Synology SSL VPN
Synology SSL VPN je služba VPN podporující ověření a šifrování pomocí protokolu SSL/TLS. Nabízí rychlý a bezpečný přístup VPN k webovým stránkám, souborům a aplikacím na internetu i v místních sítích.
Obecná správa
Nastavení služby Synology SSL VPN:
- Přejděte do části VPN Plus Server > Synology VPN > SSL VPN.
- Zaškrtněte možnost Povolit Synology SSL VPN.
- Stanovte následující nastavení:
- Aktivní licence: Zkontrolujte počet aktivních licencí pro prémiové funkce. Chcete-li přidat licence, přejděte do části Licence na levém panelu.
- Rozsah IP adres klienta: Vyberte rozsah IP adres klienta (například podsíť nebo rozsah IP za zařízením Synology Router), který bude představovat virtuální IP adresy dostupné pro klienty. Chcete-li přidat další podsítě nebo rozsahy IP adres, přejděte do nabídky Objekt > Fond adres.
- Vlastněný název domény: Klikněte na možnost Upravit a nakonfigurujte pole Nastavení domény.
- Port: Stanovte port pro připojení prostřednictvím tohoto protokolu. Výchozí port je 443. Pokud jsou povoleny služby Synology SSL VPN i WebVPN, doporučujeme použít pro službu Synology SSL VPN jiný port než 443, aby nedošlo k ovlivnění rychlosti služby WebVPN.
- Úroveň zabezpečení:
- Automaticky: Toto je výchozí možnost a doporučuje se kvůli lepší kompatibilitě s webovými prohlížeči. Také automaticky upraví způsoby šifrování tak, aby nejlépe vyhovovaly klientským zařízením.
- Moderní kompatibilita: Tato úroveň zabezpečení použije pro vaše připojení VPN aktuální šifrovací sady. Podporovány jsou pouze webové prohlížeče TLS 1.3.
- Zakázat duplicitní přihlášení: Toto políčko zaškrtněte, chcete-li zabránit účtům ve vytváření více připojení prostřednictvím tohoto protokolu.
- Povolit dělené tunelové propojení: Tato možnost umožňuje klientům přístup ke zdrojům ve stanovených místních sítích nebo rozsazích IP adres prostřednictvím sítě VPN s tím, že ostatní přenos prochází výchozí branou. Kliknutím na možnost Upravit přidáte objekty (tj. podsítě nebo rozsahy IP adres) do seznamu dělených tunelových propojení.
- Nastavení dokončíte kliknutím na možnost Použít. Ve spodní části této stránky se zobrazí přizpůsobená adresa URL pro webový portál VPN Plus.
Poznámka:
- Adresa URL pro webový portál služby VPN Plus se může zobrazit v jedné z následujících podob:
- Interní IP adresa: Prostřednictvím této adresy URL, například „https://192.168.1.2:443“, mohou k webovému portálu přistupovat pouze místní uživatelé. Můžete ji ručně nahradit externí IP adresou a získat tak adresu URL umožňující vzdálený přístup; používáte-li jiný než výchozí port, přidejte také číslo portu.
- Externí IP adresa: Prostřednictvím této adresy URL mohou k webovému portálu přistupovat místní i vzdálení uživatelé.
- Název domény: Prostřednictvím této adresy URL, například „https://example.synology.me:443“, mají k webovému portálu přístup místní i vzdálení uživatelé. Chcete-li získat adresu URL názvu domény, musí externí IP adresa odpovídat názvu domény na serveru DNS, případně použijte službu Synology DDNS (viz pokyny). Pokud nepoužíváte výchozí port 443, přidejte k názvu domény (např. „příklad.com:500“) číslo jiného než výchozího portu (zde 500).
- Objekt zadaný v poli Rozsah IP adres klienta se přidá do Seznamu dělených tunelových propojení a nelze ho odebrat. Chcete-li tento objekt odebrat, vyberte v poli Rozsah IP adres klienta jiný objekt.
- Chcete-li používat službu Synology SSL VPN s moderní kompatibilitou (úroveň zabezpečení), zkontrolujte, jestli zařízení klientů odpovídají následujícím požadavkům:
- Aplikace Synology SSL VPN Client je aktuální.
- Webový prohlížeč podporuje protokol TLS 1.3.
