Configuration de VPN Server
Grâce au paquet VPN Server, vous pouvez facilement transformer votre DiskStation en un serveur VPN pour permettre aux utilisateurs DSM d'accéder aux ressources partagées à distance et en toute sécurité dans l'espace du réseau local de votre DiskStation. En intégrant les protocoles VPN communs - PPTP, OpenVPN et L2TP/IPSec - VPN Server fournit des options pour établir et gérer des services VPN adapté à vos besoins personnels. Pour choisir l'un des types de serveur VPN suivants et pour activer les services VPN sur votre DiskStation, installez et lancez VPN Server.
Remarque :
- L'activation de VPN affecte les performances réseau du système.
- Seuls les utilisateurs DSM appartenant au groupe administrators peuvent installer et configurer VPN Server.
PPTP
Le protocole PPTP (Point-to-Point Tunneling Protocol) est une solution VPN couramment utilisée prise en charge par la plupart des clients (notamment Windows, Mac, Linux et les appareils mobiles). Pour plus d'informations sur le PPTP, voir ici.
Pour activer VPN server PPTP :
- Ouvrez VPN Server et ensuite allez à Paramètres > PPTP sur le panneau de gauche.
- Cochez Activer le serveur VPN PPTP.
- Spécifiez une adresse IP virtuelle de VPN server dans les champs Adresse IP dynamique. Consultez À propos de l'adresse IP dynamique ci-dessous pour plus d'informations.
- Définissez le Nombre maximal de connexions pour limiter le nombre de connexions VPN simultanées.
- Définissez le Nombre maximal de connexions avec le même compte pour limiter le nombre de connexions VPN avec le même compte.
- Choisissez une des options suivantes dans le menu déroulant Autentification pour authentifier les clients VPN :
- PAP: Le mot de passe des clients VPN n'est pas crypté lors de l'authentification.
- MS-CHAP v2 : Le mot de passe des clients VPN est crypté lors de l'authentification à l'aide de Microsoft CHAP version 2.
- Si vous utilisez MS-CHAP v2 pour l'authentification, choisissez l'une des options suivantes dans le menu déroulant Chiffrement pour crypter les connexions VPN :
- Pas de MPPE : La connexion VPN n'est pas protégée par un mécanisme de cryptage.
- Nécessite MPPE (40/128 bits) : La connexion VPN est protégée par un mécanisme de cryptage 40 bits ou 128 bits, selon les paramètres du client.
- MPPE maximum (128 bits) : La connexion VPN est protégée par un mécanisme de cryptage 128 bits, ce qui fournit le plus haut niveau de sécurité.
- Définissez MTU (unité de transmission maximale) pour limiter la taille de paquet de données via le VPN.
- Cochez Utiliser le DNS manuel et spécifiez l'adresse IP d'un serveur DNS pour pousser le DNS vers les clients PPTP. Si cette option est désactivée, le serveur DNS utilisé par le DiskStation est poussé vers les clients.
- Cliquez sur Appliquer pour que la modification prenne effet.
Remarque :
- Lorsque vous vous connectez sur le VPN, les paramètres d'authentification et de cryptage des clients VPN doivent être identiques aux paramètres spécifiés sur VPN Server, sinon les clients ne sont pas capables de se connecter avec succès.
- Pour s'appliquer à la plupart des clients PPTP dotés des systèmes d'exploitation Windows, Mac OS, iOS et Android, le MTU par défaut est défini sur 1400. Pour un environnement réseau plus complexe, un MTU plus petit pourrait être nécessaire. Essayez de réduire la taille de MTU si vous continuez à recevoir des erreur d'expiration ou avez une connexion instable.
- Veuillez vérifier les paramètres de transmission de port et de pare-feu sur votre DiskStation et routeur pour vous assurer que le port TCP 1723 est ouvert.
- Le service VPN PPTP est intégré sur certains routeurs, le port 1723 est donc occupé. Pour s'assurer que VPN Server fonctionne correctement, vous aurez peut-être besoin de désactiver le service VPN PPTP via l'interface d'administration du routeur pour que le PPTP du serveur VPN fonctionne. Par ailleurs, certains anciens routeurs bloquent le protocole GRE (protocole IP 47), ce qui entraînera un échec de la connexion VPN. Nous recommandons d'utiliser un routeur qui prend en charge les connexions pass-through VPN.
