Sett opp VPN Server
Med pakken VPN Server kan du enkelt gjøre din Synology NAS om til en VPN-server for å gi brukere ekstern og sikker tilgang til ressurser som deles på det lokale nettverket til din Synology NAS. Ved å integrere felles VPN-protokoller - PPTP, OpenVPN og L2TP/IPSec - gir VPN Server deg alternativer for å etablere og administrere VPN-tjenester som er skreddersydd for dine behov. For å velge en av følgende typer VPN-server og å aktivere VPN-tjenester på din Synology NAS, installerer og kjører du VPN Server.
Merk:
- Aktivering av VPN-tjeneste påvirker nettverksytelsen til systemet.
- Kun administrators kan installere og sette opp VPN Server.
PPTP
PPTP (Point-to-Point Tunneling Protocol) er en mye brukt VPN-løsning som støttes av de fleste klienter (medregnet Windows, Mac, Linux og mobile enheter). Hvis du vil ha mer informasjon om PPTP, se her.
Slik aktiverer du PPTP VPN-server:
- Åpne VPN Server og gå til Innstillinger > PPTP på panelet til venstre.
- Merk av for Aktiver PPTP VPN-server.
- Angi en virtuell lP-adresse for VPN-serveren i feltene Dynamisk IP-adresse. Se Om Dynamisk IP-adresse hvis du vil ha mer informasjon.
- Angi Maksimalt tilkoblingsantall for å begrense antallet samtidige VPN-tilkoblinger.
- Angi Maksimum antall tilkoblinger med samme konto for å begrense antallet samtidige VPN-tilkoblinger med den samme kontoen.
- Velg ett av følgende fra rullegardinmenyen Autentisering for å autentisere VPN-klienter:
- PAP: VPN-klientenes passord vil ikke krypteres under autentisering.
- MS-CHAP v2: VPN-klienters passord vil krypteres under autentisering ved hjelp av Microsoft CHAP versjon 2.
- Hvis du valgte MS-CHAP v2 for autentisering ovenfor, velger du ett av følgende fra rullegardinmenyen Kryptering for å kryptere VPN-tilkoblingen:
- Ingen MPPE: VPN-tilkoblingen vil ikke beskyttes med krypteringsmekanismen.
- Krev MPPE (40/128 bit): VPN-tilkoblingen vil bli beskyttet med 40-biters eller 128-biters krypteringsmekanisme, avhengig av klientens innstillinger.
- Maksimum MPPE (128 bit): VPN-tilkoblingen vil beskyttes med 128-bits kryptering, som tilbyr det høyeste sikkerhetsnivået.
- Angi MTU (Maximum Transmission Unit) for å begrense datapakkestørrelsen som sendes gjennom VPN.
- Merk av for Bruk manuell DNS og spesifiser IP-adressen til en DNS-server for å pushe DNS til PPTP-klienter. Hvis dette alternativet er deaktivert, vil DSN-serveren som brukes av Synology NAS bli pushet til klienter.
- Klikk på Bruk for å ta i bruk endringene.
Merk:
- Når du kobler til VPN, må VPN-klientenes innstillinger for autentisering og kryptering være identiske med innstillingene som spesifiseres på VPN Server, ellers vil ikke klientene kunne koble seg til.
- For å være kompatibel med de fleste PPTP-klientene som kjører operativsystemene Windows, Mac OS, iOS og Android, er standard MTU satt til 1400. For mer kompliserte nettverksmiljøer kan en mindre MTU være påkrevd. Prøv å redusere MTU-størrelsen hvis du fortsetter å motta tidsavbruddfeil eller opplever ustabile tilkoblinger.
- Kontroller innstillingene for portvidereformidling og brannmur på din Synology NAS og ruter for å bekrefte at TCP-port 1723 er åpen.
- PPTP VPN-tjenesten er innebygd på noen rutere. Port 1723 kan være opptatt. For å sikre at VPN Server fungerer ordentlig, må du kanskje deaktivere den innebygde PPTP VPN-tjenesten gjennom ruterens administrasjonsgrensesnitt for at PPTP i VPN Server skal virke. I tillegg kan enkelte gamle rutere blokkere GRE-protokollen (IP-protokoll 47), som vil føre til at VPN-tilkoblingen svikter. Det er anbefalt å bruke en ruter som støtter VPN pass-through-tilkoblinger.
OpenVPN
OpenVPN er en open source-løsning for implementering av VPN-tjenesten. Den beskytter VPN-tilkoblingen med SSL/TLS-krypteringsmekanismen. Hvis du vil ha mer informasjon om OpenVPN, besøk her.
Slik aktiverer du OpenVPN VPN-server:
- Åpne VPN Server og gå til Innstillinger > OpenVPN på panelet til venstre.
- Merk av for Aktiver OpenVPN-server.
- Angi en virtuell intern lP-adresse for VPN-serveren i feltene Dynamisk IP-adresse. Se Om Dynamisk IP-adresse hvis du vil ha mer informasjon.
- Angi Maksimalt tilkoblingsantall for å begrense antallet samtidige VPN-tilkoblinger.
- Angi Maksimum antall tilkoblinger med samme konto for å begrense antallet samtidige VPN-tilkoblinger med den samme kontoen.
- Merk av for Aktiver komprimering på VPN-koblingen hvis du vil komprimere data under overføring. Dette alternativet kan øke sendehastigheten, men kan oppta mer systemressurser.
- Merk av for Gi klienter tilgang til serverens LAN for å la klienter aksessere serverens LAN.
- Merk av for Aktiver IPv6-servermodus for å få OpenVPN-serveren til å sende IPv6-adresser. Du må først hente et prefiks via 6in4/6to4/DHCP-PD i Kontrollpanel > Nettverk > Nettverksgrensesnitt. Deretter velger du prefikset på denne siden.
- Klikk på Bruk for å ta i bruk endringene.
Merk:
- VPN Server støtter ikke bromodus for side-til-side-tilkoblinger.
- Kontroller innstillingene for portvidereformidling og brannmur på din Synology NAS og ruter for å bekrefte at UDP-port 1194 er åpen.
- Når du kjører OpenVPN GUI på Windows Vista eller Windows 7, må du være oppmerksom på at UAC (User Account Control) er aktivert som standard. Når dette er aktivert, må du bruke alternativet Kjør som administrator for å opprette tilkobling med OpenVPN GUI.
- Når du aktiverer IPv6-servermodus i Windows med OpenVPN GUI, må du merke deg følgende:
- Grensesnittnavnet som brukes av VPN kan ikke inneholde mellomrom, f.eks. må LAN 1 endres til LAN1.
- Alternativet redirect-gateway må angis i filen openvpn.ovpn på klientsiden. Hvis du ikke vil bruke dette alternativet, må du angi DNS for VPN-grensesnittet manuelt. Du kan bruke Google IPv6 DNS: 2001:4860:4860::8888.
Slik eksporterer du konfigurasjonsfilen:
Klikk på Eksporter konfigurasjon. OpenVPN lar VPN-serveren utstede et autentiseringssertifikat til klientene. Den eksporterte filen er en zip-fil som inneholder ca.crt (sertifikatfil for VPN-serveren), openvpn.ovpn (konfigurasjonsfil for klienten) og README.txt (enkel instruksjon for hvordan du setter opp OpenVPN-tilkoblingen for klienten). Hvis du vil ha mer informasjon, se her.
Merk:
- Hver gang VPN Server kjører, vil den automatisk kopiere og bruke sertifikatet i Kontrollpanel > Sikkerhet > Sertifikat. Hvis du må bruke et sertifikat fra en tredjepart, importerer du sertifikatet til Kontrollpanel > Sikkerhet > Sertifikat > Handling og starter VPN Server på nytt.
- VPN Server vil automatisk starte på nytt hver gang sertifikatet i Kontrollpanel > Sikkerhet > Sertifikat endres.
L2TP/IPSec
L2TP (Layer 2 Tunneling Protocol) over IPSec gir deg virtuelle, private nettverk med økt sikkerhet og støttes av de fleste klienter (som Windows, Mac, Linux og mobile enheter). Hvis du vil ha mer informasjon om L2TP, se her.
Merk:
- For å bruke L2TP/IPSec, må du forsikre deg om at din Synology NAS kjører DSM 4.3 eller nyere.
Slik aktiverer du L2TP/IPSec VPN-server:
- Åpne VPN Server og gå til Innstillinger > L2TP/IPSec på panelet til venstre.
- Merk av for Aktiver L2TP/IPSec VPN-server.
- Angi en virtuell lP-adresse for VPN-serveren i feltene Dynamisk IP-adresse. Se Om Dynamisk IP-adresse hvis du vil ha mer informasjon.
