Konfiguracja pakietu VPN Server
Przy użyciu pakietu VPN Server serwer DiskStation może pełnić funkcję serwera VPN, oferując użytkownikom DSM zdalny i bezpieczny dostęp do zasobów udostępnianych w sieci lokalnej serwera DiskStation. Dzięki integracji powszechnie stosowanych protokołów VPN — PPTP, OpenVPN, L2TP/IPSec — VPN Server umożliwia wdrożenie usługi VPN i zarządzanie nią odpowiednio do potrzeb użytkowników. Aby wybrać którykolwiek z następujących typów serwera VPN i włączyć usługi VPN na serwerze DiskStation, zainstaluj i uruchom pakiet VPN Server.
Uwaga:
- Włączenie usługi VPN pogarsza wydajność połączeń sieciowych systemu.
- Instalować i konfigurować pakiet VPN Server mogą tylko użytkownicy DSM należący do grupy administrators.
PPTP
Protokół PPTP (Point-to-Point Tunneling Protocol) jest powszechnie używany jako rozwiązanie VPN obsługiwane przez większość klientów (w tym Windows, Mac, Linux oraz urządzenia mobilne). Więcej informacji o PPTP można uzyskać tutaj.
Aby włączyć serwer PPTP VPN:
- Otwórz VPN Server, a następnie przejdź do pozycji Ustawienia > PPTP na lewym panelu.
- Zaznacz opcję Włącz serwer PPTP VPN.
- Określ wirtualny adres IP serwera VPN w polach Dynamiczny adres IP. Aby uzyskać więcej informacji, zobacz poniżej temat Informacje o dynamicznym adresie IP.
- Ustaw wartość Maksymalna liczba połączeń, aby ograniczyć liczbę jednoczesnych połączeń VPN.
- Ustaw wartość Maksymalna liczba połączeń z tym samym kontem, aby ograniczyć liczbę jednoczesnych połączeń VPN.
- Wybierz jedną z poniższych wartości z rozwijanego menu Uwierzytelnienie, aby uwierzytelniać klientów VPN:
- PAP: Hasła klientów VPN nie będą szyfrowane podczas uwierzytelniania.
- MS-CHAP v2: Hasła klientów VPN będą szyfrowane podczas uwierzytelniania przy użyciu protokołu Microsoft CHAP wersja 2.
- W przypadku użycia protokołu MS-CHAP v2 do uwierzytelniania wybierz dowolną z poniższych wartości z menu rozwijanego Szyfrowanie, aby szyfrować połączenie VPN:
- Bez MPPE: połączenie VPN nie będzie chronione mechanizmem szyfrowania.
- Wymagaj MPPE (40/128 bitów): połączenie VPN będzie chronione 40- lub 128-bitowym mechanizmem szyfrowania, w zależności od ustawień klienta.
- Maksymalne MPPE (128 bitów): połączenie VPN będzie chronione 128-bitowym mechanizmem szyfrowania, który oferuje najwyższy poziom zabezpieczeń.
- Ustaw wartość MTU (Maksymalna jednostka transmisji), aby ograniczyć rozmiar pakietu danych przesyłanych przez VPN.
- Zaznacz pole wyboru Użyj ręcznego DNS i określ adres IP serwera DNS, który będzie wysyłać informacje DNS do klientów PPTP. Jeżeli ta opcja będzie wyłączona, do klientów będą wysyłane informacje serwera DNS używanego przez serwer DiskStation.
- Aby zastosować zmiany, kliknij Zastosuj.
Uwaga:
- Podczas łączenia się z siecią VPN ustawienia uwierzytelniania i szyfrowania klientów VPN muszą być takie same jak ustawienia określone w pakiecie VPN Server. W przeciwnym razie klienci nie będą mogli się łączyć.
- Aby zapewnić kompatybilność z większością klientów PPTP z systemami Windows, Mac OS, iOS oraz Android, domyślna wartość MTU wynosi 1400. W przypadku bardziej skomplikowanego środowiska sieciowego może być wymagana mniejsza wartość MTU. Spróbuj zmniejszyć rozmiar MTU, jeżeli powtarza się błąd przekroczenia limitu czasu lub występuje niestabilne połączenie.
- Sprawdź przekierowanie portów oraz ustawienia zapory sieciowej na serwerze DiskStation i routerze, aby upewnić się, czy port TCP 1723 jest otwarty.
- Usługa VPN PPTP jest wbudowana w niektóre routery, dlatego port 1723 może być zajęty. Aby zapewnić prawidłowe działanie pakietu VPN Server, być może trzeba będzie wyłączyć wbudowaną usługę PPTP VPN za pośrednictwem interfejsu zarządzania routera i umożliwić działanie protokołu PPTP pakietu VPN Server. Ponadto niektóre starsze routery blokują protokół GRE (protokół 47 IP), co powoduje problemy z połączeniem VPN. Zalecamy stosowanie routera obsługującego funkcję VPN pass-through.
