Blog

Synology nastavení služby VPN Server

lunux
12 Min Read
0

Pomocí balíčku VPN Server může zařízení Synology NAS snadno plnit funkci serveru VPN. Uživatelé tak mohou využívat vzdálený a zabezpečený přístup ke sdíleným prostředkům v rámci místní sítě zařízení Synology NAS. Díky integraci obvyklých protokolů VPN – PPTP, OpenVPN a L2TP/IPSec – nabízí balíček VPN Server možnosti založení a správy služeb VPN přesně podle vašich potřeb. Chcete-li vybrat některý z následujících typů serveru VPN a povolit služby VPN na vašem zařízení Synology NAS, nainstalujte a spusťte balíček VPN Server.

Poznámka:

  • Povolení služby VPN bude mít vliv na síťový výkon systému.
  • Instalovat a nastavit balíček VPN Server mohou pouze uživatelé administrators.

PPTP

PPTP (Point-to-Point Tunneling Protocol) je běžně používané řešení VPN podporované většinou klientů (včetně systému Windows, Mac i Linux a mobilních zařízení). Další informace o protokolu PPTP najdete pod tímto odkazem.

Povolení serveru PPTP VPN:

    1. Otevřete možnost VPN Server a na levém panelu přejděte do části Nastavení > PPTP.
    2. Zaškrtněte možnost Povolit server PPTP VPN.
  1. Do pole Dynamická IP adresa zadejte virtuální IP adresu serveru VPN. Další informace najdete v části O dynamické IP adrese.
  2. Nastavením možnosti Maximální počet připojení omezíte počet souběžných připojení VPN.
  3. Nastavením možnosti Maximální počet připojení se stejným účtem omezíte počet souběžných připojení VPN se stejným účtem.
  4. V rozevírací nabídce Ověřování vyberte některou z následujících možností ověřování klientů VPN:
    • PAP: Hesla klientů VPN se nebudou při ověřování šifrovat.
    • MS-CHAP v2: Hesla klientů VPN se budou při ověřování šifrovat pomocí funkce Microsoft CHAP verze 2.
  5. Pokud při ověřování používáte možnost MS-CHAP v2, vyberte v rozevírací nabídce Šifrování některou z následujících možností šifrování připojení VPN:
    • Bez MPPE: Připojení VPN nebude chráněno pomocí mechanismu šifrování.
    • Vyžadovat MPPE (40/128 bitů): Připojení VPN bude zabezpečeno 40bitovým nebo 128bitovým mechanismem šifrování, a to podle nastavení klienta.
    • Maximální MPPE (128 bitů): Připojení VPN bude zabezpečeno 128bitovým mechanismem šifrování, který zajišťuje nejvyšší úroveň zabezpečení.
  6. Nastavením možnosti MTU (Maximum Transmission Unit, maximální přenosová jednotka) omezíte velikost datového paketu vysílaného prostřednictvím sítě VPN.
  7. Zaškrtněte možnost Použít ruční DNS a zadejte IP adresu serveru DNS, který bude předávat službu DNS klientům PPTP. Pokud je tato možnost zakázána, bude klientům předáván server DNS využívaný zařízením Synology NAS.
  8. Změny uplatníte kliknutím na možnost Použít.

Poznámka:

  • Pokud se připojujete k síti VPN, musí se nastavení ověřování a šifrování klientů VPN shodovat s nastaveními zadanými v rámci balíčku VPN Server. V opačném případě se klienti nebudou moci úspěšně připojit.
  • Kvůli zajištění kompatibility s většinou klientů PPTP v operačních systémech Windows, Mac OS, Mac iOS a Android je výchozí hodnota MTU nastavena na 1400. Pro komplikovanější síťová prostředí může být nutná menší hodnota MTU. Pokud neustále dochází k chybě časového limitu nebo připojení není stabilní, zkuste velikost MTU snížit.
  • Ověřte nastavení předávání portů a brány firewall na zařízení Synology NAS a na směrovači a zajistěte, aby byl otevřený port TCP 1723.
  • Do některých směrovačů je služba PPTP VPN vestavěná a port 1723 může být obsazen. Aby služba VPN Server fungovala správně, bude pravděpodobně nutné vestavěnou službu PPTP VPN zakázat prostřednictvím rozhraní pro správu směrovače, aby funkce PPTP služby VPN Server mohla fungovat. Kromě toho některé starší směrovače blokují protokol GRE (protokol IP 47), což vede k tomu, že se připojení VPN nezdaří. Doporučujeme použít směrovač, který podporuje připojení VPN pass-through.

