Standardní VPN
Služba VPN Plus Server nabízí několik oblíbených řešení VPN – SSTP VPN, OpenVPN, L2TP/IPSec a PPTP VPN – vyhovujících vašim potřebám a síťovým prostředím.
SSTP VPN
Protokol SSTP (Secure Socket Tunneling Protocol) je řešení VPN poskytující připojení VPN chráněná protokolem SSL. Připojení SSTP VPN lze na počítači se systémem Windows snadno vytvořit pomocí vestavěného klienta.
Nastavení připojení SSTP VPN:
- Na levém panelu klikněte na možnost Standardní VPN a přejděte do části SSTP.
- Zaškrtněte možnost Povolit SSTP VPN server.
- Stanovte následující nastavení:
- Aktivní licence: Zobrazení počtu nainstalovaných a aktivních licencí pro prémiové funkce. Chcete-li přidat licence, přejděte do části Licence na levém panelu.
- Rozsah IP adres klienta: Vyberte rozsah IP adres klienta (například podsíť nebo rozsah IP za zařízením Synology NAS), který bude představovat virtuální IP adresy dostupné pro klienty. Chcete-li přidat další, přejděte do nabídky Objekt > Fond adres.
- Vlastněný název domény: Adresu URL pro síť SSTP VPN můžete vytvořit pomocí názvu hostitele DDNS poskytnutého společností Synology nebo přizpůsobeného názvu domény. Chcete-li použít přizpůsobený název domény, importujte podle kroků uvedených na kartě SSTP svůj certifikát.
- Port: Zadejte port pro připojení.
- Zakázat duplicitní přihlášení: Tuto možnost vyberte, chcete-li uživateli zabránit vytvořit více připojení.
- Nastavení dokončíte kliknutím na možnost Použít. Nyní jste připraveni nastavit připojení SSTP VPN z místního počítače.
OpenVPN
OpenVPN je řešení pro implementaci služby VPN typu open source a poskytuje připojení VPN chráněná protokolem SSL/TLS.
Nastavení připojení OpenVPN:
- Na levém panelu klikněte na možnost Standardní VPN a přejděte do části OpenVPN.
- Vyberte možnost Povolit server OpenVPN.
- Stanovte následující nastavení:
- Rozsah IP adres klienta: Vyberte rozsah IP adres klienta (například podsíť nebo rozsah IP za zařízením Synology NAS), který bude představovat virtuální IP adresy dostupné pro klienty. Chcete-li přidat další, přejděte do nabídky Objekt > Fond adres.
- Max. počet souběžných účtů: Zadejte maximální počet souběžně připojených účtů.
- Port: Zadejte port pro připojení.
- Protokol: Vytvořte připojení volbou protokolu TCP nebo UDP.
- Šifrování: Vyberte metodu šifrování připojení.
- Ověřování: Vyberte způsob ověřování klientů.
- Použít ruční DNS: Stanovte server, který poskytuje překlad názvu DNS pro připojení VPN. Pokud tato možnost není povolená, použije se k připojení VPN server DNS zařízení Synology NAS.
- Povolit kompresi na lince VPN: Při volbě této možnosti se budou přenášená data komprimovat, aby se zvýšila rychlost přenosu. Tato možnost může zvýšit spotřebu systémových prostředků.
- Povolit klientům přístup k síti LAN: Tato možnost umožňuje klientům přístup ke zdrojům v místní síti zařízení Synology NAS.
- Povolit režim serveru IPv6: Při volbě této možnosti se do klientů odesílají adresy IPv6. V části Nastavení IPv6 je nutné také vybrat možnost 6in4/6to4/DHCPv6-PD (nabídka Network Center > Internet > Připojení > Primární rozhraní > Nastavení IPv6 systému SRM).
- Zakázat duplicitní přihlášení: Při volbě této možnosti se klientům zabrání vytvářet více připojení.
- Nastavení dokončíte kliknutím na možnost Použít.
Poznámka:
- Služba OpenVPN nepodporuje připojení typu site-to-site v režimu Wireless AP (mostu) (konfiguruje se v části Network Center > Režimy provozu).