OpenVPN
OpenVPN to rozwiązanie „open source” do implementacji usługi VPN. Chroni ono połączenia VPN za pomocą mechanizmu szyfrowania SSL/TLS. Aby uzyskać więcej informacji na temat usługi OpenVPN, patrz tutaj.
Aby włączyć serwer OpenVPN VPN:
- Otwórz VPN Server, a następnie przejdź do pozycji Ustawienia > OpenVPN na lewym panelu.
- Zaznacz Włącz serwer OpenVPN.
- Określ wirtualny wewnętrzny adres IP serwera VPN w polach Dynamiczny adres IP. Aby uzyskać więcej informacji, zobacz poniżej temat Informacje o dynamicznym adresie IP.
- Ustaw wartość Maksymalna liczba połączeń, aby ograniczyć liczbę jednoczesnych połączeń VPN.
- Ustaw wartość Maksymalna liczba połączeń z tym samym kontem, aby ograniczyć liczbę jednoczesnych połączeń VPN.
- Zaznacz Włącz kompresję łącza VPN, aby kompresować dane podczas transferu. Ta opcja może przyspieszyć transmisję, ale zajmuje więcej zasobów systemowych.
- Zaznacz pole wyboru Pozwól klientom na dostęp do sieci LAN serwera, aby zezwalać klientom na dostęp do sieci LAN serwera.
- Zaznacz pole wyboru Włącz tryb serwera IPv6, aby umożliwić serwerowi OpenVPN wysyłanie adresów IPv6. Najpierw należy uzyskać prefiks za pośrednictwem 6in4/6to4/DHCP-PD na stronie Panel sterowania > Sieć > Interfejs sieciowy. Następnie wybierz ten prefiks na tej stronie.
- Aby zastosować zmiany, kliknij Zastosuj.
Uwaga:
- VPN Server nie obsługuje trybu mostkowania do połączeń pomiędzy witrynami.
- Sprawdź przekierowanie portów oraz ustawienia zapory sieciowej na serwerze DiskStation i routerze, aby upewnić się, czy port UDP 1194 jest otwarty.
- Jeżeli używasz interfejsu OpenVPN GUI w systemie Windows Vista lub Windows 7, pamiętaj, że funkcja Kontrola konta użytkownika (User Account Control, UAC) jest domyślnie włączona. Jeżeli jest włączona, w celu prawidłowego połączenia przy użyciu interfejsu OpenVPN GUI należy użyć polecenia Uruchom jako administrator.
- Podczas włączania trybu serwera IPv6 w systemie Windows przy użyciu interfejsu OpenVPN, należy uwzględnić następujące zalecenia:
- Nazwa interfejsu używanego przez VPN nie może zawierać spacji, np. LAN 1 należy zmienić na LAN1.
- W pliku openvpn.ovpn po stronie klienta należy ustawić opcję redirect-gateway. Jeżeli nie chcesz ustawiać tej opcji, należy ręcznie ustawić serwer DNS interfejsu VPN. Można użyć serwera DNS IPv6 firmy Google: 2001:4860:4860::8888.
Aby wyeksportować plik konfiguracyjny:
Kliknij Eksportuj konfigurację. Usługa OpenVPN umożliwia serwerowi VPN wydanie certyfikatu uwierzytelniania klientom. Wyeksportowany plik to plik zip zawierający plik ca.crt (plik certyfikatu serwera VPN), openvpn.ovpn (plik konfiguracyjny dla klienta) oraz README.txt (proste instrukcje na temat konfiguracji połączenia OpenVPN dla klienta). Aby uzyskać więcej informacji, patrz Synology VPN — Przewodnik użytkownika.
L2TP/IPSec
Protokół L2TP (Layer 2 Tunneling Protocol) za pośrednictwem protokołu IPSec zapewnia wirtualnym sieciom prywatnym większe bezpieczeństwo i jest obsługiwany przez większość klientów (takich jak komputery z systemami Windows, Mac i Linux oraz urządzenia mobilne). Więcej informacji o L2TP można uzyskać tutaj.
Uwaga:
- Aby można było korzystać z protokołu L2TP/IPSec, serwer DiskStation musi działać z systemem DSM 4.3 lub nowszym.
Aby włączyć serwer L2TP/IPSec VPN:
- Otwórz VPN Server, a następnie przejdź do pozycji Ustawienia > L2TP/IPSec na lewym panelu.
- Zaznacz pole wyboru Włącz serwer L2TP/IPSec VPN.