- Pokud jako úroveň zabezpečení vyberete možnost Moderní kompatibilita, nebude služba SSTP VPN k dispozici. Chcete-li používat služby SSTP VPN a SSL VPN současně, přepněte nastavení zabezpečení na Automaticky.
Instalace certifikátů třetích stran do zařízení Synology Router:
Správce sítě může od důvěryhodné třetí strany zakoupit certifikát a nainstalovat ho do směrovače Synology Router. Po instalaci mají všichni klienti plynulý přístup k webovému portálu VPN Plus, aniž by se jim zobrazovaly výstrahy prohlížeče.
- V systému SRM přejděte do části Ovládací panel > Služby > Certifikát.
- V části Akce klikněte na možnost Importovat certifikát.
- Klikněte na možnost Procházet a zadejte získaný soukromý klíč a certifikát.
- Certifikát importujete kliknutím na možnost OK.
Instalace certifikátu směrovače Synology Router do klientských zařízení:
Pokud nejsou k dispozici důvěryhodné certifikáty třetích stran, může správce sítě vytvořit ze směrovače Synology Router certifikát podepsaný držitelem a nainstalovat ho do zařízení klientů.
- V systému SRM přejděte do části Ovládací panel > Služby > Certifikát.
- V části Akce klikněte na položky Vytvořit certifikát > Vytvořit certifikát podepsaný držitelem. Podle pokynů průvodce na obrazovce vytvořte certifikát pro webový portál VPN Plus.
- V části Certifikát serveru klikněte na možnost Exportovat certifikát a stáhněte certifikát podepsaný držitelem.
- Sdílejte tento certifikát s místními uživateli. Požádejte je, aby ho nainstalovali do svých zařízení tak, jak je popsáno v průvodci používáním.
Průvodce používáním
V této části se naučíte ke službě Synology SSL VPN připojit klientská zařízení.
Připojení ke službě Synology SSL VPN:
Webové prohlížeče na počítačích (kromě prohlížeče Firefox):
- Spusťte webový prohlížeč a do adresního řádku zadejte adresu URL webového portálu služby VPN Plus.
- Přihlaste se pomocí svých přihlašovacích údajů systému SRM.
- Na levém panelu klikněte na možnost SSL VPN.
- Kliknutím na možnost Stáhnout nainstalujte do místního počítače aplikaci Synology SSL VPN Client.
- Dokončete instalaci podle pokynů zobrazených v průvodci.
- Po spuštění klienta služby SSL VPN se webová stránka automaticky aktualizuje.
- Kliknutím na možnost Připojit spustíte připojení prostřednictvím služby Synology SSL VPN. (Viz následující poznámka.)
- Nyní budou všechna vaše připojení z místního počítače procházet přes službu Synology SSL VPN.
- Chcete-li přestat službu VPN používat, klikněte ve webovém portálu služby VPN Plus na možnost Odpojit.
Prohlížeč Firefox na počítačích:
- Spusťte aplikaci Firefox a do adresního řádku zadejte adresu URL webového portálu služby VPN Plus.
- Přihlaste se pomocí svých přihlašovacích údajů systému SRM.
- Na levém panelu klikněte na možnost SSL VPN.
- Kliknutím na možnost Stáhnout nainstalujte do místního počítače aplikaci Synology SSL VPN Client.
- Dokončete instalaci podle pokynů zobrazených v průvodci.
- Vraťte se zpět do webového portálu služby VPN Plus > SSL VPN a kliknutím na tlačítko zde přidejte výjimku zabezpečení pro tento prohlížeč.
- Na webové stránce se zobrazí výstraha prohlížeče. Klikněte na možnost Advanced... (Upřesnit) > Accept the Risk and Continue (Přijmout riziko a pokračovat).
- Klikněte na možnost Proceed (Pokračovat). Nyní budou všechna vaše připojení z místního počítače procházet přes službu Synology SSL VPN.
- Chcete-li přestat službu VPN používat, klikněte ve webovém portálu služby VPN Plus na možnost Odpojit.
Poznámka:
- Pokud se v tomto operačním systému klienta přihlašujete k webového portálu VPN Plus poprvé, musíte ještě před vytvořením připojení VPN nastavit Kód PIN o délce minimálně 8 znaků. Tímto postupem zabráníte neoprávněnému přihlášení ke škodlivému serveru VPN.
