Configurar o VPN Server
Com o pacote VPN Server, pode facilmente tornar o seu Synology NAS num VPN para permitir que os utilizadores acedam remota e em segurança aos recursos partilhados com a rede de água local do seu Synology NAS. Ao integrar protocolos VPN comuns - PPTP OpenVPN e L2TP/IPSec - o VPN Server oferece opções para estabelecer e gerir os serviços VPN personalizados de acordo com as suas necessidades individuais. Para escolher qualquer um dos seguintes tipos de servidor VPN e ativar os serviços VPN no seu Synology NAS, instale e lance o VPN Server.
Nota:
- A ativação do serviço VPN afeta o desempenho da rede do sistema.
- Apenas administrators podem instalar e configurar o VPN Server.
PPTP
PPTP (Point-to-Point Tunneling Protocol) é uma solução VPN comummente usada pela maioria dos clientes (incluindo Windows, Mac, Linux e dispositivos móveis). Para mais informações sobre PPTP, veja aqui.
Para ativar o servidor VPN através de PPTP:
- Abra o VPN Server a aceda a Configurações > PPTP no painel esquerdo.
- Marque Ativar servidor VPN através de PPTP.
- Especifique um endereço IP virtual do servidor VPN nos campos Endereço IP dinâmico. Consulte Acerca do Endereço IP Dinâmico abaixo, para mais informações.
- Defina o Número máximo de ligações para limitar o número de ligações VPN em simultâneo.
- Defina Número máximo de ligações com a mesma conta para limitar o número de ligações VPN concorrentes com a mesma conta.
- Escolha um dos seguintes no menu de escolha Autenticação para autenticar clientes VPN:
- PAP: As palavras-passe dos clientes VPN não serão encriptadas durante a autenticação.
- MS-CHAP v2: As palavras-passe dos clientes VPN serão encriptadas durante a autenticação utilizando o Microsoft CHAP versão 2.
- Se selecionar o MS-CHAP v2 para autenticação, escolha qualquer dos seguintes do menu pendente Encriptação para encriptar a ligação VPN:
- Sem MPPE: A ligação VPN não será protegida com um mecanismo de encriptação.
- Exigir MPPE (40/128 bit): A ligação VPN será protegida com um mecanismo de encriptação de 40 bits ou 128 bits, consoante a definição do cliente.
- MPPE máximo (128 bits): A ligação VPN será protegida com um mecanismo de encriptação de 128 bits, que fornece o mais alto nível de segurança.
- Defina MTU (Unidade Máxima de Transmissão) para limitar o tamanho de pacote de dados transmitidos através da VPN.
- Marque Utilizar DNS manual e especifique o endereço IP de um DNS server para chamar DNS para os clientes PPTP. Se esta opção estiver desativada, o DNS Server utilizado pelo Synology NAS irá ser chamado para clientes.
- Clique em Aplicar para que as alterações produzam efeito.
Nota:
- Quando liga ao VPN, as definições de autenticação e encriptação dos clientes VPN devem ser idênticas às definições especificadas no VPN Server, ou os clientes não irão poder ligar com êxito.
- Para ser compatível com a maioria dos clientes PPTP com os sistemas operativos Windows, Mac OS, iOS e Android, o MTU predefinido está definido como 1400. Para ambientes de rede mais complexos, poderá ser necessário um MTU inferior. Tente reduzir o tamanho de MTU se continuar a receber erros de limite de tempo ou tiver ligações instáveis.
- Verifique as definições de reencaminhamento de portas e firewall na sua Synology NAS e router para certificar-se de que a porta TCP 1723 está aberta.
- O serviço PPTP VPN está integrado em certos routers, a porta 1723 pode estar ocupada. Para garantir que o VPN Server funciona devidamente, deverá desativar o serviço PPTP VPN incorporado, através da interface de gestão do router, para que o PPTP do VPN Server funcione. Para além disso, alguns routers mais antigos bloqueiam o protocolo GRE (protocolo IP 47), que poderá causar uma falha na ligação VPN. Recomenda-se que use um router que suporte ligações VPN pass-through.
OpenVPN
OpenVPN é uma solução open source para implementar o serviço VPN. Protege a ligação VPN com o mecanismo de encriptação SSL/TLS. Para mais informações sobre OpenVPN, veja aqui.
Para ativar o servidor VPN através de OpenVPN:
- Abra o VPN Server a aceda a Configurações > OpenVPN no painel esquerdo.
- Marque Ativar servidor OpenVPN.
- Especifique um endereço IP virtual interno do servidor VPN nos campos Endereço IP dinâmico. Consulte Acerca do Endereço IP Dinâmico abaixo, para mais informações.
- Defina o Número máximo de ligações para limitar o número de ligações VPN em simultâneo.
- Defina Número máximo de ligações com a mesma conta para limitar o número de ligações VPN concorrentes com a mesma conta.
- Marque Ativar compressão na ligação VPN caso deseje comprimir os dados durante a transferência. Esta opção pode aumentar a velocidade de transmissão mas irá consumir mais recursos do sistema.
- Marque Permitir acesso dos clientes ao LAN do servidor para permitir que os clientes acedam ao LAN do servidor.
- Marque Ativar modo servidor IPv6 para Ativar servidor OpenVPN para enviar endereços IPv6. Primeiro precisa de obter um prefixo através de 6in4/6to4/DHCP-PD em Painel de Controlo > Rede > Interface de Rede. Selecione então o prefixo nesta página.
- Clique em Aplicar para que as alterações produzam efeito.
Nota:
- O VPN Server não suporta o modo bridge para ligações de rede.
- Verifique as definições de reencaminhamento de portas e firewall na sua Synology NAS e router para certificar-se de que a porta UDP 1194 está aberta.
- Quando corre o GUI OpenVPN no Windows Vista ou Windows 7, tenha em atenção que o UAC (Controlo de Conta do Utilizador) está ativado por predefinição. Se ativado, terá de utilizar a opção Executar como administrator para ligar devidamente com o GUI OpenVPN.
- Quando ativa o modo servidor IPv6 no Windows com GUI OpenVPN, tenha em conta o seguinte:
- O nome de interface utilizado pelo VPN não pode ter espaço, por ex., LAN 1 tem de ser alterado para LAN1.
- A opção redirecionar-gateway tem de ser definida no ficheiro openvpn.ovpn do lado do cliente. Se não pretender definir esta opção, deve definir o DNS da interface VPN manualmente. Pode utilizar o Google IPv6 DNS: 2001:4860:4860::8888.
Para exportar o ficheiro de configuração:
Clique em Exportar Configuração. OpenVPN permite ao servidor VPN a emitir um certificado de autenticação aos clientes. O ficheiro exportado é um ficheiro zip que contém ca.crt (ficheiro de certificado para servidor VPN), openvpn.ovpn (ficheiro de configuração para o cliente), e README.txt (instrução sobre como configurar a ligação OpenVPN para o cliente). Para mais informações, consulte aqui.
Nota:
- Cada vez que o VPN Server for executado, irá copiar e usar automaticamente o certificado mostrado em Painel de Controlo > Segurança > Certificado. Se tiver de usar um certificado de terceiros, importe o certificado em Painel de Controlo > Segurança > Certificado > Ação e reinicie o VPN Server.
- O VPN Server irá ser automaticamente reiniciado sempre que o ficheiro de certificado mostrado em Painel de Controlo > Segurança > Certificado for modificado.
L2TP/IPSec
L2TP (Layer 2 Tunneling Protocol) em IPSec fornece redes privadas virtuais com maior segurança e é suportado pela maior parte dos clientes (tais como, Windows, Mac, Linux e dispositivos móveis). Para mais informações sobre L2TP, consulte aqui.
Nota:
- Para utilizar o L2TP/IPSec, certifique-se de que a Synology NAS tem o DSM 4.3 ou mais recente.
Para ativar o servidor VPN através de L2TP/IPSec:
- Abra o VPN Server a aceda a Configurações > L2TP/IPSec no painel esquerdo.
- Assinale Ativar servidor VPN através de L2TP/IPSec.
