Väga mugav on näiteks nutitelefoniga pääseda koduvõrku kõikjalt. Näiteks Interneti-seadmete kasutamiseks saate vaadata pilte IP-kaamerast või mööda piirkondlikest blokeeringutest. VPN-serveri seadistamise kaudu olete ühe korraga turvaliselt koduvõrgus. Nas on tavaliselt piisavalt võimas kasutamiseks VPN-serverina, eriti kui te ei vaja suurimat kiirust. Selles artiklis me näitame teile, kuidas seda seadistada ja nutitelefoniga kasutada.
Kui teil töötab kodus igasuguseid ilusaid rakendusi, soovite varem või hiljem liikvel olles neile juurde pääseda nutitelefonist, tahvelarvutist või sülearvutist. Mõelge näiteks koduautomaatikale Home Assistanti või Domoticziga, meedia voogesituse Plexi või Embyga, allalaadimisserverite kasutamisele või lihtsalt juurdepääsule isiklikele failidele. Selle saate korraldada iga rakenduse jaoks, edastades tavaliselt mõne pordi, kuid sellised tagauksed pole riskideta. Näiteks sisaldavad paljud rakendused haavatavusi või ei kasuta krüptitud ühendusi.
Selliseid probleeme saate lahendada ühe hästi turvatud VPN-ühendusega. VPN-ühendus pakub rakenduste endi turvalisuse kõrval tegelikult täiendava kaitsekihi. Kõiki rakendusi saate ka kohe kasutada, nagu olete kodus harjunud, ja ilma et peaksite nende konfiguratsiooni kohandama. See kehtib ka rakenduste kohta, mida tavaliselt ei tohiks Interneti kaudu kasutada, näiteks juurdepääs võrgufailidele (vt kasti "Failidele juurdepääs Interneti kaudu"). Näitame teile, kuidas seda saavutada Synology või QNAP-i NAS-i VPN-serveriga.
Juurdepääs failidele Interneti kaudu
Teie nas võib olla teie võrgu keskne salvestuspunkt. Smb-protokolli kasutatakse failide juurde pääsemiseks Windowsi arvutist. Eriti esimene versioon (smb 1.0) on väga ohtlik. Näiteks käivitas haavatavus suure WannaCry lunavara rünnaku. Windows 10-s on see nüüd vaikimisi keelatud ja paljud teenusepakkujad blokeerivad smb-liikluse jaoks kasutatava TCP-pordi 445. Peaks olema võimalus kasutada Interneti-ühendust.
Microsoft teeb sama ka teenuse Azure Files jagatud kaustade puhul. Sellegipoolest on see ebatavaline ja me ei soovita seda. See pole mitte ainult usaldusküsimus. Paljud võrgud töötavad vanemate, haavatavate seadmetega. Isegi hiljutisel Synology NAS-il on smb 3.0 vaikimisi keelatud. Samuti võib teid häirida sadamate blokeerimine selliste pakkujate juures nagu Ziggo. Lisaks on Interneti-ühenduse kaudu toimivus sageli pettumust valmistav. Eelkõige olete endiselt vastuvõtlik haavatavustele, kuigi see puudutab endiselt teie kõige kriitilisemaid andmeid. Võrgu failidele juurdepääsemiseks soovitame VPN-ühendust või alternatiive, näiteks pilvemälu.
01 Miks just NAS?
Võimalik, et teie võrgus on juba mõni seade, mida saate kasutada VPN-serverina, näiteks ruuter. Te ei tohiks oodata mingeid jõudluse imesid ja OpenVPN-i ei toetata alati. Teie enda server on suurepärane võimalus, kuid see pole kõigile jõukohane. Kui teil on NAS, on see ka võimalus, millel on täiendav töötlemisvõimsus ja palju kasutusmugavust. Nii Synology kui ka QNAP toetavad suhteliselt lihtsa seadistusega vaikimisi VPN-serverina seadistamist. Kui teil on protsessoriga mudel, mis toetab AES-NI käskude komplekti, saate kasu oluliselt suuremast jõudlusest.
Toimivust saate mõjutada ka krüptimise ja võtme suuruse algoritmiga. Sellel põhikursusel valime ohutu kompromissi, mis on piisav käputäie ühenduste jaoks. Tõeline tippkiirus võib jääda kättesaamatuks, kuid enamiku rakenduste jaoks pole see probleem ja alati on muid piiravaid tegureid, näiteks Interneti-ühendus.
02 Installige rakendus
Synology VPN-server toetab PPTP, OpenVPN ja L2TP / IPSec. Ainult kaks viimast on huvitavad. Võite soovi korral määrata mõlemad, kuid sellel põhikursusel piirdume OpenVPN-iga. See pakub head jõudlust ja head turvalisust, konfiguratsioonis on palju vabadust. Selle installimiseks minge aadressile Pakendikeskus. Otsing VPN-server ja installige rakendus. QNAP-is avate Rakenduskeskus ja otsi sind QVPN-teenus jaotises Utiliidid. Lisaks ülaltoodud protokollidele toetab see rakendus ka QNAP-i välja töötatud QBelt-protokolli. QNAP-rakendust saate kasutada ka VPN-kliendina, lisades profiile, kui NAS peab kasutama välist VPN-serverit. Ka Synology suudab seda teha, leiate allpool oleva võimaluse Võrk aastal Kontrollpaneel.
03 Konfiguratsioon sünoloogias
Avatud VPN-server ja koputage pealkirja all Seadistage VPN-server peal OpenVPN. Märkige ruut Luba OpenVPN-server. Kohandage konfiguratsioon vastavalt oma eelistustele, näiteks protokoll (udp või tcp), port ja krüptimine (vt kasti "OpenVPN-i protokoll, port ja krüptimine"). Soovitatakse turvalist valikut: 256-bitise võtmega AES-CBC ja autentimiseks SHA512. Olge ettevaatlik, sest loendis on ka ebaturvalisi valikuid. Valikuga Luba klientidel juurdepääs LAN-serverile veenduge, et pääseksite oma VPN-ühenduse kaudu juurde teistele samas võrgus olevatele seadmetele nagu nas. Kui teil seda ei õnnestu, saate kasutada ainult nasi ja sellel asuvaid rakendusi, millest mõnikord võib piisata.
Valik Luba tihendamine VPN-lingil eelistame selle välja lülitada. Lisaväärtus on piiratud ja see ei ole teatud haavatavuste tõttu riskideta. Lõpuks klõpsake nuppu Taotlema järgneb Ekspordi konfiguratsioon hiljem pakutava ZIP-paketi hankimiseks. Ülevaates näete, et OpenVPN on lubatud. Kas kasutate oma nina tulemüüri? Siis minge Juhtpaneel / Turvalisus / tulemüür ja lisage reegel, mis lubab VPN-serveri liiklust.
04 Konfigureerimine QNAP-is
QNAP NAS-is avage rakendus QVPN-teenus ja valige all VPN-server valik OpenVPN. Märkige ruut Luba OpenVPN-server ja kohandage konfiguratsioon vastavalt oma eelistustele. Nagu Synology puhul, saate ka protokolli ja pordi vabalt seada. Vaikimisi kasutatakse AES-i krüptimiseks 128-bitise (vaikimisi) või 256-bitise võtmega. Valik Luba tihendatud VPN-ühendus lülitame välja. Seejärel klõpsake nuppu Taotlema. Pärast seda saate alla laadida OpenVPN-i profiili, mis sisaldab ka sertifikaati. Kasutame seda Androidi all. allpool Ülevaade näete, kas VPN-server on aktiivne, koos muude üksikasjadega, näiteks ühendatud kasutajatega.
OpenVPN-i protokoll, port ja krüptimine
OpenVPN-i saab paindlikult konfigureerida. Alustuseks võib protokollidena kasutada nii udp kui ka tcp, kusjuures eelistatum on udp, kuna see töötab tõhusamalt ja kiiremini. TCP-protokolli "reguleeriv" olemus töötab tõenäolisemalt kui VPN-tunneli kaudu liikluse korral. Võite valida ka praktiliselt iga pordi. UDP jaoks on see vaikimisi port 1194. Kahjuks sulgevad ettevõtted väljuva liikluse jaoks sageli need ja muud pordid. Kuid "tavaline" veebisaidi liiklus on peaaegu alati võimalik TCP-porti 80 (http) ja 443 (https) kaudu. Saate seda nutikalt kasutada.
