Blog

Synology – nastavení VPN serveru

lunux
11 Min Read
0

https://help.synology.com/dsm/?section=VPNCenter&version=1.2&link=vpn_setup.html

Nastavení VPN Server

Díky balíčku VPN Server může zařízení Synology NAS snadno plnit funkci serveru VPN. Uživatelé systému DSM tak mohou získat vzdálený a zabezpečený přístup ke sdíleným prostředkům v rámci místní sítě zařízení Synology NAS. Integrací běžných protokolů VPN – PPTP, OpenVPN a L2TP/IPSec – nabízí balíček VPN Server možnosti vytvoření a správy služby VPN přesně podle vašich potřeb. Chcete-li vybrat některý z následujících typů serveru VPN a povolit služby VPN na vašem zařízení Synology NAS, nainstalujte si a spusťte balíček VPN Server.

Poznámka:

  • Povolení služby VPN bude mít vliv na síťový výkon systému.
  • Instalovat a nastavit balíček VPN Server mohou pouze uživatelé systému DSM ze skupiny administrators.

PPTP

PPTP (Point-to-Point Tunneling Protocol) je běžně používané řešení VPN podporované většinou klientů (včetně Windows, Mac, Linux a mobilních zařízení). Další informace o protokolu PPTP najdete zde.

Povolení PPTP VPN serveru:

  1. Otevřete položku VPN Server a přejděte do části Nastavení > PPTP na levém panelu.
  2. Zaškrtněte možnost Povolit server PPTP VPN.
  3. Do pole Dynamická IP adresa zadejte virtuální IP adresu VPN serveru. Další informace najdete v části O dynamické IP adrese.
  4. Nastavením možnosti Maximální počet připojení omezíte počet souběžných připojení VPN.
  5. Nastavením možnosti Maximální počet připojení se stejným účtem omezíte počet souběžných připojení VPN se stejným účtem.
  6. Z rozevírací nabídky Ověřování vyberte některou z následujících možností pro ověřování klientů VPN:
    • PAP: Hesla klientů VPN nebudou při ověřování šifrována.
    • MS-CHAP v2: Hesla klientů VPN budou při ověřování šifrována pomocí Microsoft CHAP verze 2.
  7. Pokud pro ověřování používáte MS-CHAP v2, vyberte z rozevírací nabídky Šifrování některou z následujících možností pro šifrování připojení VPN:
    • Bez MPPE: Připojení VPN nebude chráněno pomocí mechanismu šifrování.
    • Požadovat MPPE (40/128 bitů): Připojení VPN bude zabezpečeno 40bitovým nebo 128bitovým mechanismem šifrování, a to podle nastavení klienta.
    • Maximální MPPE (128 bitů): Připojení VPN bude zabezpečeno 128bitovým mechanismem šifrování, který zajišťuje nejvyšší úroveň zabezpečení.
  8. Nastavením možnosti MTU (Maximum Transmission Unit, maximální přenosová jednotka) omezíte velikost datového paketu prostřednictvím sítě VPN.
  9. Zaškrtněte možnost Použít ruční DNS a zadejte IP adresu DNS serveru, který bude předávat DNS klientům PPTP. Pokud je tato možnost zakázána, bude DNS server využívaný zařízením Synology NAS předáván klientům.
  10. Nastavení aktivujete kliknutím na možnost Použít.

Poznámka:

  • Pokud se připojujete k síti VPN, musí se nastavení ověřování a šifrování klientů VPN shodovat s nastaveními zadanými v rámci balíčku VPN Server. V opačném případě se klienti nebudou moci úspěšně připojovat.
  • Pro zajištění kompatibility s většinou klientů PPTP v operačních systémech Windows, Mac OS, Mac iOS a Android je výchozí hodnota MTU nastavena na 1400. Pro komplikovanější síťová prostředí může být požadována menší hodnota MTU. Zkuste snížit velikost MTU, pokud neustále dochází k chybě časového limitu nebo připojení není stabilní.
  • Ověřte nastavení předávání portů a brány firewall na zařízení Synology NAS a směrovači a zajistěte, aby port TCP 1723 byl otevřený.
  • Služba PPTP VPN je již součástí některých směrovačů a port 1723 může být obsazen. Aby balíček VPN Server fungoval správně, bude pravděpodobně nutné vestavěnou službu PPTP VPN zakázat prostřednictvím rozhraní pro správu směrovače, aby funkce PPTP balíčku VPN Server fungovala. Kromě toho některé starší směrovače blokují protokol GRE (protokol IP 47), který způsobí selhání připojení VPN. Doporučujeme, abyste použili směrovač, který podporuje připojení VPN pass-through.

OpenVPN

OpenVPN je řešení typu open source pro službu VPN. Zabezpečuje připojení VPN pomocí šifrovacího mechanismu SSL/TLS. Další informace o OpenVPN najdete zde.

Povolení VPN serveru OpenVPN:

  1. Otevřete položku VPN Server a přejděte do části Nastavení > OpenVPN na levém panelu.
  2. Zaškrtněte políčko Povolit server OpenVPN.
  3. Do pole Dynamická IP adresa zadejte virtuální interní IP adresu VPN serveru. Další informace najdete v části O dynamické IP adrese.
  4. Nastavením možnosti Maximální počet připojení omezíte počet souběžných připojení VPN.
  5. Nastavením možnosti Maximální počet připojení se stejným účtem omezíte počet souběžných připojení VPN se stejným účtem.
  6. Zaškrtněte políčko Povolit kompresi na lince VPN, pokud chcete při přenosu komprimovat data. Touto možností zvýšíte rychlost přenosu, budou však intenzivněji využívány systémové prostředky.
  7. Zaškrtnutím možnosti Povolit klientům přístup k síti LAN povolíte klientům možnost přístupu k síti LAN serveru.
  8. Zaškrtnutím možnosti Povolit režim serveru IPv6 povolíte server OpenVPN pro odesílání adres IPv6. Nejdříve bude potřeba získat předponu prostřednictvím 6in4/6to4/DHCP-PD v části Ovládací panel > Síť > Síťové rozhraní. Poté vyberte předponu na této stránce.
  9. Nastavení aktivujete kliknutím na možnost Použít.

Poznámka:

  • Balíček VPN Server nepodporuje režim mostu pro připojení typu Site-to-Site.
  • Ověřte nastavení předávání portů a brány firewall na zařízení Synology NAS a směrovači a zajistěte, aby port UDP 1194 byl otevřený.
  • Pokud používáte grafické rozhraní OpenVPN v systému Windows Vista nebo Windows 7, pamatujte, že nástroj Řízení uživatelských účtů (UAC) je povolen již ve výchozím nastavení. Pokud je tato možnost povolena, je nutné pro bezproblémové připojení přes grafické rozhraní OpenVPN použít možnost Spustit jako správce.
  • Pokud povolíte režim serveru IPv6 v systému Windows s rozhraním OpenVPN GUI, mějte na paměti následující skutečnosti:
    1. Název rozhraní používaný serverem VPN nemůže obsahovat mezeru, např. název LAN 1 je nutné změnit na LAN1.
    2. Možnost redirect-gateway je nutné nastavit v souboru openvpn.ovpn na straně klienta. Pokud nechcete nastavit tuto možnost, měli byste nastavit server DNS pro rozhraní VPN ručně. Můžete použít Google IPv6 DNS: 2001:4860:4860::8888.

Postup exportování konfiguračního souboru:

Klikněte na položku Exportovat konfiguraci. OpenVPN umožňuje VPN serveru vydávat klientům certifikáty ověření. Exportovaný soubor je soubor zip, který obsahuje ca.crt (soubor certifikátu pro VPN server), openvpn.ovpn (konfigurační soubor pro klienta) a README.txt (jednoduché pokyny , jakým způsobem nastavit pro klienta připojení OpenVPN). Další informace najdete zde.

Poznámka:

  • Pokaždé, když se spustí server VPN, automaticky zkopíruje a použije certifikát zobrazený v nabídce Ovládací panel > Zabezpečení > Certifikát. Pokud potřebujete použít certifikát třetí osoby, importujte certifikát v nabídce Ovládací panel > Zabezpečení > Certifikát > Akce a restartujte server VPN.
  • Server VPN se automaticky restartuje pokaždé, když je upraven soubor certifikátu zobrazený v nabídce Ovládací panel > Zabezpečení > Certifikát.

L2TP/IPSec

Protokol L2TP (Layer 2 Tunneling Protocol) přes IPSec nabízí virtuálním privátním sítím vyšší zabezpečení a je podporován u většiny klientů (včetně Windows, Mac, Linux a mobilních zařízení). Další informace o protokolu L2TP najdete zde.

Poznámka:

  • Chcete-li protokol L2TP/IPSec používat, ověřte, zda je na zařízení Synology NAS nainstalován systém DSM 4.3 nebo novější.

Povolení L2TP/IPSec VPN serveru:

  1. Otevřete položku VPN Server a přejděte do části Nastavení > L2TP/IPSec na levém panelu.
  2. Zaškrtněte možnost Povolit server L2TP/IPSec VPN.
  3. Do pole Dynamická IP adresa zadejte virtuální IP adresu VPN serveru. Další informace najdete v části O dynamické IP adrese.
  4. Nastavením možnosti Maximální počet připojení omezíte počet souběžných připojení VPN.
  5. Nastavením možnosti Maximální počet připojení se stejným účtem omezíte počet souběžných připojení VPN se stejným účtem.
  6. Z rozevírací nabídky Ověřování vyberte některou z následujících možností pro ověřování klientů VPN:
    • PAP: Hesla klientů VPN nebudou při ověřování šifrována.
    • MS-CHAP v2: Hesla klientů VPN budou při ověřování šifrována pomocí Microsoft CHAP verze 2.
  7. Nastavením možnosti MTU (Maximum Transmission Unit, maximální přenosová jednotka) omezíte velikost datového paketu prostřednictvím sítě VPN.
  8. Zaškrtněte možnost Použít ruční DNS a zadejte IP adresu DNS serveru, který bude předávat DNS klientům L2TP/IPSec. Pokud je tato možnost zakázána, bude DNS server využívaný zařízením Synology NAS předáván klientům.
  9. Zadejte a potvrďte předsdílený klíč. Tento tajný klíč můžete získat od uživatele L2TP/IPSec VPN pro ověření připojení.
  10. Nastavení aktivujete kliknutím na možnost Použít.

Poznámka:

  • Pokud se připojujete k síti VPN, musí se nastavení ověřování a šifrování klientů VPN shodovat s nastaveními zadanými v rámci balíčku VPN Server. V opačném případě se klienti nebudou moci úspěšně připojovat.
  • Pro zajištění kompatibility s většinou klientů L2TP/IPSec v operačních systémech Windows, Mac OS, iOS a Android je výchozí hodnota MTU nastavena na 1400. Pro komplikovanější síťová prostředí může být požadována menší hodnota MTU. Pokuste se snížit velikost MTU, pokud neustále dochází k chybě časového limitu nebo připojení není stabilní.
  • Ověřte nastavení předávání portů a brány firewall na zařízení Synology NAS a směrovači a zajistěte, aby porty UDP 1701, 500 a 4500 byly otevřené.
  • Služba VPN L2TP nebo IPSec je již součástí některých směrovačů a porty 1701, 500 nebo 4500 mohou být obsazeny. Aby balíček VPN Server fungoval správně, bude pravděpodobně nutné vestavěnou službu L2TP nebo IPSec VPN zakázat prostřednictvím rozhraní pro správu směrovače, aby protokol L2TP/IPSec balíčku VPN Server fungoval. Doporučujeme, abyste použili směrovač, který podporuje připojení VPN pass-through.

O dynamické IP adrese

V závislosti na čísle zadaném v poli Dynamická IP adresa bude VPN Server při přiřazování IP adresy klientům VPN volit z rozsahu virtuálních IP adres. Pokud je například dynamická IP adresa VPN serveru nastavena na hodnotu „10.0.0.0“, může virtuální IP adresa klienta VPN mít rozsah od „10.0.0.1“ do „10.0.0.[maximální počet připojení]“ v případě protokolu PPTP a od „10.0.0.2“ do „10.0.0.255“ v případě OpenVPN.

Důležité upozornění:Před zadáním dynamické IP adresy VPN serveru nezapomínejte na tyto pokyny:

  1. Dynamické IP adresy povolené pro VPN server by měly být následující:
    • Od „10.0.0.0“ do „10.255.255.0“
    • Od „172.16.0.0“ do „172.31.255.0“
    • Od „192.168.0.0“ do „192.168.255.0“
  2. Zadaná dynamická IP adresa VPN serveru a přiřazené virtuální IP adresy pro klienty VPN by neměly kolidovat s IP adresami, které jsou v současnosti využívány v místní síti.

O nastavení brány klienta pro připojení VPN

Před připojením do místní sítě zařízení Synology NAS pomocí VPN budou klienti pravděpodobně muset změnit nastavení brány pro připojení VPN. V opačném případě nebude při navázání připojení VPN fungovat připojení k Internetu. Podrobnější informace najdete zde.