- Especifique um endereço IP virtual do servidor VPN nos campos Endereço IP dinâmico. Consulte Acerca do Endereço IP Dinâmico abaixo, para mais informações.
- Defina o Número máximo de ligações para limitar o número de ligações VPN em simultâneo.
- Defina Número máximo de ligações com a mesma conta para limitar o número de ligações VPN concorrentes com a mesma conta.
- Escolha um dos seguintes no menu de escolha Autenticação para autenticar clientes VPN:
- PAP: As palavras-passe dos clientes VPN não serão encriptadas durante a autenticação.
- MS-CHAP v2: As palavras-passe dos clientes VPN serão encriptadas durante a autenticação utilizando o Microsoft CHAP versão 2.
- Defina MTU (Unidade Máxima de Transmissão) para limitar o tamanho de pacote de dados transmitidos através da VPN.
- Marque Utilizar DNS manual e especifique o endereço IP de um DNS server para chamar DNS para os clientes L2TP/IPSec. Se esta opção estiver desativada, o DNS Server utilizado pelo Synology NAS irá ser chamado para clientes.
- Para o máximo desempenho de VPN, selecione Executar no modo kernel.
- Introduza e confirme uma Chave pré-partilhada. Esta secret key deve ser concedida ao utilizador VPN de L2TP/IPSec para autenticar a ligação.
- Assinale Ativar modo de compatibilidade SHA2-256 (96 bit) para permitir que certos clientes (norma não RFC) usem a ligação L2TP/IPSec.
- Clique em Aplicar para que as alterações produzam efeito.
Nota:
- Quando liga ao VPN, as definições de autenticação e encriptação dos clientes VPN devem ser idênticas às definições especificadas no VPN Server, ou os clientes não irão poder ligar com êxito.
- Para ser compatível com a maioria dos clientes L2TP/IPSec com os sistemas operativos Windows, Mac OS, iOS e Android, o MTU predefinido está definido como 1400. Para ambientes de rede mais complexos, poderá ser necessário um MTU inferior. Tente reduzir o tamanho de MTU se continuar a receber erros de limite de tempo ou tiver uma ligação instável.
- Verifique as definições de reencaminhamento de portas e firewall na sua Synology NAS e router para certificar-se de que as portas UDP 1701, 500 e 4500 estão abertas.
- O serviço VPN L2TP ou IPSec está incorporado em alguns routers, a porta 1701, 500 ou 4500 pode estar ocupada. Para garantir que o VPN Server funciona devidamente, deverá desativar o serviço VPN L2TP ou IPSec incorporado, através da interface de gestão do router, para que o VPN Server L2TP/IPSec funcione. Recomenda-se que use um router que suporte ligações VPN pass-through.
Acerca do Endereço IP Dinâmico
Dependendo do número que introduziu em Endereço IP Dinâmico, o VPN Server irá escolher de entre uma gama de endereços IP virtuais enquanto atribui endereços IP aos clientes VPN. Por exemplo, se o endereço IP do servidor VPN for "10.0.0.0", o endereço IP virtual de um cliente VPN poderá ser de "10.0.0.1" a "10.0.0.[número máximo de ligações]" para PPTP, e de "10.0.0.2" a "10.0.0.255" para OpenVPN.
Importante: Antes de especificar o endereço IP dinâmico do servidor VPN, tenha em atenção:
- Endereços IP dinâmicos permitidos para o servidor VPN devem estar entre os seguintes:
- De "10.0.0.0" a "10.255.255.0"
- De "172.16.0.0" a "172.31.255.0"
- De "192.168.0.0" a "192.168.255.0"
- O endereço IP dinâmico especificado do servidor VPN e os endereços IP virtuais atribuídos para clientes VPN não devem entrar em conflito com quaisquer endereços IP atualizados atualmente na sua rede de área local.
Acerca da Definição Gateway do Cliente para Ligação VPN
Antes de ligar à rede de área local da Synology NAS através de uma VPN, os clientes poderão ter de alterar a definição gateway para a ligação VPN. Caso contrário, poderão não conseguir ligar-se à Internet quando a ligação VPN for estabelecida. Para informações detalhadas, consulte aqui.