- V pravidlech pro předávání portů (nabídka Network Center > Předávání portů) a v pravidlech brány firewall (nabídka Network Center > Zabezpečení) zařízení Synology NAS a dalších připojených směrovačů by měl být otevřený port UDP 1194.
- Pokud používáte v systému Windows Vista nebo Windows 7 grafické uživatelské rozhraní služby OpenVPN, nezapomeňte, že nástroj Řízení uživatelských účtů (UAC) je podle výchozího nastavení povolen. Pokud je povolen, je podmínkou bezproblémového připojení pomocí grafického rozhraní OpenVPN použití možnosti Spustit jako správce.
- Pokud je přes počítač se systémem Windows vybraná možnost Povolit režim serveru IPv6, nezapomeňte, že:
- Název rozhraní stanovený pro službu OpenVPN nesmí obsahovat žádné mezery.
- V souboru VPNConfig.ovpn musí být pro klienta správně nastavená možnost redirect-gateway. Jinak je nutné stanovit server DNS pro službu OpenVPN ručně, případně se pokusit použít server IPv6 DNS společnosti Google: „2001:4860:4860::8888“.
Export certifikátů, aby je mohl používat klient:
Služba VPN Plus Server může vydat certifikát pro klienty OpenVPN, který bude sloužit k jejich ověření pro připojení OpenVPN.
- Na levém panelu klikněte na možnost Standardní VPN a přejděte do části OpenVPN.
- Ověřte, jestli je vybraná možnost Povolit server OpenVPN.
- Kliknutím na možnost Exportovat konfigurace stáhněte soubor .zip obsahující soubor VPNConfig.ovpn, což je soubor certifikátu, který se má použít.
- Soubor VPNConfig.ovpn nechte nainstalovat do klientských zařízení služby OpenVPN.
Poznámka:
- Pokaždé, když služba VPN Plus Server spustí službu OpenVPN, tak automaticky zkopíruje a použije k ověření služby OpenVPN certifikát podepsaný držitelem (v části Ovládací panel > Služby > Certifikát).
- K ověření služby OpenVPN je možné použít získaný certifikát třetích stran. Přejděte do části Ovládací panel > Služby > Certifikát a naimportujte certifikát. Poté službu VPN Plus Server restartujte, čímž umožníte ověření služby OpenVPN.
- Pokud se soubor certifikátu v části Ovládací panel > Služby > Certifikát změní, služba VPN Plus Server se restartuje.
Připojení prostřednictvím služby OpenVPN
Podle pokynů spusťte z místního počítače připojení OpenVPN:
L2TP/IPSec VPN
Protokol L2TP (Layer 2 Tunneling Protocol) over IPSec nabízí připojení VPN s vyšším zabezpečením a podporuje ho většina klientů, včetně systémů Windows, Mac i Linux a mobilních zařízení.
Nastavení připojení L2TP/IPSec VPN:
- Na levém panelu klikněte na možnost Standardní VPN a přejděte do části L2TP.
- Vyberte možnost Povolit L2TP/IPSec VPN server.
- Stanovte následující nastavení:
- Rozsah IP adres klienta: Vyberte rozsah IP adres klienta (například podsíť nebo rozsah IP za zařízením Synology NAS), který bude představovat virtuální IP adresy dostupné pro klienty. Chcete-li přidat další, přejděte do nabídky Objekt > Fond adres.
- Síťové rozhraní: Vyberte síťové rozhraní zařízení Synology NAS, přes které se budou klienti připojovat při připojeních VPN.
- Max. počet souběžných účtů: Zadejte maximální počet souběžně připojených účtů.
- Ověřování: Vyberte metodu ověřování klientů:
- PAP: Hesla klientů se nebudou při ověřování šifrovat.
- MS-CHAP v2: Hesla klientů se budou při ověřování šifrovat pomocí funkce Microsoft CHAP verze 2.
- MTU (Maximum Transmission Unit, maximální přenosová jednotka): Nastaví maximální velikost datového paketu povolenou pro přenos VPN.
- Použít ruční DNS: Stanovte server, který poskytuje překlad názvu DNS pro připojení VPN. Pokud tato možnost není povolená, použije se k připojení VPN server DNS zařízení Synology NAS.
- Spustit v režimu kernel: Při volbě této možnosti bude služba VPN Plus Server běžet při optimálním výkonu.
- Zakázat duplicitní přihlášení: Tuto možnost vyberte, chcete-li uživateli zabránit vytvořit více připojení.
- Zabezpečení můžete dále zvýšit zadáním a potvrzením předsdíleného klíče předaného klientům v rámci ověřování.
- Pokud chcete, aby mohli klienti neodpovídající standardu RFC používat připojení L2TP/IPSec VPN, vyberte možnost Povolit režim kompatibility SHA2-256 (96bitový).
- Nastavení dokončíte kliknutím na možnost Použít.
Poznámka:
- Aby navázání připojení L2TP/IPSec VPN bylo úspěšné, musí klienti použít nastavení ověření a šifrování totožná s nastaveními stanovenými u služby L2TP/IPSec VPN ve službě VPN Plus Server.
- V pravidlech pro předávání portů (nabídka Network Center > Předávání portů) a v pravidlech brány firewall (nabídka Network Center > Zabezpečení) zařízení Synology NAS by měly být otevřené porty UDP 500, 1701 a 4500.
- Po prvním povolení možnosti Povolit režim kompatibility SHA2-256 (96bitový) může být nutné zařízení Synology NAS restartovat, aby mohla být připojení klientů úspěšná.
Připojení prostřednictvím služby L2TP/IPSec VPN:
Podle pokynů spusťte připojení L2TP/IPSec VPN z místního počítače:
PPTP VPN
PPTP (Point-to-Point Tunneling Protocol) je běžně používané řešení VPN podporované většinou klientů, včetně systémů Windows, Mac a Linux.
Nastavení připojení PPTP VPN:
- Na levém panelu klikněte na možnost Standardní VPN a přejděte do části PPTP.
- Vyberte možnost Povolit PPTP VPN server.
- Stanovte následující nastavení:
- Rozsah IP adres klienta: Vyberte rozsah IP adres klienta (například podsíť nebo rozsah IP za zařízením Synology NAS), který bude představovat virtuální IP adresy dostupné pro klienty. Chcete-li přidat další, přejděte do nabídky Objekt > Fond adres.
- Max. počet souběžných účtů: Zadejte maximální počet souběžně připojených účtů.
- Ověřování: Vyberte metodu ověřování klientů:
- PAP: Hesla klientů se nebudou při ověřování šifrovat.
- MS-CHAP v2: Hesla klientů se budou při ověřování šifrovat pomocí funkce Microsoft CHAP verze 2.
- Šifrování (pro ověření MS-CHAP v2): Vyberte metodu šifrování připojení:
- Bez MPPE: Připojení VPN nebudou chráněná.
- Volitelný mechanismus MPPE: Připojení VPN budou nebo nebudou zabezpečena 40bitovým či 128bitovým mechanismem šifrování, a to podle nastavení klienta.
- Vyžadovat mechanismus MPPE: Připojení VPN budou zabezpečena 40bitovým či 128bitovým mechanismem šifrování, a to podle nastavení klienta.
- MTU (Maximum Transmission Unit, maximální přenosová jednotka): Nastaví maximální velikost datového paketu povolenou pro přenos VPN.
- Použít ruční DNS: Stanovte server, který poskytuje překlad názvu DNS pro připojení VPN. Pokud tato možnost není povolená, použije se k připojení VPN server DNS zařízení Synology NAS.
- Zakázat duplicitní přihlášení: Tuto možnost vyberte, chcete-li uživateli zabránit vytvořit více připojení.
- Nastavení dokončíte kliknutím na možnost Použít.
Poznámka:
- Aby bylo navázání připojení PPTP VPN úspěšné, musí klienti použít nastavení ověření a šifrování totožná s nastaveními stanovenými u služby PPTP VPN ve službě VPN Plus Server.
- V pravidlech pro předávání portů (v části Network Center > Předávání portů) a v pravidlech brány firewall (v části Network Center > Zabezpečení) zařízení Synology NAS by měl být otevřený port TCP 1723.
- Připojení PPTP VPN není podporováno na počítačích Mac se systémem upgradovaným na macOS Sierra.
Připojení prostřednictvím služby PPTP VPN:
Podle pokynů spusťte připojení PPTP VPN z místního počítače: