Synology SSL VPN
Synology SSL VPN 是一项支持 SSL/TLS 验证和加密的 VPN 服务。此服务提供快速、安全的 VPN 访问,用来访问网络或本地网络中的网页、文件和应用程序。
一般管理
若要设置 Synology SSL VPN:
- 转到 VPN Plus Server > Synology VPN > SSL VPN。
- 选中启用 Synology SSL VPN。
- 指定以下设置:
- 活动许可证:检查用于高级功能的活动许可证数量。若要添加许可证,请转到左侧面板上的许可证。
- 客户端 IP 范围:选择客户端 IP 范围(即Synology Router内的子网或 IP 范围)作为客户端可用的虚拟 IP 地址。若要添加更多子网或 IP 范围,请转到对象 > 地址池。
- 自有域名:单击编辑以配置域设置。
- 端口:指定通过此协议连接使用的端口。默认端口为 443。如果同时启用 Synology SSL VPN 和 WebVPN,建议不将端口 443 用于 Synology SSL VPN,以避免影响 WebVPN 的速度。
- 安全级别:
- 自动:这是默认选项,支持大多数 Web 浏览器。并且可根据客户端设备来自动调整至最佳的加密方式。
- 现代兼容性:此安全级别对 VPN 连接使用最新的密码套件。请注意,此选项仅支持 TLS 1.3 Web 浏览器。
- 不允许重复登录:选中此复选框可防止帐户通过此协议创建多个连接。
- 启用分割隧道:借助此选项,客户端设备可通过 VPN 访问指定本地子网或 IP 范围内的资源,其余流量则经过默认网关。单击编辑以将对象(即子网或 IP 范围)添加到分割隧道列表。
- 单击应用以完成设置。VPN Plus Web 门户的自定义 URL 会显示在此页面底部。
注:
- 用于 VPN Plus Web 门户的 URL 可能显示为以下某种形式:
- 内部 IP 地址:只有本地用户可通过此 URL 访问 Web 门户,例如“https://192.168.1.2:443”。您可以手动将其替换为外部 IP 地址,以获得允许远程访问的 URL。如果使用非默认端口,还可将该端口号添加到其中。
- 外部 IP 地址:本地和远程用户都可通过此 URL 访问 Web 门户。
- 域名:本地和远程用户都可通过此 URL 访问 Web 门户,例如“https://example.synology.me:443”。若要获取域名 URL,请先将外部 IP 地址与 DNS 服务器上的域名匹配,或使用 Synology DDNS 服务(请参阅说明)。如果未使用默认端口 443,请将非默认端口号(如 500)添加到域名(如“example.com:500”)。
- 客户端 IP 范围字段中指定的对象会添加到分割隧道列表,且无法移除。若要移除该对象,请在客户端 IP 范围字段中选择另一个对象。
- 如果要在现代兼容性(安全级别)下使用 Synology SSL VPN,请在客户端设备上确认以下事项:
- Synology SSL VPN Client 为最新版本。
- Web 浏览器支持 TLS 1.3。
- 如果将安全级别设置为现代兼容性,SSTP VPN 将不可用。若要同时使用 SSTP VPN 和 SSL VPN,请将安全级别切换到自动。
若要将第三方证书安装到 Synology Router:
网络管理员可从信任的第三方购买证书并安装到Synology Router。安装后,所有客户端都可以顺利访问 VPN Plus Web 门户,不会看到浏览器警示信息。
- 转到 SRM 控制面板 > 服务 > 证书。
- 在操作部分下,单击导入证书。
- 单击浏览,提供所需的私钥和证书。
- 单击确定以导入证书。
若要将 Synology Router证书安装到客户端设备:
如果没有信任的第三方证书可用,网络管理员可从 Synology Router创建自签名证书,再将其安装到所有客户端设备。
- 转到 SRM 控制面板 > 服务 > 证书。
- 在操作部分下,单击创建证书 > 创建自我签署证书。按照向导中的屏幕说明为 VPN Plus Web 门户创建证书。
- 在服务器证书部分下,单击导出证书以下载自签名证书。
- 与本地用户共享此证书。要求用户按照使用指南中的说明,将证书安装到个人设备。