Synology SSL VPN
Synology SSL VPN je služba VPN podporující ověření a šifrování pomocí protokolu SSL (Secure Sockets Layer). Tato služba nabízí rychlý a bezpečný přístup SSL VPN k webovým stránkám, souborům a aplikacím na internetu i v místních sítích.
Obecná správa
Nastavení služby Synology SSL VPN:
- Na levém panelu klikněte na možnost Synology VPN a přejděte do části SSL VPN.
- Zaškrtněte možnost Povolit Synology SSL VPN.
- Stanovte následující nastavení:
- Aktivní licence: Zkontrolujte počet aktivních licencí pro prémiové funkce. Chcete-li přidat licence, přejděte do části Licence na levém panelu.
- Rozsah IP adres klienta: Vyberte rozsah IP adres klienta (například podsíť nebo rozsah IP za zařízením Synology Router), který bude představovat virtuální IP adresy dostupné pro klienty. Chcete-li přidat další podsítě nebo rozsahy IP adres, přejděte do nabídky Objekt > Fond adres.
- Vlastněný název domény: Klikněte na možnost Upravit a nakonfigurujte pole Nastavení domény.
- Port: Stanovte port pro připojení prostřednictvím tohoto protokolu. Výchozí port je 443. Pokud jsou povoleny služby Synology SSL VPN i WebVPN, doporučujeme použít pro službu Synology SSL VPN jiný port než 443, aby nedošlo k ovlivnění rychlosti služby WebVPN.
- Úroveň zabezpečení: Vyberte požadovanou úroveň zabezpečení.
- Ověřování: Vyberte způsob ověřování klientů.
- Šifrování: Vyberte metodu šifrování připojení.
- Zakázat duplicitní přihlášení: Toto políčko zaškrtněte, chcete-li zabránit účtům ve vytváření více připojení prostřednictvím tohoto protokolu.
- Povolit dělené tunelové propojení: Povolte klientům prostřednictvím služby Synology SSL VPN připojovat se k cílovým webovým stránkám/aplikacím/serverům v určitých místních podsítích nebo místních rozsazích IP adres (definovaných objekty). Zbývající provoz bude procházet přes výchozí bránu. Kliknutím na možnost Upravit přidáte objekty do seznamu dělených tunelových propojení.
- Nastavení dokončíte kliknutím na možnost Použít. Ve spodní části této stránky se zobrazí přizpůsobená adresa URL pro webový portál VPN Plus.
Poznámka:
- Adresa URL pro webový portál služby VPN Plus se může zobrazit v jedné z následujících podob:
- Interní IP adresa: Prostřednictvím této adresy URL mohou k webovému portálu přistupovat pouze místní uživatelé. Můžete ji ručně nahradit externí IP adresou a získat tak adresu URL umožňující vzdálený přístup; používáte-li jiný než výchozí port, přidejte také číslo portu.
- Externí IP adresa: Prostřednictvím této adresy URL mohou k webovému portálu přistupovat místní i vzdálení uživatelé.
- Název domény: Prostřednictvím této adresy URL mohou k webovému portálu přistupovat místní i vzdálení uživatelé. Chcete-li získat adresu URL názvu domény, musí externí IP adresa odpovídat názvu domény na serveru DNS, případně použijte službu Synology DDNS (viz pokyny). Pokud nepoužíváte výchozí port 443, přidejte k názvu domény (např. „příklad.com:500“) číslo jiného než výchozího portu (zde 500).
- Objekt uvedený v poli Rozsah IP adres klienta se přidá do Seznamu dělených tunelových propojení a nelze ho odstranit. Chcete-li tento objekt odstranit, vyberte v poli Rozsah IP adres klienta jiný objekt.
Instalace certifikátů třetích stran do zařízení Synology Router:
Správce sítě může od důvěryhodné třetí strany zakoupit certifikát a nainstalovat ho do zařízení Synology Router. Po instalaci mohou všichni klienti plynule přistupovat k webovému portálu VPN Plus, aniž by se jim zobrazovaly výstrahy prohlížeče.
- V systému SRM přejděte do části Ovládací panel > Služby > Certifikát.