- Określ wirtualny adres IP serwera VPN w polach Dynamiczny adres IP. Aby uzyskać więcej informacji, zobacz poniżej temat Informacje o dynamicznym adresie IP.
- Ustaw wartość Maksymalna liczba połączeń, aby ograniczyć liczbę jednoczesnych połączeń VPN.
- Ustaw wartość Maksymalna liczba połączeń z tym samym kontem, aby ograniczyć liczbę jednoczesnych połączeń VPN.
- Wybierz jedną z poniższych wartości z rozwijanego menu Uwierzytelnienie, aby uwierzytelniać klientów VPN:
- PAP: Hasła klientów VPN nie będą szyfrowane podczas uwierzytelniania.
- MS-CHAP v2: Hasła klientów VPN będą szyfrowane podczas uwierzytelniania przy użyciu protokołu Microsoft CHAP wersja 2.
- Ustaw wartość MTU (Maksymalna jednostka transmisji), aby ograniczyć rozmiar pakietu danych przesyłanych przez VPN.
- Zaznacz pole wyboru Użyj ręcznego DNS i określ adres IP serwera DNS, który będzie wysyłać informacje DNS do klientów L2TP/IPSec. Jeżeli ta opcja będzie wyłączona, do klientów będą wysyłane informacje serwera DNS używanego przez serwer DiskStation.
- Wprowadź i potwierdź Klucz wstępny. Jest to tajny klucz, który można przekazać użytkownikowi VPN L2TP/IPSec w celu uwierzytelniania połączeń.
- Aby zastosować zmiany, kliknij Zastosuj.
Uwaga:
- Podczas łączenia się z siecią VPN ustawienia uwierzytelniania i szyfrowania klientów VPN muszą być takie same jak ustawienia określone w pakiecie VPN Server. W przeciwnym razie klienci nie będą mogli się łączyć.
- Aby zapewnić kompatybilność z większością klientów L2TP/IPSec z systemami Windows, Mac OS, iOS oraz Android, domyślna wartość MTU wynosi 1400. W przypadku bardziej skomplikowanego środowiska sieciowego może być wymagana mniejsza wartość MTU. Spróbuj zmniejszyć rozmiar MTU, jeżeli powtarza się błąd przekroczenia limitu czasu lub występuje niestabilne połączenie.
- Sprawdź przekierowanie portów oraz ustawienia zapory sieciowej na serwerze DiskStation i routerze, aby upewnić się, czy porty UDP 1701, 500 i 4500 są otwarte.
- Usługa VPN L2TP lub IPSec jest wbudowana w niektóre routery, dlatego porty 1701, 500 lub 4500 mogą być zajęte. Aby zapewnić prawidłowe działanie pakietu VPN Server, być może trzeba będzie wyłączyć wbudowaną usługę VPN L2TP lub IPSec za pośrednictwem interfejsu zarządzania routera i umożliwić działanie protokołu L2TP/IPSec pakietu VPN Server. Zalecamy stosowanie routera obsługującego funkcję VPN pass-through.
Informacje o dynamicznym adresie IP
W zależności od wartości wprowadzonej w opcji Dynamiczny adres IP pakiet VPN Server podczas przydzielania adresów IP klientom VPN dokona wyboru z zakresu wirtualnych adresów IP. Na przykład, jeśli dynamiczny adres IP serwera VPN jest ustawiony na „10.0.0.0”, wirtualny adres IP klienta VPN może mieć wartość od „10.0.0.1” do „10.0.0.[maksymalna liczba połączeń]” dla protokołu PPTP i „10.0.0.2” do „10.0.0.255” dla usługi OpenVPN.
Ważne: Przed określeniem dynamicznego adresu IP dla serwera VPN należy pamiętać o następujących kwestiach:
-
Dynamiczny adres IP dozwolony dla serwera VPN powinien mieć jedną z następujących wartości:
-
Od „10.0.0.0” do „10.255.255.0”
-
Od „172.16.0.0” do „172.31.255.0”
-
Od „192.168.0.0” do „192.168.255.0”
-
Określony dynamiczny adres IP serwera VPN oraz przydzielone wirtualne adresy IP dla klientów VPN nie powinny kolidować z jakimikolwiek adresami IP obecnie używanymi w sieci lokalnej.
Informacje o ustawieniach bramy klienta dla połączenia VPN
Przed nawiązaniem połączenia serwera DiskStation z siecią lokalną przez VPN może być wymagana zmiana ustawień bramy klientów na potrzeby połączenia VPN. W przeciwnym wypadku po ustanowieniu połączenia VPN ich połączenie z Internetem może okazać się niemożliwe. Aby uzyskać szczegółowe informacje, patrz Synology VPN — Przewodnik użytkownika.