a Maximális csatlakozási számot az egyidejű VPN kapcsolatok számának korlátozásához.
- Végezze el az Azonos fiókhoz tartozó kapcsolatok maximális száma beállítást, az egyidejűleg ugyanazon a fiókra érkező VPN-kapcsolatok számának a korlátozása érdekében.
- A VPN kliensek hitelesítéséhez válassza ki a következők valamelyikét a Hitelesítés legördülő menüből:
- PAP: A VPN kliensek jelszavai nem lesznek titkosítva a hitelesítés során.
- MS-CHAP v2: A VPN kliensek jelszavai titkosítva lesznek a Microsoft CHAP 2 verzió használatával történő hitelesítés során.
- Ha fentebb a hitelesítéshez MS-CHAP v2 lehetőséget választott ki, a VPN kapcsolat titkosításához válassza a következők egyikét a Titkosítás legördülő menüből:
- Nincs MPPE: A VPN kapcsolatot nem védi titkosítási mechanizmussal.
- MPPE szükséges (40/128 bit): A VPN kapcsolatot 40-bites vagy 128-bites titkosító mechanizmussal védi, a kliens beállításaitól függően.
- Maximális MPPE (128 bit): A VPN kapcsolatot 128-bites titkosítási mechanizmussal védi, amely a legmagasabb szintű biztonságot szolgáltatja.
- Állítsa be az MTU-t (maximális adatátviteli egység), hogy korlátozza a VPN segítségével továbbított adatcsomag méretét.
- A DNS automatikus PPTP kliensekre küldéséhez jelölje be a Manuális DNS használata lehetőséget, és határozza meg egy DNS-szerver IP-címét. Ha ez a lehetőség le van tiltva, a(z) DiskStation által használt DNS kiszolgáló kerül átadásra a klienseknek.
- A módosítások alkalmazásához kattintson az Alkalmaz lehetőségre.
Megjegyzés:
- A VPN-hez csatlakozáskor a VPN kliensek hitelesítési és titkosítási beállításainak meg kell egyezniük a VPN Serveren meghatározott beállításokkal, máskülönben a kliensek nem lesznek képesek sikeresen csatlakozni.
- Ahhoz, hogy a legtöbb Windows, Mac OS, iOS és Android operációs rendszert futtató PPTP klienssel kompatibilis legyen, az alapértelmezett MTU értéke 1400. Összetettebb hálózati környezetekhez kisebb MTU használata lehet szükséges. Próbálja csökkenteni az MTU méretét, ha folyamatosan időtúllépési hibát kap vagy nem stabil kapcsolatokat tapasztal.
- Kérjük, ellenőrizze a port továbbítási és tűzfal beállításokat DiskStation eszközén és győződjön meg róla, hogy a 1723 TCP port nyitva legyen.
- Egyes routerekbe be van építve a PPTP VPN szolgáltatás, a 1723 port esetleg foglalt lehet. A VPN Server megfelelő működésének biztosítása érdekében esetleg szükséges lehet a beépített PPTP VPN szolgáltatás letiltása a router kezelőfelületén át a VPN Server PPTP protokolljának működtetéséhez. Továbbá egyes régebbi routerek blokkolják a GRE protokollt (IP protokoll 47), melynek eredménye VPN kapcsolat hiba lesz. Javasolt a VPN áteresztő kapcsolatokat támogató router használatát.
OpenVPN
Az OpenVPN egy nyílt forráskódú megoldás a VPN szolgáltatás végrehajtására. Az SSL/TLS titkosítási mechanizmussal védi a VPN kapcsolatot. Az OpenVPN további információinak elérhetőségi helye: itt.
Az OpenVPN szerver engedélyezéséhez:
- Nyissa meg a VPN Server programot, majd ugorjon a bal oldali panelen található Beállítások > OpenVPN menüpontra.
- Jelölje ki a OpenVPN kiszolgáló engedélyezése pontot.
- Határozzon meg egy virtuális belső IP-címet a VPN szerverhez a Dinamikus IP-cím mezőbe. További információkat a lenti A Dinamikus IP-címről részben talál.
- Határozza meg a Maximális csatlakozási számot az egyidejű VPN kapcsolatok számának korlátozásához.
- Végezze el az Azonos fiókhoz tartozó kapcsolatok maximális száma beállítást, az egyidejűleg ugyanazon a fiókra érkező VPN-kapcsolatok számának a korlátozása érdekében.
- Jelölje ki a Tömörítés engedélyezése a VPN linken pontot, ha a szállítás során szeretné tömöríteni az adatokat. Ez a lehetőség növelheti az átviteli sebességet, de esetleg több rendszererőforrást is fogyaszthat.
- Jelölje be az Ügyfelek kiszolgáló LAN-hoz való hozzáférésének engedélyezése jelölőnégyzetet az ügyfeleknek a kiszolgáló helyi hálózathoz való hozzáférésének engedélyezésére.
- Jelölje be az IPv6 kiszolgáló mód engedélyezése jelölőnégyzetet, az OpenVPN kiszolgáló számára IPv6 címek küldésének engedélyezésére. Először egy előtag lekérdezésére van szüksége a Vezérlőpult > Hálózat > Hálózati interfész menüpontban elérhető 6 a 4-ben/6 a 4-hez/DHCP-PD által. Majd jelölje ki az előtagot ezen oldalon.
- A módosítások alkalmazásához kattintson az Alkalmaz lehetőségre.
Megjegyzés:
- A VPN Server nem támogatja a híd üzemmódot az oldaltól-oldalig csatlakozások esetén.
- Kérjük, ellenőrizze a port továbbítási és tűzfal beállításokat DiskStation eszközén és győződjön meg róla, hogy a 1194 UDP port nyitva legyen.
- Ha az OpenVPN GUI Windows Vista vagy Windows 7 platformon fut, ne feledje, hogy a UAC (User Account Control - felhasználói fiókok felügyelete) alapértelmezetten engedélyezett. Ha engedélyezve van, akkor a Futtatás rendszergazdaként lehetőség használatával kell biztosítania a megfelelő kapcsolatot az OpenVPN GUI-val.
- Az IPv6 kiszolgáló mód engedélyezésekor, OpenVPN grafikus felhasználói felülettel rendelkező Windows operációs rendszer esetén, ne feledje a következőket:
- A VPN által használt interfésznév nem tartalmazhat szóközt, pl. LAN 1, ezért LAN1 névre kell változtatnia.
- El kell végezni az Átjáró átirányítás beálíltást az ügyfél oldalon az openvpn.ovpn fájlban. Ha nem akarja e beállítást elvégezni, akkor VPN-interfész DNS beállítását kézzel kell elvégeznie. A Google IPv6 DNS-t használhatja: 2001:4860:4860::8888.
A konfigurációs fájl exportálásához:
Kattintson a Konfiguráció exportálása gombra. Az OpenVPN lehetővé teszi, hogy a VPN szerver hitelesítési bizonyítványt adjon a klienseknek. Az exportált fájl egy zip fájl, melynek tartalma: ca.crt (bizonyítvány fájl a VPN szerverhez), openvpn.ovpn (konfigurációs fájl a kliensnek), és README.txt (egyszerű utasítás az OpenVPN kapcsolat beállításához a kliens számára). További információkat a Synology VPN Használati útmutatóban talál.
L2TP/IPSec
Az L2TP (2-szintű alagút-protokoll) IPSec-en keresztül növelt biztonságú virtuális magánhálózatokat biztosít, és a kliensek többsége támogatja (például Windows, Mac, Linux, és a mobil eszközök). Az L2TP további információinak elérhetőségi helye: itt.
Megjegyzés:
- Az L2TP/IPSec használatához győződjön meg róla, hogy a(z) DiskStation eszközön DSM 4.3 vagy későbbi verzió fut.
L2TP/IPSec VPN kiszolgáló engedélyezése:
- Nyissa meg a VPN Server programot és ugorjon a baloldali panelen a Beállítások > L2TP/IPSec menüpontra.
- Jelölje be az L2TP/IPSec VPN kiszolgáló engedélyezése lehetőséget.
- Határozzon meg egy virtuális IP-címet a VPN szerverhez a Dinamikus IP-cím mezőbe. További információkat a lenti A Dinamikus IP-címről részben talál.
- Határozza meg a Maximális csatlakozási számot az egyidejű VPN kapcsolatok számának korlátozásához.
- Végezze el az Azonos fiókhoz tartozó kapcsolatok maximális száma beállítást, az egyidejűleg ugyanazon a fiókra érkező VPN-kapcsolatok számának a korlátozása érdekében.
- A VPN kliensek hitelesítéséhez válassza ki a következők valamelyikét a Hitelesítés legördülő menüből:
- PAP: A VPN kliensek jelszavai nem lesznek titkosítva a hitelesítés során.
- MS-CHAP v2: A VPN kliensek jelszavai titkosítva lesznek a Microsoft CHAP 2 verzió használatával történő hitelesítés során.
- Állítsa be az MTU-t (maximális adatátviteli egység), hogy korlátozza a VPN segítségével továbbított adatcsomag méretét.
- A DNS automatikus L2TP/IPSec kliensekre küldéséhez jelölje be a Manuális DNS használata lehetőséget, és határozza meg egy DNS-szerver IP-címét. Ha ez a lehetőség le van tiltva, a(z) DiskStation által használt DNS kiszolgáló kerül átadásra a klienseknek.
- Adjon meg és nyugtázzon egy Előre megosztott kulcsot. Ezt a titkos kulcsot meg kell adni az L2TP/IPSec VPN-felhasználó számára a kapcsolat hitelesítéséhez.
- A módosítások alkalmazásához kattintson az Alkalmaz lehetőségre.
Megjegyzés:
- A VPN-hez csatlakozáskor a VPN kliensek hitelesítési és titkosítási beállításainak meg kell egyezniük a VPN Serveren meghatározott beállításokkal, máskülönben a kliensek nem lesznek képesek sikeresen csatlakozni.
- Ahhoz, hogy a legtöbb Windows, Mac OS, iOS és Android operációs rendszert futtató L2TP/IPSec klienssel kompatibilis legyen, az alapértelmezett MTU értéke 1400. Összetettebb hálózati környezetekhez kisebb MTU használata lehet szükséges. Próbálja csökkenteni az MTU méretét, ha folyamatosan időtúllépési hibát kap vagy nem stabil kapcsolatot tapasztal.
- Kérjük, ellenőrizze a port továbbítási és tűzfal beállításokat DiskStation eszközén és győződjön meg róla, hogy az 1701, 500 és 4500 UDP port nyitva legyen.
- Egyes routerekbe be van építve az L2TP vagy IPSec VPN szolgáltatás, az 1701, 500 vagy 4500 portok esetleg foglaltak lehetnek. A VPN Server megfelelő működésének biztosítása érdekében esetleg szükséges lehet a beépített L2TP vagy IPSec VPN szolgáltatás letiltása a router kezelőfelületén át a VPN Server L2TP/IPSec protokolljának működtetéséhez. Javasolt a VPN áteresztő kapcsolatokat támogató router használatát.
A Dinamikus IP-címről
A Dinamikus IP-címben megadott számtól függően, a VPN Server a virtuális IP-címek tartományából választ az IP-címek VPN klienshez való kijelölése során. Például, ha a VPN szerver dinamikus IP-címe "10.0.0.0", egy VPN kliens virtuális IP-címe a következő tartományba esik: "10.0.0.1" -"10.0.0.[maximális csatlakozási szám]" a PPTP, és "10.0.0.2" -"10.0.0.255" a OpenVPN számára.
Fontos:A VPN szerver dinamikus IP-címének meghatározása előtt kérjük vegye figyelembe a következőket:
-
A VPN szerverhez engedélyezett dinamikus IP-címek bármelyek lehetnek a következők közül:
-
"10.0.0.0"-től "10.255.255.0"-ig
-
"172.16.0.0"-tól "172.31.255.0"-ig
-
"192.168.0.0"-tól "192.168.255.0"-ig
-
A VPN szerver meghatározott dinamikus IP-címe és a VPN kliensekhez kijelölt virtuális IP-címek nem ütközhetnek a egyik, helyi hálózaton belül aktuálisan használt IP-címmel sem.
A Kliens átjáró beállításairól a VPN kapcsolathoz
Mielőtt VPN-en keresztül csatlakozik a(z) DiskStation helyi hálózatára, elképzelhető, hogy a klienseknek módosítani kell a VPN kapcsolat átjáró beállításait. Különben lehetséges, hogy nem fognak tudni kapcsolódni az Internethez, amikor létrehozzák a VPN kapcsolatot. Részletes információkat a Synology VPN Használati útmutatóban talál.