Nastavení a konfigurace Synology NAS OpenVPN!

V tomto tutoriálu se podíváme na pokyny pro nastavení a konfiguraci zařízení Synology NAS OpenVPN.

Po mém nedávném tutoriálu Průvodce nastavením a konfigurací NAS Ultimate Synology jsem obdržel spoustu skvělé zpětné vazby od uživatelů, kteří se zajímali o bezpečný a bezpečný přístup ke svému NAS mimo jejich síť. Poslední rok jsem s OpenVPN používal aplikaci Synology VPN Server a neměl jsem vůbec žádné problémy. Mohu bezpečně přistupovat ke svému NAS kdekoli na světě a co je důležitější, kontroluji přístup.

Rychle vysvětlím, co dělá server VPN a různé typy konfigurací serveru VPN, ale pokud už to víte, můžete přeskočit dolů na pokyny k serveru OpenVPN pro zařízení Synology NAS.

1. Co je server VPN

VPN je virtuální privátní síť, která rozšiřuje vaši privátní síť na veřejnou síť. Laicky řečeno, umožňuje vám bezpečné připojení zpět k místní síti z vnější sítě. Existují dva typy sítí VPN:

1.1 Typy připojení VPN

Split-Tunnel VPN: Provoz je odesílán přes vaši síť pouze v případě, že se pokouší o přístup k internímu zdroji. Vaše IP adresa při navigaci na stránku mimo vaši síť bude IP adresou sítě, ve které se právě nacházíte.

VPN s úplným tunelem :Veškerý provoz je odesílán přes vaši domácí síť. Vaše IP adresa pro interní a externí požadavky budou vaše domácí sítě.

Níže jsem vytvořil velmi základní obrázek, který to vysvětluje, ale podíváme se na to, jak nakonfigurovat oba v pozdějších krocích. Je důležité si uvědomit, že oba typy připojení vám umožní přístup k místní síti. To pouze ukazuje, jak je provoz jinak směrován do externích sítí.

POZNÁMKA: Toto není přesný tok sítě. Zjednodušuji proces, jak jen mohu.

2. Nastavení Synology NAS OpenVPN – pokyny

1. Otevřete Balík Uprostřed a Instalovat VPN Server aplikace.

2. Otevřete aplikaci a přejděte na OpenVPN sekce.

3. Povolit OpenVPN Server . Pokud chcete, změňte rozsah dynamických IP adres a maximální vlastnosti připojení. Protože se snažíme přistupovat k našemu zařízení Synology NAS mimo naši síť, musíme povolit Povolit klientů pro přístup k síti LAN serveru . Zbytek může zůstat jako výchozí. Klikněte na Použít .

4. Přejděte na privilegium a ujistěte se, že uživatelský účet, se kterým se chcete připojit k VPN, má oprávnění pro OpenVPN .

3. Konfigurace brány Synology NAS OpenVPN Firewall

Náš server VPN je nyní nakonfigurován, ale musíme zajistit, aby náš firewall umožňoval přístup k portu UDP 1194. Pokud si nejste jisti, jak nakonfigurovat bránu Synology Firewall, můžete se dozvědět jak v našem Ultimate Synology NAS Setup &Configuration Guide.

5. Pokud používáte bránu firewall společnosti Synology, otevřete Ovládací prvek Panel , Zabezpečení a poté přejděte na Firewall a Upravit Pravidla .

6. Vytvořte Povolit pravidlo pro VPN Server (OpenVPN) aplikace, UDP port 1194 .

7. Po dokončení by pravidlo mělo být nad zamítnout vše pravidlo.

4. Přesměrování portů

Právě jsme nakonfigurovali bránu Synology tak, aby umožňovala připojení na portu UDP 1194 . Nyní potřebujeme předat port UDP port 1194 na našem routeru do našeho Synology NAS. Synology má funkci UPnP, která vašemu NAS umožňuje automaticky otevírat porty na vašem routeru. Pokud máte router kompatibilní s UPnP, je velmi snadné toto nastavit. O bezpečnosti UPnP se však hodně diskutuje, takže se tím v tomto tutoriálu nebudu zabývat. Pokud to chcete udělat tímto způsobem, můžete si přečíst článek nápovědy společnosti Synology zde.

Nyní bude přesměrování portů úplně jiné na stránce nastavení routeru každé značky. Toto je skvělý průvodce, který ukazuje, jak přesměrovat port na několika různých značkách směrovačů, ale nejlepší, co můžete udělat, je zkusit vygooglit název vašeho směrovače a přesměrování portů . Příklad:Přesměrování portu Netgear

Tento proces vyžaduje, abyste měli nastavenou statickou IP adresu. Pokud aktuálně nemáte nastavenou statickou IP adresu, přečtěte si, jak nastavit statickou IP adresu zde.

8. Vytvořte pravidlo přesměrování portů pro UDP port 1194 na IP adresu vašeho Synology NAS. V níže uvedeném příkladu je 192.168.1.220 IP adresa mého Synology NAS.

Za předpokladu, že se vám podařilo otevřít port UDP 1194 a úspěšně nakonfigurovat pravidlo brány firewall společnosti Synology, je nyní konfigurace portu dokončena!

5. Změny konfiguračního souboru Synology NAS OpenVPN

Nyní, když máme nakonfigurovaný náš server, musíme upravit náš konfigurační soubor. Než se pustíme do kroků, musíte se ujistit, že máte nakonfigurovaný DDNS. Většina lidí má dynamické externí IP adresy, takže je vyžadováno vytvoření názvu hostitele DDNS, protože musíte zajistit, že máte vždy přístup ke své externí IP adrese. Pokud chcete nakonfigurovat DDNS pomocí bezplatného názvu hostitele synology.me, postupujte podle pokynů společnosti Synology zde. Pokud byste chtěli používat DuckDNS, sepsal jsem návod, jak to můžete udělat zde. Pokud jste si naprosto jisti, že máte statickou externí IP adresu, která se nikdy nemění, nemusíte nastavovat DDNS. Jednoduše použijte svou externí IP adresu jako YOUR_SERVER_IP.

Je také důležité poznamenat, že poskytovatel DDNS je irelevantní, jen se musíte ujistit, že máte nakonfigurovaný název hostitele DDNS!

9. Otevřete Server VPN aplikaci a vyberte OpenVPN . Vyberte možnost Exportovat konfiguraci .

10. Rozbalte obsah složky. Budeme upravovat pouze soubor OpenVPN.ovpn, takže tento soubor otevřete v textovém editoru.

11. Ve výchozím nastavení obdržíte výchozí konfigurační soubor OpenVPN s jedinečným certifikátem ve spodní části. Tento dokument by neměl být sdílen s nikým jiným než s uživateli, které chcete ověřit pomocí vaší VPN. Musíme změnit položky níže, které jsou zvýrazněny růžově .

• IP VAŠEHO_SERVERU :Toto by měl být název hostitele DDNS, který jste nakonfigurovali.
• def1 přesměrovací brány :Toto určuje, zda konfigurujete VPN s rozděleným nebo plným tunelem. Pokud si nejste jisti, co byste chtěli, podívejte se na obrázek výše, abyste viděli rozdíly. Vytvořím dva samostatné konfigurační soubory (jeden pro split-tunel a jeden pro full-tunel) a podle situace použiji jeden nebo druhý. Chcete-li povolit úplný tunel, odstraňte znak „#“ (toto je symbol komentáře). Pouhým odstraněním symbolu komentáře povolíte VPN s celým tunelem. POZNÁMKA: Pokud používáte iPhone a máte iOS 7 nebo vyšší, budete muset přidat redirect-gateway ipv6 pod redirect-gateway def1.
• možnost dhcp :Pokud máte místní server DNS, který byste chtěli používat, můžete tam přidat IP adresu svého serveru DNS. Pokud nemáte místní DNS server, ponechte tento řádek bez komentáře. POZNÁMKA :Pokud nemáte nakonfigurovaný místní server DNS, OpenVPN bude ve výchozím nastavení používat veřejné záznamy DNS společnosti Google. To znamená, že nebudete mít přístup k žádným zdrojům místní sítě podle názvu hostitele, pouze podle IP adresy. Pokud byste chtěli nakonfigurovat místní DNS server, můžete se podívat na můj návod na Pi-hole zde. POZNÁMKA: Toto je velmi základní příklad toho, jak lze DNS používat.
• klient-cert-not-required :Tato možnost není ve výchozím nastavení přidána, ale měla by být přidána, pokud budete používat nové klienty OpenVPN (většina lidí bude). Pokud tuto možnost nepřidáte, zobrazí se při připojení chybová zpráva. I když můžete pokračovat přes chybovou zprávu, zabráníte tím výskytu chyby.

dev tun
tls-client
remote YOUR_SERVER_IP 1194
# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)
#float
# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
#redirect-gateway def1
#redirect-gateway ipv6 #REQUIRED for iOS 7 and above.
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
#dhcp-option DNS DNS_IP_ADDRESS
pull
# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp
script-security 2
comp-lzo
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-user-pass
client-cert-not-required
-----BEGIN CERTIFICATE-----
[YOUR CERTIFICATE WILL BE HERE. LEAVE THIS ALL AS DEFAULT]
-----END CERTIFICATE-----

12. Uložte konfigurační soubor a přidejte jej do všech zařízení, se kterými chcete otestovat připojení VPN. Normálně testuji připojení se svým mobilním telefonem, protože nemůžete být ve stejné síti jako váš server VPN. MUSÍTE to testovat z externí sítě (mobilní telefon/hotspot je skvělá volba).

6. Konfigurace a testování klienta Synology NAS OpenVPN

Nyní, když jsme vše nakonfigurovali, musíme otestovat naše připojení. Stáhněte si klienta OpenVPN do svého mobilního telefonu nebo do počítače, který se můžete připojit k jiné síti. Nezapomeňte, že k otestování musíte být připojeni k jiné síti.

13. Zde si stáhněte klientský software OpenVPN pro vaše zařízení.

14. Vyberte tlačítko Přidat ve spodní části a poté vyberte Soubor . Nyní byste měli být vyzváni k procházení .ovpn soubor, který jsme vytvořili dříve. Nahrajte soubor a poté se přihlaste svým uživatelským jménem a heslem DSM.

15. Nyní byste měli být schopni se připojit k vaší VPN.

16. Níže uvedu dva příklady. Nejprve jsem připojen k serveru VPN pomocí připojení rozděleného tunelu. Můžete vidět, že moje externí IP adresa je moje mobilní síť (protože přistupuji na externí webovou stránku).

17. Na tomto snímku obrazovky jsem připojen k serveru VPN pomocí připojení v celém tunelu. Moje externí IP adresa je mého ISP, protože veškerý provoz je směrován přes mou domácí síť.

Připojení VPN s rozděleným tunelem i s plným tunelem vám umožňují přístup k místním zdrojům, ale připojení VPN s plným tunelem byste měli používat, pokud se snažíte zabezpečit síťový provoz (například když jste na veřejné Wi-Fi) .

7. Konfigurace statické trasy – Nastavení Synology NAS OpenVPN

Tento krok není vyžadován, pokud nepotřebujete přistupovat k zařízením VPN z domácí sítě.

Vaše domácí síť a síť VPN budou v různých podsítích, což znamená, že vaše místní zařízení budou moci mluvit pouze se stroji v jejich podsíti (síť VPN uvidí obojí). Aby vaše místní síť mohla komunikovat s vaší sítí VPN (v mém případě 192.168.1.X a 10.5.0.X), bude nutné ve vašem routeru nakonfigurovat statickou cestu. Nemohu projít kroky nastavení, protože každý router je jiný, ale níže je snímek obrazovky statické trasy, kterou jsem nakonfiguroval. IP adresa brány bude IP adresa vašeho Synology NAS (protože tam běží vaše VPN). Podsíť 10.5.0.0/24 je místo, kde budete muset zadat rozsah IP, který používáte (jak je definováno v nastavení OpenVPN).

8. Nastavení Synology NAS OpenVPN – závěr

Byl to dlouhý tutoriál, který prošel mnoha kroky. Konfigurace serveru VPN společnosti Synology vám umožní bezpečné připojení k domácí síti a přístup k vašemu NAS a místním zdrojům. Také zcela obchází potřebu QuickConnect nebo vystavení vašeho NAS internetu (což je bezpečnostní riziko). Další výhodou je, že plné tunelové připojení VPN také zabezpečí vaše připojení na veřejných zařízeních Wi-Fi!

Je tu jedna věc, kterou chci zmínit, pokud jde o zabezpečení této VPN. Společnost Synology odvádí velmi špatnou práci, když umožňuje uživateli toto nakonfigurovat co nejbezpečněji S tím, jak je toto nakonfigurováno, technicky , jste vystaveni útoku typu man-in-the-middle. Je toho hodně, co se musí stát, abyste byli vystaveni tomuto typu útoku, ale chci zmínit, že je to oprávněná obava. Pokud je vaším hlavním zájmem úplné zabezpečení, podíval bych se na implementaci OpenVPN na Raspberry Pi nebo váš router (pokud je to možné). Na zařízení, na kterém běží OpenVPN, nezáleží, jen musí být schopno snadno nakonfigurovat certifikáty serveru/klienta.

Pokud máte nějaké dotazy, zanechte je prosím v komentářích! Pokud se vám obsah líbil, sdílejte ho!