Konfiguration af VPN Server
Med VPN Server-pakken kan du nemt gøre din DiskStation til en VPN-server, så DSM-brugere fjernt og sikkert kan åbne ressourcer, der deles på det lokale netværk for din DiskStation. Ved at integrere fælles VPN-protokoller - PPTP, OpenVPN og L2TP/IPSec - får VPN Server muligheder for at oprette og styre VPN-tjeneste, der er skræddersyet til dine individuelle behov. Vælg en af følgende typer VPN-server, og aktiver VPN-tjenester på din DiskStation ved at installere og starte VPN Server.
Bemærk:
- Aktivering af VPN-tjeneste påvirker netværksydelsen på systemet.
- Kun DSM-brugere, der hører til gruppen administrators kan installere og konfigurere VPN Server.
PPTP
PPTP (Point-to-Point Tunneling Protocol) er en almindeligt brugt VPN-løsning, der understøttes af de fleste klienter (herunder Windows, Mac, Linux og mobilenheder). Yderligere oplysninger om PPTP findes her.
Sådan aktiverer du PPTP VPN-serveren:
- Åbn VPN Server, og gå til Indstillinger > PPTP i venstre panel.
- Marker Aktiver PPTP VPN Server.
- Specificer en virtuel IP-adresse for VPN-serveren i felterne Dynamisk IP-adresse. Se Om dynamisk IP-adresse nedenfor for yderligere oplysninger.
- Indstil Maksimalt forbindelsesantal for at begrænse antallet af samtidige VPN-forbindelser.
- Indstil Maks. antal forbindelser med samme konto for at begrænse antallet af samtidige VPN-forbindelser.
- Vælg en af følgende fra rullemenuen Godkendelse for at godkende VPN-klienter:
- PAP: VPN-klienters adgangskoder bliver ikke krypteret under godkendelse.
- MS-CHAP v2: VPN-klienters adgangskoder bliver krypteret med Microsoft CHAP, version 2.
- Hvis du valgte MS-CHAP v2 til godkendelsen, skal du vælge en af de følgende fra rullemenuen Kryptering for at kryptere VPN-forbindelsen:
- Ingen MPPE: VPN-forbindelse beskyttes ikke med krypteringsmekanisme.
- Kræv MPPE (40/128 bit): VPN-forbindelsen bliver beskyttet med en 40-bit eller 128-bit krypteringsmekanisme, afhængigt af klientens indstillinger.
- Maksimum MPPE (128 bit): VPN-forbindelsen bliver beskyttet med 128-bit kryptering, der giver det højeste sikkerhedsniveau.
- Angiv MTU (maksimal overførselsgrænse) for at begrænse den datapakkestørrelse, der overføres via VPN.
- Marker Brug manuel DNS, og angiv IP-adressen på en DNS-server til at skubbe DNS til PPTP-klienter. Hvis denne mulighed er deaktiveret, bliver den DNS-server, der bruges af DiskStation, skubbet til klienter.
- Klik på Anvend, for at ændringen skal træde i kraft.
Bemærk:
- Ved tilslutning til VPN'en skal godkendelses- og krypteringsindstillingerne for VPN-klienter være identiske til indstillingerne angivet på VPN Server, ellers vil klienter ikke kunne oprette forbindelse korrekt.
- For at kunne være kompatibel med de fleste PPTP-klienter, der kører Windows-, Mac OS-, iOS- og Android-operativsystemer, er standard-MTU angivet til 1400. Der kræves måske en mindre MTU for mere komplicerede netværk. Prøv at reducere MTU-størrelsen, hvis du bliver ved med at modtage timeout-fejl eller oplever ustabile forbindelser.
- Kontroller portvideresendelses- og firewallindstillinger på din DiskStation og router for at sikre, at TCP-porten 1723 er åben.
- PPTP VPN-tjeneste er indbygget i nogle routere, da port 1723 kan være optaget. Sørg for, at VPN Server fungerer korrekt ved måske at deaktivere den indbyttede PPTP VPN-tjeneste via routerens styringsinterface for at på PPTP for VPN Server til at fungere. Derudover blokerer nogle gamle routere GRE-protokollen (IP-protokol 47), som vil medføre VPN-forbindelsesfejl. Det anbefales, at der bruges en router, som understøtter VPN pass-through.
