晖NAS安装VPNServer套件三种服务协议设定
我们在晖nas⾥安装VPN Server 套件可以把我们的晖nas变成⼀个VPN服务器,我们可以安全的在远端存取Synology NAS 局
域⽹内分享的资源,晖的VPN server整合了常⽤的通讯协定: PPTP、OpenVPN 、 L2TP/IPSec,当我们启⽤了nas的vpn服务,会影域⽹内分享的资源,晖的VPN server整合了常⽤的通讯协定:
响系统的⽹络性能。
我们先来了解⼀下三种协议:
PPTP
PPTP (Point-to-Point Tunneling Protocol,点对点信道协议) 是常⽤的 VPN 解决⽅案,且⼤多数的客户端 (包含 Windows、Mac、Linux
及⾏动装置) 皆⽀持。
若要启动 PPTP VPN 服务器:
1、开启 VPN Server 并前往左侧⾯板的 PPTP。
2、勾选启动 PPTP VPN 服务器。
3、在动态 IP 地址字段输⼊ VPN 服务器的虚拟 IP 地址。请参阅下⽅的关于动态 IP 地址来了解更多信息。
4、设定最⼤联机数量来限制 VPN 联机的共同联机数量。
5、设定同⼀账号最多联机数量来限制使⽤同⼀个账号所进⾏ VPN 联机的共同联机数量。
6、从认证下拉式选单中选择下列任⼀项⽬来认证 VPN 客户端:
PAP:认证过程中,将不加密 VPN 客户端的密码。
MS-CHAP v2:认证过程中,将使⽤ Microsoft CHAP version 2 加密 VPN 客户端的密码。
7、若您选择 MS-CHAP v2 验证,请从加密下拉式选单中选择下列任⼀项⽬来加密 VPN 联机:
No MPPE:VPN 联机不会受到加密机制保护。
Optional MPPE:客户端设定将决定 VPN 联机会 / 不会受到 40-bit 或 128-bit 加密机制保护。
Require MPPE:客户端设定将决定 VPN 联机会受到 40-bit 或 128-bit 加密机制保护。
8、设定 MTU (最⼤传输单元) 来限制 VPN ⽹络传输的数据封包⼤⼩。
ssl协议未开启的危害9、勾选⼿动设定 DNS 并指派 DNS 服务器的 IP 地址来发送给 PPTP 客户端。若停⽤此选项,则会将 Synology NAS ⽬前所使⽤的 DNS 服
务器发送给客户端。
10、单击套⽤来让变更⽣效。
注意:
联机⾄ VPN 时,VPN 客户端的验证及加密设定必须与 VPN Server 上的相同,否则客户端将⽆法成功联机。
为兼容于运⾏在 Windows、Mac OS、iOS 与 Android 系统的⼤部分 PPTP 客户端,预设的 MTU 值为 1400。若您的⽹络环境较为复杂,可能需要设定⼀个较⼩的 MTU 值。若您经常收到逾时讯息或联机不稳定,请降低 MTU 值。
请检查 Synology NAS 与路由器上的端⼝转送规则与防⽕墙设定,确认 TCP 1723 端⼝已开启。
部分路由器内建 PPTP VPN 服务,因此可能已占⽤ 1723 端⼝。您需先透过路由器的管理接⼝关闭其内建的 PPTP VPN 服务,才能确保 VPN Server 上的 PPTP VPN 服务可以正常运作。此外,部分旧式路由器可能会封锁 GRE 协议 (IP 协议 47),造成 VPN 联机失败;建议使⽤⽀持VPN pass-through 联机的路由器。
OpenVPN
OpenVPN 是开放原始码的 VPN 服务解决⽅案,会以 SSL / TLS 加密机制保护 VPN 联机。
若要启动 OpenVPN VPN 服务器:
1、开启 VPN Server,前往左侧⾯板的 OpenVPN。