OpenVPN

OpenVPN je řešení typu open source pro službu VPN. Zabezpečuje připojení VPN pomocí šifrovacího mechanismu SSL/TLS. Další informace o protokolu OpenVPN se nacházejí pod tímto odkazem.

Povolení serveru VPN typu OpenVPN:

    1. Otevřete možnost VPN Server a na levém panelu přejděte do části Nastavení > OpenVPN.
    2. Zaškrtněte políčko Povolit server OpenVPN.
  1. Do pole Dynamická IP adresa zadejte virtuální interní IP adresu serveru VPN. Další informace najdete v části O dynamické IP adrese.
  2. Nastavením možnosti Maximální počet připojení omezíte počet souběžných připojení VPN.
  3. Nastavením možnosti Maximální počet připojení se stejným účtem omezíte počet souběžných připojení VPN se stejným účtem.
  4. Pokud chcete při přenosu komprimovat data, zaškrtněte políčko Povolit kompresi na lince VPN. Touto možností zvýšíte rychlost přenosu, bude však intenzivněji využívat systémové prostředky.
  5. Zaškrtnutím možnosti Povolit klientům přístup k síti LAN povolíte klientům přístup k síti LAN serveru.
  6. Zaškrtnutím možnosti Povolit režim serveru IPv6 povolíte serveru OpenVPN odesílat adresy IPv6. Nejdříve bude potřeba získat předponu prostřednictvím funkce 6in4/6to4/DHCP-PD v části Ovládací panel > Síť > Síťové rozhraní. Poté vyberte předponu na této stránce.
  7. Změny uplatníte kliknutím na možnost Použít.

Poznámka:

  • Služba VPN Server nepodporuje režim mostu pro připojení typu site-to-site.
  • Ověřte nastavení předávání portů a brány firewall na zařízení Synology NAS a na směrovači a zajistěte, aby byl otevřený port UDP 1194.
  • Pokud používáte v systému Windows Vista nebo Windows 7 grafické rozhraní OpenVPN, nezapomeňte, že nástroj Řízení uživatelských účtů (UAC) je povolen již ve výchozím nastavení. Pokud je tato možnost povolena, je podmínkou bezproblémového připojení přes grafické rozhraní OpenVPN použití možnosti Spustit jako správce.
  • Pokud v systému Windows s grafickým rozhraním OpenVPN povolíte režim serveru IPv6, mějte na paměti následující skutečnosti:
    1. Název rozhraní používaný funkcí VPN nesmí obsahovat mezeru, např. název LAN 1 je nutné změnit na LAN1.
    2. V souboru openvpn.ovpn na straně klienta je nutné nastavit možnost redirect-gateway. Pokud tuto možnost nechcete nastavit, musíte nastavit server DNS pro rozhraní VPN ručně. Možné je použít server Google IPv6 DNS: 2001:4860:4860::8888.

Export konfiguračního souboru:

Klikněte na položku Exportovat konfiguraci. Protokol OpenVPN umožňuje serveru VPN vydávat klientům certifikáty ověření. Exportovaný soubor je soubor zip, který obsahuje soubory ca.crt (soubor certifikátu pro server VPN), openvpn.ovpn (konfigurační soubor pro klienta) a README.txt (jednoduché pokyny, jak nastavit u klienta připojení OpenVPN). Další informace se nacházejí pod tímto odkazem.

Poznámka:

  • Pokaždé, když se spustí služba VPN Server, automaticky zkopíruje a použije certifikát zobrazený v nabídce Ovládací panel > Zabezpečení > Certifikát. Pokud potřebujete použít certifikát třetí osoby, importujte certifikát v části Ovládací panel > Zabezpečení > Certifikát > Akce a službu VPN Server restartujte.
  • Služba VPN Server se automaticky restartuje pokaždé, když se změní soubor certifikátu zobrazený v části Ovládací panel > Zabezpečení > Certifikát.

L2TP/IPSec

Protokol L2TP (Layer 2 Tunneling Protocol) over IPSec nabízí virtuálním privátním sítím vyšší zabezpečení a podporuje ho většina klientů (včetně systémů Windows, Mac i Linux a mobilních zařízení). Další informace o protokolu L2TP se nachází pod tímto odkazu.

Poznámka:

  • Chcete-li používat protokol L2TP/IPSec, přesvědčte se, že je na zařízení Synology NAS nainstalovaný systém DSM 4.3 nebo novější.

Povolení serveru VPN L2TP/IPSec:

    1. Otevřete možnost VPN Server a na levém panelu přejděte do části Nastavení > L2TP/IPSec.
    2. Zaškrtněte možnost Povolit server L2TP/IPSec VPN.
  1. Do pole Dynamická IP adresa zadejte virtuální IP adresu serveru VPN. Další informace najdete v části O dynamické IP adrese.
  2. Nastavením možnosti Maximální počet připojení omezíte počet souběžných připojení VPN.
  3. Nastavením možnosti Maximální počet připojení se stejným účtem omezíte počet souběžných připojení VPN se stejným účtem.
  4. V rozevírací nabídce Ověřování vyberte některou z následujících možností ověřování klientů VPN:
    • PAP: Hesla klientů VPN se nebudou při ověřování šifrovat.
    • MS-CHAP v2: Hesla klientů VPN se budou při ověřování šifrovat pomocí funkce Microsoft CHAP verze 2.
  5. Nastavením možnosti MTU (Maximum Transmission Unit, maximální přenosová jednotka) omezíte velikost datového paketu vysílaného prostřednictvím sítě VPN.
  6. Zaškrtněte možnost Použít ruční DNS a zadejte IP adresu serveru DNS, který bude předávat DNS klientům L2TP/IPSec. Pokud je tato možnost zakázána, bude klientům předáván server DNS využívaný zařízením Synology NAS.
  7. Volbou možnosti Spustit v režimu kernel umožníte dosáhnout maximálního výkonu sítě VPN.
  8. Zadejte a potvrďte předsdílený klíč. Tento tajný klíč můžete získat od uživatele L2TP/IPSec VPN, aby se připojení ověřilo.
  9. Zaškrtnutím políčka Povolit režim kompatibility SHA2-256 (96bitový) povolíte některým klientům (neodpovídajícím standardu RFC) používat připojení L2TP/IPSec.
  10. Změny uplatníte kliknutím na možnost Použít.

Poznámka:

  • Pokud se připojujete k síti VPN, musí se nastavení ověřování a šifrování klientů VPN shodovat s nastaveními zadanými v rámci balíčku VPN Server. V opačném případě se klienti nebudou moci úspěšně připojit.
  • Kvůli zajištění kompatibility s většinou klientů L2TP/IPSec v operačních systémech Windows, Mac OS, Mac iOS a Android je výchozí hodnota MTU nastavena na 1400. Pro komplikovanější síťová prostředí může být nutná menší hodnota MTU. Pokud neustále dochází k chybě časového limitu nebo připojení není stabilní, zkuste velikost MTU snížit.
  • Ověřte nastavení předávání portů a brány firewall na zařízení Synology NAS a na směrovači a zajistěte, aby byly otevřené porty UDP 1701, 500 a 4500.
  • Služba VPN L2TP nebo IPSec je již součástí některých směrovačů a porty 1701, 500 nebo 4500 mohou být obsazeny. Aby služba VPN Server fungovala správně, bude pravděpodobně nutné vestavěnou službu VPN L2TP nebo IPSec zakázat prostřednictvím rozhraní pro správu směrovače, aby funkce L2TP/IPSec služby VPN Server mohla fungovat. Doporučujeme použít směrovač, který podporuje připojení VPN pass-through.

O dynamické IP adrese

Při přiřazování IP adresy klientům VPN bude VPN Server volit z rozsahu virtuálních IP adres podle čísla zadaného v poli Dynamická IP adresa. Pokud je například dynamická IP adresa VPN serveru nastavena na hodnotu „10.0.0.0“, může mít virtuální IP adresa klienta VPN rozsah od „10.0.0.1“ do „10.0.0.[maximální počet připojení]“ v případě protokolu PPTP a od „10.0.0.2“ do „10.0.0.255“ v případě funkce OpenVPN.

Důležité upozornění:Před zadáním dynamické IP adresy serveru VPN nezapomínejte na tyto pokyny:

  1. Dynamické IP adresy povolené pro server VPN by měly být takovéto:
    • Od „10.0.0.0“ do „10.255.255.0“
    • Od „172.16.0.0“ do „172.31.255.0“
    • Od „192.168.0.0“ do „192.168.255.0“
  2. Zadaná dynamická IP adresa VPN serveru a přiřazené virtuální IP adresy pro klienty VPN by neměly kolidovat s IP adresami, které se v současnosti využívají v místní síti.

O nastavení brány klienta pro připojení VPN

Před připojením do místní sítě zařízení Synology NAS pomocí funkce VPN budou klienti pravděpodobně muset změnit nastavení brány pro připojení VPN. V opačném případě nebude při navázání připojení VPN fungovat připojení k internetu. Podrobnější informace se nachází pod tímto odkazem.

Zdroj:

https://originwww.synology.com/cs-cz/knowledgebase/DSM/help/VPNCenter/vpn_setup