- Po nastavení kódu PIN budete tento kód PIN muset znovu zadat v operačním systému stejného klienta při prvním připojení k jinému serveru VPN.
- Kód PIN nelze po nastavení služby VPN změnit. Pokud kód PIN zapomenete nebo jej budete chtít změnit, musíte službu Synology SSL VPN Client odinstalovat a znovu nainstalovat.
Zařízení se systémem iOS/Android:
- Do mobilního zařízení stáhněte a nainstalujte aplikaci Synology VPN Plus (App Store společnosti Apple/Google Play).
Poznámka: Balíček aplikace pro systém Android (APK) je dostupný i v Centru pro stahování společnosti Synology. Další informace o ruční instalaci aplikace do zařízení se systémem Android se nacházejí v tomto článku.
- Otevřete aplikaci Synology VPN Plus a zadejte IP adresu nebo název domény (např. „vpn.service.com“) směrovače Synology Router.
Poznámka: Pokud používáte jiný vlastní port než 443, přidejte číslo portu na konec názvu domény nebo IP adresy oddělené dvojtečkou (např. „předpona.doména.com:10001“).
- Přihlaste se pomocí svých přihlašovacích údajů systému SRM.
- Klepnutím na možnost Připojit spustíte připojení prostřednictvím služby Synology SSL VPN.
- Nyní budou všechna vaše připojení z mobilních zařízení procházet přes službu Synology SSL VPN.
- Chcete-li přestat službu VPN používat, klepněte na možnost Odpojit.
Poznámka:
- Služba Synology SSL VPN má pouze dva kompatibilní klienty: Aplikaci Synology SSL VPN Client a mobilní aplikaci Synology VPN Plus.
- Aplikace Synology SSL VPN Client a mobilní aplikace Synology VPN Plus jsou kompatibilní pouze se službou VPN Plus Server.
- Pokud správce sítě povolí dělené tunelové propojení, projde přes VPN pouze provoz do cílových webových stránek, aplikací nebo serverů v zadaných místních podsítích nebo rozsazích IP adres. Zbývající provoz bude procházet přes výchozí bránu.
Instalace certifikátu do zařízení:
Pokud nejsou ve službě VPN Plus Server dostupné důvěryhodné certifikáty třetích stran, můžete opakovanému zobrazování výstrah prohlížeče ve vašem počítači zabránit stažením a nainstalováním certifikátu podepsaného držitelem.
- Přejděte do webového portálu služby VPN Plus.
- Klikněte na ikonu postavy v pravém horním rohu.
- Klikněte na možnost Konfigurace.
- V místním okně kliknutím na možnost Stáhnout stáhněte do svého počítače certifikát ca.crt.
Níže uvedeným postupem odpovídajícím operačnímu systému počítače certifikát nainstalujte.
U systému Windows:
- Dvojitě klikněte na soubor ca.crt v počítači.
- Klikněte na možnost Otevřít > Instalovat certifikát... > Další.
- Vyberte položku Všechny certifikáty umístit v následujícím úložišti.

- Klikněte na položku Procházet a vyberte možnost Důvěryhodné kořenové certifikační úřady.

- Klikněte na možnost OK a dokončete instalaci podle pokynů uvedených v průvodci.
- Certifikát začne platit po opětovném otevření prohlížeče.
U počítače Mac:
- Dvojitě klikněte na soubor ca.crt v počítači.
- V části Keychain (Řetězec klíčů) vyberte možnost System (Systém) a klikněte na položku Add (Přidat).
- Zadejte přihlašovací údaje a klikněte na možnost Modify Keychain (Změnit řetězec klíčů).
- Na počítači Mac otevřete okno Keychain Access (Přístup k řetězci klíčů).
- Na levém panelu vyberte v části Keychains (Řetězce klíčů) možnost System (Systém) a poté v části Category (Kategorie) vyberte možnost Certificates (Certifikáty).

- Vyhledejte certifikát a dvojitě na něj klikněte.
- V místním okně klikněte na možnost Trust (Důvěryhodnost) a v části When using this certificate (Při používání tohoto certifikátu) vyberte možnost Always Trust (Vždy důvěřovat).

- Zavřete místní okno a podle uvedených pokynů průvodce instalaci dokončete.