Zelo priročno je, če lahko na primer s pametnim telefonom dostopate do domačega omrežja od koder koli. Na primer, če želite upravljati naprave IoT, si oglejte slike iz IP kamere ali obiti regionalne blokade. Z nastavitvijo strežnika VPN ste naenkrat varno v domačem omrežju. Nas je običajno dovolj zmogljiv za uporabo kot strežnik VPN, še posebej, če ne potrebujete najvišje hitrosti. V tem članku vam pokažemo, kako jo nastaviti in uporabljati s pametnim telefonom.
Če imate doma vse vrste čudovitih aplikacij, boste prej ali slej želeli do njih dostopati iz pametnega telefona, tablice ali prenosnika na poti. Upoštevajte na primer avtomatizacijo doma s sistemom Home Assistant ali Domoticz, pretakanje medijev s sistemoma Plex ali Emby, uporabo strežnikov za prenos ali preprosto dostop do osebnih datotek. To lahko uredite za vsako aplikacijo, ponavadi tako, da posredujete nekaj vrat, vendar takšna zaledja niso brez tveganja. Mnoge aplikacije na primer vsebujejo ranljivosti ali ne uporabljajo šifriranih povezav.
Takšne težave lahko rešite z eno dobro zaščiteno povezavo VPN. Povezava VPN dejansko zagotavlja dodatno plast zaščite poleg varnosti samih aplikacij. Prav tako lahko takoj uporabite vse programe, kot ste jih vajeni doma, in jim ni treba prilagajati njihove konfiguracije. To velja tudi za programe, ki jih običajno ne smete uporabljati prek interneta, na primer dostop do omrežnih datotek (glejte polje "Dostop do datotek prek interneta"). Pokažemo vam, kako to doseči s strežnikom VPN na NAS-u podjetja Synology ali QNAP.
Dostopajte do datotek prek interneta
Vaša nas je lahko osrednja točka za shranjevanje v vašem omrežju. Protokol smb se uporablja za dostop do datotek iz računalnika z operacijskim sistemom Windows. Še posebej prva različica (smb 1.0) je zelo nevarna. Na primer, ranljivost je sprožila večji napad na odkupnino WannaCry. V operacijskem sistemu Windows 10 je zdaj privzeto onemogočen in številni ponudniki blokirajo vrata tcp 445, ki se uporabljajo za maloprodajni promet. Bi morali imeti možnost uporabe internetne povezave.
Microsoft enako stori tudi za mape v skupni rabi storitve Azure Files. Kljub temu je nenavadno in ga ne priporočamo. To ni samo vprašanje zaupanja. Mnoga omrežja uporabljajo starejše, ranljive naprave. Zdi se, da je tudi na nedavnem Synology NAS privzeto onemogočen smb 3.0. Blokiranje vrat pri ponudnikih, kot je Ziggo, vas lahko tudi moti. Poleg tega je uspešnost prek internetnih povezav pogosto razočaranje. Predvsem ostajate dovzetni za ranljivosti, medtem ko se to še vedno nanaša na vaše najbolj kritične podatke. Za dostop do datotek v omrežju priporočamo povezavo VPN ali druge možnosti, kot je shranjevanje v oblaku.
01 Zakaj NAS?
V omrežju že imate nekatere naprave, ki jih lahko uporabljate kot strežnik VPN, na primer usmerjevalnik. Ne bi smeli pričakovati čudežev glede zmogljivosti in OpenVPN ni vedno podprt. Vaš strežnik je odlična možnost, vendar to ni dosegljivo vsem. Če imate NAS, je to tudi možnost z dodatno procesorsko močjo in veliko enostavnostjo uporabe. Tako Synology kot QNAP podpirata privzeto nastavitev strežnika VPN s sorazmerno preprosto konfiguracijo. Če imate model s procesorjem, ki podpira nabor ukazov AES-NI, boste imeli znatno večje rezultate.
Na uspešnost lahko vplivate tudi z algoritmom šifriranja in velikosti ključa. V tem osnovnem tečaju izberemo varen kompromis, dovolj za peščico povezav. Resnične največje hitrosti lahko ostanejo nedosegljive, vendar za večino aplikacij to ni problem in vedno obstajajo drugi omejevalni dejavniki, kot je internetna povezava.
02 Namestite aplikacijo
Synologyjev VPN strežnik podpira PPTP, OpenVPN in L2TP / IPSec. Zanimiva sta le zadnja dva. Po želji lahko nastavite oboje, vendar se v tem osnovnem tečaju omejimo na OpenVPN. Ponuja dobro zmogljivost in dobro varnost z veliko svobode pri konfiguraciji. Če ga želite namestiti, pojdite na Paketni center. Iskanje VPN strežnik in namestite aplikacijo. V QNAP odprete App Center in te iščem Storitev QVPN v razdelku Pripomočki. Poleg zgornjih protokolov ta aplikacija podpira tudi protokol QBelt, ki ga je razvil QNAP. Aplikacijo QNAP lahko uporabite tudi kot odjemalca VPN z dodajanjem profilov, če NAS potrebuje zunanji strežnik VPN. Tudi Synology lahko to stori, spodaj boste našli možnost Omrežje v Nadzorna plošča.
03 Konfiguracija pri Synology
Odprto VPN strežnik in tapnite pod naslovom Nastavite strežnik VPN na OpenVPN. Potrdite polje Omogoči strežnik OpenVPN. Konfiguracijo prilagodite svojim željam, kot so protokol (udp ali tcp), vrata in šifriranje (glejte polje "Protokol, vrata in šifriranje za OpenVPN"). Predlagana je varna možnost: AES-CBC z 256-bitnim ključem in SHA512 za preverjanje pristnosti. Bodite previdni, saj so na seznamu tudi nevarne izbire. Z možnostjo Omogočite strankam dostop do strežnika LAN poskrbite, da boste lahko dostopali do drugih naprav v istem omrežju kot nas iz vaše povezave vpn. Če tega ne storite, lahko uporabite samo nas in aplikacije na tem nas, kar je včasih dovolj.
Možnost Omogočite stiskanje na povezavi VPN raje ga izklopimo. Dodana vrednost je omejena in zaradi nekaterih ranljivosti ni brez tveganj. Na koncu kliknite Nanesti čemur sledi Izvozi konfiguracijo da pridobite paket zip, s katerim se boste pozneje povezali. Pod Pregledom boste videli, da je OpenVPN omogočen. Ali uporabljate požarni zid na nas? Potem pojdi na Nadzorna plošča / Varnost / Požarni zid in dodajte pravilo, ki dovoljuje promet za strežnik vpn.
04 Konfiguracija na QNAP
Na naslovu QNAP NAS odprite aplikacijo Storitev QVPN in izberite pod VPN strežnik možnost OpenVPN. Potrdite polje Omogoči strežnik OpenVPN in prilagodite konfiguracijo po svojih željah. Tako kot pri Synology lahko tudi vi prosto nastavite protokol in vrata. Privzeto se AES uporablja za šifriranje s 128-bitnim (privzeto) ali 256-bitnim ključem. Možnost Omogočite stisnjeno povezavo VPN izklopimo. Nato kliknite na Nanesti. Po tem lahko prenesete profil OpenVPN, ki vsebuje tudi potrdilo. To bomo uporabili v sistemu Android. spodaj Pregled lahko vidite, ali je strežnik vpn aktiven, in tudi druge podrobnosti, kot so povezani uporabniki.
Protokol, vrata in šifriranje za OpenVPN
OpenVPN lahko prilagodite. Za začetek se lahko kot protokol uporabljata tako udp kot tcp, pri čemer ima prednost udp, ker deluje bolj učinkovito in hitreje. "Regulativna" narava protokola TCP bo bolj verjetno delovala kot pri prometu prek tunela VPN. Izberete lahko tudi praktično katero koli pristanišče. Za udp je to privzeto vrata 1194. Žal podjetja pogosto zaprejo ta in druga vrata za odhodni promet. "Običajni" promet na spletnem mestu pa je skoraj vedno mogoč prek vrat TCP 80 (http) in 443 (https). To lahko pametno izkoristite.