OpenVPN
OpenVPN est une solution open source pour la mise en œuvre du service VPN. Il protège la connexion VPN avec le mécanisme de cryptage SSL/TLS. Pour plus d'informations sur le OpenVPN, voir ici.
Pour activer VPN server OpenVPN :
- Ouvrez VPN Server et ensuite allez à Paramètres > OpenVPN sur le panneau de gauche.
- Cochez Activer le serveur OpenVPN.
- Spécifiez une adresse IP interne virtuelle de serveur VPN dans les champs Adresse IP dynamique. Consultez À propos de l'adresse IP dynamique ci-dessous pour plus d'informations.
- Définissez le Nombre maximal de connexions pour limiter le nombre de connexions VPN simultanées.
- Définissez le Nombre maximal de connexions avec le même compte pour limiter le nombre de connexions VPN avec le même compte.
- Cochez Activer la compression sur la liaison VPN si vous souhaitez compresser les données pendant le transfert. Cette option peut augmenter la vitesse de transmission, mais peut consommer davantage de ressources système.
- Cochez Autoriser aux clients l'accès au serveur LAN pour autoriser les clients à accéder au LAN du serveur.
- Cochez Activer le mode serveur IPv6 pour activer le serveur OpenVPN à envoyer des adresses IPv6. Vous aurez d'abord besoin d'obtenir un préfixe via 6in4/6to4/DHCP-PD dans Panneau de configuration > Réseau > Interface réseau. Puis sélectionnez le préfixe dans cette page.
- Cliquez sur Appliquer pour que la modification prenne effet.
Remarque :
- VPN Server ne prend pas en charge le mode bridge pour les connexions site à site.
- Veuillez vérifier les paramètres de transmission de port et de pare-feu sur votre DiskStation et votre routeur pour vous assurer que le port UDP 1194 est ouvert.
- Si vous exploitez l'interface utilisateur OpenVPN sur Windows Vista ou Windows 7, veuillez noter que l'UAC (Contrôle de compte utilisateur) est activé par défaut. S'il est activé, vous devez utiliser l'option Exécuter en tant qu'administrateur pour vous connecter correctement avec OpenVPN GUI.
- Lors de l'activation du mode de serveur IPv6 dans Windows avec OpenVPN GUI, veuillez noter ce qui suit :
- Ce nom d'interface utilisé par le VPN ne peut pas comporter d'espace, par ex. : LAN 1 doit être modifié en LAN1.
- L'option passerelle de redirection doit être configurée dans le fichier openvpn.ovpn du côté du client. Si vous ne voulez pas configurer cette option, vous devez configurer manuellement le DNS de l'interface VPN. Vous pouvez utiliser Google IPv6 DNS : 2001:4860:4860::8888.
Pour exporter le fichier de configuration :
Cliquez sur Exporter la configuration. OpenVPN permet à VPN server d'émettre un certificat d'authentification pour les clients. Le fichier exporté est un fichier zip qui contient ca.crt (fichier de certificat pour VPN server), openvpn.ovpn (fichier de configuration pour le client), et README.txt (simple instruction sur la façon de configurer la connexion OpenVPN pour le client). Pour plus d'information, consultez le Guide de l'utilisateur Synology VPN.
Remarque :
- Chaque fois que VPN Server s'exécute, il copie et utilise automatiquement le certificat affiché dans Panneau de configuration > Sécurité > Certificat. Si vous devez utiliser un certificat tiers, importez-le dans Panneau de configuration > Sécurité > Certificat > Action et redémarrez VPN Server.
- VPN Server redémarre automatiquement chaque fois que le fichier du certificat affiché dans Panneau de configuration > Sécurité > Certificat est modifié.
L2TP/IPSec
L2TP (Layer 2 Tunneling Protocol) sur IPSec fournit des réseaux privés virtuels avec une sécurité accrue et est pris en charge par la plupart des clients (tels que Windows, Mac, Linux et les appareils mobiles). Pour plus d’informations sur le L2TP, voir ici.
Remarque :
- Pour utiliser L2TP/IPSec, assurez-vous que votre DiskStation est équipé de DSM 4.3 ou version ultérieure.
Activer le serveur L2TP/IPSec VPN :
- Ouvrez VPN Server et ensuite allez à Paramètres > L2TP/IPSec sur le panneau de gauche.
