Synology SSL VPN
Synology SSL VPN 是一项支持 SSL(安全套接字层)验证和加密的 VPN 服务。此服务提供在 Internet 或本地网络中的网页、文件和应用程序快速且安全的 SSL VPN 访问。
一般管理
若要设置 Synology SSL VPN:
- 单击左侧面板上的 Synology VPN,并进入 SSL VPN。
- 选择启用 Synology SSL VPN。
- 指定以下设置:
- 客户端 IP 范围:选择客户端 IP 范围(即 Synology Router 之后的子网或 IP 范围)作为客户端可用的虚拟 IP 地址。若要添加更多以供使用,请进入对象 > 地址池。
- 自行建立的域名:单击编辑可配置域设置。
- 端口:指定通过此协议的连接端口。默认端口为 443。如果 Synology SSL VPN 和 WebVPN 均启用,我们建议 Synology SSL VPN 使用非 443 端口,以免影响总体 WebVPN 速度。
- 安全级别:选择首选安全级别。
- 验证:选择验证客户端的方法。
- 加密:选择加密连接的方法。
- 活动许可证:了解为专业版功能安装了多少活动许可证。若要添加许可证,前往左侧面板上的许可证。
- 不允许重复登录:选择此选项可防止客户端通过此协议创建多个连接。
- 启用分割隧道:允许客户端通过 Synology SSL VPN 连接到特定本地子网或本地 IP 范围(按对象定义)中的目标网页/应用程序/服务器。其余的流量将通过默认网关。单击编辑可将对象添加到分割隧道列表。
- 单击应用完成设置。将出现为 VPN Plus 网络门户自定义的 URL 以供使用。
注:
- 用于 VPN Plus 网络门户的 URL 可能以以下形式出现:
- 内部 IP:只有本地用户可通过此 URL 访问网络门户。您可用外部 IP 手动更换它以获得允许远程访问的 URL,如果使用非默认端口,可将该端口号添加到其中。
- 外部 IP:本地和远程用户可通过此 URL 访问网络门户。
- 域名:本地和远程用户可通过此 URL 访问网络门户。若要有域名 URL,请先将外部 IP 地址与 DNS 服务器上的域名匹配,或使用 Synology DDNS 服务(请参阅说明)。如果未使用默认端口 443,请将非默认端口号(如 500)添加到域名(如 example.com:500)。
- 客户端 IP 范围中列示的对象将被添加到分割隧道列表,且仅在为客户端 IP 范围选择另一个对象后可被删除。
若要将第三方证书安装到 Synology Router:
网络管理员可从信任的第三方购买证书并安装到 Synology Router。安装后,所有的客户端都能顺利访问 VPN Plus 网络门户而不会看到浏览器警报。
- 进入 SRM 控制面板 > 服务 > 证书。
- 在操作部分下,单击导入证书。
- 单击浏览并提供所需的私钥和证书。
- 单击确定完成导入。
若要将 Synology Router 证书安装到本地设备:
如果没有信任的第三方证书可用,网络管理员可从 Synology Router 创建自我签署证书,并将其安装到所有的客户端设备。
- 进入 SRM 控制面板 > 服务 > 证书。
- 在操作部分下,单击创建证书 > 创建自我签署证书。按向导的说明为 VPN Plus 网络门户创建证书。
- 在服务器证书部分下,单击导出证书以下载自我签署证书。
- 与本地用户共享此证书。要求他们按使用指南中的说明将其安装到他们的设备。
使用指南
在以下章节中,您将了解如何使用 Internet 和本地网络资源的 Synology SSL VPN 服务。
若要通过 Synology SSL VPN 连接:
您可开始与两个专用客户端的 Synology SSL VPN 连接- Synology SSL VPN Client(适用于 Windows/Mac/Linux 计算机)和 VPN Plus 移动应用程序(适用于 iOS/Android 设备)。
Windows/Mac/Linux 计算机(Mac 上的 Firefox 除外):
- 使用网页浏览器并在 URL 栏中输入 VPN Plus 网络门户 URL。
- 用您的用户凭据登录。
- 单击左侧面板上的 SSL VPN。
- 单击下载客户端可将 Synology SSL VPN Client 安装到本地计算机。
- 按照向导的指示完成安装。
- 当客户端开始运行时,网页将自动刷新。
- 单击连接可通过 Synology SSL VPN 连接。
- 现在,来自本地计算机的所有连接将通过 Synology Router 作为 SSL VPN 连接。
- 若要停止使用此 VPN 服务,单击断开连接。
Mac 上的 Firefox:
- 使用网页浏览器并在 URL 栏中输入 VPN Plus 网络门户 URL。
- 用您的用户凭据登录。
- 单击左侧面板上的 SSL VPN。
- 单击下载客户端可将 Synology SSL VPN Client 安装到本地计算机。
- 按照向导的指示完成安装。
- 返回到 VPN Plus 网络门户 > SSL VPN,然后单击下载按钮下方的链接。
- 浏览器警告将出现在打开的网页中。单击高级 > 添加例外。

- 在对话框中,单击获取证书,然后单击确认安全例外。

- 返回到 VPN Plus 网络门户 > SSL VPN。单击连接可通过 Synology SSL VPN 连接。
- 现在,来自本地计算机的所有连接将通过 Synology Router 作为 SSL VPN 连接。
- 若要停止使用此 VPN 服务,单击断开连接。
iOS/Android 设备:
- 进入 Apple 的 App Store 或 Google Play,并将 VPN Plus 下载到 iOS/Android 设备。
注:Synology 下载中心也提供 Android 应用程序套件 (APK)。若需获取更多关于如何在 Android 设备上手动安装应用程序的信息,请参阅此文章。
- 打开 VPN Plus,输入 Synology Router 的 IP 地址(如 66.100.*.*)或域名(如 vpn.service.com)。
注:如果您使用 443 以外的自定义端口,请通过冒号在域名/IP 地址后添加端口号(如 prefix.domain.com:10001)。
- 用您的用户凭据登录。
- 点按连接可通过 Synology SSL VPN 连接。
- 现在,来自 iOS 设备的所有连接将通过 Synology Router 作为 SSL VPN 连接。
- 若要停止使用此 VPN 服务,点按断开连接。
注:
- Synology SSL VPN 服务只有两个兼容客户端:Synology SSL VPN Client 和 VPN Plus 移动应用程序。
- Synology SSL VPN Client 和 VPN Plus 移动应用程序仅兼容 VPN Plus Server。
- 如果网络管理员已启用分割隧道,只有前往指定本地子网或 IP 范围内的目标网页/应用程序/服务器的流量可通过 VPN 传输。其余的流量将通过默认网关。
若要在设备安装证书:
如果 VPN Plus Server 上没有信任的第三方证书,您可在计算机上下载并安装自我签署证书以避免重复的浏览器警报。
- 进入 VPN Plus 网络门户。
- 单击右上角的人型图标。
- 请单击配置。
- 在弹出窗口中,单击下载可将 ca.crt 证书下载到您的计算机。
根据计算机平台按以下步骤安装证书。
对于 Windows:
- 双击计算机上的 ca.crt 文件。
- 单击打开 > 安装证书...> 下一步。
- 选择将所有证书置于以下商店。

- 单击浏览并选择信任的根证书验证。

- 单击确定并按照向导的指示完成安装。
- 重新打开浏览器可使证书生效。
对于 Mac:
- 双击计算机上的 ca.crt 文件。
- 为 Keychain 选择系统,并单击添加。
- 输入用户凭据并单击修改 Keychain。
- 打开 Mac 计算机上的 Keychain 访问。
- 在左侧面板的 Keychain 下选择系统,然后选择类别下的证书。

- 找到并双击证书。
- 在弹出窗口中,单击信任,并为当使用此证书时选择始终信任。

- 关闭弹出窗口并按照指示完成安装。