2、勾选启动 OpenVPN 服务器。
3、在动态 IP 地址字段输⼊ VPN 服务器的虚拟内部 IP 地址。请参阅下⽅的关于动态 IP 地址来了解更多信息。
4、设定最⼤联机数量来限制 VPN 联机的共同联机数量。
5、设定同⼀账号最多联机数量来限制使⽤同⼀个账号进⾏ VPN 联机的共同联机数量。
6、为 OpenVPN 数据传输设定端⼝与通讯协议。您可以决定要将何种协议的数据封包透过 VPN 转送⾄ Synology NAS 的哪个端⼝。默认值为UDP 端⼝ 1194
注意:为确保 Synology NAS 上的服务可以正常运作,请避免将同样的⼀组端⼝与通讯协议指派给其他 Synology 服务。请参阅此篇应⽤教学注意:
以了解更多信息。
7、在加密下拉式选单中择⼀,以加密 VPN 信道中的数据封包。
8、在验证下拉式选单中择⼀,以验证 VPN 客户端。
9、若要在传输数据时压缩数据,请勾选启动 VPN 压缩联机。此选项可提升传输速度,但可能会消耗较多系统资源。
10、勾选允许客户端存取服务器的局域⽹络来让客户端存取服务器的局域⽹络。
11、勾选启动 IPv6 服务器模式来启动 OpenVPN 服务器,以传送 IPv6 地址。您必须先在控制⾯板 > ⽹络 > ⽹络接⼝中,透过
6in4/6to4/DHCP-PD 取得 Prefix,并在此页⾯中选择该 Prefix。
12、单击套⽤来让变更⽣效。
注意:
VPN Server 不⽀持站台对站台的桥接模式。
请检查 Synology NAS 与路由器上的端⼝转送规则与防⽕墙设定,确认 UDP 1194 端⼝已开启。
在 Windows Vista 或 Windows 7 上执⾏ OpenVPN GUI 时,请注意,UAC (⽤户帐户控制) 预设为开启。
此设定开启时,需使⽤以系统管理员⾝份执⾏选项来透过 OpenVPN GUI 进⾏联机。
在 Windows 上透过 OpenVPN GUI 启动 IPv6 服务器模式时,请注意以下事项:
VPN 所使⽤的接⼝名称不可包含空格,例如:LAN 1 须变更为 LAN1。
重新导向⽹关 (redirect-gateway) 选项须由客户端于 openvpn.ovpn 档案中设定。若您不想设定此选项,应⼿动设定 VPN 接⼝的 DNS。您可以使⽤ Google IPv6 DNS:2001:4860:4860::8888。
若要汇出配置⽂件:
单击汇出配置⽂件。OpenVPN 让 VPN 服务器可颁发证书供客户端使⽤。所汇出的档案为 zip 压缩⽂件,其中包含 ca.crt (VPN 服务器的凭证档案)、openvpn.ovpn (客户端使⽤的配置⽂件案),以及 (客户端如何设定 OpenVPN 联机的简易说明)。
注意:
每次启动 VPN Server 时,便会⾃动复制、使⽤显⽰于控制⾯板 > 安全性 > 凭证之凭证。若您需使⽤第三⽅凭证,请到控制台 > 安全性 > 凭证> 新增来汇⼊凭证,并重新启动 VPN Server。
每次修改凭证⽂件 (显⽰于控制⾯板 > 安全性 > 凭证) 后,VPN Server 将会⾃动重新启动。
L2TP/IPSec
L2TP (Layer 2 Tunneling Protocol) over IPSec 提供更安全的虚拟私有⽹络,且⼤多数的客户端 (如 Windows、Mac、Linux 及⾏动装置)皆⽀持。
若要启动 L2TP/IPSec VPN 服务器:
1、开启 VPN Server 并前往左侧⾯板的 L2TP/IPSec。
2、勾选启动 L2TP/IPSec VPN 服务器。
3、在动态 IP 地址字段输⼊ VPN 服务器的虚拟 IP 地址。请参阅下⽅的关于动态 IP 地址来了解更多信息。
4、设定最⼤联机数量来限制 VPN 联机的共同联机数量。
5、设定同⼀账号最多联机数量来限制使⽤同⼀个账号进⾏ VPN 联机的共同联机数量。
6、从认证下拉式选单中选择下列任⼀项⽬来认证 VPN 客户端:
PAP:认证过程中,将不加密 VPN 客户端的密码。
MS-CHAP v2:认证过程中,将使⽤ Microsoft CHAP version 2 加密 VPN 客户端的密码。
7、设定 MTU (最⼤传输单元) 来限制 VPN ⽹络传输的数据封包⼤⼩。
8、勾选⼿动设定 DNS 并指派 DNS 服务器的 IP 地址来发送给 L2TP/IPSec 客户端。若停⽤此选项,则会将 Synology NAS ⽬前所使⽤的DNS 服务器发送给客户端。
9、若要发挥 VPN 最⼤效能,选取执⾏核⼼ (kernel) 模式。
10、输⼊并确认预先共享密钥。您应将此密钥提供给 L2TP/IPSec VPN 使⽤者以验证联机。
11、勾选启动 SHA2-256 兼容模式 (96 bit),以让特定客户端 (⾮ RFC 标准) 可以使⽤ L2TP/IPSec 联机。
12、单击套⽤来让变更⽣效。
注意:
联机⾄ VPN 时,VPN 客户端的验证及加密设定必须与 VPN Server 上的设定相同,否则客户端将⽆法成功进⾏联机。
为兼容于运⾏在 Windows、Mac OS、iOS 与 Android 系统的⼤部分 L2TP/IPSec 客户端,预设的 MTU 值为 1400。若您的⽹络环境较为复杂,可能需要设定⼀个较⼩的 MTU 值。若您经常收到逾时讯息或联机不稳定,请降低 MTU 值。
请检查 Synology NAS 与路由器上的端⼝转送规则与防⽕墙设定,以确认 UDP 1701、500、4500 端⼝已开启。
部分路由器内建 L2TP 或 IPSec VPN 服务,因此可能已占⽤ 1701、500 或 4500 端⼝。您需先透过路由器的管理接⼝关闭其内建的 L2TP 或IPsec VPN 服务,才能确保 VPN Server 上的 L2TP/IPsec VPN 服务可以正常运作。建议使⽤⽀持 VPN pass-through 联机的路由器。
关于动态 IP 地址
VPN Server 会依据您在动态 IP 地址中输⼊的数字,从虚拟 IP 地址范围中选择⼀个 IP 地址来分配给 VPN 客户端使⽤。例如:若 VPN 服务器的动态 IP 地址设定为「10.0.0.0」,则 PPTP VPN 客户端的虚拟 IP 地址范围为「10.0.0.1」⾄「10.0.0.[最⼤联机数量]」;OpenVPN 客户端的虚拟 IP 地址范围则为「10.0.0.2」⾄「10.0.0.255」。
重要事项:
重要事项:指定 VPN 服务器的动态 IP 地址之前,请注意:
1、VPN 服务器可使⽤的动态 IP 地址必须为下列其⼀:
从「10.0.0.0」⾄「10.255.255.0」
从「172.16.0.0」⾄「172.31.255.0」
从「192.168.0.0」⾄「192.168.255.0」
2、您指定的 VPN 服务器动态 IP 地址以及指派给 VPN 客户端的虚拟 IP 地址,皆不能与局域⽹络中任⼀已使⽤的 IP 地址冲突。
关于客户端进⾏ VPN 联机时使⽤的⽹关设定
使⽤ VPN 联机⾄ Synology NAS 的局域⽹络之,客户端可能需要为 VPN 联机变更⽹关设定;否则,在 VPN 联机建⽴之后,它们可能会⽆法联机⾄因特⽹。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论