- Cochez Activer le serveur L2TP/IPSec VPN.
- Spécifiez une adresse IP virtuelle de VPN server dans les champs Adresse IP dynamique. Consultez À propos de l'adresse IP dynamique ci-dessous pour plus d'informations.
- Définissez le Nombre maximal de connexions pour limiter le nombre de connexions VPN simultanées.
- Définissez le Nombre maximal de connexions avec le même compte pour limiter le nombre de connexions VPN avec le même compte.
- Choisissez une des options suivantes dans le menu déroulant Autentification pour authentifier les clients VPN :
- PAP: Le mot de passe des clients VPN n'est pas crypté lors de l'authentification.
- MS-CHAP v2 : Le mot de passe des clients VPN est crypté lors de l'authentification à l'aide de Microsoft CHAP version 2.
- Définissez MTU (unité de transmission maximale) pour limiter la taille de paquet de données via le VPN.
- Cochez Utiliser le DNS manuel et spécifiez l'adresse IP d'un serveur DNS pour pousser le DNS vers les clients L2TP/IPSec. Si cette option est désactivée, le serveur DNS utilisé par le DiskStation est poussé vers les clients.
- Saisissez et confirmez une clé pré-partagée. Cette clé secrète peut être donnée à votre utilisateur VPN L2TP/IPSec pour authentifier la connexion.
- Cliquez sur Appliquer pour que la modification prenne effet.
Remarque :
- Lorsque vous vous connectez sur le VPN, les paramètres d'authentification et de cryptage des clients VPN doivent être identiques aux paramètres spécifiés sur VPN Server, sinon les clients ne sont pas capables de se connecter avec succès.
- Pour s'appliquer à la plupart des clients L2TP/IPSec dotés des systèmes d'exploitation Windows, Mac OS, iOS et Android, le MTU par défaut est défini sur 1400. Pour un environnement réseau plus complexe, un MTU plus petit pourrait être nécessaire. Essayez de réduire la taille de MTU si vous continuez à recevoir des erreurs d'expiration ou que avez une connexion instable.
- Veuillez vérifier les paramètres de transmission de port et de pare-feu sur votre DiskStation et routeur pour vous assurer que les ports UDP 1701, 500 et 4500 sont ouverts.
- Le service VPN L2TP ou IPSec est intégré sur certains routeurs, le port 1701, 500 ou 4500 est donc occupé. Pour s'assurer que VPN Server fonctionne correctement, vous aurez peut-être besoin de désactiver le service VPN L2TP ou IPSec via l'interface d'administration du routeur pour que le L2TP/IPSec du VPN Server fonctionne. Nous recommandons d'utiliser un routeur qui prend en charge les connexions pass-through VPN.
À propos de l'adresse IP dynamique
Selon le nombre que vous avez entré dans Adresse IP dynamique, VPN Server choisira parmi une plage d'adresses IP virtuelles lors de l'attribution des adresses IP aux clients VPN. Par exemple, si l'adresse IP dynamique de VPN server est définie comme « 10.0.0.0 », l'adresse IP virtuelle d'un client VPN peut aller de « 10.0.0.1 » à « 10.0.0.[nombre de connexions maximales] » pour PPTP, et de « 10.0.0.2 » à « 10.0.0.255 » pour OpenVPN.
Important :Avant de spécifier l'adresse IP dynamique d'un serveur VPN, veuillez noter que :
-
Les adresses IP dynamiques autorisées pour un serveur VPN doivent être comprises dans les plages suivantes :
-
De « 10.0.0.0 » à « 10.255.255.0 »
-
De « 172.16.0.0 » à « 172.31.255.0 »
-
De « 192.168.0.0 » à « 192.168.255.0 »
-
L'adresse IP dynamique spécifiée d'un serveur VPN et les adresses IP virtuelles attribuées aux clients VPN ne doivent entrer en conflit avec aucune des adresses IP utilisées actuellement au sein de votre réseau local.
À propos du paramètre de passerelle du client pour la connexion VPN
Avant d'établir la connexion au réseau local du DiskStation via un VPN, les clients pourraient avoir besoin de changer leur paramètre de passerelle pour la connexion VPN. Sinon, il est possible qu'ils ne puissent pas se connecter à Internet lorsque la connexion VPN est établie. Pour plus d'information, consultez le Guide de l'utilisateur Synology VPN.