Če za povezavo OpenVPN izberete protokol TCP z vrati 443, se lahko povežete prek skoraj vseh požarnih zidov in proxy strežnikov, vendar z izgubo hitrosti. Če imate razkošje, lahko nastavite dva strežnika vpn, enega z udp / 1194 in drugega s tcp / 443. Kar zadeva šifriranje, je AES-CBC najpogostejši pri AES-GCM kot nastajajoči alternativi. 256-bitni ključ je običajno, a 128- ali 192-bitni ključ je tudi zelo varen. Do oddaljene prihodnosti je praktično nemogoče razbiti (dobro izbran) 128-bitni ključ. Še daljši ključ torej malo prispeva v smislu zaščite, vendar stane več računalniške moči.
05 Priprava uporabniških računov
Za prijavo v strežnik vpn je potreben tudi uporabniški račun. To je običajni uporabniški račun na nas s pravilnimi dovoljenji za uporabo strežnika vpn. Pri Synology imajo vsi uporabniki privzeto možnost uporabe strežnika VPN. Z vnosom prilagodite to svojim željam VPN strežnik do Pravice iti. Pri QNAP vstopite Storitev QVPN do Privilege Settings. Tukaj ročno dodate želene uporabnike vpn od lokalnih uporabnikov na nas.
06 Post-edit profil OpenVPN
V urejevalniku besedil morate iti skozi profil OpenVPN in po potrebi prilagoditi. Pri Synology zgrabite datoteko zip (openvpn.zip) v mapi, po kateri datoteko uredite VPNConfig.ovpn lahko odprete v urejevalniku besedil. Tu boste našli daljinsko povezavo YOUR_SERVER_IP 1194 in malo naprej proto udp. To označuje številko vrat (1194) in protokol (udp) pri nastavitvi povezave. Na kraju YOUR_SERVER_IP vnesite naslov IP internetne povezave doma, ki je privzeto vnesen v QNAP.
Ali od internetnega ponudnika ne dobite fiksnega naslova IP za internetno povezavo doma, temveč dinamičen in zato spremenljiv naslov IP? Takrat je dobra alternativa storitev Dynamic-DNS (ddns). Preprosto jo lahko nastavite na nas (glejte polje "Dinamična storitev DNS na nas") in nato vnesite naslov namesto naslova IP v profil (to se ne zgodi samodejno). S Synologyjem je dinamični dns še posebej koristen, ker lahko nato s pomočjo ustvarjenega potrdila strežnika nastavite povezavo in rešite težavo s potrdilom.
Dinamična storitev DNS na vašem NAS
S storitvijo dynamic-dns (ddns) se vaš naslov IP hrani in posreduje zunanjemu strežniku, kar zagotavlja, da je izbrano ime gostitelja vedno povezano s pravilnim naslovom IP. To lahko poženeš samo po nosu. Pri Synology jo boste našli pod Nadzorna plošča / oddaljeni dostop. Najlažji način je, da Synology izberete kot (brezplačnega) ponudnika storitev z razpoložljivim imenom gostitelja in imenom domene (mi izberemo groensyn154.synology.me), dokler je kombinacija na voljo. Po želji lahko nastavite tudi ponudnika ddns po meri. V QNAP greš na Nadzorna plošča / omrežje in navidezno stikalo. Pod skodelico Dostopne storitve boste našli možnost DDNS. Določite lahko ponudnika DDNS po meri, lahko pa tudi sami konfigurirate in uporabljate storitev QNAP myQNAPcloud. Čarovnik vas vodi skozi nastavitve. Na koncu lahko izberete, katere storitve želite nastaviti. Iz varnostnih razlogov lahko to omejite sami DDNS izbrati.