OpenVPN
OpenVPN er en åben kilde til implementering af VPN-tjenesten. Den beskytter VPN-forbindelsen med SSL/TLS-kryptering. Yderligere oplysninger om OpenVPN findes her.
Sådan aktiveres OpenVPN VPN-serveren:
- Åbn VPN Server, og gå til Indstillinger > OpenVPN i venstre panel.
- Marker Aktiver OpenVPN-server.
- Specificer en virtuel, intern IP-adresse for VPN-serveren i felterne Dynamisk IP-adresse. Se Om dynamisk IP-adresse nedenfor for yderligere oplysninger.
- Indstil Maksimalt forbindelsesantal for at begrænse antallet af samtidige VPN-forbindelser.
- Indstil Maks. antal forbindelser med samme konto for at begrænse antallet af samtidige VPN-forbindelser.
- Marker Aktiver komprimering på VPN-linket hvis du vil komprimere data under overførslen. Denne mulighed kan øge overførselshastigheden, men kan forbruge flere systemressourcer.
- Marker Tillad klienter at få adgang til servers LAN for at tillade klienter at få adgang til serverens LAN.
- Marker Aktiver IPv6-servertilstand for at aktivere OpenVPN-server til at sende IPv6-adresser. Du skal først angive et præfiks via 6in4/6to4/DHCP-PD under Kontrolpanel > Netværk > Netværksinterface. Vælg så præfikset på denne side.
- Klik på Anvend, for at ændringen skal træde i kraft.
Bemærk:
- VPN Server understøtter ikke brotilstand for websted-til-websted-forbindelser.
- Kontroller portvideresendelses- og firewallindstillinger på din DiskStation og router for at sikre, at UDP-porten 1194 er åben.
- Ved brug af OpenVPN GUI i Windows Vista eller Windows 7, skal du lægge mærke til, at UAC (User Account Control) som standard er aktiveret. Hvis det er aktiveret, skal du bruge muligheden Kør som administrator for korrekt at oprette forbindelse til OpenVPN GUI.
- Ved aktivering af IPv6-servertilstand i Windows med OpenVPN GUI skal du notere følgende:
- Navnet på det interface, der bruges af VPN kan ikke indeholder mellemrum, f.eks. LAN 1 skal ændres til LAN1.
- Muligheden omdiriger-gateway er angivet i filen openvpn.ovpn på klientsiden. Hvis du ikke vil angive denne indstilling, skal du angiv DNS på VPN-interfacet manuelt. Du kan bruge Google IPv6 DNS: 2001:4860:4860::8888.
Sådan eksporteres konfigurationsfilen:
Klik på Eksport af konfiguration. OpenVPN giver VPN-serveren mulighed for at udstede et godkendelsescertifikat til klienter. Den eksporterede fil er en zip-fil, der indeholder ca.crt (certifikatfil for VPN-serveren), openvpn.ovpn (konfigurationsfil for klienten) og README.txt (nemme anvisninger om konfiguration af OpenVPN-forbindelse for klienten). Se Brugervejledning til Synology VPN for yderligere oplysninger.
Bemærk:
- Hver gang VPN Server kører, vil den automatisk kopiere og bruge det certifikat, der vises under Kontrolpanel > Sikkerhed > Certifikat. Hvis du skal bruge et tredjepartscertifikat, skal du importere certifikatet under Kontrolpanel > Sikkerhed > Certifikat > Handling og genstarte VPN Server.
- VPN Server vil automatisk genstarte hver gang certifikatfilen, der vises under Kontrolpanel > Sikkerhed > Certifikat, ændres.
L2TP/IPSec
L2TP (Layer 2 Tunneling Protocol) over IPSec giver virtuelt private netværk øget sikkerhed og understøttes af de fleste klienter (f.eks. Windows, Mac, Linux og mobilenheder). Yderligere oplysninger om L2TP findes her.
Bemærk:
- Hvis du vil bruge L2TP/IPSec, skal du sikre, at din DiskStation kører DSM 4.3 eller senere.
Sådan aktiverer du L2TP/IPSec VPN Server:
- Åbn VPN Server, og gå til Indstillinger > L2TP/IPSec i venstre panel.
