NAS VPN 伺服器设定教学, Synology,

时间:2020-05-21    热度:609

这次来跟大家分享该如何设定NAS上的VPN Server的功能,建立完毕之后,就算在公司的网路中,也能透过VPN回到家中的网路,使用NAS的资源与家中的网路,这也算是翻墙的一种,若有大陆出差的朋友可以试试这功能,本次就已Synology、QNAP、Asustor三家的NAS来示範,该如何建立VPN Server与连线。

Virtual Private Network(简称VPN)意即在公用的网路架构中,建立起虚拟私人网路,并透过加密的通道协议,来达到保密、传送端认证、讯息準确性等安全效果。举个简单的例子,在实际工作环境中,同事之间常常会交换工作上的档案,公司会架设一台网路储存伺服器来担任这功能,让各位同事都连上共享资料夹的Server,将档案上传至这伺服器中方便档案的交换。

但各位下班回到家中时,因为不在公司网路的关係,理所当然就无法连上公司的Server,毕竟公司若直接让Server暴露在外网下,那多多少少都会有资讯安全的疑虑,这时若我们导入VPN的功能,在公司的Server上建立起VPN Server,如此一来就算人不在公司中,只要在有网路的状况下,即可透过VPN连回公司的网路,直接存取公司内网Server上的档案,操作就如同在同网域的网路芳邻一样,直接透过档案总管来操作,而且当VPN连线建立起之时,该台电脑的对外连线,都会由公司网路代理。

透过VPN不仅能够拥有代理的能力,对于虚拟私人网路内传递的资料更有保障,也是翻墙的一大选择。

 

NAS VPN设定与连线教学

我就使用Synology、QNAP与Asustor的NAS来示範VPN的设定,且刚好搭配三种VPN协定:L2TP/IPsec、OpenVPN与PPTP此三种连线设定的示範。在示範中首先会提及,在NAS的控制网页中,如何开启VPN的功能与设定,以及用户端Windows系统的设定。而分享器开Port的设定,因为是必须且一样的步骤,所以就先教大家怎幺设定分享器开Port,不过各家分享器在介面与设计上略有不同,我自己是使用Edimax的分享器来跟大家分享。

首先当然要进入分享器的管理介面,在里面找到”连接埠转送”或者英文”Port Forwarding”的功能,在设定的介面中,在私人IP或者称作区域IP位址,输入NAS在区域网路内的IP,例如我是设定”192.168.2.123”,此外建议各位读者在NAS安装时,可以将NAS的IP改为固定的,这样若之后分享器重新启动,NAS不会被分配到新的IP,以免之后设定跑掉的问题;然后开Port可分为TCP、UDP或者两者,这边就看需要的Port是哪个类型选择即可;Port範围可以就直接输入80-80,输入完毕后按下储存,并且让分享器重新启动,就能够使用了。

此外在分享器的选购上还有一点需要注意,就是分享器是否支援”VPN穿透”或者”VPN Server”,前者VPN穿透,意即当VPN的连线封包送到分享器时,分享器是否有能力将封包转给后方NAT上的机器,若无法穿透那只能让NAS拥有外网IP,才能正常的使用VPN连线。

NAS与VPN常用的Port资讯如下:

FTP:21
HTTP:80
Snology DSM管理页面:5000
QNAP QTS管理页面:8080
Asustor ADM管理页面:8000
VPN PPTP:TCP 1723
VPN L2TP/IPsec:UDP 1701、500、4500
VPN OpenVPN:UDP 1194

 

自行开Port时,就看各位要用哪种的VPN协定,就针对该协定所需的Port设定就好,不用像我把所有协定的Port都开了。

NAS VPN 伺服器设定教学, Synology,
↑ 我自己家中分享器所开的Port,提供给各位参考。

 

Synology DSM VPN设定 – L2TP/IPsec
    进入DSM画面后开启App Center,DSM已经将VPN的功能APP化,使用者可以自行安装需要用的服务,以免用不到的功能佔据NAS的资源。可以透过搜寻的方式找到「VPN Server」并且选择安装。
    NAS VPN 伺服器设定教学, Synology,安装好VPN Server并且启动后,我们直接在左手边选单中,选择L2TP/IPsec进入它的设定页面。并且选择启动「L2TP/IPsec伺服器」。动态IP位址,是会自动分给VPN用户的IP位置,这位置的範围必须在「10.0.0.0」至「10.255.255.0」、「172.16.0.0」至「172.31.255.0」、「192.168.0.0」至「192.168.255.0」这些範围之内,且注意指派给VPN客户的IP位址,不能跟区域网路中以使用的IP位址重複。最大连线数可以限定,同时间使用VPN Server的人数。认证选择MS-CHAP v2就可以了。DNS使用NAS预设。IKE验证,这可以自行决定,设定一组预先共用金钥,此后需要建立VPN连线就必须输入这组金钥,以及登入帐户才能使用。设定完毕后别忘了按下套用。
    NAS VPN 伺服器设定教学, Synology,接着来到「权限」这,确定自己所使用的帐号,有启用L2TP/IPsec的使用权限。
    NAS VPN 伺服器设定教学, Synology,建议各位可以开启NAS中的DDNS服务,如此一来在新增VPN连线时,主机位置就可以输入DDNS位置,就算使用浮动IP,也可以正常使用VPN服务。DDNS设定在控制台→外部存取中,按下新增按钮,服务供应商可以选择Synology,主机名称则自行命名,启用DDNS需注册MyDS Center的帐号,过程不会太繁杂,而且设定后也能透过网页检视DDNS状态。输入完毕按下确定,通常DDNS在指向大概需要20分钟,第一次可能会比较久,而之后浮动IP改变,DDNS会自动更改,无须担心。
    NAS VPN 伺服器设定教学, Synology,回到Windows,至控制台中找到「网路和共用中心」并且开启。这会显示目前电脑的网路连线,我们要新增VPN连线,所以选择「设定新的连线或网路」。
    NAS VPN 伺服器设定教学, Synology,跳出新的视窗,这时选择「连线到工作地点」。因为Windows本身就支援PPP连线,所以不需要额外安装客户端软体,就可以使用VPN连线。
    NAS VPN 伺服器设定教学, Synology,设定精灵接着会询问要如何连线,这边就直接选择「使用我的网际网路连线(VPN)」这选项。
    NAS VPN 伺服器设定教学, Synology,接着就要输入网际网路位置,这边各位可以选择直接输入外网IP,或者透过DDNS的方式来使用。我是透过DDNS来连线,毕竟对外的浮动IP,更新时间都不固定,透过DDNS来指IP比较便利。输入好网路位置,与替这个连线命名之后,要先勾选「不要立即连线」还有几个步骤需要设定。
    NAS VPN 伺服器设定教学, Synology,输入您的使用者名称与密码,这就如同各位NAS上所使用的帐号、密码,输入后可以勾选记住这个密码,日后连线就不用每次都输入一次。输入完毕后,按下建立就可以回到网路和共用中心的画面(Step5的画面)。
    NAS VPN 伺服器设定教学, Synology,再次来到网路和共用中心的画面,在左手边选择「变更介面卡设定」,就会开启如下图这样的画面,然后选择刚刚新增的VPN连线→右键→内容。
    NAS VPN 伺服器设定教学, Synology,开启内容后,切换到「安全性」页籤,VPN类型选择「使用IPSec的第二层通道通讯协定(L2TP/IPSec)」这选项,资料加密则改成「可省略加密」,验证则是勾选CHAP与MS-CHAP v2这两个。接着按下进阶设定,这里需要输入之前在VPN Server设定时,自行输入的「预先共用金钥」,输入完毕按下确定、确定后就完成设定了。
    NAS VPN 伺服器设定教学, Synology,NAS VPN 伺服器设定教学, Synology,设定完毕回到Step10的画面,就直接双击我们建立起的VPN连线,就会跳出视窗并且选择连线,这样一来系统就会帮我们建立VPN连线。若连线成功,在网路和共用中心的画面,也会多出一个VPN连线的网际网路。各位读者也可以开启VPN Gate,它会告诉你现在上网的IP,是不是跟你本地所使用的IP不同呢,或者用cmd键入”tracert 8.8.8.8″,去追蹤网路封包的流向。
    NAS VPN 伺服器设定教学, Synology,

 

重点:若遇到L2TP连线时809错误,那是因为Windows预设是不允许,VPN伺服器在NAT的后方,详情请参考微软的说明。解决方法如下:

    Ctrl+R输入”regedit“按下确定。找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent的位置。在功能表上选择 [编辑] → [新增],然后按一下 [DWORD (32 位元) ]值。键入AssumeUDPEncapsulationContextOnSendRule,并按下确定。在AssumeUDPEncapsulationContextOnSendRule,上按一下滑鼠右键,然后按一下 [修改]。在 [数值资料] 方块输入[2]:

    0 (零) 的值会将 Windows 设定让它无法建立与伺服器位于 NAT 装置后面的安全性关联。这是预设值。1 的值会将 Windows 设定让它可以建立与伺服器位于 NAT 装置后面的安全性关联。2 的值会将 Windows 设定让伺服器与 Windows Vista 基础或 Windows Server 2008 基础 VPN 用户端电脑同时 NAT 装置后面时,它可以建立安全性关联。按一下 [确定],然后结束并且[重新启动电脑]。

 

QNAP QTS VPN设定 – OpenVPN
    开启QTS的管理页面,进入控制台在应用服务中可以找到「VPN服务」。开启后QNAP提供PPTP与OpenVPN这两种协定,这边我们找到「OpenVPN伺服器设定」,并且打开进阶设定。VPN用户端的IP範围,这边只要不跟区网中的IP重複即可。QNAP是有提供连接埠的更改,若有遇到被封Port的状况时,可以透过这设定来改变使用Port,最大连线、加密维持预设即可。设定完毕后记得按下套用。
    NAS VPN 伺服器设定教学, Synology,接着记得按下「下载设定档」,这时会储存一个名为”openvpn.zip”的档案,里面有OpenVPN连线时,所需要的认证档案,在下面的步骤中会使用到。
    NAS VPN 伺服器设定教学, Synology,接着切换到「VPN用户端管理」,确定自己QTS中使用的帐号,有开启使用OpenVPN的权限。
    NAS VPN 伺服器设定教学, Synology,也可以开启myQNAPcloud,设定DDNS的功能,这边一样需要注册或者登入帐号,就可以自行命名主机名称,之后就能使用「主机名称.myqnapcloud.com」来连线。NAS的设定就到这边告一段落。
    NAS VPN 伺服器设定教学, Synology,我们解压缩Step2下载的openvpn.zip档案。解压缩后里面有三个档案ca.crt、openvpn.ovpn、README.txt,ca.crt就是认证档案,而openvpn.ovpn里面则是VPN连线的设定,透过文字编辑器打开这档案,基本上不需要更动,只需要确定「remote 主机名称.myqnapcloud.com 1194」这行,确定DDNS的位置与服务Port,若没问题就可以关闭这档案。
    NAS VPN 伺服器设定教学, Synology,使用OpenVPN需要在用户端安装软体,我们可至网站(http://openvpn.net/index.php/open-source/downloads.html)内下载,「openvpn-install-2.3.4-I002-i686.exe」程式,这有分32位元与64位元,请依造自己系统来下载。下载完毕后,请直接双击安装程式,然后下一步到结束,因为安装上没什幺需要设定,我就不一一截图了。
    NAS VPN 伺服器设定教学, Synology,安装完毕后,进入您安装程式的位置,预设是在「C:\Program Files\OpenVPN\config」中,将我们刚刚解压缩后的三个档案ca.crt、openvpn.ovpn、README.txt,複製到config这资料夹中,这样才能顺利地使用OpenVPN。
    NAS VPN 伺服器设定教学, Synology,接着在所有程式中执行「OpenVPN GUI」,程式运行后再工具列右手边的图示中,可以找到OpenVPN GUI的图示,点选右键并且按下连接。
    NAS VPN 伺服器设定教学, Synology,OpenVPN GUI会跳出连线视窗,并且询问帐号与密码,这边就输入您在QTS中所使用的帐号密码后按下确认。
    NAS VPN 伺服器设定教学, Synology,连线速度满快的,最后OpenVPN GUI会停在最后一行会看到Successful的字样,这就代表已经成功建立起OpenVPN的连线,大功告成。
    NAS VPN 伺服器设定教学, Synology,

 

Asustor ADM VPN设定 – PPTP
    开启ADM管理页面后,进入APP Central找到VPN Server并且安装此APP。而ADM系统本身也有提供VPN客户端连线的功能,但我们这边要使用VPN Server。
    NAS VPN 伺服器设定教学, Synology,开启VPN Server后,可以先将PPTP的开关给打开,然后切换到设定的页籤,进行PPTP的设定。
    NAS VPN 伺服器设定教学, Synology,在PPTP设定中,一样是静态IP设置、最大客户端数量、认证与加密分别选择MS-CHAP v2与MPPE,设定完毕按下套用。
    NAS VPN 伺服器设定教学, Synology,也别忘记在权限中,替自己在ADM的帐号开启PPTP的使用权限。
    NAS VPN 伺服器设定教学, Synology,DDNS设定的部分,在设定→轻鬆存取中,这里可以启用myasustor.com的DDNS,一样需要注册,开通后等待DDNS位址指向正确的IP位置即可。
    NAS VPN 伺服器设定教学, Synology,接着的步骤,与之前我在介绍L2TP/IPSec设定时的Step5~ Step10的步骤一样,我就不重複截图了。不同的是在VPN连线内容中设定VPN类行为「点对点通道通讯协定(PPTP)」,其余设置一样,按下确定就可以连线了。NAS VPN 伺服器设定教学, Synology,

 

以上就是各家设定VPN Server与连线的方法,其实不会太难,因为Server端(NAS)基本上只要把VPN打开就可以用了,我自己都是使用DDNS当作主机位置来连线。此外PPTP我认为是穿透力太低,我用了三台NAS去测试,没一台能够连线成功,所以我比较推荐L2TP/IPSec与OpenVPN这两个协定,尤其OpenVPN设定最为简单,但感觉速度上稍慢一些,而L2TP/IPSec则是比较快,但设定多了几个步骤。

这样设定下来Synology、QNAP、Asustor三家的VPN Server中,只有Synology多提供了L2TP/IPsec协定。而特别的是QNAP能在介面上,直接更改VPN所使用的Port端口。剩下的设定、权限管理、连线检视等等,三家都有提供相对应的功能。若要测是VPN是否连线成功,首先可以先试试浏览器是否能正常上网,通常透过VPN连线,在网路反应速度上会略慢一些。除此之外也能透过VPN Gate的网站,来检查上网的IP,是不是与VPN Server所在处一样的IP位置,亦可以透过提示命令字元(cmd)”键入[tracert 8.8.8.8]的指令,来检视连网的封包的递送过程。