07 Dodajanje potrdil
Pri QNAP se preverjanje pristnosti ob prijavi v strežnik vpn izvaja samo na podlagi uporabniškega imena in gesla. S Synology potrebujete tudi dve potrdili odjemalca, da se izognete napakam pri povezovanju, kar je seveda tudi veliko bolj varno. V aplikacijo jih lahko dodate ročno, lahko pa jih (tako kot tukaj) vključite v profil OpenVPN. Uporabljamo potrdilo ddns (v našem primeru pripada groensyn154.synology.me) za dve certifikati. Če želite to narediti, pojdite na Nadzorna plošča / Varnost. Klikni Konfigurirajte in preverite, ali je to potrdilo izbrano zadaj VPN strežnik. Zaprite okno z Prekliči. Z desno miškino tipko kliknite potrdilo in izberite Izvozno potrdilo.
Izvlecite datoteko zip. Odprite profil OpenVPN v urejevalniku besedil. Na dnu vidite blokz vsebino približno crt. Pod tem dodate blok v katero vnesete vsebino cert.pem premakniti. Nato dodajte še en blok ki vsebuje vsebino privkey.pem. S tem profilom lahko nastavite povezavo v kombinaciji z uporabniškim računom na nas.
08 Druge možnosti konfiguracije
Glede na vaše želje lahko nastavite več možnosti. Prvo je odvisno od vašega namena uporabe. Ali želite povezavo VPN uporabljati samo za oddaljen dostop do domačega omrežja? Pri Synology morate to zagotoviti pred vrstico preusmeritveni prehod def1 v vašem profilu oklepaj (#), tako da se šteje za komentar. Če odstranite kljukico, bo ves promet šel skozi tunel VPN, tudi na primer za običajna spletna mesta, ki jih obiščete. Pri QNAP je to nastavitev strežnika, zato ne vpliva na profil. Ti si nastavil Storitev QVPN z možnostjo To povezavo uporabite kot privzeti prehod za zunanje naprave. Če ga vklopite, bo ves promet od odjemalca VPN šel skozi tunel VPN. Ali želite to preveriti? Nato z brskalnikom obiščite naslov //whatismyipaddress.com. Če je tukaj naveden vaš javni naslov IP (vaše internetne povezave), veste, da promet poteka skozi predor.
09 Posredovanje vrat v usmerjevalniku
V tem osnovnem tečaju smo protokol udp nastavili na vrata 1194 za strežnik vpn in to je tudi edini promet, ki ga morate s svojega usmerjevalnika preusmeriti v nas s pravilom za posredovanje vrat. Priporočljivo je, da nam v omrežju najprej določite fiksni naslov IP. Način dodajanja takega pravila se razlikuje glede na usmerjevalnik. Samo pravilo je preprosto. Dohodni promet uporablja protokol udp in vrata so 1194. Kot cilj vnesite ip naslov vašega nas in vrata so zdaj 1194.
10 Dostop iz pametnega telefona
Uporaba povezave VPN iz pametnega telefona je le majhen korak. Prepričajte se, da ste v zunanjem omrežju (na primer mobilnem omrežju) in ne v svojem omrežju WiFi, tako da se dejansko povežete od zunaj. Kot je navedeno, uporabljamo uradno aplikacijo OpenVPN Connect, ki jo lahko prenesete iz trgovine Google Play ali iOS App Store. Pametni telefon Android lahko povežete z računalnikom, nato pa lahko profil OpenVPN kopirate v mapo Prenos. Nato profil z aplikacijo uvozite prek možnosti Uvozi profil / datoteko. Z iPhoneom lahko uporabljate iTunes ali si profil OpenVPN pošljete po e-pošti in ga odprete v aplikaciji OpenVPN.
Na nas vnesite uporabniško ime in geslo, povezano z vašim računom. Zdaj se lahko povežete tako, da tapnete profil. Po tem boste imeli dostop do svojega nas in domačega omrežja, na katerega je povezan vaš nas.
Omejitve pri uporabi ipv6
V tem članku predvidevamo, da za strežnik VPN uporabljate naslov ipv4 in ne ipv6. V nekaterih situacijah je to težava. Na primer, internetni ponudniki, kot je Ziggo, včasih strankam ne dajo več javnega naslova ipv4. V tem primeru lahko dohodne povezave s svojim strežnikom VPN prejmete samo prek ipv6. In to je še ena težava, če se želite s pametnim telefonom povezati iz mobilnega omrežja, saj je ipv6 na mobilnih povezavah na voljo le skopo.
