Configuração do VPN Server
Com o pacote VPN Server, você pode facilmente transformar seu DiskStation em um VPN server para permitir que os usuários do DSM acessem remotamente e com segurança os recursos compartilhados na rede de área local de seu DiskStation.Ao integrar protocolos VPN comuns - PPTP, OpenVPN e L2TP/IPSec - o VPN Server fornece opções para estabelecer e gerenciar serviços de VPN sob medida para suas necessidades individuais.Para escolher um dos tipos de VPN server a seguir e habilitar os serviços de VPN em seu DiskStation, instale e inicie o VPN Server.
Observação:
- Ativar o serviço de VPN afeta o desempenho da rede do sistema.
- Apenas os usuários DSM pertencentes ao grupo administrators podem instalar e configurar o VPN Server.
PPTP
PPTP (Protocolo de tunelamento ponto a ponto) é uma solução VPN usada comumente e suportada pela maioria dos clientes (incluindo Windows, Mac, Linux e dispositivos móveis).Para obter mais informações sobre o PPTP, consulte aqui.
Para habilitar o PPTP VPN Server:
- Abra o VPN Server e vá para Configurações > PPTP no painel esquerdo.
- Marque Habilitar VPN server PPTP.
- Especifique um endereço de IP virtual de um VPN server no campo Endereço IP dinâmico.Consulte Sobre o endereço IP dinâmico abaixo para obter mais informações.
- Defina o Número máximo de conexões para limitar o número de conexões VPN simultâneas.
- Defina o Número máximo de conexões com a mesma conta para limitar o número de conexões VPN simultâneas com a mesma conta.
- Selecione um dos seguintes itens do menu suspenso Autenticação para autenticar clientes VPN:
- PAP:a senha dos clientes VPN não será criptografada durante a autenticação.
- MS-CHAP v2:a senha dos clientes VPN será criptografada durante a autenticação usando o Microsoft CHAP versão 2.
- Se você selecionar MS-CHAP v2 para a autenticação acima, selecione qualquer um dos itens a seguir do menu suspenso Criptografia para criptografar a conexão VPN:
- Nenhum MPPE:a conexão VPN não será protegida com o mecanismo de criptografia.
- Requer MPPE (40/128 bits):A conexão VPN será protegida com mecanismo de criptografia de 40 bits ou 128 bits, dependendo das configurações do cliente.
- MPPE máximo (128 bits):A conexão VPN será protegida com o mecanismo de criptografia de 128 bits que fornece o nível mais alto de segurança.
- Configure o MTU (Unidade máxima de transmissão) para limitar o tamanho dos pacotes de dados transmitidos por VPN.
- Marque Usar DNS manual e especifique o endereço IP de um servidor DNS para obter o DNS dos clientes PPTP.Se essa opção estiver desativada, o DNS server usado pelo DiskStation será obtido para os clientes.
- Clique em Aplicar para que as alterações entrem em vigor.
Observação:
- Ao se conectar ao VPN, as configurações de autenticação e criptografia dos clientes VPN devem ser idênticos às configurações especificadas no VPN Server, ou os clientes não serão capazes de se conectar com êxito.
- Para ser compatível com a maioria dos clientes PPTP que executam os sistemas operacionais Windows, Mac OS, iOS e Android, o MTU padrão é definido em 1400. Para ambientes de rede mais complicados, pode ser necessário um MTU menor.Tente reduzir o tamanho do MTU caso você continue recebendo erros de tempo limite ou enfrentando conexões instáveis.
- Verifique as configurações do firewall e de encaminhamento de porta de seu DiskStation e roteador para verificar se a porta TCP 1723 está aberta.
- Serviço PPTP VPN é integrado em alguns roteadores, a porta 1723 pode estar ocupada.Para garantir que o VPN Server funcione corretamente, pode ser necessário desabilitar o serviço de PPTP VPN integrado através da interface de gerenciamento do roteador para que o PPTP do VPN Server funcione.Além disso, alguns roteadores antigos bloqueiam o protocolo GRE (protocolo IP 47), o que gera falhas de conexão VPN.Recomendamos o uso de um roteador que suporte conexões de pass-through VPN.
