Labai patogu, pavyzdžiui, išmaniajame telefone iš bet kurios vietos pasiekti savo namų tinklą. Pavyzdžiui, norėdami valdyti IoT įrenginius, peržiūrėkite vaizdus iš IP kameros arba apeikite regioninius blokavimus. Sukūrę VPN serverį, vienu ypu saugiai esate savo namų tinkle. „Nas“ paprastai yra pakankamai galingas naudoti kaip VPN serverį, ypač jei jums nereikia didžiausio greičio. Šiame straipsnyje mes parodysime, kaip jį nustatyti ir naudoti su išmaniuoju telefonu.
Jei jūsų namuose veikia visų rūšių gražios programos, anksčiau ar vėliau norėsite jas pasiekti iš išmaniojo telefono, planšetinio kompiuterio ar nešiojamojo kompiuterio keliaudami. Apsvarstykite, pavyzdžiui, namų automatizavimą naudojant „Home Assistant“ arba „Domoticz“, medijos srautinį perdavimą „Plex“ ar „Emby“, atsisiuntimo serverių naudojimą ar tiesiog prieigą prie asmeninių failų. Tai galite susitarti kiekvienai programai, paprastai persiųsdami keletą uostų, tačiau tokios užpakalinės durys nėra rizikingos. Pavyzdžiui, daugelyje programų yra pažeidžiamumų arba nenaudojami užšifruoti ryšiai.
Tokias problemas galite išspręsti naudodami vieną gerai apsaugotą VPN ryšį. VPN ryšys iš tikrųjų suteikia papildomą apsaugos sluoksnį, be pačių programų saugumo. Taip pat galite nedelsdami naudoti visas programas, kaip esate įpratę namuose, ir nereikia koreguoti jų konfigūracijos. Tai taip pat taikoma programoms, kurių paprastai neturėtumėte naudoti internetu, pvz., Prieigai prie tinklo failų (žr. Langelį „Prieiga prie failų per internetą“). Mes jums parodysime, kaip to pasiekti naudojant VPN serverį NAS iš „Synology“ ar „QNAP“.
Prieiga prie failų internetu
Jūsų nas gali būti centrinis jūsų tinklo saugojimo taškas. Smb protokolas naudojamas norint pasiekti failus iš „Windows“ kompiuterio. Ypač pirmoji versija (smb 1.0) yra labai nesaugi. Pavyzdžiui, pažeidžiamumas sukėlė didelę „WannaCry“ išpirkos išpuolių programą. „Windows 10“ dabar jis yra išjungtas pagal numatytuosius nustatymus ir daugelis paslaugų teikėjų blokuoja TCP prievadą, naudojamą smb srautui.
„Microsoft“ taip pat elgiasi su „Azure Files“ paslaugos bendrais aplankais. Vis dėlto tai neįprasta ir mes to nerekomenduojame. Tai ne tik pasitikėjimo klausimas. Daugelyje tinklų veikia senesni, pažeidžiami įrenginiai. Net naujausioje „Synology NAS“ programoje smb 3.0 pagal numatytuosius nustatymus yra išjungtas. Uostų blokavimas tokiuose paslaugų teikėjams kaip „Ziggo“ taip pat gali jus varginti. Be to, interneto ryšys dažnai nuvilia. Visų pirma, jūs ir toliau esate pažeidžiamas, nors tai tebėra svarbiausi jūsų duomenys. Norėdami pasiekti failus internete, rekomenduojame VPN ryšį arba alternatyvas, tokias kaip debesies saugykla.
01 Kodėl NAS?
Savo tinkle galbūt jau turite keletą įrenginių, kuriuos galite naudoti kaip VPN serverį, pvz., Maršrutizatorių. Nereikėtų tikėtis jokių stebuklų, o „OpenVPN“ ne visada palaikomas. Jūsų pačių serveris yra puiki galimybė, tačiau tai nėra visiems pasiekiama. Jei turite NAS, tai taip pat yra galimybė, turinti papildomą apdorojimo galią ir daug paprasto naudojimo. Tiek „Synology“, tiek „QNAP“ palaiko nustatymą kaip VPN serverį pagal numatytuosius nustatymus su gana paprasta konfigūracija. Jei turite modelį su procesoriumi, palaikančiu AES-NI instrukcijų rinkinį, jums bus naudinga žymiai didesnė našumas.
Taip pat galite paveikti našumą naudodami šifravimo ir rakto dydžio algoritmą. Šiame pagrindiniame kurse mes pasirenkame saugų kompromisą, kurio pakanka saujoms ryšių. Tikrasis didžiausias greitis gali būti nepasiekiamas, tačiau daugumai programų tai nėra problema ir visada yra kitų ribojančių veiksnių, tokių kaip jūsų interneto ryšys.
