Standardní VPN
Služba VPN Plus Server nabízí několik oblíbených řešení VPN – SSTP VPN, OpenVPN, L2TP/IPSec a PPTP VPN – vyhovujících vašim potřebám a síťovým prostředím.
SSTP VPN
Protokol SSTP (Secure Socket Tunneling Protocol) je řešení VPN poskytující připojení VPN chráněná protokolem SSL. Připojení SSTP VPN lze na počítači se systémem Windows snadno vytvořit pomocí vestavěného klienta.
Nastavení připojení SSTP VPN:
- Na levém panelu klikněte na možnost Standardní VPN a přejděte do části SSTP.
- Vyberte možnost Povolit SSTP.
- Stanovte následující nastavení:
- Rozsah IP adres klienta: Vyberte rozsah IP adres klienta (například podsíť nebo rozsah IP adres za zařízením Synology Router), který bude představovat virtuální IP adresy dostupné pro klienty. Chcete-li přidat další adresy, přejděte do nabídky Objekt > Fond adres.
- Port: Zadejte port pro připojení.
- Aktivní licence: Podívejte se, kolik je nainstalováno aktivních licencí pro prémiové funkce. Chcete-li licence přidat, přejděte do části Licence na levém panelu.
- Zakázat duplicitní přihlášení: Tuto možnost vyberte, chcete-li uživateli zabránit vytvořit více připojení.
- Nastavení dokončíte kliknutím na možnost Použít.
Připojení prostřednictvím služby SSTP VPN:
Podle pokynů spusťte připojení SSTP VPN z místního počítače:
OpenVPN
OpenVPN je řešení pro implementaci služby VPN typu open source a poskytuje připojení VPN chráněná protokolem SSL/TSL.
Nastavení připojení OpenVPN:
- Na levém panelu klikněte na možnost Standardní VPN a přejděte do části OpenVPN.
- Vyberte možnost Povolit server OpenVPN.
- Stanovte následující nastavení:
- Rozsah IP adres klienta: Vyberte rozsah IP adres klienta (například podsíť nebo rozsah IP adres za zařízením Synology Router), který bude představovat virtuální IP adresy dostupné pro klienty. Chcete-li přidat další adresy, přejděte do nabídky Objekt > Fond adres.
- Max. počet souběžných účtů: Zadejte maximální počet souběžně připojených účtů.
- Port: Zadejte port pro připojení.
- Protokol: Vytvořte připojení volbou protokolu TCP nebo UDP.
- Šifrování: Vyberte metodu šifrování připojení.
- Ověření: Vyberte metodu ověřování klientů.
- Povolit kompresi na lince VPN: Při volbě této možnosti se budou přenášená data komprimovat, aby se tak zvýšila rychlost přenosu. Tato možnost může zvýšit spotřebu systémových prostředků.
- Povolit klientům přístup k síti LAN: Tato možnost umožňuje klientům přístup ke zdrojům v místní síti zařízení Synology Router.
- Povolit režim serveru IPv6: Při volbě této možnosti se do klientů odesílají adresy IPv6. V části Nastavení IPv6 je nutné také vybrat možnost 6in4/6to4/DHCPv6-PD (nabídka SRM > Network Center > Internet > Připojení > Primární rozhraní > Nastavení IPv6).
- Zakázat duplicitní přihlášení: Tuto možnost vyberte, chcete-li klientům zabránit vytvořit více připojení.
- Nastavení dokončíte kliknutím na možnost Použít.
Poznámka:
- Služba OpenVPN nepodporuje připojení typu site-to-site v režimu mostu.
- V pravidlech pro předávání portů (nabídka Network Center > Předávání portů) a v pravidlech brány firewall (nabídka Network Center > Zabezpečení) zařízení Synology Router a dalších připojených směrovačů by měl být otevřený port UDP 1194.
- Pokud používáte v systému Windows Vista nebo Windows 7 grafické uživatelské rozhraní služby OpenVPN, nezapomeňte, že nástroj Řízení uživatelských účtů (UAC) je podle výchozího nastavení povolen. Pokud je povolen, je podmínkou bezproblémového připojení pomocí grafického rozhraní OpenVPN použití možnosti Spustit jako správce.