OpenVPN
A OpenVPN é uma solução de fonte aberta para a implementação do serviço VPN.Ela protege a conexão VPN com o mecanismo de criptografia SSL/TLS.Para obter mais informações sobre o OpenVPN, visite aqui.
Para habilitar o VPN server OpenVPN:
- Abra o VPN Server e vá para Configurações > OpenVPN no painel esquerdo.
- Marque Habilitar servidor OpenVPN.
- Especifique um endereço de IP interno virtual de um VPN Server no campo Endereço IP dinâmico.Consulte Sobre o endereço IP dinâmico abaixo para obter mais informações.
- Defina o Número máximo de conexões para limitar o número de conexões VPN simultâneas.
- Defina o Número máximo de conexões com a mesma conta para limitar o número de conexões VPN simultâneas com a mesma conta.
- Marque Habilitar a compressão no link VPN se desejar compactar os dados durante a transferência.Essa opção pode aumentar a velocidade de transmissão, mas poderá consumir mais recursos do sistema.
- Marque Permitir que clientes acessem a LAN do servidor para permitir que os clientes acessem a LAN do servidor.
- Marque Habilitar modo de servidor IPv6 para permitir que o servidor OpenVPN envie endereços IPv6.Você primeiro precisa obter um prefixo via 6in4/6to4/DHCP-PD em Painel de Controle > Rede > Interface de Rede.Em seguida, selecione o prefixo nessa página.
- Clique em Aplicar para que as alterações entrem em vigor.
Observação:
- O VPN Server não suporta o modo de ponte para as conexões site a site.
- Verifique as configurações do firewall e de encaminhamento de porta de seu DiskStation e roteador para verificar se a porta UDP 1194 está aberta.
- Ao executar a GUI do OpenVPN no Windows Vista ou Windows 7, observe que o UAC (User Account Control) é ativado por padrão.Se ativado, é necessário usar a opção Executar como administrador para se conectar corretamente com a GUI do OpenVPN.
- Ao habilitar o modo de servidor IPv6 no Windows com a GUI do OpenVPN, observe o seguinte:
- O nome da interface usada pelo VPN não pode ter um espaço, por exemplo, LAN 1 precisa ser alterado para LAN1.
- A opção redirecionar-gateway deve ser definida no arquivo openvpn.ovpn no lado do cliente.Se não desejar definir esta opção, você deve definir o DNS da interface VPN manualmente.Você pode usar o DNS IPv6 do Google: 2001:4860:4860::8888.
Para exportar o arquivo de configuração:
Clique em Exportar Configuração.A OpenVPN permite que o VPN server emita um certificado de autenticação para os clientes.O arquivo exportado é um arquivo zip que contém ca.crt (arquivo de certificado para o VPN server), openvpn.ovpn (arquivo de configuração para o cliente) e README.txt (instruções simples sobre como configurar a conexão OpenVPN para o cliente).Para obter mais informações, consulte Guia do Usuário do VPN Synology.
Observação:
- Toda vez que o servidor VPN é executado, ele automaticamente copia e usa o certificado exibido no Painel de controle > Segurança > Certificado.Se você precisar de um certificado de terceiros, importe o certificado em Painel de controle > Segurança > Certificado > Ação e reinicie o servidor VPN.
- O servidor VPN reiniciará automaticamente toda vez que o arquivo do certificado exibido em Painel de controle > Segurança > Certificado for modificado.
L2TP/IPSec
O L2TP (Protocolo de tunelamento de camada 2) via IPSec fornece redes privadas virtuais com aumento de segurança e é suportado pela maioria dos clientes (como Windows, Mac, Linux e dispositivos móveis).Para obter mais informações sobre o L2TP, consulte aqui.
Observação:
- Para usar o L2TP/IPSec, o DiskStation deve estar executando o DSM 4.3 ou posterior.
Para ativar o VPN server L2TP/IPSec:
- Abra o VPN Server e vá para Configurações > L2TP/IPSec no painel esquerdo.
