88收藏庫

八八論壇之後續

Synology VPN 電腦

Synology-設定 VPN Server

#IP, #L2TP, #NAS, #OpenVPN, #PPTP, #Server, #Synology, #VPN

設定 VPN Server

透過 Synology 的 VPN Server 套件,您可以讓 Synology NAS 搖身一變成為 VPN 伺服器,讓使用者安全地遠端存取 Synology NAS 區域網路內分享的資源。VPN Server 整合最常用的 VPN 通訊協定:PPTP、OpenVPN 與 L2TP/IPSec,提供您建立及管理 VPN 服務的多元選擇。

注意:

  • 啟動 VPN 服務會影響系統的網路效能。
  • 僅有屬於 administrators 的使用者能安裝及設定 VPN Server。

PPTP

PPTP (Point-to-Point Tunneling Protocol,點對點通道協議) 是常用的 VPN 解決方案,且大多數的用戶端 (包含 Windows、Mac、Linux 及行動裝置) 皆支援。若想了解更多 PPTP 的相關資訊,請參閱此處

若要啟動 PPTP VPN 伺服器:

  1. 開啟 VPN Server 並前往左側面板的 PPTP
  2. 勾選啟動 PPTP VPN 伺服器
  3. 動態 IP 位址欄位輸入 VPN 伺服器的虛擬 IP 位址。請參閱下方的關於動態 IP 位址來了解更多資訊。
  4. 設定最大連線數量來限制 VPN 連線的共同連線數量。
  5. 設定同一帳號最多連線數量來限制使用同一個帳號所進行 VPN 連線的共同連線數量。
  6. 認證下拉式選單中選擇下列任一項目來認證 VPN 用戶端:
    • PAP:認證過程中,將不加密 VPN 用戶端的密碼。
    • MS-CHAP v2:認證過程中,將使用 Microsoft CHAP version 2 加密 VPN 客戶端的密碼。
  7. 若您選擇 MS-CHAP v2 驗證,請從加密下拉式選單中選擇下列任一項目來加密 VPN 連線:
    • No MPPE:VPN 連線不會受到加密機制保護。
    • Optional MPPE:用戶端設定將決定 VPN 連線會 / 不會受到 40-bit 或 128-bit 加密機制保護。
    • Require MPPE:用戶端設定將決定 VPN 連線會受到 40-bit 或 128-bit 加密機制保護。
  8. 設定 MTU (最大傳輸單元) 來限制 VPN 網路傳輸的資料封包大小。
  9. 勾選手動設定 DNS 並指派 DNS 伺服器的 IP 位址來發送給 PPTP 用戶端。若停用此選項,則會將 Synology NAS 目前所使用的 DNS 伺服器發送給用戶端。
  10. 按一下套用來讓變更生效。

注意:

  • 連線至 VPN 時,VPN 用戶端的驗證及加密設定必須與 VPN Server 上的相同,否則用戶端將無法成功連線。
  • 為相容於運行在 Windows、Mac OS、iOS 與 Android 系統的大部分 PPTP 用戶端,預設的 MTU 值為 1400。若您的網路環境較為複雜,可能需要設定一個較小的 MTU 值。若您經常收到逾時訊息或連線不穩定,請降低 MTU 值。
  • 請檢查 Synology NAS 與路由器上的連接埠轉送規則與防火牆設定,確認 TCP 1723 埠已開啟。
  • 部分路由器內建 PPTP VPN 服務,因此可能已佔用 1723 連接埠。您需先透過路由器的管理介面關閉其內建的 PPTP VPN 服務,才能確保 VPN Server 上的 PPTP VPN 服務可以正常運作。此外,部分舊式路由器可能會封鎖 GRE 協定 (IP 協定 47),造成 VPN 連線失敗;建議使用支援 VPN pass-through 連線的路由器。

OpenVPN

OpenVPN 是開放原始碼的 VPN 服務解決方案,會以 SSL / TLS 加密機制保護 VPN 連線。如需更多 OpenVPN 的相關資訊,請參閱此處

若要啟動 OpenVPN VPN 伺服器:

  1. 開啟 VPN Server,前往左側面板的 OpenVPN
  2. 勾選啟動 OpenVPN 伺服器
  3. 動態 IP 位址欄位輸入 VPN 伺服器的虛擬內部 IP 位址。請參閱下方的關於動態 IP 位址來了解更多資訊。
  4. 設定最大連線數量來限制 VPN 連線的共同連線數量。
  5. 設定同一帳號最多連線數量來限制使用同一個帳號進行 VPN 連線的共同連線數量。
  6. 為 OpenVPN 資料傳輸設定連接埠通訊協定。您可以決定要將何種協定的資料封包透過 VPN 轉送至 Synology NAS 的哪個連接埠。預設值為 UDP 連接埠 1194
    注意:為確保 Synology NAS 上的服務可以正常運作,請避免將同樣的一組連接埠與通訊協定指派給其他 Synology 服務。請參閱此篇應用教學以了解更多資訊
  7. 加密下拉式選單中擇一,以加密 VPN 通道中的資料封包。
  8. 驗證下拉式選單中擇一,以驗證 VPN 用戶端。
  9. 若要在傳輸資料時壓縮資料,請勾選啟動 VPN 壓縮連線。此選項可提升傳輸速度,但可能會消耗較多系統資源。
  10. 勾選允許用戶端存取伺服器的區域網路來讓用戶端存取伺服器的區域網路。
  11. 勾選啟動 IPv6 伺服器模式來啟動 OpenVPN 伺服器,以傳送 IPv6 位址。您必須先在控制台 > 網路 > 網路介面中,透過 6in4/6to4/DHCP-PD 取得 Prefix,並在此頁面中選擇該 Prefix。
  12. 按一下套用來讓變更生效。

注意:

  • VPN Server 不支援站台對站台的橋接模式。
  • 請檢查 Synology NAS 與路由器上的連接埠轉送規則與防火牆設定,確認 UDP 1194 埠已開啟。
  • 在 Windows Vista 或 Windows 7 上執行 OpenVPN GUI 時,請注意,UAC (使用者帳戶控制) 預設為開啟。此設定開啟時,需使用以系統管理員身份執行選項來透過 OpenVPN GUI 進行連線。
  • 在 Windows 上透過 OpenVPN GUI 啟動 IPv6 伺服器模式時,請注意以下事項:
    1. VPN 所使用的介面名稱不可包含空格,例如:LAN 1 須變更為 LAN1
    2. 重新導向閘道 (redirect-gateway) 選項須由用戶端於 openvpn.ovpn 檔案中設定。若您不想設定此選項,應手動設定 VPN 介面的 DNS。您可以使用 Google IPv6 DNS:2001:4860:4860::8888

若要匯出設定檔:

按一下匯出設定檔。OpenVPN 讓 VPN 伺服器可發行憑證供用戶端使用。所匯出的檔案為 zip 壓縮檔,其中包含 ca.crt (VPN 伺服器的憑證檔案)、openvpn.ovpn (用戶端使用的設定檔案),以及 README.txt (用戶端如何設定 OpenVPN 連線的簡易說明)。如需更多資訊,請參閱此處

注意:

  • 每次啟動 VPN Server 時,便會自動複製、使用顯示於控制台 > 安全性 > 憑證之憑證。若您需使用第三方憑證,請到控制台 > 安全性 > 憑證 > 新增來匯入憑證,並重新啟動 VPN Server。
  • 每次修改憑證檔 (顯示於控制台 > 安全性 > 憑證) 後,VPN Server 將會自動重新啟動。

L2TP/IPSec

L2TP (Layer 2 Tunneling Protocol) over IPSec 提供更安全的虛擬私有網路,且大多數的用戶端 (如 Windows、Mac、Linux 及行動裝置) 皆支援。如需更多 L2TP 的相關資訊,請參閱此處

注意:

  • 若要使用 L2TP/IPSec,請確認您的 Synology NAS 搭載 DSM 4.3 或以上版本。

若要啟動 L2TP/IPSec VPN 伺服器:

  1. 開啟 VPN Server 並前往左側面板的 L2TP/IPSec
  2. 勾選啟動 L2TP/IPSec VPN 伺服器
  3. 動態 IP 位址欄位輸入 VPN 伺服器的虛擬 IP 位址。請參閱下方的關於動態 IP 位址來了解更多資訊。
  4. 設定最大連線數量來限制 VPN 連線的共同連線數量。
  5. 設定同一帳號最多連線數量來限制使用同一個帳號進行 VPN 連線的共同連線數量。
  6. 認證下拉式選單中選擇下列任一項目來認證 VPN 用戶端:
    • PAP:認證過程中,將不加密 VPN 用戶端的密碼。
    • MS-CHAP v2:認證過程中,將使用 Microsoft CHAP version 2 加密 VPN 客戶端的密碼。
  7. 設定 MTU (最大傳輸單元) 來限制 VPN 網路傳輸的資料封包大小。
  8. 勾選手動設定 DNS 並指派 DNS 伺服器的 IP 位址來發送給 L2TP/IPSec 用戶端。若停用此選項,則會將 Synology NAS 目前所使用的 DNS 伺服器發送給用戶端。
  9. 若要發揮 VPN 最大效能,選取執行核心 (kernel) 模式
  10. 輸入並確認預先共用金鑰。您應將此金鑰提供給 L2TP/IPSec VPN 使用者以驗證連線。
  11. 勾選啟動 SHA2-256 相容模式 (96 bit),以讓特定用戶端 (非 RFC 標準) 可以使用 L2TP/IPSec 連線。
  12. 按一下套用來讓變更生效。

注意:

  • 連線至 VPN 時,VPN 用戶端的驗證及加密設定必須與 VPN Server 上的設定相同,否則用戶端將無法成功進行連線。
  • 為相容於運行在 Windows、Mac OS、iOS 與 Android 系統的大部分 L2TP/IPSec 用戶端,預設的 MTU 值為 1400。若您的網路環境較為複雜,可能需要設定一個較小的 MTU 值。若您經常收到逾時訊息或連線不穩定,請降低 MTU 值。
  • 請檢查 Synology NAS 與路由器上的連接埠轉送規則與防火牆設定,以確認 UDP 1701、500、4500 埠已開啟。
  • 部分路由器內建 L2TP 或 IPSec VPN 服務,因此可能已佔用 1701、500 或 4500 連接埠。您需先透過路由器的管理介面關閉其內建的 L2TP 或 IPsec VPN 服務,才能確保 VPN Server 上的 L2TP/IPsec VPN 服務可以正常運作。建議使用支援 VPN pass-through 連線的路由器。

關於動態 IP 位址

VPN Server 會依據您在動態 IP 位址中輸入的數字,從虛擬 IP 位址範圍中選擇一個 IP 位址來分配給 VPN 用戶端使用。例如:若 VPN 伺服器的動態 IP 位址設定為「10.0.0.0」,則 PPTP VPN 用戶端的虛擬 IP 位址範圍為「10.0.0.1」至「10.0.0.[最大連線數量]」;OpenVPN 用戶端的虛擬 IP 位址範圍則為「10.0.0.2」至「10.0.0.255」。

重要事項:指定 VPN 伺服器的動態 IP 位址之前,請注意:

  1. VPN 伺服器可使用的動態 IP 位址必須為下列其一:
    • 從「10.0.0.0」至「10.255.255.0」
    • 從「172.16.0.0」至「172.31.255.0」
    • 從「192.168.0.0」至「192.168.255.0」
  2. 您指定的 VPN 伺服器動態 IP 位址以及指派給 VPN 用戶端的虛擬 IP 位址,皆不能與區域網路中任一已使用的 IP 位址衝突。

關於用戶端進行 VPN 連線時使用的閘道設定

使用 VPN 連線至 Synology NAS 的區域網路之,用戶端可能需要為 VPN 連線變更閘道器設定;否則,在 VPN 連線建立之後,它們可能會無法連線至網際網路。若要取得詳細資訊,請參閱此處

相關文章

AI IT 教室 科技 電腦

AI 熱潮下不可不知 10 個 AI 行內詞彙解釋

Window 儲存 電腦

Windows 放寬 FAT32 格式化限制 最大容量從 32GB 提升至 2TB

Window 硬件 軟件 電腦

Intel 第 13 、14 代處理器不穩定問題

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

您會喜歡的

圖片 開心天地

13張值得你細細咀嚼的諷刺圖片

修養 網絡小品 自由文壇

學會欣賞身邊的人

健康 生活 知識

蓋上厚被子 晚上睡得香?

健康 生活 知識

「四時不洗澡,家人才健康」:這4個時間不宜洗澡