- Pokud je přes počítač se systémem Windows vybraná možnost Povolit režim serveru IPv6, nezapomeňte, že:
- Název rozhraní stanovený pro službu OpenVPN nesmí obsahovat žádné mezery.
- V souboru VPNConfig.ovpn musí být pro klienta správně nastavená možnost redirect-gateway. Jinak je nutné nastavit server DNS pro službu OpenVPN ručně, případně se pokusit použít server IPv6 DNS společnosti Google: 2001:4860:4860::8888.
Export certifikátů, které mohou používat klienti:
Služba VPN Plus Server může vydat certifikát pro klienty OpenVPN, který bude sloužit k jejich ověření při používání služby OpenVPN při přístupu k síti.
- Na levém panelu klikněte na možnost Standardní VPN a přejděte do části OpenVPN.
- Ověřte, jestli je vybraná možnost Povolit server OpenVPN.
- Kliknutím na možnost Exportovat konfigurace stáhněte soubor .zip obsahující soubor VPNConfig.ovpn, což je soubor certifikátu, který se má použít.
- Soubor VPNConfig.ovpn nechte nainstalovat do klientských zařízení služby OpenVPN.
Poznámka:
- Pokaždé, když služba VPN Plus Server spustí službu OpenVPN, tak automaticky zkopíruje a použije k ověření služby OpenVPN certifikát podepsaný držitelem (v části Ovládací panel > Služby > Certifikát).
- K ověření služby OpenVPN je možné použít získaný certifikát třetích stran. Přejděte do části Ovládací panel > Služby > Certifikát a naimportujte certifikát. Poté službu VPN Plus Server restartujte, čímž umožníte ověření služby OpenVPN.
- Pokud se soubor certifikátu v části Ovládací panel > Služby > Certifikát změní, služba VPN Plus Server se restartuje.
Připojení prostřednictvím služby OpenVPN
Podle pokynů spusťte z místního počítače připojení OpenVPN:
L2TP/IPSec VPN
Protokol L2TP (Layer 2 Tunneling Protocol) over IPSec nabízí připojení VPN s vyšším zabezpečením a podporuje ho většina klientů (včetně systémů Windows, Mac i Linux a mobilních zařízení).
Nastavení připojení L2TP/IPSec VPN:
- Na levém panelu klikněte na možnost Standardní VPN a přejděte do části L2TP.
- Vyberte možnost Povolit server L2TP/IPSec VPN.
- Stanovte následující nastavení:
- Rozsah IP adres klienta: Vyberte rozsah IP adres klienta (například podsíť nebo rozsah IP adres za zařízením Synology Router), který bude představovat virtuální IP adresy dostupné pro klienty. Chcete-li přidat další adresy, přejděte do nabídky Objekt > Fond adres.
- Síťové rozhraní: Vyberte síťové rozhraní zařízení Synology Router, přes které se budou klienti připojovat při připojení VPN.
- Max. počet souběžných účtů: Zadejte maximální počet souběžně připojených účtů.
- Ověření: Vyberte metodu ověřování klientů:
- PAP: Hesla klientů se nebudou při ověřování šifrovat.
- MS-CHAP v2: Hesla klientů se budou při ověřování šifrovat pomocí funkce Microsoft CHAP verze 2.
- MTU (Maximum Transmission Unit, maximální přenosová jednotka): Nastaví maximální velikost datového paketu povolenou pro přenos VPN.
- DNS: Zadejte adresu serveru DNS, která se bude zasílat klientům. Jinak se bude klientům zasílat adresa serveru DNS pro zařízení Synology Router.
- Spustit v režimu kernel: Při volbě této možnosti bude služba VPN Plus Server běžet při optimálním výkonu.
- Zakázat duplicitní přihlášení: Tuto možnost vyberte, chcete-li uživateli zabránit vytvořit více připojení.
