Ir ļoti ērti, piemēram, ar viedtālruni piekļūt mājas tīklam no jebkuras vietas. Piemēram, lai darbotos IoT ierīces, skatiet attēlus no IP kameras vai apiet reģionālos bloķējumus. Iestatot VPN serveri, vienā piegājienā droši atrodaties mājas tīklā. Nas parasti ir pietiekami jaudīgs, lai to izmantotu kā VPN serveri, it īpaši, ja jums nav nepieciešams lielākais ātrums. Šajā rakstā mēs parādīsim, kā to iestatīt un izmantot ar viedtālruni.
Ja jums mājās darbojas visu veidu skaistas lietojumprogrammas, agri vai vēlu jums vēlēsies tām piekļūt no viedtālruņa, planšetdatora vai klēpjdatora, atrodoties ceļā. Apsveriet, piemēram, mājas automatizāciju ar Home Assistant vai Domoticz, multivides straumēšanu ar Plex vai Emby, lejupielādes serveru izmantošanu vai vienkārši piekļuvi personīgajiem failiem. Jūs varat to sakārtot katrai lietojumprogrammai, parasti pārsūtot dažas ostas, taču šādas aizmugures durvis nav bez riska. Piemēram, daudzās lietojumprogrammās ir ievainojamība vai netiek izmantoti šifrēti savienojumi.
Šādas problēmas varat atrisināt ar vienu labi aizsargātu VPN savienojumu. VPN savienojums faktiski nodrošina papildu aizsardzības slāni papildus pašu lietojumprogrammu drošībai. Jūs varat arī nekavējoties izmantot visas programmas, kā esat pieradis mājās, un nav jāpielāgo to konfigurācija. Tas attiecas arī uz lietojumprogrammām, kuras parasti nevajadzētu izmantot, izmantojot internetu, piemēram, piekļuvi tīkla failiem (skatiet lodziņu "Piekļuve failiem, izmantojot internetu"). Mēs parādīsim, kā to panākt, izmantojot VPN serveri NAS no Synology vai QNAP.
Piekļūstiet failiem, izmantojot internetu
Jūsu deguns var būt jūsu tīkla centrālais krātuves punkts. Smb protokols tiek izmantots, lai piekļūtu failiem no Windows datora. Īpaši pirmā versija (smb 1.0) ir ļoti nedroša. Piemēram, ievainojamība izraisīja lielu WannaCry ransomware uzbrukumu. Operētājsistēmā Windows 10 tagad tā ir atspējota pēc noklusējuma, un daudzi pakalpojumu sniedzēji bloķē tcp 445. portu, kas tiek izmantots smb trafikai. Jāspēj izmantot interneta savienojums.
Microsoft to pašu dara arī pakalpojuma Azure Files koplietotajām mapēm. Tomēr tas ir neparasti, un mēs to neiesakām. Tas nav tikai uzticības jautājums. Daudzos tīklos darbojas vecākas, neaizsargātas ierīces. Pat nesenajā Synology NAS šķiet, ka smb 3.0 pēc noklusējuma ir atspējots. Arī ostu bloķēšana pie tādiem pakalpojumu sniedzējiem kā Ziggo var jums traucēt. Turklāt sniegums, izmantojot interneta savienojumus, bieži rada vilšanos. Pirmām kārtām jūs joprojām esat uzņēmīgs pret ievainojamību, lai gan tas joprojām attiecas uz jūsu vissvarīgākajiem datiem. Lai piekļūtu failiem tīklā, iesakām VPN savienojumu vai tādas alternatīvas kā mākoņa krātuve.
01 Kāpēc NAS?
Iespējams, ka jūsu tīklā jau ir dažas ierīces, kuras varat izmantot kā VPN serveri, piemēram, maršrutētājs. Jums nevajadzētu gaidīt nekādus veiktspējas brīnumus, un OpenVPN ne vienmēr tiek atbalstīts. Jūsu pašu serveris ir lieliska iespēja, taču tas nav visiem sasniedzams. Ja jums ir NAS, tā ir arī iespēja, ar papildu apstrādes jaudu un lielu lietošanas ērtumu. Gan Synology, gan QNAP atbalsta iestatīšanu kā VPN serveri pēc noklusējuma ar salīdzinoši vienkāršu konfigurāciju. Ja jums ir modelis ar procesoru, kas atbalsta AES-NI instrukciju kopu, jūs gūsiet labumu no ievērojami augstākas veiktspējas.
Veiktspēju var ietekmēt arī ar šifrēšanas un atslēgas lieluma algoritmu. Šajā pamatkursā mēs izvēlamies drošu kompromisu, kas ir pietiekams nedaudziem savienojumiem. Patiesais maksimālais ātrums var palikt nepieejams, taču lielākajai daļai lietojumprogrammu tas nav problēma, un vienmēr ir citi ierobežojoši faktori, piemēram, interneta savienojums.
02 Instalējiet lietojumprogrammu
Synology VPN serveris atbalsta PPTP, OpenVPN un L2TP / IPSec. Tikai pēdējie divi ir interesanti. Varat pēc izvēles iestatīt abus, taču šajā pamatkursā mēs aprobežojamies ar OpenVPN. Tas piedāvā labu veiktspēju un labu drošību, ar lielu brīvību konfigurācijā. Lai to instalētu, dodieties uz Iepakojumu centrs. Meklēt VPN serveris un instalējiet lietojumprogrammu. QNAP jūs atverat Lietotņu centrs un meklē tevi QVPN pakalpojums sadaļā Komunālie pakalpojumi. Papildus iepriekšminētajiem protokoliem šī lietojumprogramma atbalsta arī QBAP izstrādāto QBelt protokolu. QNAP lietojumprogrammu var izmantot arī kā VPN klientu, pievienojot profilus, ja NAS ir jāizmanto ārējs VPN serveris. Arī Synology to var izdarīt, jūs atradīsit zemāk esošo iespēju Tīkls iekš Vadības panelis.
03 Konfigurācija pie Synology
Atvērt VPN serveris un pieskarieties zem virsraksta Iestatiet VPN serveri ieslēgts OpenVPN. Atzīmējiet izvēles rūtiņu Iespējot OpenVPN serveri. Pielāgojiet konfigurāciju atbilstoši savām vēlmēm, piemēram, protokolam (udp vai tcp), portam un šifrējumam (skatiet lodziņu "OpenVPN protokols, ports un šifrēšana"). Tiek ieteikta droša opcija: AES-CBC ar 256 bitu atslēgu un SHA512 autentifikācijai. Esiet piesardzīgs, jo sarakstā ir arī nedrošas izvēles iespējas. Ar iespēju Atļaut klientiem piekļūt LAN serverim pārliecinieties, ka no sava VPN savienojuma varat piekļūt citām ierīcēm tajā pašā tīklā, kur ir nas. Ja jums tas neizdodas, varat izmantot tikai nas un lietojumprogrammas, kas dažreiz var būt pietiekami.
Variants Iespējot saspiešanu VPN saitē mēs dodam priekšroku to izslēgt. Pievienotā vērtība ir ierobežota, un dažu ievainojamību dēļ tā nav bez riska. Visbeidzot noklikšķiniet uz Pieteikties sekoja Eksportēt konfigurāciju lai izgūtu zip pakotni, ar kuru izveidosiet savienojumu vēlāk. Sadaļā Pārskats redzēsiet, ka OpenVPN ir iespējots. Vai jūs izmantojat ugunsmūri uz sava nas? Tad dodieties uz Vadības panelis / Drošība / Ugunsmūris un pievienojiet kārtulu, kas pieļauj trafiku VPN serverim.
04 Konfigurācija QNAP
QNAP NAS atveriet lietojumprogrammu QVPN pakalpojums un izvēlieties zem VPN serveris opcija OpenVPN. Atzīmējiet izvēles rūtiņu Iespējot OpenVPN serveri un pielāgojiet konfigurāciju atbilstoši jūsu vēlmēm. Tāpat kā Synology gadījumā, jūs varat brīvi iestatīt protokolu un portu. Pēc noklusējuma AES tiek izmantots šifrēšanai ar 128 bitu (noklusējums) vai 256 bitu atslēgu. Variants Iespējot saspiestu VPN savienojumu mēs izslēdzamies. Pēc tam noklikšķiniet uz Pieteikties. Pēc tam jūs varat lejupielādēt OpenVPN profilu, kurā ir arī sertifikāts. Mēs to izmantosim operētājsistēmā Android. zemāk Pārskats jūs varat redzēt, vai VPN serveris ir aktīvs, norādot arī citu informāciju, piemēram, pievienotos lietotājus.
OpenVPN protokols, ports un šifrēšana
OpenVPN var konfigurēt elastīgi. Vispirms kā protokolu var izmantot gan udp, gan tcp, priekšroku dodot udp, jo tas darbojas efektīvāk un ātrāk. TCP protokola "regulējošais" raksturs, visticamāk, darbosies pretēji nekā ar satiksmi pa VPN tuneli. Varat arī izvēlēties praktiski jebkuru ostu. Lietotājam udp pēc noklusējuma tas ir ports 1194. Diemžēl uzņēmumi bieži aizver šīs un citas ostas izejošās datplūsmas dēļ. Tomēr gandrīz vienmēr ir iespējama "normāla" vietnes trafika, izmantojot TCP porti 80 (http) un 443 (https). To var gudri izmantot.
Ja OpenVPN savienojumam izvēlaties TCP protokolu ar 443. portu, varat izveidot savienojumu, izmantojot gandrīz jebkuru ugunsmūri un starpniekserveri, taču zaudējot ātrumu. Ja jums ir greznība, varat iestatīt divus vpn serverus, vienu ar udp / 1194 un otru ar tcp / 443. Šifrēšanas ziņā AES-CBC ir visizplatītākā ar AES-GCM kā jaunu alternatīvu. 256 bitu atslēga ir norma, bet arī 128 vai 192 bitu atslēga ir ļoti droša. Līdz tālai nākotnei praktiski nav iespējams uzlauzt (labi izvēlētu) 128 bitu atslēgu. Tāpēc vēl garāka atslēga aizsardzības ziņā neko nedod, bet maksā vairāk skaitļošanas jaudas.
05 Lietotāju kontu piemērošana
Lai pieteiktos VPN serverī, ir nepieciešams arī lietotāja konts. Tas ir parasts lietotāja konts nas tīklā ar pareizām atļaujām izmantot VPN serveri. Programmā Synology visiem lietotājiem ir iespēja pēc noklusējuma izmantot VPN serveri. Pielāgojiet to savai vēlmei, ievadot VPN serveris uz Tiesības iet. QNAP jūs ieejat QVPN pakalpojums uz Privilēģiju iestatījumi. Šeit jūs manuāli pievienojat vēlamos vpn lietotājus no vietējiem lietotājiem uz nas.
06 Pēc rediģēšanas OpenVPN profils
Teksta redaktorā jums jāiet cauri OpenVPN profilam un vajadzības gadījumā jāveic korekcijas. Programmā Synology jūs paķerat ZIP failu (openvpn.zip) mapē, pēc kuras jūs rediģējat failu VPNConfig.ovpn var atvērt jūsu teksta redaktorā. Šeit jūs atradīsit līnijas tālvadības pulti YOUR_SERVER_IP 1194 un nedaudz tālāk proto udp. Tas norāda, kura porta numurs (1194) un protokols (udp), veidojot savienojumu. Vietā YOUR_SERVER_IP ievadiet mājas interneta savienojuma IP adresi, kas jau pēc noklusējuma ir ievadīta QNAP.
Vai interneta pieslēgumam mājās no interneta pakalpojumu sniedzēja nesaņemat fiksētu IP adresi, bet gan dinamisku un tāpēc mainīgu IP adresi? Tad laba alternatīva ir dinamiskais dns pakalpojums (ddns). Jūs to varat vienkārši iestatīt uz sava nas (skatiet lodziņu "Dinamiskā DNS pakalpojums jūsu nas") un pēc tam ievadiet adresi IP adreses vietā profilā (tas nenotiek automātiski). Izmantojot Synology, dinamiskais DNS ir īpaši noderīgs, jo pēc tam varat izmantot izveidoto servera sertifikātu, lai izveidotu savienojumu, atrisinātu sertifikāta problēmu.
Dinamisks DNS pakalpojums jūsu NAS
Izmantojot dinamisko-dns pakalpojumu (ddns), jūsu IP adrese tiek saglabāta un nodota ārējam serverim, kas nodrošina, ka izvēlētais resursdatora nosaukums vienmēr ir saistīts ar pareizo IP adresi. Jūs varat vienkārši palaist to uz deguna. Vietnē Synology to atradīsit sadaļā Vadības panelis / Attālā piekļuve. Vieglākais veids ir izvēlēties Synology kā (bezmaksas) pakalpojumu sniedzēju ar pieejamo resursdatora nosaukumu un domēna vārdu (mēs izvēlamies groensyn154.synology.me), ja vien kombinācija ir pieejama. Pēc izvēles varat iestatīt arī pielāgotu ddns nodrošinātāju. QNAP jūs dodaties uz Vadības panelis / tīkls un virtuālais slēdzis. Zem kausa Piekļuves pakalpojumi jūs atradīsit iespēju DDNS. Jūs varat iestatīt pielāgotu DDNS nodrošinātāju, kā arī pats konfigurēt un izmantot QNAP myQNAPcloud pakalpojumu. Vednis jūs iepazīstina ar iestatījumiem. Beigās jūs varat izvēlēties, kurus pakalpojumus iestatīt. Drošības apsvērumu dēļ jūs to varētu ierobežot tikai ar vienu DDNS izvēlēties.
07 Sertifikātu pievienošana
Izmantojot QNAP, autentifikācija, piesakoties VPN serverī, tiek veikta, pamatojoties tikai uz lietotājvārdu un paroli. Izmantojot Synology, jums nepieciešami arī divi klienta sertifikāti, lai izvairītos no savienojuma kļūdām, kas, protams, ir arī daudz drošāka. Jūs varat tos pievienot manuāli lietotnē, bet arī (tāpat kā mēs to darām šeit) iekļaut OpenVPN profilā. Mēs izmantojam ddns sertifikātu (mūsu piemērā pieder groensyn154.synology.me) abiem sertifikātiem. Lai to izdarītu, dodieties uz Vadības panelis / Drošība. Pieskarieties Konfigurēt un pārliecinieties, vai šis sertifikāts ir atlasīts aizmugurē VPN serveris. Aizveriet logu ar Atcelt. Ar peles labo pogu noklikšķiniet uz sertifikāta un izvēlieties Eksporta sertifikāts.
Izvelciet zip failu. Teksta redaktorā atveriet OpenVPN profilu. Apakšā redzat blokuar saturu apm. crt. Zem tā jūs pievienojat bloku kurā ievadāt cert.pem pārvietot. Pēc tam pievienojiet vēl vienu bloku kas satur privkey.pem. Izmantojot šo profilu, jūs varat izveidot savienojumu kopā ar lietotāja kontu savā nas.
08 Citas konfigurācijas opcijas
Jūs varat iestatīt vairāk opciju atbilstoši savām vēlmēm. Pirmais ir atkarīgs no jūsu lietošanas mērķa. Vai vēlaties izmantot VPN savienojumu tikai, lai piekļūtu savam mājas tīklam? Synology jums tas jāpārliecinās pirms rindas novirzīšanas-vārtejas def1 jūsu profilā iekavas (#), lai to uzskatītu par komentāru. Ja noņemsit atzīmi, visa datplūsma iet caur VPN tuneli, pat, piemēram, parastajām vietnēm, kuras apmeklējat. Izmantojot QNAP, tas ir servera iestatījums, tāpēc tas neietekmē profilu. Jūs to iestatījāt QVPN pakalpojums ar iespēju Izmantojiet šo savienojumu kā noklusējuma vārteju ārējām ierīcēm. Ja to ieslēdzat, visa datplūsma no VPN klienta notiks caur VPN tuneli. Vai vēlaties to pārbaudīt? Pēc tam ar pārlūkprogrammu apmeklējiet adresi //whatismyipaddress.com. Ja šeit ir norādīta jūsu publiskā IP adrese (jūsu interneta savienojums), jūs zināt, ka satiksme notiek caur tuneli.
09 Ostu pārsūtīšana maršrutētājā
Šajā pamatkursā mēs esam iestatījuši udp protokolu uz portu 1194 vpn serverim, un tas ir arī vienīgais trafiks, kas jums jāpārsūta no maršrutētāja uz nas, izmantojot porta pārsūtīšanas kārtulu. Vispirms ieteicams tīklā nosūtīt nas fiksētu IP adresi. Veids, kā jūs pievienojat šādu kārtulu, katram maršrutētājam atšķiras. Pats noteikums ir vienkāršs. Ienākošajā datplūsmā tiek izmantots udp protokols, un ports ir 1194. Ievadiet sava nas IP adresi kā galamērķi, un tagad ports ir 1194.
10 Piekļuve no viedtālruņa
VPN savienojuma izmantošana no viedtālruņa ir tikai neliels solis. Pārliecinieties, vai esat ārējā tīklā (piemēram, mobilajā tīklā), nevis savā WiFi tīklā, lai jūs faktiski izveidotu savienojumu no ārpuses. Kā norādīts, mēs izmantojam oficiālo OpenVPN Connect lietotni, kuru varat lejupielādēt no Google Play veikala vai iOS App Store. Varat savienot Android viedtālruni ar datoru, pēc kura OpenVPN profilu var nokopēt mapē Lejupielāde. Pēc tam importējiet profilu ar lietotni, izmantojot Import Profile / File. Izmantojot iPhone, varat izmantot iTunes vai nosūtīt sev OpenVPN profilu pa e-pastu un atvērt to OpenVPN lietotnē.
Ievadiet ar kontu saistīto lietotājvārdu un paroli. Tagad jūs varat izveidot savienojumu, pieskaroties profilam. Pēc tam jums būs piekļuve jūsu nas un mājas tīklam, ar kuru jūsu nas ir savienots.
Ierobežojumi, lietojot ipv6
Šajā rakstā mēs pieņemam, ka VPN serverim izmantojat nevis IPv6, bet gan IPv4 adresi. Dažās situācijās tā ir problēma. Piemēram, tādi interneta pakalpojumu sniedzēji kā Ziggo dažreiz klientiem vairs nepiešķir publisku ipv4 adresi. Šādā gadījumā ienākošos savienojumus ar savu VPN serveri var saņemt tikai caur ipv6. Un tā ir vēl viena problēma, ja vēlaties izveidot savienojumu ar viedtālruni no mobilā tīkla, jo ipv6 mobilajos savienojumos tiek piedāvāts tikai taupīgi.