02 Įdiekite programą
„Synology“ VPN serveris palaiko PPTP, OpenVPN ir L2TP / IPSec. Tik paskutiniai du yra įdomūs. Galite pasirinktinai nustatyti abu, bet šiame pagrindiniame kurse mes apsiribojame „OpenVPN“. Jis siūlo gerą našumą ir gerą saugumą, o konfigūracijoje yra daug laisvės. Norėdami jį įdiegti, eikite į Pakuočių centras. Paieška VPN serveris ir įdiekite programą. QNAP atidarote Programų centras ir ieškok tavęs QVPN tarnyba skyriuje Komunalinės paslaugos. Be minėtų protokolų, ši programa taip pat palaiko QNAP sukurtą „QBelt“ protokolą. QNAP programą taip pat galite naudoti kaip VPN klientą, pridėdami profilius, jei NAS reikia naudoti išorinį VPN serverį. „Synology“ taip pat gali tai padaryti, žemiau rasite parinktį Tinklas viduje konors Kontrolės skydelis.
03 Konfigūracija sinologijoje
Atviras VPN serveris ir bakstelėkite po antrašte Nustatykite VPN serverį ant „OpenVPN“. Pažymėkite langelį Įgalinti „OpenVPN“ serverį. Pritaikykite konfigūraciją pagal savo pageidavimus, pvz., Protokolą (udp arba tcp), prievadą ir šifravimą (žr. Langelį „OpenVPN protokolas, prievadas ir šifravimas“). Siūloma saugi parinktis: AES-CBC su 256 bitų raktu ir SHA512 autentifikavimui. Būkite atsargūs, nes sąraše yra ir nesaugių pasirinkimų. Su galimybe Leisti klientams pasiekti LAN serverį įsitikinkite, kad galite prisijungti prie kitų įrenginių tame pačiame tinkle kaip „nas“ iš savo VPN ryšio. Jei to padaryti nepavyksta, galite naudoti tik „nas“ ir toje programoje esančias programas, kurių kartais gali pakakti.
Variantas Įgalinti VPN nuorodos glaudinimą mums labiau patinka jį išjungti. Pridėtinė vertė yra ribota ir ji nėra rizikinga dėl kai kurių pažeidžiamumų. Galiausiai spustelėkite Taikyti paskui Eksportuoti konfigūraciją norėdami gauti zip paketą, prie kurio prisijungsite vėliau. Dalyje Apžvalga pamatysite, kad „OpenVPN“ įgalinta. Ar naudojate užkardą ant savo nosies? Tada eik į Valdymo skydas / Sauga / Ugniasienė ir pridėkite taisyklę, leidžiančią VPN serverio srautą.
04 Konfigūracija QNAP
„QNAP NAS“ atidarykite programą QVPN paslauga ir pasirinkite pagal VPN serveris variantas „OpenVPN“. Pažymėkite langelį Įgalinti „OpenVPN“ serverį ir pritaikykite konfigūraciją pagal savo pageidavimus. Kaip ir „Synology“, galite laisvai nustatyti protokolą ir prievadą. Pagal numatytuosius nustatymus AES naudojamas šifravimui naudojant 128 bitų (numatytasis) arba 256 bitų raktą. Variantas Įgalinti suspaustą VPN ryšį mes išjungiame. Tada spustelėkite Taikyti. Po to galite atsisiųsti „OpenVPN“ profilį, kuriame taip pat yra sertifikatas. Tai naudosime naudodami „Android“. žemiau Apžvalga galite pamatyti, ar VPN serveris yra aktyvus, taip pat su kita informacija, pvz., prijungtais vartotojais.
OpenVPN protokolas, prievadas ir šifravimas
„OpenVPN“ galima sukonfigūruoti lanksčiai. Visų pirma, tiek udp, tiek tcp gali būti naudojami kaip protokolas, pirmenybė teikiama udp, nes ji veikia efektyviau ir greičiau. „Reguliuojantis“ TCP protokolo pobūdis labiau linkęs veikti nei eismas per VPN tunelį. Taip pat galite pasirinkti praktiškai bet kurį uostą. Pagal numatytuosius nustatymus „udp“ yra 1194 prievadas. Deja, įmonės dažnai uždaro šiuos ir kitus uostus, kad gautų srautą. Tačiau „įprastas“ svetainės srautas beveik visada įmanomas per TCP prievadus 80 (http) ir 443 (https). Galite tai išmaniai naudoti.
Jei „OpenVPN“ ryšiui pasirenkate TCP protokolą su 443 prievadu, galite prisijungti beveik per bet kurią užkardą ir tarpinį serverį, tačiau praradę greitį. Jei turite prabangos, galite sukurti du VPN serverius, vieną su udp / 1194, o antrą - su TCP / 443. Kalbant apie šifravimą, AES-CBC dažniausiai naudojama su AES-GCM kaip kylančia alternatyva. 256 bitų raktas yra įprasta, tačiau 128 arba 192 bitų raktas taip pat yra labai saugus. Iki tolimos ateities praktiškai neįmanoma nulaužti (gerai parinkto) 128 bitų rakto. Todėl dar ilgesnis raktas apsaugos požiūriu mažai ką prideda, tačiau kainuoja daugiau skaičiavimo galios.
05 Vartotojo abonementų tinkamumas
Vartotojo paskyra taip pat reikalinga norint prisijungti prie VPN serverio. Tai yra įprasta „nas“ vartotojo paskyra, turinti teisingus leidimus naudoti VPN serverį. „Synology“ visi vartotojai turi galimybę naudoti VPN serverį pagal numatytuosius nustatymus. Pritaikykite tai pagal savo pageidavimus įvesdami VPN serveris į Teisės eiti. QNAP jūs einate QVPN paslauga į Privilegijų nustatymai. Čia rankiniu būdu pridėsite norimus VPN vartotojus iš vietinių vartotojų, esančių „nas“.
06 Po redagavimo „OpenVPN“ profilis
Teksto redaktoriuje turite pereiti „OpenVPN“ profilį ir prireikus atlikti pakeitimus. „Synology“ griebiate ZIP failą (openvpn.zip) aplanke, po kurio redaguojate failą VPNConfig.ovpn galite atidaryti savo teksto rengyklėje. Čia rasite nuotolinio valdymo liniją „YOUR_SERVER_IP“ 1194 ir šiek tiek toliau proto udp. Tai rodo, kurio prievado numerį (1194) ir protokolas (udp) turėtų būti naudojamas nustatant ryšį. Vietoje YOUR_SERVER_IP įveskite savo interneto ryšio IP adresą namuose, kuris jau numatytasis įvestas QNAP.
Ar interneto ryšiui namuose iš interneto tiekėjo gaunate ne fiksuotą IP adresą, o dinamišką ir todėl besikeičiantį IP adresą? Tada dinaminė dns paslauga (ddns) yra gera alternatyva. Galite tiesiog nustatyti jį savo „nas“ (žr. Langelį „Dinaminė DNS paslauga jūsų nas“) ir tada įvesti adresą IP adreso vietoje profilyje (tai neįvyksta automatiškai). Naudojant „Synology“, dinaminis dns yra ypač naudingas, nes tada sukurtą serverio sertifikatą galite naudoti norėdami nustatyti ryšį, išspręsti sertifikato problemą.
Dinaminė DNS paslauga jūsų NAS
Naudojant „dynamic-dns“ paslaugą (ddns), jūsų IP adresas yra saugomas ir perduodamas į išorinį serverį, kuris užtikrina, kad pasirinktas pagrindinio kompiuterio vardas visada bus susietas su teisingu IP adresu. Tai galite tiesiog paleisti ant nosies. „Synology“ rasite tai Valdymo skydelis / nuotolinė prieiga. Lengviausias būdas yra pasirinkti „Synology“ kaip (nemokamą) paslaugų teikėją, turintį galimą pagrindinio kompiuterio vardą ir domeno vardą (mes pasirenkame groensyn154.synology.me), jei tik yra derinys. Taip pat galite nustatyti pasirinktinį ddns teikėją. QNAP einate į Valdymo skydelis / tinklas ir virtualus jungiklis. Po taure Prieigos paslaugos rasite variantą DDNS. Galite nustatyti pasirinktinį DDNS teikėją, taip pat patys sukonfigūruoti ir naudoti „QNAP“ „myQNAPcloud“ paslaugą. Vedlys veda jus per nustatymus. Pabaigoje galite pasirinkti, kurias paslaugas norite nustatyti. Saugumo sumetimais tai galite apriboti vieni DDNS rinktis.
07 Pažymėjimų pridėjimas
Naudojant QNAP, prisijungimas prie VPN serverio atpažinimas atliekamas tik pagal vartotojo vardą ir slaptažodį. Naudojant „Synology“ taip pat reikia dviejų kliento sertifikatų, kad būtų išvengta ryšio klaidų, o tai, žinoma, taip pat yra daug saugesnė. Galite pridėti juos rankiniu būdu programoje, bet taip pat (kaip mes čia darome) įtraukti į „OpenVPN“ profilį. Mes naudojame ddns sertifikatą (mūsų pavyzdyje priklauso groensyn154.synology.me) dviem pažymėjimams. Norėdami tai padaryti, eikite į Valdymo skydelis / apsauga. Paspausti Konfigūruoti ir įsitikinkite, kad šis pažymėjimas pasirinktas už nugaros VPN serveris. Uždarykite langą Atšaukti. Dešiniuoju pelės mygtuku spustelėkite pažymėjimą ir pasirinkite Eksporto sertifikatas.
Ištraukite ZIP failą. Atidarykite „OpenVPN“ profilį teksto rengyklėje. Apačioje matote blokąsu turiniu maždaug kr. Žemiau pridedate bloką kuriame įvedate cert.pem judėti. Tada pridėkite dar vieną bloką kuriame yra privkey.pem. Naudodami šį profilį galite užmegzti ryšį kartu su savo vartotojo sąskaita.
08 Kitos konfigūracijos parinktys
Galite nustatyti daugiau parinkčių pagal savo pageidavimus. Pirmasis priklauso nuo jūsų naudojimo tikslo. Ar norite naudoti VPN ryšį tik norėdami turėti nuotolinę prieigą prie savo namų tinklo? „Synology“ turite įsitikinti, kad prieš eilutę peradresuoti-vartai def1 jūsų profilyje skliaustas (#), kad tai būtų laikoma komentaru. Jei pašalinsite varnelę, visas srautas eis per VPN tunelį, net, pavyzdžiui, įprastose svetainėse, kuriose lankotės. Naudojant QNAP, tai yra serverio nustatymas, todėl tai neturi įtakos profiliui. Jūs ją nustatėte QVPN paslauga su galimybe Naudokite šį ryšį kaip numatytąjį išorinių įrenginių šliuzą. Jei jį įjungsite, visas srautas iš VPN kliento eis per VPN tunelį. Ar norite tai patikrinti? Tada naršyklėje apsilankykite adresu //whatismyipaddress.com. Jei čia nurodytas jūsų viešasis IP adresas (jūsų interneto ryšys), žinote, kad eismas vyksta tuneliu.
09 Persiuntimo prievadai maršrutizatoriuje
Šiame pagrindiniame kurse mes nustatėme udp protokolą į 1194 prievadą vpn serveriui ir tai taip pat yra vienintelis srautas, kurį turite persiųsti iš savo maršrutizatoriaus į savo nas naudodami prievado persiuntimo taisyklę. Pirmiausia patartina duoti nas fiksuotą IP adresą savo tinkle. Būdas, kuriuo pridedate tokią taisyklę, skiriasi kiekviename maršrutizatoriuje. Pati taisyklė yra paprasta. Gaunamas srautas naudoja udp protokolą, o prievadas yra 1194. Įveskite savo nas IP adresą kaip tikslą, o prievadas dabar yra 1194.
10 Prieiga iš išmaniojo telefono
Tai yra tik nedidelis žingsnis naudojant VPN ryšį išmaniajame telefone. Įsitikinkite, kad esate išoriniame tinkle (pvz., Mobiliajame tinkle), o ne savo „WiFi“ tinkle, kad iš tikrųjų prisijungtumėte iš išorės. Kaip nurodyta, mes naudojame oficialią „OpenVPN Connect“ programą, kurią galite atsisiųsti iš „Google Play“ parduotuvės arba „iOS App Store“. Prie kompiuterio galite prijungti „Android“ išmanųjį telefoną, po kurio galite nukopijuoti „OpenVPN“ profilį į aplanką „Atsisiųsti“. Tada importuokite profilį naudodami programą per „Importuoti profilį / failą“. Naudodami „iPhone“ galite naudoti „iTunes“ arba siųsti „OpenVPN“ profilį sau el. Paštu ir atidaryti jį „OpenVPN“ programoje.
Įveskite vartotojo vardą ir slaptažodį, susietus su jūsų paskyra. Dabar galite prisijungti paliesdami profilį. Po to turėsite prieigą prie savo nas ir namų tinklo, prie kurio jūsų nas yra prijungtas.
Apribojimai naudojant „ipv6“
Šiame straipsnyje manome, kad naudojate „IPv4“ adresą savo VPN serveriui, o ne „IPv6“. Kai kuriose situacijose tai yra problema. Pavyzdžiui, tokie interneto paslaugų teikėjai, kaip „Ziggo“, kartais nebeteikia klientams viešo „ipv4“ adreso. Tokiu atveju gaunamus ryšius su savo VPN serveriu galite gauti tik per „ipv6“. Ir tai yra dar viena problema, jei norite prisijungti prie savo išmaniojo telefono iš mobiliojo tinklo, nes „ipv6“ mobiliesiems ryšiams siūlomas tik nedaug.