- Marker Aktiver L2TP/IPSec VPN Server.
- Specificer en virtuel IP-adresse for VPN-serveren i felterne Dynamisk IP-adresse. Se Om dynamisk IP-adresse nedenfor for yderligere oplysninger.
- Indstil Maksimalt forbindelsesantal for at begrænse antallet af samtidige VPN-forbindelser.
- Indstil Maks. antal forbindelser med samme konto for at begrænse antallet af samtidige VPN-forbindelser.
- Vælg en af følgende fra rullemenuen Godkendelse for at godkende VPN-klienter:
- PAP: VPN-klienters adgangskoder bliver ikke krypteret under godkendelse.
- MS-CHAP v2: VPN-klienters adgangskoder bliver krypteret med Microsoft CHAP, version 2.
- Angiv MTU (maksimal overførselsgrænse) for at begrænse den datapakkestørrelse, der overføres via VPN.
- Marker Brug manuel DNS, og angiv IP-adressen på en DNS-server til at skubbe DNS til L2TP/IPSec-klienter. Hvis denne mulighed er deaktiveret, bliver den DNS-server, der bruges af DiskStation, skubbet til klienter.
- Indtast og bekræft en foruddelt nøgle. Denne hemmelige nøgle kan gives til din L2TP/IPSec VPN-bruger til at godkende forbindelsen.
- Klik på Anvend, for at ændringen skal træde i kraft.
Bemærk:
- Ved tilslutning til VPN'en skal godkendelses- og krypteringsindstillingerne for VPN-klienter være identiske til indstillingerne angivet på VPN Server, ellers vil klienter ikke kunne oprette forbindelse korrekt.
- For at kunne være kompatibel med de fleste L2TP/IPSec-klienter, der kører Windows-, Mac OS-, iOS- og Android-operativsystemer, er standard-MTU angivet til 1400. Der kræves måske en mindre MTU for mere komplicerede netværk. Prøv at reducere MTU-størrelsen, hvis du bliver ved med at modtage timeout-fejl eller oplever ustabil forbindelse.
- Kontroller portvideresendelses- og firewallindstillinger på din DiskStation og router for at sikre, at UDP-porten 1701, 500 og 4500 er åben.
- L2TP eller IPSec VPN-tjeneste er indbygget i nogle routere, så port 1701, 500 eller 4500 kan være optaget. Sørg for, at VPN Server fungerer korrekt ved måske at deaktivere den indbyttede L2TP eller IPSec VPN-tjeneste via routerens styringsinterface for at få L2TP/IPSec for VPN Server til at fungere. Det anbefales, at der bruges en router, som understøtter VPN pass-through.
Om dynamisk IP-adresse
Afhængigt af de tal, du indtastede i Dynamisk IP-adresse, vil VPN Server vælge mellem en række virtuelle IP-adresser under tildeling af IP-adresser til VPN-klienter. Hvis f.eks. den dynamiske IP-adresse for VPN-serveren er indstillet til "10.0.0.0", kan en VPN-klients virtuelle IP-adresse ligge fra "10.0.0.1" til "10.0.0.[maksimalt forbindelsesantal]" for PPTP, og fra "10.0.0.2" til "10.0.0.255" for OpenVPN.
Vigtigt:Inden specificering af den dynamiske IP-adresse for VPN-serveren, husk:
-
Dynamisk IP-adresse for VPN-serveren skal være en af følgende:
-
Fra "10.0.0.0" til "10.255.255.0"
-
Fra "172.16.0.0" til "172.31.255.0"
-
Fra "192.168.0.0" til "192.168.255.0"
-
Den specificerede, dynamiske IP-adresse for VPN-serveren og de tildelte, virtuelle IP-adresser for VPN-klienter må ikke være i konflikt med nogen af de IP-adresser, der bruges i det lokale netværk.
Om klientens gateway-indstilling for VPN-forbindelsen
Inden der oprettes forbindelse til DiskStation's lokale netværk via VPN, er det muligt, at klienter skal have deres indstilling til gatewayen - til VPN-forbindelsen - ændret. Ellers er det muligt, at de ikke kan oprette forbindelse til internettet når VPN-forbindelsen etableres. Se Brugervejledning til Synology VPN for yderligere oplysninger.