- Marque Ativar o VPN server L2TP/IPSec.
- Especifique um endereço de IP virtual de um VPN server no campo Endereço IP dinâmico.Consulte Sobre o endereço IP dinâmico abaixo para obter mais informações.
- Defina o Número máximo de conexões para limitar o número de conexões VPN simultâneas.
- Defina o Número máximo de conexões com a mesma conta para limitar o número de conexões VPN simultâneas com a mesma conta.
- Selecione um dos seguintes itens do menu suspenso Autenticação para autenticar clientes VPN:
- PAP:a senha dos clientes VPN não será criptografada durante a autenticação.
- MS-CHAP v2:a senha dos clientes VPN será criptografada durante a autenticação usando o Microsoft CHAP versão 2.
- Configure o MTU (Unidade máxima de transmissão) para limitar o tamanho dos pacotes de dados transmitidos por VPN.
- Marque Usar DNS manual e especifique o endereço IP de um servidor DNS para obter o DNS dos clientes L2TP/IPSec.Se essa opção estiver desativada, o DNS server usado pelo DiskStation será obtido para os clientes.
- Insira e confirme uma chave pré-compartilhada.Essa chave secreta deve ser fornecida ao seu usuário do VPN L2TP/IPSec para autenticar a conexão.
- Clique em Aplicar para que as alterações entrem em vigor.
Observação:
- Ao se conectar ao VPN, as configurações de autenticação e criptografia dos clientes VPN devem ser idênticos às configurações especificadas no VPN Server, ou os clientes não serão capazes de se conectar com êxito.
- Para ser compatível com a maioria dos clientes L2TP/IPSec que executam os sistemas operacionais Windows, Mac OS, iOS e Android, o MTU padrão é definido em 1400. Para ambientes de rede mais complicados, pode ser necessário um MTU menor.Tente reduzir o tamanho do MTU caso você continue recebendo erros de tempo limite ou enfrentando uma conexão instável.
- Verifique as configurações do firewall e de envio de porta de seu DiskStation e roteador e certifique-se de que as portas UDP 1701, 500 e 4500 estejam abertas.
- Os serviços L2TP ou IPSec VPN são integrados em alguns roteadores, as portas 1701, 500 ou 4500 podem estar ocupadas.Para garantir que o VPN Server funcione corretamente, pode ser necessário desabilitar o serviço de VPN L2TP ou IPSec integrado através da interface de gerenciamento do roteador para que o L2TP/IPSec do VPN Server funcione.Recomendamos o uso de um roteador que suporte conexões de pass-through VPN.
Sobre o endereço IP dinâmico
Dependendo do número digitado no Endereço IP dinâmico, um VPN Server selecionará a partir de uma gama de endereços IP virtuais atribuindo endereços IP a clientes VPN.Por exemplo, se o endereço IP dinâmico do VPN server for definido como "10.0.0.0", o endereço IP virtual do cliente VPN pode variar de "10.0.0.1" a "10.0.0.[número máximo de conexões]" para PPTP e de "10.0.0.2" a "10.0.0.255" para OpenVPN.
Importante: Antes de especificar o endereço IP dinâmico do VPN server, observe que:
-
O endereço IP dinâmico permitido para o VPN server deve ser qualquer um dos seguintes:
-
De "10.0.0.0" a "10.255.255.0"
-
De "172.16.0.0" a "172.31.255.0"
-
De "192.168.0.0" a "192.168.255.0"
-
O endereço IP dinâmico especificado do VPN server e os endereços IP virtuais atribuídos para clientes VPN não deve entrar em conflito com nenhum endereço IP usado atualmente em sua rede de área local.
Sobre a configuração do gateway do cliente para a conexão VPN
Antes de se conectar à rede de área local do DiskStation através do VPN, os clientes podem precisar alterar a configuração de seu gateway para a conexão VPN.Caso contrário, eles podem não conseguir se conectar à Internet quando a conexão VPN for estabelecida.Para obter informações detalhadas, consulte o Guia do usuário do VPN Synology.