Synology SSL VPN
Synology SSL VPN 為支援 SSL / TLS 驗證及加密的 VPN 服務。此服務提供快速、安全的 SSL VPN 連線,可用來存取網際網路及區域網路內的網頁、檔案、應用程式。
一般管理
若要設定 Synology SSL VPN:
- 前往 VPN Plus Server > Synology VPN > SSL VPN。
- 若您尚未使用 Synology VPN,請登入 Synology 帳戶並啟用此免費服務。開通後,此服務將在 Synology Router 上永久有效。
- 勾選啟動 Synology SSL VPN。
- 指定下列設定:
- 最大同時連線帳號數:指定最大同時連線的帳號數。
- 用戶端 IP 網段:選擇用戶端 IP 網段 (即 Synology Router 內的子網路或 IP 範圍),即可作為虛擬 IP 位址指派給用戶端使用。若要新增更多網段來使用,前往物件 > 位址集區。
- 自有網域名稱:按一下編輯來進入網域設定。
- 連接埠:指定此通訊協定連線使用的連接埠。預設的連接埠編號為 443。如果 Synology SSL VPN 及 WebVPN 皆啟動,建議 Synology SSL VPN 使用非 443 的連接埠,以避免影響 WebVPN 的速度。
- 安全性層級:
- 自動:此為預設選項,支援大多數的網頁瀏覽器,且可根據用戶端裝置來自動調整至最佳的加密方式。
- 現代相容性:選擇此安全性層級,VPN 連線將採用最新的加密套件。請注意,此選項僅支援 TLS 1.3 的網頁瀏覽器。
- 禁止重複登入:勾選此選項後,即可避免相同帳號透過此通訊協定建立多個連線。
- 啟動通道分割:藉由此選項,用戶端裝置可透過 Synology SSL VPN 傳輸,前往指定區域子網路或 IP 範圍內的資源。其餘流量則經由預設閘道傳輸。按一下編輯來將物件 (即:子網路或 IP 範圍) 加入分割通道清單。
- 按一下套用來完成設定。VPN Plus 網路入口的自訂 URL 將顯示於頁面下方。
注意:
- VPN Plus 網路入口網址可能以下列形式出現:
- 內部 IP 位址:僅本地使用者可透過此網址存取網路入口,例如:「https://192.168.1.2:443」。您可將內部 IP 位址手動更換為外部 IP 位址,該網址即可允許遠端存取;若使用非預設的連接埠,請於網址後加上連接埠編號。
- 外部 IP 位址:本地及遠端使用者皆可透過此網址存取網路入口。
- 網域名稱:本地及遠端使用者皆可透過此網址存取網路入口,例如:「https://example.synology.me:443」。若要取得由網域名稱組成的網址,請先在 DNS 伺服器上將外部 IP 位址對應到網域名稱,或使用 Synology DDNS 服務 (請見說明)。若未使用預設連接埠 443,請將非預設連接埠編號 (例如:500) 加至網域名稱 (例如:「example.com:500」)。
- 用戶端網段欄位指定的物件將加入分割通道清單,且將無法移除該物件。若要將之移除,請在用戶端網段欄位內替換成其他的物件。
- 若要在現代相容性 (安全性層級) 下使用 Synology SSL VPN,請於用戶端裝置確認以下事項:
- Synology SSL VPN Client 為最新版本。
- 網頁瀏覽器支援 TLS 1.3。
- 若將安全性層級設為現代相容性,SSTP VPN 將無法運作。因此若要同時使用 SSTP VPN 與 SSL VPN,請切換安全性層級至自動。
若要安裝第三方憑證到 Synology Router:
網路管理員可從信賴的第三方機構購買憑證,再安裝到 Synology Router 上。安裝後,所有用戶端皆可順利存取 VPN Plus 網路入口,不會看到瀏覽器警示訊息。
- 前往控制台 > 服務 > 憑證。
- 在動作區塊下,按一下匯入憑證。
- 按一下瀏覽,再提供取得的私鑰及憑證。
- 按一下確定來完成匯入憑證。
若要將 Synology Router 憑證安裝至用戶端裝置:
如果沒有信任的第三方憑證,網路管理員可從 Synology Router 建立自我簽署憑證,再將憑證安裝至所有用戶端裝置。
- 前往 SRM 控制台 > 服務 > 憑證。
- 在動作區塊中,按一下建立憑證 > 建立自我簽署憑證。依照精靈指示來建立 VPN Plus 網路入口所需的憑證。
- 在伺服器憑證區塊中,按一下匯出憑證,即可下載自我簽署憑證。
- 將此憑證分享給本機使用者。要求使用者依照使用指引,將憑證安裝至個人裝置。