- Angi Maksimalt tilkoblingsantall for å begrense antallet samtidige VPN-tilkoblinger.
- Angi Maksimum antall tilkoblinger med samme konto for å begrense antallet samtidige VPN-tilkoblinger med den samme kontoen.
- Velg ett av følgende fra rullegardinmenyen Autentisering for å autentisere VPN-klienter:
- PAP: VPN-klientenes passord vil ikke krypteres under autentisering.
- MS-CHAP v2: VPN-klienters passord vil krypteres under autentisering ved hjelp av Microsoft CHAP versjon 2.
- Angi MTU (Maximum Transmission Unit) for å begrense datapakkestørrelsen som sendes gjennom VPN.
- Merk av for Bruk manuell DNS og spesifiser IP-adressen til en DNS-server for å pushe DNS til L2TP/IPSec-klienter. Hvis dette alternativet er deaktivert, vil DSN-serveren som brukes av Synology NAS bli pushet til klienter.
- For maksimum VPN-ytelse velger du Kjør i kjernemodus (kernel).
- Angi og bekreft en forhåndsdelt nøkkel. Denne hemmelige nøkkelen bør oppgis til din L2TP/IPSec VPN-bruker for å autentisere tilkoblingen.
- Merk av for Aktiver SHA2-256-kompatibel modus (96 biter) for å gi enkelte klienter (ikke-RFC-standard) tillatelse til å bruke L2TP/IPSec-tilkobling.
- Klikk på Bruk for å ta i bruk endringene.
Merk:
- Når du kobler til VPN, må VPN-klientenes innstillinger for autentisering og kryptering være identiske med innstillingene som spesifiseres på VPN Server, ellers vil ikke klientene kunne koble seg til.
- For å være kompatibel med de fleste L2TP/IPSec-klientene som kjører operativsystemene Windows, Mac OS, iOS og Android, er standard MTU satt til 1400. For mer kompliserte nettverksmiljøer kan en mindre MTU være påkrevd. Prøv å redusere MTU-størrelsen hvis du fortsetter å motta tidsavbruddfeil eller opplever ustabile tilkoblinger.
- Kontroller innstillingene for portvidereformidling og brannmur på din Synology NAS og ruter for å bekrefte at UDP-port 1701, 500 og 4500 er åpen.
- L2TP eller IPSec VPN-tjenesten er innebygd på noen rutere. Port 1701, 500 eller 4500 kan være opptatt. For å sikre at VPN Server fungerer ordentlig, må du kanskje deaktivere den innebygde L2TP eller IPSec VPN-tjenesten gjennom ruterens administrasjonsgrensesnitt for at L2TP/IPSec i VPN Server skal virke. Det er anbefalt å bruke en ruter som støtter VPN pass-through-tilkoblinger.
Om Dynamisk IP-adresse
Avhengig av tallet du oppga i Dynamisk IP-adresse, vil VPN Server velge mellom et antall virtuelle IP-adresser når IP-adresser tilordnes til VPN-klientene. Hvis den dynamiske IP-adressen til VPN-serveren for eksempel er angitt som "10.0.0.0", kan en VPN-klients virtuelle IP-adresse spenne fra "10.0.0.1" til "10.0.0.[maksimalt tilkoblingsantall]" for PPTP, og fra "10.0.0.2" til "10.0.0.255" for OpenVPN.
Viktig:Før du angir den dynamiske IP-adressen for VPN-serveren, må du merke deg følgende:
- Tillatte dynamiske IP-adresser for VPN-serveren kan være en av følgende:
- Fra "10.0.0.0" til "10.255.255.0"
- Fra "172.16.0.0" til "172.31.255.0"
- Fra "192.168.0.0" til "192.168.255.0"
- Den angitte dynamiske IP-adressen til VPN-serveren og de tilordnede virtuelle IP-adressene for VPN-klienter må ikke være konflikt med noen IP-adresser som i øyeblikket er i bruk i ditt lokale nettverk.
Om klientens gatewayinnstilling for VPN-tilkobling
Før tilkobling til Synology NASs lokale nettverk via VPN, må klientene kanskje endre sin gatewayinnstilling for VPN-tilkoblingen. I motsatt fall vil de kanskje ikke kunne koble seg til Internett når VPN-tilkoblingen etableres. For detaljert informasjon, se her.