Kui valite OpenVPN-ühenduse jaoks portiga 443 TCP-protokolli, saate ühenduse luua peaaegu iga tulemüüri ja puhverserveri kaudu, kuid kiiruse kadumisel. Kui teil on luksust, võite seadistada kaks vpn-serverit, ühe udp / 1194 ja teise tcp / 443. Krüptimise osas on AES-CBC kõige levinum alternatiivina AES-GCM. 256-bitine võti on norm, kuid ka 128- või 192-bitine võti on väga turvaline. Kuni kaugesse tulevikku on praktiliselt võimatu (hästi valitud) 128-bitist võtit murda. Seetõttu lisab veelgi pikem võti kaitse mõttes vähe, kuid maksab rohkem arvutusvõimsust.
05 Kasutajakontode sobivaks muutmine
Kasutajakonto on vajalik ka VPN-serverisse sisselogimiseks. See on nas tavaline kasutajakonto, millel on õigused VPN-serveri kasutamiseks. Synologias on kõigil kasutajatel võimalus vaikimisi kasutada VPN-serverit. Sisestage see vastavalt oma eelistustele VPN-server kuni Õigused minema. QNAP-is lähete sisse QVPN-teenus kuni Privileegi seaded. Siia lisate soovitud vpn-kasutajad käsitsi kohalikelt kasutajatelt nas.
06 Pärast redigeerimist OpenVPN-i profiil
Tekstiredaktoris peate läbima OpenVPN-i profiili ja tegema vajaduse korral muudatusi. Synologias haarate zip-faili (openvpn.zip) kaustas, mille järel faili redigeerite VPNConfig.ovpn saab avada teie tekstiredaktoris. Siit leiate liini kaugjuhtimispuldi YOUR_SERVER_IP 1194 ja natuke edasi proto udp. See näitab, millist pordi numbrit (1194) ja protokoll (udp) tuleks ühenduse loomisel kasutada. Kohas SINU_SERVER_IP sisestage kodus oma Interneti-ühenduse IP-aadress, mis on QNAP-is juba vaikimisi sisestatud.
Kas te ei saa Interneti-teenuse pakkujalt Interneti-ühenduse jaoks kodus fikseeritud IP-aadressi, vaid dünaamilist ja seetõttu muutuvat IP-aadressi? Siis on dünaamiline-dns-teenus (ddns) hea alternatiiv. Saate selle lihtsalt oma ninas seada (vt kasti "Dünaamiline DNS-teenus teie nas") ja seejärel sisestage aadress IP-aadressi asemele profiilis (see ei juhtu automaatselt). Rakendusega Synology on dünaamiline dns eriti kasulik, sest seejärel saate loodud serverisertifikaati kasutada ühenduse seadistamiseks, sertifikaadiprobleemi lahendamiseks.
Dünaamiline DNS-teenus teie NAS-is
Dünaamilise dns-teenuse (ddns) abil hoitakse teie IP-aadressi ja edastatakse see välisele serverile, mis tagab, et valitud hosti nimi on alati seotud õige IP-aadressiga. Saate seda lihtsalt oma nina juhtida. Synologias leiate selle alt Juhtpaneel / kaugjuurdepääs. Lihtsaim viis on valida Synology (tasuta) teenusepakkujaks koos saadaoleva hostinime ja domeeninimega (meie valime groensyn154.synology.me), kui see kombinatsioon on saadaval. Soovi korral saate määrata ka kohandatud ddns-teenuse pakkuja. QNAP-is lähete Juhtpaneel / võrk ja virtuaalne lüliti. Tassi all Juurdepääsuteenused leiate võimaluse DDNS. Saate määrata kohandatud DDNS-i pakkuja, samuti saate ise konfigureerida ja kasutada QNAP-i myQNAPcloudi teenust. Nõustaja juhendab teid seadetes. Lõpus saate valida, milliseid teenuseid seadistada. Turvalisuse huvides võite seda piirata üksi DDNS valida.
07 Sertifikaatide lisamine
QNAP-i korral toimub VPN-serverisse sisselogimisel autentimine ainult kasutajanime ja parooli alusel. Synology puhul on ühenduse vigade vältimiseks vaja ka kahte kliendisertifikaati, mis on muidugi ka palju turvalisem. Saate need rakenduses käsitsi lisada, kuid ka (nagu meie siin) ka OpenVPN-i profiili lisada. Kasutame ddns sertifikaati (meie näites, mis kuulub domeenile groensyn154.synology.me) kahe sertifikaadi jaoks. Selleks minge aadressile Juhtpaneel / Turvalisus. Puudutage Seadistamine ja veenduge, et see sertifikaat on valitud taga VPN-server. Sulgege aken klahviga Tühista. Paremklõpsake sertifikaadil ja valige Ekspordisertifikaat.
Pakkige ZIP-fail välja. Avage OpenVPN-i profiil tekstiredaktoris. Allosas näete plokkisisu ca krt. Selle alla lisate ploki kuhu sisestate sisu cert.pem liikuma. Seejärel lisage veel üks plokk mis sisaldab sisu privkey.pem. Selle profiiliga saate luua ühenduse koos oma ninas oleva kasutajakontoga.
08 Muud seadistusvõimalused
Saate vastavalt oma eelistustele määrata rohkem võimalusi. Esimene sõltub teie kasutusotstarbest. Kas soovite kasutada VPN-ühendust ainult koduvõrgule kaugjuurdepääsu saamiseks? Synologias peate enne rida veenduma redirect-gateway def1 teie profiilis sulg (#), nii et seda peetakse kommentaariks. Kui eemaldate linnukese, läheb kogu liiklus läbi VPN-tunneli isegi tavaliste veebisaitide puhul, mida külastate. QNAP-i puhul on see serveri seade, nii et see ei mõjuta profiili. Teie panite selle paika QVPN-teenus valikuga Kasutage seda ühendust välisseadmete vaikelüüsina. Selle sisselülitamisel läheb kogu VPN-kliendi liiklus läbi VPN-tunneli. Kas soovite seda kontrollida? Seejärel külastage brauseriga aadressi //whatismyipaddress.com. Kui siin on märgitud teie avalik IP-aadress (Interneti-ühenduse kohta), siis teate, et liiklus käib tunneli kaudu.
09 Pordide edastamine ruuteris
Sellel põhikursusel oleme määranud vpn-serveri jaoks udp-protokolliks port 1194 ja see on ka ainus liiklus, mille peate oma ruuterilt oma nas edastama pordi edastamise reegliga. Esmalt on soovitatav anda nas võrgus fikseeritud IP-aadress. Sellise reegli lisamise viis on ruuteri lõikes erinev. Reegel ise on lihtne. Sissetulev liiklus kasutab udp-protokolli ja port on 1194. Sisestage sihtkohaks oma nas IP-aadress ja port on nüüd 1194.
10 Juurdepääs nutitelefonilt
Nutitelefonilt on VPN-ühenduse kasutamine vaid väike samm. Veenduge, et olete ühenduses väljastpoolt, veenduge, et olete välises võrgus (näiteks mobiilsidevõrgus) ja mitte oma WiFi-võrgus. Nagu näidatud, kasutame ametlikku rakendust OpenVPN Connect, mille saate alla laadida Google Play poest või iOS-i App Store'ist. Võite arvutiga ühendada Android-nutitelefoni, mille järel saate OpenVPN-i profiili kopeerida kausta Allalaadimine. Seejärel importige rakendus rakendusega profiil profiili / faili importimise kaudu. IPhone'i abil saate kasutada iTunes'i või saata OpenVPN-profiili endale e-kirjaga ja avada see rakenduses OpenVPN.
Sisestage nas oma kontoga seotud kasutajanimi ja parool. Nüüd saate ühenduse luua, puudutades profiili. Pärast seda on teil juurdepääs oma nasile ja koduvõrgule, millega teie nas on ühendatud.
Piirangud ipv6 kasutamisel
Selles artiklis eeldame, et kasutate oma VPN-serveri jaoks ipv4-aadressi, mitte ipv6-aadressi. Mõnes olukorras on see probleem. Näiteks Interneti-teenuse pakkujad, näiteks Ziggo, ei anna klientidele mõnikord enam avalikku ipv4-aadressi. Sellisel juhul saate sissetulevaid ühendusi oma VPN-serveriga vastu võtta ainult ipv6 kaudu. Ja see on veel üks probleem, kui soovite oma nutitelefoniga mobiilsidevõrgust ühenduda, sest ipv6-d pakutakse mobiilseadmetes vaid mõõdukalt.
