Центр знаний

Настройка VPN Server

С помощью пакета VPN Server можно легко преобразовать Synology NAS в VPN Server и разрешить пользователям удаленно осуществлять безопасный доступ к ресурсам, расположенным в локальной сети устройства Synology NAS. Благодаря интеграции протоколов VPN — PPTP, OpenVPN, L2TP/IPSec — VPN Server предоставляет возможности для установки и управления службами VPN в соответствии с вашими потребностями.

Примечание.

  • Включение службы VPN отразится на работе сети системы.
  • Установку и настройку VPN Server могут выполнять только administrators.

PPTP

PPTP (туннельный протокол типа точка-точка) — это широко используемое VPN-решение, поддерживаемое большинством клиентов (включая Windows, Mac, Linux и мобильные устройства). Дополнительные сведения о PPTP см. здесь.

Порядок включения VPN Server PPTP

  1. Откройте VPN Server и выберите PPTP на панели слева.
  2. Установите флажок Включить PPTP VPN Server.
  3. Укажите виртуальный IP-адрес сервера VPN Server в полях Динамический IP-адрес. Дополнительные сведения см. ниже в разделе Сведения о динамическом IP-адресе.
  4. Установите Максимальное число подключений, чтобы ограничить количество одновременных VPN-подключений.
  5. Настройте значение в поле Максимальное количество подключений для одной учетной записи, чтобы ограничить количество одновременных VPN-подключений для одной учетной записи.
  6. Для аутентификации VPN-клиентов выберите любой из следующих вариантов в раскрывающемся меню Проверка подлинности:
    • PAP. во время аутентификации пароль VPN-клиента не шифруется.
    • MS-CHAP v2: во время аутентификации пароль VPN-клиента шифруется по протоколу Microsoft CHAP версии 2.
  7. Если для аутентификации используется протокол MS-CHAP v2, то для шифрования VPN-подключения необходимо выбрать один из следующих вариантов в раскрывающемся меню Защита:
    • Без MPPE. VPN-подключение не будет защищено механизмом шифрования.
    • MPPE необязательно. подключение VPN будет или не будет защищено 40-разрядным или 128-разрядным механизмом шифрования в зависимости от настроек клиента.
    • MPPE обязательно. VPN-подключения будут защищены 40-разрядным или 128-разрядным механизмом шифрования в зависимости от настроек клиента.
  8. Установите значение MTU (наибольший размер передаваемых данных), чтобы ограничить размер пакетов данных, передаваемых по сети VPN.
  9. Установите флажок Использовать ручные настройки DNS и укажите IP-адрес сервера DNS Server для передачи DNS клиентам PPTP. Если этот параметр отключен, DNS Server, используемый устройством Synology NAS, будет передан клиентам.
  10. Нажмите Применить, чтобы изменения вступили в силу.

Примечание.

  • При подключении к VPN настройки аутентификации и шифрования клиентов VPN должны совпадать с настройками на VPN Server, в противном случае клиенты не смогут выполнить подключение.
  • По умолчанию для параметра MTU установлено значение «1400», так как это значение подходит для большинства клиентов PPTP таких операционных систем, как Windows, Mac OS, iOS и Android. Для более сложных сетевых сред может потребоваться меньшее значение MTU. Если постоянно появляется сообщение об ошибке превышения времени ожидания или подключение нестабильно, попробуйте уменьшить значение параметра MTU.
  • На устройстве Synology NAS и маршрутизаторе проверьте настройки переадресации портов и межсетевого экрана и убедитесь, что TCP-порт 1723 открыт.
  • Служба PPTP VPN встроена в некоторые маршрутизаторы, поэтому порт 1723 может быть занят. Для корректной работы VPN Server в интерфейсе управления маршрутизатором необходимо отключить встроенную службу PPTP VPN, чтобы обеспечить работу PPTP сервера VPN Server. Кроме того, некоторые старые маршрутизаторы блокируют протокол GRE (IP-протокол 47), и из-за этого происходят сбои VPN-подключений. Рекомендуется использовать маршрутизатор с поддержкой VPN pass-through.

OpenVPN

OpenVPN — это созданное на основе открытого исходного кода решение для внедрения службы VPN. Оно защищает VPN-подключения с помощью механизма шифрования SSL/TLS. Дополнительные сведения о OpenVPN см. здесь.

