Standardowe połączenie VPN
Serwer VPN Plus Server zapewnia wiele popularnych rozwiązań VPN, takich jak SSTP VPN, OpenVPN, L2TP/IPSec i PPTP VPN, odpowiednich dla różnych potrzeb i środowisk sieciowych.
SSTP VPN
Protokół SSTP (Secure Socket Tunneling Protocol) to rozwiązanie VPN zapewniające połączenia VPN zabezpieczone przy użyciu protokołu SSL. Dzięki wbudowanemu klientowi w komputerach z systemem Windows możesz w szybki sposób nawiązać połączenie SSTP VPN.
Aby skonfigurować połączenie SSTP VPN:
- Kliknij opcję Standardowe połączenie VPN na lewym panelu i przejdź do sekcji SSTP.
- Zaznacz pole wyboru Włącz serwer SSTP VPN Server.
- Określ poniższe ustawienia:
- Aktywne licencje: Sprawdź liczbę zainstalowanych aktywnych licencji dla funkcji premium. Aby dodać licencje, przejdź do obszaru Licencje na lewym panelu.
- Zakres IP klienta: Wybierz zakres adresów IP klienta (np. podsieć lub zakres adresów IP znajdujących się za urządzeniem Synology Router) jako wirtualne adresy IP dostępne dla klientów. Aby dodać więcej adresów, przejdź do obszaru Obiekt > Pula adresów.
- Nazwa własnej domeny: Adres URL dla SSTP VPN można utworzyć przy użyciu nazwy hosta DDNS firmy Synology lub dostosowanej nazwy domeny. Aby użyć dostosowanej nazwy domeny, postępuj zgodnie z instrukcjami wyświetlanymi na karcie SSTP w celu zaimportowania certyfikatu.
- Port: określ port dla połączeń.
- Nie zezwalaj na wielokrotne logowanie: zaznacz tę opcję, aby uniemożliwić użytkownikowi nawiązywanie wielu połączeń.
- Kliknij Zastosuj, aby zakończyć konfigurację. Możesz teraz skonfigurować połączenie SSTP VPN z komputera lokalnego.
OpenVPN
OpenVPN to rozwiązanie o otwartym kodzie źródłowym, służące do stosowania usług VPN, zapewniające połączenia VPN zabezpieczone przy użyciu protokołów SSL/TLS.
Aby skonfigurować OpenVPN:
- Kliknij opcję Standardowe połączenie VPN na lewym panelu i przejdź do sekcji OpenVPN.
- Zaznacz opcję Włącz serwer OpenVPN.
- Określ poniższe ustawienia:
- Zakres IP klienta: Wybierz zakres adresów IP klienta (np. podsieć lub zakres adresów IP znajdujących się za urządzeniem Synology Router) jako wirtualne adresy IP dostępne dla klientów. Aby dodać więcej adresów, przejdź do obszaru Obiekt > Pula adresów.
- Maks. liczba jednoczesnych kont: Określ maksymalną liczbę jednocześnie podłączonych kont.
- Port: Określ port dla połączeń.
- Protokół: Wybierz protokół TCP lub UDP do nawiązywania połączeń.
- Szyfrowanie: Wybierz metodę szyfrowania połączeń.
- Uwierzytelnienie: Wybierz metodę uwierzytelniania klientów.
- Użyj ręcznego DNS: Określ serwer zapewniający rozpoznawanie nazw DNS dla połączeń VPN. Jeśli ta opcja nie jest włączona, do sieci VPN zostanie zastosowany serwer DNS urządzenia Synology Router.
- Włącz kompresję łącza VPN: Ustaw kompresję danych podczas transferu w celu zwiększenia prędkości transmisji. Opcja ta może wymagać większej ilości zasobów systemowych.
- Pozwól klientom na dostęp do sieci LAN serwera: określ, czy chcesz umożliwić klientom dostęp do zasobów w sieci lokalnej urządzenia Synology Router.
- Włącz tryb serwera IPv6: Określ, czy chcesz wysyłać adresy IPv6 do klientów. Konieczne jest również wybranie opcji 6in4/6to4/DHCPv6-PD dla ustawienia Konfiguracja IPv6 (w SRM w obszarze Network Center > Internet > Połączenie > Interfejs główny > Konfiguracja IPv6).
- Nie zezwalaj na wielokrotne logowanie: zaznacz tę opcję, aby uniemożliwić klientom nawiązywanie wielu połączeń.
- Kliknij Zastosuj, aby zakończyć konfigurację.
Uwaga:
- Usługa OpenVPN nie obsługuje połączeń Site-to-Site w trybie bezprzewodowego punktu dostępowego (AP) (mostek) (możliwość konfiguracji w obszarze Network Center > Tryby pracy).
- Należy otworzyć port UDP 1194 w regułach przekierowania portów (Network Center > Przekierowanie portów) oraz regułach zapory sieciowej (Network Center > Bezpieczeństwo) urządzenia Synology Router oraz innych podłączonych routerów.
- Jeżeli interfejs użytkownika OpenVPN jest używany w systemie Windows Vista lub Windows 7, pamiętaj, że funkcja Kontrola konta użytkownika (User Account Control, UAC) jest domyślnie włączona. W przypadku, gdy jest włączona, w celu prawidłowego połączenia przy użyciu interfejsu użytkownika OpenVPN trzeba użyć polecenia Uruchom jako administrator.
- W przypadku wybrania opcji Włącz tryb serwera IPv6 za pośrednictwem komputera z systemem Windows należy pamiętać o następujących elementach:
- Nazwa interfejsu określona dla usługi OpenVPN nie może zawierać spacji.
- Opcję redirect-gateway należy odpowiednio skonfigurować w pliku VPNConfig.ovpn dla klienta. W przeciwnym razie należy ręcznie określić serwer DNS Server dla usługi OpenVPN lub skorzystać z serwera IPv6 DNS Server firmy Google: „2001:4860:4860::8888”.
Aby wyeksportować certyfikaty dla klientów:
Serwer VPN Plus Server może wygenerować certyfikat dla klientów OpenVPN w celu umożliwienia ich uwierzytelniania na potrzeby połączeń OpenVPN.
- Kliknij opcję Standardowe połączenie VPN na lewym panelu i przejdź do sekcji OpenVPN.
- Upewnij się, że zaznaczono opcję Włącz serwer OpenVPN.
- Kliknij przycisk Eksportuj konfiguracje, aby pobrać plik .zip zawierający plik certyfikatu VPNConfig.ovpn.
- Zainstaluj plik VPNConfig.ovpn na urządzeniach klienckich OpenVPN.
Uwaga:
- Za każdym razem, gdy serwer VPN Plus Server uruchamia usługę OpenVPN, skopiuje on automatycznie certyfikat z podpisem własnym (Panel sterowania > Usługi > Certyfikat) do celów uwierzytelniania OpenVPN.
- Do uwierzytelniania OpenVPN można używać uzyskanego certyfikatu zewnętrznego urzędu certyfikacji. Wybierz kolejno Panel sterowania > Usługi > Certyfikat i zaimportuj certyfikat. Następnie uruchom ponownie serwer VPN Plus Server w celu dokonania uwierzytelnienia OpenVPN.
- Gdy plik certyfikatu dostępny w obszarze Panel sterowania > usługi > Certyfikat zostanie zmodyfikowany, serwer VPN Plus Server zostanie uruchomiony ponownie.
Aby połączyć się za pośrednictwem OpenVPN
Postępuj zgodnie z instrukcjami, aby rozpocząć połączenie OpenVPN z komputera lokalnego:
L2TP/IPSec VPN
Protokół L2TP (Layer 2 Tunneling Protocol) za pośrednictwem protokołu IPSec zapewnia połączeniom VPN większe bezpieczeństwo i jest obsługiwany przez większość klientów, takich jak komputery Mac, komputery z systemem Windows lub Linux oraz urządzenia mobilne.
Aby skonfigurować połączenie L2TP/IPSec VPN:
- Kliknij opcję Standardowe połączenie VPN na lewym panelu i przejdź do sekcji L2TP.
- Zaznacz opcję Włącz serwer L2TP/IPSec VPN Server.
- Określ poniższe ustawienia:
- Zakres IP klienta: Wybierz zakres adresów IP klienta (np. podsieć lub zakres adresów IP znajdujących się za urządzeniem Synology Router) jako wirtualne adresy IP dostępne dla klientów. Aby dodać więcej adresów, przejdź do obszaru Obiekt > Pula adresów.
- Interfejs sieciowy: Wybierz interfejs sieciowy urządzenia Synology Router, aby klienci mogli łączyć się za jego pośrednictwem z usługą VPN.
- Maks. liczba jednoczesnych kont: Określ maksymalną liczbę jednocześnie podłączonych kont.
- Uwierzytelnienie: wybierz metodę uwierzytelniania klientów:
- PAP: hasła klientów nie będą szyfrowane podczas uwierzytelniania.
- MS-CHAP v2: hasła klientów będą szyfrowane podczas uwierzytelniania przy użyciu protokołu Microsoft CHAP w wersji 2.
- MTU (Maksymalna jednostka transmisji): ustaw maksymalny rozmiar pakietu danych dozwolonych do przesyłania przez VPN.
- Użyj ręcznego DNS: Określ serwer zapewniający rozpoznawanie nazw DNS dla połączeń VPN. Jeśli ta opcja nie jest włączona, do sieci VPN zostanie zastosowany serwer DNS urządzenia Synology Router.
- Uruchom w trybie jądra: uruchom serwer VPN Plus Server w celu uzyskania optymalnej wydajności.
- Nie zezwalaj na wielokrotne logowanie: zaznacz tę opcję, aby uniemożliwić użytkownikowi nawiązywanie wielu połączeń.
- W celu zwiększenia bezpieczeństwa możesz wprowadzić i potwierdzić klucz wstępny służący do uwierzytelniania klientów.
- Aby umożliwić klientom niezgodnym z normą RFC korzystanie z połączenia VPN L2TP/IPSec, zaznacz opcję Włącz tryb zgodności SHA2-256 (96 bitów).
- Kliknij Zastosuj, aby zakończyć konfigurację.
Uwaga:
- W celu pomyślnego nawiązania połączenia L2TP/IPSec VPN, klienci powinni stosować takie same ustawienia uwierzytelniania i szyfrowania, jak te określone w usłudze L2TP/IPSec VPN na serwerze VPN Plus Server.
- Należy otworzyć porty UDP 500, 1701 i 4500 w regułach przekierowania portów (Network Center > Przekierowanie portów) oraz regułach zapory sieciowej (Network Center > Bezpieczeństwo) urządzenia Synology Router.
- Jeżeli opcję Włącz tryb zgodności SHA2-256 (96 bitów) włączono po raz pierwszy, konieczne może być ponowne uruchomienie urządzenia Synology Router w celu zapewnienia prawidłowych połączeń klienta.
Aby połączyć się za pośrednictwem usługi L2TP/IPSec VPN:
Postępuj zgodnie z instrukcjami, aby rozpocząć połączenie L2TP/IPSec VPN z komputera lokalnego:
PPTP VPN
Protokół PPTP (Point-to-Point Tunneling Protocol) jest powszechnie używany jako rozwiązanie VPN obsługiwane przez większość klientów, w tym z systemami Windows, Mac i Linux.
Aby skonfigurować połączenie PPTP VPN:
- Kliknij opcję Standardowe połączenie VPN na lewym panelu i przejdź do sekcji PPTP.
- Zaznacz opcję Włącz serwer PPTP VPN Server.
- Określ poniższe ustawienia:
- Zakres IP klienta: Wybierz zakres adresów IP klienta (np. podsieć lub zakres adresów IP znajdujących się za urządzeniem Synology Router) jako wirtualne adresy IP dostępne dla klientów. Aby dodać więcej adresów, przejdź do obszaru Obiekt > Pula adresów.
- Maks. liczba jednoczesnych kont: Określ maksymalną liczbę jednocześnie podłączonych kont.
- Uwierzytelnienie: wybierz metodę uwierzytelniania klientów:
- PAP: hasła klientów nie będą szyfrowane podczas uwierzytelniania.
- MS-CHAP v2: hasła klientów będą szyfrowane podczas uwierzytelniania przy użyciu protokołu Microsoft CHAP w wersji 2.
- Szyfrowanie (dla uwierzytelniania MS-CHAP v2): Wybierz metodę szyfrowania połączeń:
- Bez MPPE: Połączenia VPN nie będą zabezpieczane.
- Opcjonalne MPPE: Połączenia VPN będą lub nie będą chronione mechanizmem szyfrowania z 40- lub 128-bitowym kluczem, w zależności od ustawień klienta.
- Wymagaj MPPE: Połączenia VPN będą chronione mechanizmem szyfrowania z 40- lub 128-bitowym kluczem, w zależności od ustawień klienta.
- MTU (Maksymalna jednostka transmisji): Ustaw maksymalny rozmiar pakietu danych dozwolonych do przesyłania przez VPN.
- Użyj ręcznego DNS: Określ serwer zapewniający rozpoznawanie nazw DNS dla połączeń VPN. Jeśli ta opcja nie jest włączona, do sieci VPN zostanie zastosowany serwer DNS urządzenia Synology Router.
- Nie zezwalaj na wielokrotne logowanie: Zaznacz tę opcję, aby uniemożliwić użytkownikowi nawiązywanie wielu połączeń.
- Kliknij Zastosuj, aby zakończyć konfigurację.
Uwaga:
- W celu pomyślnego nawiązania połączenia PPTP VPN, klienci powinni stosować takie same ustawienia uwierzytelniania i szyfrowania, jak te określone w usłudze PPTP VPN na serwerze VPN Plus Server.
- Należy otworzyć port TCP 1723 w regułach przekierowania portów (Network Center > Przekierowanie portów) oraz regułach zapory sieciowej (Network Center > Bezpieczeństwo) urządzenia Synology Router.
- Połączenia PPTP VPN nie są obsługiwane przez komputery Mac, które zostały zaktualizowane do wersji systemu macOS Sierra.
Aby połączyć za pośrednictwem PPTP VPN:
Postępuj zgodnie z instrukcjami, aby rozpocząć połączenie PPTP VPN z komputera lokalnego: