Centrum znalostí

Nastavení služby VPN Server

Pomocí balíčku VPN Server může zařízení Synology NAS snadno plnit funkci serveru VPN. Uživatelé tak mohou využívat vzdálený a zabezpečený přístup ke sdíleným prostředkům v rámci místní sítě zařízení Synology NAS. Díky integraci obvyklých protokolů VPN – PPTP, OpenVPN a L2TP/IPSec – nabízí balíček VPN Server možnosti založení a správy služeb VPN přesně podle vašich potřeb.

Poznámka:

  • Povolení služby VPN bude mít vliv na síťový výkon systému.
  • Instalovat a nastavit balíček VPN Server mohou pouze uživatelé administrator.

PPTP

PPTP (Point-to-Point Tunneling Protocol) je běžně používané řešení VPN podporované většinou klientů (včetně systému Windows, Mac i Linux a mobilních zařízení). Další informace o protokolu PPTP se nacházejí pod tímto odkazem.

Povolení serveru PPTP VPN:

  1. Otevřete možnost VPN Server a potom na levém panelu přejděte do části PPTP.
  2. Zaškrtněte možnost Povolit server PPTP VPN.
  3. Do pole Dynamická IP adresa zadejte virtuální IP adresu serveru VPN. Další informace se nacházejí v části O dynamické IP adrese níže.
  4. Nastavením možnosti Maximální počet připojení omezíte počet souběžných připojení VPN.
  5. Nastavením možnosti Maximální počet připojení se stejným účtem omezíte počet souběžných připojení VPN se stejným účtem.
  6. V rozevírací nabídce Ověřování vyberte některou z následujících možností ověřování klientů VPN:
    • PAP: Hesla klientů VPN se nebudou při ověřování šifrovat.
    • MS-CHAP v2: Hesla klientů VPN se budou při ověřování šifrovat pomocí funkce Microsoft CHAP verze 2.
  7. Pokud při ověřování používáte možnost MS-CHAP v2, vyberte v rozevírací nabídce Šifrování některou z následujících možností šifrování připojení VPN:
    • Bez MPPE: Připojení VPN nebude chráněno mechanismem šifrování.
    • Volitelný mechanismus MPPE: Připojení VPN bude nebo nebude zabezpečeno 40bitovým či 128bitovým mechanismem šifrování, a to podle nastavení klienta.
    • Vyžadovat mechanismus MPPE: Připojení VPN bude zabezpečeno 40bitovým či 128bitovým mechanismem šifrování, a to podle nastavení klienta.
  8. Nastavením možnosti MTU (Maximum Transmission Unit, maximální přenosová jednotka) omezíte velikost datového paketu vysílaného prostřednictvím sítě VPN.
  9. Zaškrtněte možnost Použít ruční DNS a zadejte IP adresu serveru DNS, který bude předávat službu DNS klientům PPTP. Pokud je tato možnost zakázána, bude se klientům předávat server DNS využívaný zařízením Synology NAS.
  10. Změny uplatníte kliknutím na možnost Použít.

Poznámka:

  • Pokud se připojujete k síti VPN, musí se nastavení ověřování a šifrování klientů VPN shodovat s nastaveními zadanými v rámci služby VPN Server. V opačném případě se klienti nebudou moci úspěšně připojit.
  • Kvůli zajištění kompatibility s většinou klientů PPTP v operačních systémech Windows, Mac OS, Mac iOS a Android je výchozí hodnota MTU nastavena na 1400. V komplikovanějších síťových prostředích může být nutná menší hodnota MTU. Pokud dochází neustále k chybě časového limitu nebo připojení nejsou stabilní, zkuste velikost MTU snížit.
  • Ověřte nastavení předávání portů a brány firewall na zařízení Synology NAS a na směrovači a přesvědčte se, že je otevřený port TCP 1723.
  • Do některých směrovačů je služba PPTP VPN vestavěná a port 1723 tak může být obsazen. Aby služba VPN Server fungovala správně, bude pravděpodobně nutné prostřednictvím rozhraní pro správu směrovače zakázat vestavěnou službu PPTP VPN, aby funkce PPTP služby VPN Server mohla fungovat. Kromě toho některé starší směrovače blokují protokol GRE (protokol IP 47), takže se připojení VPN nezdaří. Doporučujeme použít směrovač, který podporuje připojení VPN pass-through.

OpenVPN

OpenVPN je řešení typu open source pro službu VPN. Zabezpečuje připojení VPN pomocí šifrovacího mechanismu SSL/TLS. Další informace o protokolu OpenVPN se nacházejí pod tímto odkazem.

Povolení serveru VPN typu OpenVPN:

  1. Otevřete možnost VPN Server a potom na levém panelu přejděte do části OpenVPN.
  2. Zaškrtněte políčko Povolit server OpenVPN.
  3. Do pole Dynamická IP adresa zadejte virtuální interní IP adresu serveru VPN. Další informace se nacházejí v části O dynamické IP adrese níže.
  4. Nastavením možnosti Maximální počet připojení omezíte počet souběžných připojení VPN.
  5. Nastavením možnosti Maximální počet připojení se stejným účtem omezíte počet souběžných připojení VPN se stejným účtem.
  6. Nakonfigurujte PortProtokol pro přenos dat OpenVPN. Můžete stanovit, na který port zařízení Synology NAS a prostřednictvím jakého protokolu se datové pakety přes síť VPN předávají. Výchozí je port UDP 1194.
    Poznámka: Aby se zajistilo, že služby na zařízení Synology NAS budou fungovat správně, nepřiřazujte stejnou kombinaci portu a protokolu jako jiné služby Synology. Další informace se nachází v tomto článku.
  7. Jestliže chcete datové pakety v tunelech VPN zašifrovat, nakonfigurujte v rozevírací nabídce možnost Šifrování.
  8. Pokud chcete klienty VPN ověřovat, nakonfigurujte v rozevírací nabídce možnost Ověřování.
  9. Pokud chcete při přenosu komprimovat data, zaškrtněte políčko Povolit kompresi na lince VPN. Touto možností zvýšíte rychlost přenosu, bude však intenzivněji využívat systémové prostředky.
  10. Zaškrtnutím možnosti Povolit klientům přístup k síti LAN povolíte klientům přístup k síti LAN serveru.
  11. Zaškrtnutím možnosti Povolit režim serveru IPv6 povolíte serveru OpenVPN odesílat adresy IPv6. nejdříve bude potřeba získat prefix prostřednictvím 6in4/6to4/DHCP-PD v části Ovládací panel > Síť > Síťové rozhraní. Poté vyberte předponu na této stránce.
  12. Změny uplatníte kliknutím na možnost Použít.

Poznámka:

  • Služba VPN Server nepodporuje při připojení typu site-to-site režim mostu.
  • Ověřte nastavení předávání portů a brány firewall na zařízení Synology NAS a na směrovači a přesvědčte se, že je otevřený port UDP 1194.
  • Pokud používáte v systému Windows Vista nebo Windows 7 grafické uživatelské rozhraní služby OpenVPN, nezapomeňte, že nástroj Řízení uživatelských účtů (UAC) je podle výchozího nastavení povolen. Pokud je povolen, je podmínkou bezproblémového připojení pomocí grafického rozhraní OpenVPN použití možnosti Spustit jako správce.
  • Pokud v systému Windows s grafickým rozhraním OpenVPN povolíte režim serveru IPv6, mějte na paměti následující skutečnosti:
    1. Název rozhraní používaný funkcí VPN nesmí obsahovat mezeru, např. název LAN 1 je nutné změnit na LAN1.
    2. V souboru openvpn.ovpn na straně klienta je nutné nastavit možnost redirect-gateway. Pokud tuto možnost nechcete nastavit, musíte nastavit server DNS pro rozhraní VPN ručně. Možné je použít server Google IPv6 DNS: 2001:4860:4860::8888.

Export konfiguračního souboru:

Klikněte na možnost Exportovat konfiguraci. Protokol OpenVPN umožňuje serveru VPN vydávat klientům ověřovací certifikáty. Exportovaný soubor je soubor zip, který obsahuje soubor openvpn.ovpn (konfigurační soubor pro klienta) a README.txt (jednoduché pokyny, jak nastavit u klienta připojení OpenVPN). Další informace se nacházejí pod tímto odkazem.

Poznámka:

  • Pokaždé, když se spustí služba VPN Server, automaticky zkopíruje a použije certifikát zobrazený v nabídce Ovládací panel > Zabezpečení > Certifikát. Pokud potřebujete použít certifikát třetí osoby, importujte certifikát v části Ovládací panel > Zabezpečení > Certifikát > Přidat a službu VPN Server restartujte.
  • Služba VPN Server se automaticky restartuje pokaždé, když se změní soubor certifikátu zobrazený v části Ovládací panel > Zabezpečení > Certifikát. Budete také muset do všech klientů exportovat nový soubor .opvn.

L2TP/IPSec

Protokol L2TP (Layer 2 Tunneling Protocol) over IPSec nabízí virtuálním privátním sítím vyšší zabezpečení a podporuje ho většina klientů (včetně systémů Windows, Mac i Linux a mobilních zařízení). Další informace o protokolu L2TP se nachází pod tímto odkazem.

Poznámka:

  • Chcete-li používat protokol L2TP/IPSec, přesvědčte se, že je na zařízení Synology NAS nainstalovaný systém DSM 4.3 nebo novější.

Povolení serveru VPN L2TP/IPSec:

  1. Otevřete možnost VPN Server a na levém panelu přejděte do části L2TP/IPSec.
  2. Zaškrtněte možnost Povolit server L2TP/IPSec VPN.
  3. Do pole Dynamická IP adresa zadejte virtuální IP adresu serveru VPN. Další informace se nacházejí v části O dynamické IP adrese níže.
  4. Nastavením možnosti Maximální počet připojení omezíte počet souběžných připojení VPN.
  5. Nastavením možnosti Maximální počet připojení se stejným účtem omezíte počet souběžných připojení VPN se stejným účtem.
  6. V rozevírací nabídce Ověřování vyberte některou z následujících možností ověřování klientů VPN:
    • PAP: Hesla klientů VPN se nebudou při ověřování šifrovat.
    • MS-CHAP v2: Hesla klientů VPN se budou při ověřování šifrovat pomocí funkce Microsoft CHAP verze 2.
  7. Nastavením možnosti MTU (Maximum Transmission Unit, maximální přenosová jednotka) omezíte velikost datového paketu vysílaného prostřednictvím sítě VPN.
  8. Jestliže chcete klientům L2TP/IPSec předávat zprávy DNS, zaškrtněte možnost Použít ruční DNS a zadejte IP adresu serveru DNS. Pokud je tato možnost zakázána, bude se klientům předávat server DNS využívaný zařízením Synology NAS.
  9. Volbou možnosti Spustit v režimu kernel umožníte dosáhnout maximálního výkonu sítě VPN.
  10. Zadejte a potvrďte předsdílený klíč. Tento tajný klíč by měl dostat uživatel L2TP/IPSec VPN, aby se připojení ověřilo.
  11. Zaškrtnutím políčka Povolit režim kompatibility SHA2-256 (96bitový) povolíte některým klientům (neodpovídajícím standardu RFC) používat připojení L2TP/IPSec.
  12. Změny uplatníte kliknutím na možnost Použít.

Poznámka:

  • Pokud se připojujete k síti VPN, musí se nastavení ověřování a šifrování klientů VPN shodovat s nastaveními zadanými v rámci služby VPN Server. V opačném případě se klienti nebudou moci úspěšně připojit.
  • Kvůli zajištění kompatibility s většinou klientů L2TP/IPSec v operačních systémech Windows, Mac OS, Mac iOS a Android je výchozí hodnota MTU nastavena na 1400. V komplikovanějších síťových prostředích může být nutná menší hodnota MTU. Pokud dochází neustále k chybě časového limitu nebo připojení není stabilní, zkuste velikost MTU snížit.
  • Ověřte nastavení předávání portů a brány firewall na zařízení Synology NAS a na směrovači a přesvědčte se, že jsou otevřené porty UDP 1701, 500 a 4500.
  • Služba VPN L2TP nebo IPSec je již součástí některých směrovačů a porty 1701, 500 nebo 4500 tak mohou být obsazeny. Aby služba VPN Server fungovala správně, bude pravděpodobně nutné vestavěnou službu VPN L2TP nebo IPSec prostřednictvím rozhraní pro správu směrovače zakázat, aby funkce L2TP/IPSec služby VPN Server mohla fungovat. Doporučujeme použít směrovač, který podporuje připojení VPN pass-through.

O dynamické IP adrese

Při přiřazování IP adresy klientům VPN bude služba VPN Server volit z rozsahu virtuálních IP adres podle čísla zadaného v poli Dynamická IP adresa. Pokud je například dynamická IP adresa VPN serveru nastavena na hodnotu „10.0.0.0“, může mít virtuální IP adresa klienta VPN rozsah od „10.0.0.1“ do „10.0.0.[maximální počet připojení]“ v případě protokolu PPTP a od „10.0.0.2“ do „10.0.0.255“ v případě funkce OpenVPN.

Důležité upozornění: Než stanovíte dynamickou IP adresy serveru VPN, nezapomeňte na to, že :

  1. Dynamické IP adresy povolené pro server VPN musí být některé z těchto:
    • Od „10.0.0.0“ do „10.255.255.0“
    • Od „172.16.0.0“ do „172.31.255.0“
    • Od „192.168.0.0“ do „192.168.255.0“
  2. Zadaná dynamická IP adresa serveru VPN a přiřazené virtuální IP adresy pro klienty VPN by neměly kolidovat s IP adresami, které se v současnosti využívají v místní síti.

O nastavení brány klienta pro připojení VPN

Před připojením do místní sítě zařízení Synology NAS pomocí funkce VPN budou klienti pravděpodobně muset změnit nastavení brány pro připojení VPN. V opačném případě nebude při navázání připojení VPN fungovat připojení k internetu. Podrobnější informace se nachází pod tímto odkazem.

PPTP
OpenVPN
L2TP/IPSec