- Zabezpečení je možné dále posílit zadáním a potvrzením předsdíleného klíče předaného klientům v rámci ověřování.
- Pokud chcete, aby mohli klienti neodpovídající standardu RFC používat připojení L2TP/IPSec VPN, vyberte možnost Povolit režim kompatibility SHA2-256 (96bitový).
- Nastavení dokončíte kliknutím na možnost Použít.
Poznámka:
- Aby připojení L2TP/IPSec VPN bylo úspěšné, musí klienti použít nastavení ověření a šifrování totožná s nastaveními stanovenými u služby L2TP/IPSec VPN na službě VPN Plus Server.
- V pravidlech pro předávání portů (nabídka Network Center > Předávání portů) a v pravidlech brány firewall (nabídka Network Center > Zabezpečení) zařízení Synology Router by měly být otevřené porty UDP 500, 1701 a 4500.
- Po prvním povolení možnosti Povolit režim kompatibility SHA2-256 (96bitový) může být nutné zařízení Synology Router restartovat, aby mohla být připojení klientů úspěšná.
Připojení prostřednictvím služby L2TP/IPSec VPN:
Podle pokynů spusťte připojení L2TP/IPSec VPN z místního počítače:
PPTP VPN
PPTP (Point-to-Point Tunneling Protocol) je běžně používané řešení VPN podporované většinou klientů (včetně systémů Windows, Mac a Linux).
Nastavení připojení PPTP VPN:
- Na levém panelu klikněte na možnost Standardní VPN a přejděte do části PPTP.
- Vyberte možnost Povolit server PPTP VPN.
- Stanovte následující nastavení:
- Rozsah IP adres klienta: Vyberte rozsah IP adres klienta (například podsíť nebo rozsah IP adres za zařízením Synology Router), který bude představovat virtuální IP adresy dostupné pro klienty. Chcete-li přidat další adresy, přejděte do nabídky Objekt > Fond adres.
- Max. počet souběžných účtů: Zadejte maximální počet souběžně připojených účtů.
- Ověření: Vyberte metodu ověřování klientů:
- PAP: Hesla klientů se nebudou při ověřování šifrovat.
- MS-CHAP v2: Hesla klientů se budou při ověřování šifrovat pomocí funkce Microsoft CHAP verze 2.
- Šifrování (pro ověření MS-CHAP v2): Vyberte metodu šifrování připojení:
- Bez MPPE: Připojení VPN nebude chráněno.
- Volitelný mechanismus MPPE: Připojení VPN bude nebo nebude zabezpečeno 40bitovým či 128bitovým mechanismem šifrování, a to podle nastavení klienta.
- Vyžadovat mechanismus MPPE: Připojení VPN bude zabezpečeno 40bitovým či 128bitovým mechanismem šifrování, a to podle nastavení klienta.
- MTU (Maximum Transmission Unit, maximální přenosová jednotka): Nastaví maximální velikost datového paketu povolenou pro přenos VPN.
- Použít ruční DNS: Zadejte adresu serveru DNS, která se bude zasílat klientům. Jinak se bude klientům zasílat adresa serveru DNS pro zařízení Synology Router.
- Zakázat duplicitní přihlášení: Tuto možnost vyberte, chcete-li uživateli zabránit vytvořit více připojení.
- Nastavení dokončíte kliknutím na možnost Použít.
Poznámka:
- Aby bylo připojení PPTP VPN úspěšné, musí klienti použít nastavení ověření a šifrování totožná s nastaveními stanovenými u služby PPTP VPN na službě VPN Plus Server.
- V pravidlech pro předávání portů (v části Network Center > Předávání portů) a v pravidlech brány firewall (v části Network Center > Zabezpečení) zařízení Synology Router by měl být otevřený port TCP 1723.
- Připojení PPTP VPN není podporováno na počítačích Mac se systémem upgradovaným na macOS Sierra.
Připojení prostřednictvím služby PPTP VPN:
Podle pokynů spusťte připojení PPTP VPN z místního počítače: