Настройка VPN Server
С помощью пакета VPN Server можно легко превратить DiskStation в сервер VPN, чтобы разрешить пользователям DSM удаленно осуществлять безопасный доступ к ресурсам, расположенным в локальной сети устройства DiskStation. При интеграции протоколов VPN - PPTP, OpenVPN, L2TP/IPSec - VPN Server предоставляет параметры для установки и управления службами VPN в соответствии с вашими потребностями. Чтобы выбрать любой из следующих типов сервера VPN и активировать службы VPN на DiskStation, установите и запустите VPN Server.
Примечание.
- Включение службы VPN отразится на работе сети системы.
- Только пользователи DSM, принадлежащие группе administrators, могут устанавливать и настраивать VPN Server.
PPTP
PPTP (Point-to-Point Tunneling Protocol - туннельный протокол типа точка-точка) - это широко используемое VPN-решение, поддерживаемое большинством клиентов (включая Windows, Mac, Linux и мобильные устройства). Дополнительные сведения о PPTP см. здесь.
Порядок включения сервера PPTP VPN:
- Откройте VPN Server и выберите Настройки > PPTP на левой панели.
- Установите флажок Включить сервер PPTP VPN.
- Укажите виртуальный IP-адрес сервера VPN в полях Динамический IP-адрес. Дополнительные сведения см. ниже в разделе Сведения о динамическом IP-адресе.
- Установите Максимальное число подключений, чтобы ограничить количество одновременных VPN-подключений.
- Настройте значение в поле Максимальное количество подключений для одной учетной записи для ограничения количества одновременных подключений VPN для одной учетной записи.
- Для аутентификации VPN-клиентов выберите любой из следующих вариантов в раскрывающемся меню Проверка подлинности:
- PAP: Во время аутентификации пароль VPN-клиента не будет защищаться.
- MS-CHAP v2: Во время аутентификации пароль VPN-клиента будет защищаться при помощи протокола Microsoft CHAP версии 2.
- Если для аутентификации вы используете протокол MS-CHAP v2, то для защиты VPN-подключения в раскрывающемся меню Защита выберите любой из следующих вариантов:
- Без MPPE: VPN-подключение не будет защищено механизмом защиты.
- Требуется MPPE (40/128-разрядный): VPN-подключения будут защищены 40-разрядным или 128-разрядным механизмом защиты в зависимости от настроек клиента.
- Макс. MPPE (128-разрядный): VPN-подключения будут защищены 128-разрядным механизмом защиты, которое обеспечивает наивысший уровень защиты.
- Установите значение MTU (максимально допустимый размер пакета), чтобы ограничить размер пакетов данных, передаваемых по сети VPN.
- Установите флажок Использовать ручные настройки DNS и укажите IP-адрес сервера DNS для передачи DNS клиентам PPTP. Если этот параметр отключен, сервер DNS, используемый DiskStation, будет передан клиентам.
- Нажмите Применить, чтобы изменения вступили в силу.
Примечание.
- При подключении к VPN настройки аутентификации и защиты клиентов VPN должны совпадать с настройками на VPN Server, в противном случае клиенты не смогут выполнить подключение.
- По умолчанию для параметра MTU установлено значение 1400, чтобы оно подходило большинству клиентов PPTP таких операционных систем, как Windows, Mac OS, iOS и Android. Для более сложных сетевых сред может потребоваться меньшее значение MTU. Если постоянно выдается сообщение об ошибке превышения времени ожидания или подключение неустойчиво, то попробуйте уменьшить значение для параметра MTU.
- На DiskStation и маршрутизаторе проверьте настройки перенаправления портов и межсетевого экрана и убедитесь, что TCP-порт 1723 открыт.
- Служба PPTP VPN встроена в некоторые маршрутизаторы, поэтому порт 1723 может быть занят. Для работы VPN Server нужно в интерфейсе управления маршрутизатором отключить встроенную службу PPTP VPN, чтобы обеспечить работу PPTP сервера VPN Server. Кроме того, некоторые старые маршрутизаторы блокируют протокол GRE (IP-протокол 47), и из-за этого происходят сбои VPN-подключений. Рекомендуется использовать маршрутизатор с поддержкой VPN pass-through.
OpenVPN
OpenVPN - это созданное на основе открытого исходного кода решение для внедрения службы VPN. Оно защищает VPN-подключения с помощью механизма защиты SSL/TLS. Дополнительные сведения о OpenVPN см. здесь.
Порядок включения сервера OpenVPN VPN:
- Откройте VPN Server и выберите Настройки > OpenVPN на левой панели.
- Установите флажок Включить сервер OpenVPN.
- Укажите виртуальный внутренний IP-адрес сервера VPN в полях Динамический IP-адрес. Дополнительные сведения см. ниже в разделе Сведения о динамическом IP-адресе.
- Установите Максимальное число подключений, чтобы ограничить количество одновременных VPN-подключений.
- Настройте значение в поле Максимальное количество подключений для одной учетной записи для ограничения количества одновременных подключений VPN для одной учетной записи.
- Установите флажок Включить сжатие на подключении к VPN, если хотите сжимать данные во время передачи. Данный параметр повышает скорость передачи, но может потреблять большее количество системных ресурсов.
- Установите флажок Разрешить клиентам осуществлять доступ к локальной сети сервера, чтобы разрешить клиентам осуществлять доступ к локальной сети сервера.
- Установите флажок Включить режим сервера IPv6, чтобы открыть сервер OpenVPN для отправки адресов IPv6. Сначала необходимо получить префикс с помощью 6in4/6to4/DHCP-PD в пункте Панель управления > Сеть > Сетевой интерфейс. Затем выберите префикс на данной странице.
- Нажмите Применить, чтобы изменения вступили в силу.
Примечание.
- VPN Server не поддерживает режим моста для подключений сайт-сайт.
- На DiskStation и маршрутизаторе проверьте настройки перенаправления портов и межсетевого экрана и убедитесь, что UDP-порт 1194 открыт.
- При использовании графического интерфейса OpenVPN на Windows Vista или Windows 7 обратите внимание, что UAC (User Account Control - Контроль учетных записей) будет включен по умолчанию. При включении параметра необходимо использовать пункт Запуск от имени администратора для правильного подключения к графическому интерфейсу OpenVPN.
- При включении режима сервера IPv6 в Windows с помощью графического интерфейса OpenVPN GUI обратите внимание на следующее:
- Имя интерфейса, используемое VPN, не может иметь пробелов, например LAN 1 следует переименовать в LAN1.
- Параметр redirect-gateway должен быть настроен в файле openvpn.ovpn file на стороне клиента. Если вы не хотите настраивать данный параметра, установите DNS интерфейса VPN вручную. Вы можете использовать Google IPv6 DNS: 2001:4860:4860::8888.
Порядок экспорта файла конфигурации:
Нажмите Экспортировать конфигурацию. OpenVPN позволяет серверу VPN выдавать клиентам сертификаты аутентификации. Экспортированный файл - это файл zip, содержащий файлы ca.crt (файл сертификата для сервера VPN), openvpn.ovpn (файл конфигурации для клиента) и README.txt (простые указания для клиента по настройке подключения OpenVPN). Дополнительные сведения см. в Руководстве пользователя Synology VPN.
L2TP/IPSec
L2TP (Layer 2 Tunneling Protocol – Туннельный протокол уровня 2) через IPSec предоставляет виртуальные личные сети с повышенным уровнем безопасности, поддерживаемые большинством клиентов (включая Windows, Mac, Linux и мобильные устройства). Дополнительные сведения о L2TP см. здесь.
Примечание.
- Для использования L2TP/IPSec убедитесь, что на DiskStation установлено версия DSM 4.3 или более поздняя.
Включение сервера L2TP/IPSec VPN:
- Откройте VPN Server и выберите Настройки > L2TP/IPSec на левой панели.
- Установите флажок Включить сервер L2TP/IPSec VPN.
- Укажите виртуальный IP-адрес сервера VPN в полях Динамический IP-адрес. Дополнительные сведения см. ниже в разделе Сведения о динамическом IP-адресе.
- Установите Максимальное число подключений, чтобы ограничить количество одновременных VPN-подключений.
- Настройте значение в поле Максимальное количество подключений для одной учетной записи для ограничения количества одновременных подключений VPN для одной учетной записи.
- Для аутентификации VPN-клиентов выберите любой из следующих вариантов в раскрывающемся меню Проверка подлинности:
- PAP: Во время аутентификации пароль VPN-клиента не будет защищаться.
- MS-CHAP v2: Во время аутентификации пароль VPN-клиента будет защищаться при помощи протокола Microsoft CHAP версии 2.
- Установите значение MTU (максимально допустимый размер пакета), чтобы ограничить размер пакетов данных, передаваемых по сети VPN.
- Установите флажок Использовать ручные настройки DNS и укажите IP-адрес сервера DNS для передачи DNS клиентам L2TP/IPSec. Если этот параметр отключен, сервер DNS, используемый DiskStation, будет передан клиентам.
- Введите и подтвердите общий ключ. Данный секретный ключ предоставляется пользователю VPN L2TP/IPSec для аутентификации подключения.
- Нажмите Применить, чтобы изменения вступили в силу.
Примечание.
- При подключении к VPN настройки аутентификации и защиты клиентов VPN должны совпадать с настройками на VPN Server, в противном случае клиенты не смогут выполнить подключение.
- По умолчанию для параметра MTU установлено значение 1400, чтобы оно подходило большинству клиентов L2TP/IPSec таких операционных систем, как Windows, Mac OS, iOS и Android. Для более сложных сетевых сред может потребоваться меньшее значение MTU. Если постоянно выдается сообщение об ошибке превышения времени ожидания или подключение неустойчиво, то попробуйте уменьшить значение для параметра MTU.
- На DiskStation и маршрутизаторе проверьте настройки перенаправления портов и межсетевого экрана и убедитесь, что UDP-порт 1701, 500 и 4500 открыт.
- Служба L2TP или IPSec VPN встроена в некоторые маршрутизаторы, поэтому порты 1701, 500 или 4500 могут быть заняты. Для работы VPN Server нужно в интерфейсе управления маршрутизатором отключить встроенную службу L2TP или IPSec VPN, чтобы обеспечить работу L2TP/IPSec сервера VPN Server. Рекомендуется использовать маршрутизатор с поддержкой VPN pass-through.
Сведения о динамическом IP-адресе
В зависимости от числа, введенного в поле Динамический IP-адрес, VPN Server присвоит VPN-клиентам IP-адреса, выбрав их из диапазона виртуальных IP-адресов. Например, если для динамического IP-адреса сервера VPN задано значение "10.0.0.0", то виртуальный IP-адрес VPN-клиента может быть в диапазоне от "10.0.0.1" до "10.0.0.[максимальное число подключений]" для PPTP и в диапазоне от "10.0.0.2" до "10.0.0.255" для OpenVPN.
Важно. Прежде чем указывать динамический IP-адрес сервера VPN, учтите следующее:
-
Динамические IP-адреса, разрешенные для сервера VPN, должны быть в одном из следующих диапазонов:
-
От "10.0.0.0" до "10.255.255.0"
-
От "172.16.0.0" до "172.31.255.0"
-
От "192.168.0.0" до "192.168.255.0"
-
Указанные динамический IP-адрес сервера VPN и присвоенные клиентам VPN виртуальные IP-адреса не должны конфликтовать с IP-адресами, которые сейчас используются в вашей локальной сети.
Сведения о настройке клиентского шлюза для VPN-подключения
Прежде чем подключаться к локальной сети устройства DiskStation по сети VPN, клиентам может понадобиться изменить настройки их шлюзов для VPN-подключения. В противном случае после установления VPN-подключения они не смогут подключаться к Интернету. Подробные сведения см. в Руководстве пользователя Synology VPN.