Порядок включения сервера OpenVPN VPN Server

  1. Откройте VPN Server и выберите OpenVPN на панели слева.
  2. Установите флажок Включить сервер OpenVPN.
  3. Укажите виртуальный внутренний IP-адрес сервера VPN Server в полях Динамический IP-адрес. Дополнительные сведения см. ниже в разделе Сведения о динамическом IP-адресе.
  4. Установите Максимальное число подключений, чтобы ограничить количество одновременных VPN-подключений.
  5. Настройте значение в поле Максимальное количество подключений для одной учетной записи, чтобы ограничить количество одновременных VPN-подключений для одной учетной записи.
  6. Задайте порт и протокол для передачи данных OpenVPN. Можно определить, к какому порту Synology NAS и через какой протокол пакеты данных пересылаются по VPN. По умолчанию: Порт UDP 1194.
    Примечание. Чтобы обеспечить правильную работу служб на Synology NAS, не назначайте тот же порт и протокол, что и для других служб Synology. Дополнительные сведения см. в этой статье.
  7. Настройте Шифрование в раскрывающемся меню для шифрования пакетов данных в VPN-туннелях.
  8. Настройте Аутентификацию в раскрывающемся меню для аутентификации клиентов VPN.
  9. Установите флажок Включить сжатие на подключении к VPN, если хотите сжимать данные во время передачи. Данный параметр повышает скорость передачи, но одновременно может увеличиться потребление системных ресурсов.
  10. Установите флажок Разрешить клиентам осуществлять доступ к локальной сети сервера, чтобы разрешить клиентам осуществлять доступ к локальной сети сервера.
  11. Установите флажок Включить режим сервера IPv6, чтобы открыть сервер OpenVPN для отправки адресов IPv6. Сначала необходимо получить префикс с помощью 6in4/6to4/DHCP-PD в пункте Панель управления > Сеть > Сетевой интерфейс. Затем выберите префикс на данной странице.
  12. Нажмите Применить, чтобы изменения вступили в силу.

Примечание.

  • VPN Server не поддерживает режим моста для подключений сайт-сайт.
  • На устройстве Synology NAS и маршрутизаторе проверьте настройки переадресации портов и межсетевого экрана и убедитесь, что UDP-порт 1194 открыт.
  • При использовании графического интерфейса OpenVPN на Windows Vista или Windows 7 обратите внимание, что UAC (Контроль учетных записей) включен по умолчанию. Если эта функция включена, для правильного подключения к графическому интерфейсу OpenVPN необходимо выбрать пункт меню Запуск от имени администратора.
  • При включении режима сервера IPv6 в Windows с помощью графического интерфейса OpenVPN обратите внимание на следующее:
    1. Имя интерфейса, используемое интерфейсом VPN, не должно содержать пробелов, например LAN 1 следует переименовать в LAN1.
    2. Параметр redirect-gateway должен быть задан в файле openvpn.ovpn file на стороне клиента. Если вы не хотите настраивать данный параметр, укажите DNS интерфейса VPN вручную. Можно использовать DNS IPv6 от Google: 2001:4860:4860::8888.

Порядок экспорта файла конфигурации

Нажмите Экспортировать конфигурацию. OpenVPN позволяет серверу VPN Server выдавать клиентам сертификаты аутентификации. Экспортированный файл — это файл zip, содержащий файлы openvpn.ovpn (файл конфигурации клиента) и README.txt (простые инструкции по настройке подключения OpenVPN для клиента). Дополнительные сведения см. здесь.

Примечание.

  • При каждом запуске VPN Server он автоматически копирует и использует сертификат, указанный в разделе Панель управления > Безопасность > Сертификат. Если нужно использовать сторонний сертификат, импортируйте его в разделе Панель управления > Безопасность > Сертификат > Добавить и перезапустите VPN Server.
  • VPN Server будет автоматически перезапускаться при каждом изменении файла сертификата в разделе Панель управления > Безопасность > Сертификат. Также потребуется экспортировать новый файл .opvn на все клиенты.

L2TP/IPSec

L2TP (туннельный протокол уровня 2) через IPSec предоставляет виртуальные частные сети с повышенным уровнем безопасности, поддерживаемые большинством клиентов (включая Windows, Mac, Linux и мобильные устройства). Дополнительные сведения о L2TP см. здесь.

Примечание.

  • Для использования L2TP/IPSec убедитесь, что на Synology NAS установлена версия DSM 4.3 или более поздняя.

Включение L2TP/IPSec VPN Server:

  1. Откройте VPN Server и выберите L2TP/IPSec на панели слева.
  2. Установите флажок Включить сервер L2TP/IPSec VPN Server.
  3. Укажите виртуальный IP-адрес сервера VPN Server в полях Динамический IP-адрес. Дополнительные сведения см. ниже в разделе Сведения о динамическом IP-адресе.
  4. Установите Максимальное число подключений, чтобы ограничить количество одновременных VPN-подключений.
  5. Настройте значение в поле Максимальное количество подключений для одной учетной записи, чтобы ограничить количество одновременных VPN-подключений для одной учетной записи.
  6. Для аутентификации VPN-клиентов выберите любой из следующих вариантов в раскрывающемся меню Проверка подлинности:
    • PAP. во время аутентификации пароль VPN-клиента не шифруется.
    • MS-CHAP v2: во время аутентификации пароль VPN-клиента шифруется по протоколу Microsoft CHAP версии 2.
  7. Установите значение MTU (наибольший размер передаваемых данных), чтобы ограничить размер пакетов данных, передаваемых по сети VPN.
  8. Установите флажок Использовать ручные настройки DNS и укажите IP-адрес сервера DNS Server для передачи DNS клиентам L2TP/IPSec. Если этот параметр отключен, DNS Server, используемый устройством Synology NAS, будет передан клиентам.
  9. Для максимальной производительности VPN выберите Запуск в режиме ядра.
  10. Введите и подтвердите общий ключ. Данный секретный ключ предоставляется пользователю VPN L2TP/IPSec для аутентификации подключения.
  11. Установите флажок Включить режим совместимости с SHA2-256 (96-разрядный), чтобы разрешить определенным клиентам (без поддержки стандарта RFC) использовать подключение L2TP/IPSec.
  12. Нажмите Применить, чтобы изменения вступили в силу.

Примечание.

  • При подключении к VPN настройки аутентификации и шифрования клиентов VPN должны совпадать с настройками на VPN Server, в противном случае клиенты не смогут выполнить подключение.
  • По умолчанию для параметра MTU установлено значение «1400», так как оно подходит для большинства клиентов L2TP/IPSec таких операционных систем, как Windows, Mac OS, iOS и Android. Для более сложных сетевых сред может потребоваться меньшее значение MTU. Если постоянно появляется сообщение об ошибке превышения времени ожидания или подключение нестабильно, попробуйте уменьшить значение параметра MTU.
  • На устройстве Synology NAS и маршрутизаторе проверьте настройки переадресации портов и межсетевого экрана и убедитесь, что UDP-порт 1701, 500 и 4500 открыт.
  • Служба L2TP или IPSec VPN встроена в некоторые маршрутизаторы, поэтому порты 1701, 500 или 4500 могут быть заняты. Для корректной работы VPN Server в интерфейсе управления маршрутизатором необходимо отключить встроенную службу L2TP или IPSec VPN, чтобы обеспечить работу L2TP/IPSec сервера VPN Server. Рекомендуется использовать маршрутизатор с поддержкой VPN pass-through.

Сведения о динамическом IP-адресе

В зависимости от числа, введенного в поле Динамический IP-адрес, VPN Server присвоит VPN-клиентам IP-адреса, выбрав их из диапазона виртуальных IP-адресов. Например, если для динамического IP-адреса сервера VPN Server задано значение «10.0.0.0», то виртуальный IP-адрес VPN-клиента может быть в диапазоне от «10.0.0.1» до «10.0.0.[максимальное число подключений]» для PPTP и в диапазоне от «10.0.0.2» до «10.0.0.255» для OpenVPN.

Важно! Прежде чем указывать динамический IP-адрес сервера VPN, учтите следующее.

  1. Динамические IP-адреса, разрешенные для сервера VPN Server, должны быть в одном из следующих диапазонов:
    • От «10.0.0.0» до «10.255.255.0»
    • От «172.16.0.0» до «172.31.255.0»
    • От «192.168.0.0» до «192.168.255.0»
  2. Указанные динамический IP-адрес сервера VPN Server и присвоенные клиентам VPN виртуальные IP-адреса не должны конфликтовать с IP-адресами, которые сейчас используются в вашей локальной сети.

Сведения о настройке клиентского шлюза для VPN-подключения

Прежде чем подключаться к локальной сети устройства Synology NAS по сети VPN, клиентам может понадобиться изменить настройки шлюза для VPN-подключения. В противном случае после установления VPN-соединения клиенты не смогут подключаться к Интернету. Дополнительные сведения см. здесь.

PPTP
OpenVPN
L2TP/IPSec