- V části Akce klikněte na možnost Importovat certifikát.
- Klikněte na možnost Procházet a zadejte získaný soukromý klíč a certifikát.
- Certifikát importujete kliknutím na možnost OK.
Instalace certifikátu zařízení Synology Router do místních zařízení:
Pokud nejsou k dispozici důvěryhodné certifikáty třetích stran, může správce sítě vytvořit ze zařízení Synology Router certifikát podepsaný držitelem a nainstalovat ho do zařízení klientů.
- V systému SRM přejděte do části Ovládací panel > Služby > Certifikát.
- V části Akce klikněte na položky Vytvořit certifikát > Vytvořit certifikát podepsaný držitelem. Podle pokynů průvodce na obrazovce vytvořte certifikát pro webový portál VPN Plus.
- V části Certifikát serveru klikněte na možnost Exportovat certifikát a stáhněte certifikát podepsaný držitelem.
- Sdílejte tento certifikát s místními uživateli. Požádejte je, aby ho nainstalovali do svých zařízení tak, jak je popsáno v průvodci používáním.
Průvodce používáním
V následujících odstavcích se dozvíte, jak je možné službu Synology SSL VPN používat při přístupu k internetu a ke zdrojům místní sítě.
Připojení prostřednictvím služby Synology SSL VPN:
Připojení Synology SSL VPN můžete spustit pomocí dvou vyhrazených klientů: Aplikace Synology SSL VPN Client (pro počítače se systémem Windows/Mac/Linux) a mobilní aplikace Synology VPN Plus (pro zařízení se systémem iOS/Android).
Webové prohlížeče na počítačích (kromě prohlížeče Firefox):
- Spusťte webový prohlížeč a do adresního řádku zadejte adresu URL webového portálu služby VPN Plus.
- Přihlaste se pomocí svých přihlašovacích údajů systému SRM.
- Na levém panelu klikněte na možnost SSL VPN.
- Kliknutím na možnost Stáhnout nainstalujte do místního počítače aplikaci Synology SSL VPN Client.
- Dokončete instalaci podle pokynů zobrazených v průvodci.
- Po spuštění klienta služby SSL VPN se webová stránka automaticky aktualizuje.
- Kliknutím na možnost Připojit spustíte připojení prostřednictvím služby Synology SSL VPN. (Viz následující poznámka.)
- Nyní budou všechna vaše připojení z místního počítače procházet přes službu Synology SSL VPN.
- Chcete-li přestat službu VPN používat, klikněte ve webovém portálu služby VPN Plus na možnost Odpojit.
Prohlížeč Firefox na počítačích:
- Spusťte aplikaci Firefox a do adresního řádku zadejte adresu URL webového portálu služby VPN Plus.
- Přihlaste se pomocí svých přihlašovacích údajů systému SRM.
- Na levém panelu klikněte na možnost SSL VPN.
- Kliknutím na možnost Stáhnout nainstalujte do místního počítače aplikaci Synology SSL VPN Client.
- Dokončete instalaci podle pokynů zobrazených v průvodci.
- Vraťte se zpět do webového portálu služby VPN Plus > SSL VPN a kliknutím na tlačítko zde přidejte výjimku zabezpečení pro tento prohlížeč.
- Na webové stránce se zobrazí výstraha prohlížeče. Klikněte na možnost Advanced... (Upřesnit) > Accept the Risk and Continue (Přijmout riziko a pokračovat).
- Klikněte na možnost Proceed (Pokračovat). Nyní budou všechna vaše připojení z místního počítače procházet přes službu Synology SSL VPN.
- Chcete-li přestat službu VPN používat, klikněte ve webovém portálu služby VPN Plus na možnost Odpojit.
Poznámka:
- Pokud se v tomto operačním systému klienta přihlašujete k webového portálu VPN Plus poprvé, musíte ještě před vytvořením připojení VPN nastavit Kód PIN o délce minimálně 8 znaků. Tímto postupem zabráníte neoprávněnému přihlášení ke škodlivému serveru VPN.
- Po nastavení kódu PIN budete tento kód PIN muset znovu zadat v operačním systému stejného klienta při prvním připojení k jinému serveru VPN.
- Kód PIN nelze po nastavení služby VPN změnit. Pokud kód PIN zapomenete nebo jej budete chtít změnit, musíte službu Synology SSL VPN Client odinstalovat a znovu nainstalovat.
Zařízení se systémem iOS/Android:
- Do mobilního zařízení stáhněte a nainstalujte aplikaci Synology VPN Plus (App Store společnosti Apple/Google Play).
Poznámka: Balíček aplikace pro systém Android (APK) je dostupný i v Centru pro stahování společnosti Synology. Další informace o ruční instalaci aplikace do zařízení se systémem Android se nacházejí v tomto článku.
- Otevřete aplikaci Synology VPN Plus a zadejte IP adresu (např. „210.61.203.200“) nebo název domény (např. „vpn.service.com“) zařízení Synology Router.
Poznámka: Pokud používáte jiný vlastní port než 443, přidejte číslo portu na konec názvu domény nebo IP adresy oddělené dvojtečkou (např. „předpona.doména.com:10001“).
- Přihlaste se pomocí svých přihlašovacích údajů systému SRM.
- Klepnutím na možnost Připojit spustíte připojení prostřednictvím služby Synology SSL VPN.
- Nyní budou všechna vaše připojení ze zařízení se systémem iOS procházet přes službu Synology SSL VPN.
- Chcete-li přestat službu VPN používat, klepněte na možnost Odpojit.
Poznámka:
- Služba Synology SSL VPN má pouze dva kompatibilní klienty: Aplikaci Synology SSL VPN Client a mobilní aplikaci Synology VPN Plus.
- Aplikace Synology SSL VPN Client a mobilní aplikace Synology VPN Plus jsou kompatibilní pouze se službou VPN Plus Server.
- Pokud správce sítě povolí dělené tunelové propojení, projde přes VPN pouze provoz do cílových webových stránek, aplikací nebo serverů v zadaných místních podsítích nebo rozsazích IP adres. Zbývající provoz bude procházet přes výchozí bránu.
Instalace certifikátu do zařízení:
Pokud nejsou ve službě VPN Plus Server dostupné důvěryhodné certifikáty třetích stran, můžete opakovanému zobrazování výstrah prohlížeče ve vašem počítači zabránit stažením a nainstalováním certifikátu podepsaného držitelem.
- Přejděte do webového portálu služby VPN Plus.
- Klikněte na ikonu postavy v pravém horním rohu.
- Klikněte na možnost Konfigurace.
- V místním okně kliknutím na možnost Stáhnout stáhněte do svého počítače certifikát ca.crt.
Níže uvedeným postupem odpovídajícím operačnímu systému počítače certifikát nainstalujte.
U systému Windows:
- Dvojitě klikněte na soubor ca.crt v počítači.
- Klikněte na možnost Otevřít > Instalovat certifikát... > Další.
- Vyberte položku Všechny certifikáty umístit v následujícím úložišti.

- Klikněte na položku Procházet a vyberte možnost Důvěryhodné kořenové certifikační úřady.

- Klikněte na možnost OK a dokončete instalaci podle pokynů uvedených v průvodci.
- Certifikát začne platit po opětovném otevření prohlížeče.
U počítače Mac:
- Dvojitě klikněte na soubor ca.crt v počítači.
- V části Keychain (Řetězec klíčů) vyberte možnost System (Systém) a klikněte na položku Add (Přidat).
- Zadejte přihlašovací údaje a klikněte na možnost Modify Keychain (Změnit řetězec klíčů).
- Na počítači Mac otevřete okno Keychain Access (Přístup k řetězci klíčů).
- Na levém panelu vyberte v části Keychains (Řetězce klíčů) možnost System (Systém) a poté v části Category (Kategorie) vyberte možnost Certificates (Certifikáty).

- Vyhledejte certifikát a dvojitě na něj klikněte.
- V místním okně klikněte na možnost Trust (Důvěryhodnost) a v části When using this certificate (Při používání tohoto certifikátu) vyberte možnost Always Trust (Vždy důvěřovat).

- Zavřete místní okno a podle uvedených pokynů průvodce instalaci dokončete.