Можете да подредите VPN сървъра на вашия nas по този начин

Много е удобно да имате достъп до домашната си мрежа от всяко място с вашия смартфон, например. Например, за да работите с IoT устройства, преглеждайте изображения от IP камерата или заобикаляйте регионалните блокажи. Чрез настройване на VPN сървър вие сте безопасно в домашната си мрежа с едно движение. Nas обикновено е достатъчно мощен за използване като VPN сървър, особено ако не се нуждаете от най-висока скорост. В тази статия ще ви покажем как да го настроите и използвате със смартфон.

Ако имате всякакви красиви приложения, работещи вкъщи, рано или късно ще искате да получите достъп до тях от смартфон, таблет или лаптоп на пътя. Помислете например за домашна автоматизация с Home Assistant или Domoticz, поточно предаване на медии с Plex или Emby, използване на сървъри за изтегляне или просто достъп до лични файлове. Можете да уредите това за всяко приложение, обикновено чрез препращане на няколко порта, но такива задни врати не са без риск. Например много приложения съдържат уязвимости или не използват криптирани връзки.

Можете да разрешите подобни проблеми с една добре защитена VPN връзка. VPN връзката всъщност осигурява допълнителен слой защита на върха на сигурността на самите приложения. Можете също така веднага да използвате всички приложения, както сте свикнали у дома и без да се налага да коригирате тяхната конфигурация. Това се отнася и за приложения, които обикновено не трябва да използвате през интернет, като например достъп до мрежови файлове (вижте полето „Достъп до файлове през интернет“). Показваме ви как да постигнете това с VPN сървър на NAS от Synology или QNAP.

Достъп до файлове през Интернет

Вашият nas може да е централната точка за съхранение във вашата мрежа. Протоколът smb се използва за достъп до файлове от компютър с Windows. Особено първата версия (smb 1.0) е много опасна. Например, уязвимостта е в основата на голяма WannaCry атака на рансъмуер. В днешно време той е деактивиран по подразбиране в Windows 10 и много доставчици блокират tcp порта 445, използван за SMB трафик. Би трябвало да може да използва интернет връзка.

Microsoft прави същото и за споделени папки на услугата Azure Files. Все пак е необичайно и не го препоръчваме. Това не е само въпрос на доверие. Много мрежи работят с по-стари, уязвими устройства. Дори на скорошен NAS на Synology, smb 3.0 изглежда е деактивиран по подразбиране. Блокирането на портове при доставчици като Ziggo също може да ви притесни. Освен това представянето чрез интернет връзки често е разочароващо. Преди всичко вие оставате податливи на уязвимости, докато най-важните ви данни все още участват. За достъп до вашите файлове в мрежата препоръчваме VPN връзка или алтернативи като съхранение в облак.

01 Защо NAS?

Възможно е вече да имате някои устройства във вашата мрежа, които можете да използвате като VPN сървър, например рутер. Не трябва да очаквате чудеса с производителността и OpenVPN не винаги се поддържа. Собственият ви сървър е чудесен вариант, но не е достъпен за всички. Ако имате nas, това също е опция, с допълнителна мощност за обработка и много лесна употреба. Както Synology, така и QNAP поддържат настройка като VPN сървър по подразбиране с относително проста конфигурация. Ако имате модел с процесор, който поддържа набора инструкции AES-NI, ще се възползвате от значително по-висока производителност.

Можете също така да повлияете на производителността с алгоритъма за криптиране и размер на ключа. В този основен курс ние избираме безопасен компромис, достатъчен за шепа връзки. Истинските максимални скорости може да останат недостъпни, но за повечето приложения това не е проблем и винаги има други ограничаващи фактори, като вашата интернет връзка.

02 Инсталирайте приложението

VPN сървърът на Synology поддържа PPTP, OpenVPN и L2TP / IPSec. Интересни са само последните две. По желание можете да зададете и двете, но в този основен курс се ограничаваме до OpenVPN. Той предлага добра производителност и добра сигурност, с много свобода в конфигурацията. За да го инсталирате, отидете в Package Center . Намерете VPN сървър и инсталирайте приложението. В QNAP отворете Центъра за приложения и намерете услугата QVPN в раздела Помощни програми. В допълнение към горните протоколи, това приложение поддържа и протокола QBelt, разработен от QNAP. Можете също да използвате приложението QNAP като VPN клиент, като добавите профили, ако NAS трябва да използва външен VPN сървър. Synology може да направи и това, можете да намерите опцията под Мрежа в контролния панел .

03 Конфигурация в Synology

Отворете VPN сървъра и докоснете OpenVPN под заглавието Настройка на VPN сървър . Поставете отметка в полето Enable OpenVPN server . Настройте конфигурацията според вашите предпочитания, като протокола (udp или tcp), порта и криптирането (вижте полето „Протокол, порт и криптиране за OpenVPN“). Предлага се сигурна опция: AES-CBC с 256-битов ключ и SHA512 за удостоверяване. Бъдете внимателни, защото в списъка има и несигурни възможности за избор. Използвайте опцията Разреши на клиентите достъп до LAN сървърауверете се, че имате достъп до други устройства в същата мрежа като nas от вашата vpn връзка. Ако не успеете да направите това, можете да използвате само nas и приложенията на този nas, което понякога може да е достатъчно.

Предпочитаме да деактивираме опцията Разрешаване на компресиране на VPN връзката . Добавената стойност е ограничена и не е без рискове поради някои уязвимости. Накрая щракнете върху Приложи, последвано от Експортиране на конфигурация, за да извлечете zip пакета, който ще използвате за свързване. Под Общ преглед ще видите, че OpenVPN е активиран. Използвате ли защитната стена на nas? След това отидете на Control Panel / Security / Firewall и добавете правило, което позволява трафик за vpn сървъра.

04 Конфигурация в QNAP

На QNAP NAS отваряте приложението QVPN услуга и избирате между опцията за VPN сървър OpenVPN . Поставете отметка в полето Enable OpenVPN server и коригирайте конфигурацията според вашите предпочитания. Както при Synology, можете свободно да зададете протокола и порта. По подразбиране AES се използва за криптиране с 128 битов (по подразбиране) или 256 битов ключ. Ние се превърне изключите опцията Enable сгъстен връзка VPN . След това щракнете върху Приложи . След това можете да изтеглите профила OpenVPN, който също съдържа сертификата. Ще използваме това под Android. Под Общ прегледможете да видите дали vpn сървърът е активен, както и други подробности като свързани потребители.

Протокол, порт и криптиране за OpenVPN

OpenVPN е гъвкав за конфигуриране. Като начало, udp и tcp могат да се използват като протокол, като udp е за предпочитане, защото работи по-ефективно и по-бързо. „Регулиращият“ характер на протокола TCP е по-вероятно да работи, отколкото да помогне с трафика през VPN тунел. Освен това можете да изберете практически всеки порт. За udp това по подразбиране е порт 1194. За съжаление компаниите често затварят тези и други портове за изходящ трафик. Въпреки това „нормалният“ трафик на уебсайта е почти винаги възможен чрез tcp портовете 80 (http) и 443 (https). Можете да използвате интелигентно това.

Ако изберете протокола tcp с порт 443 за връзката OpenVPN, можете да се свържете през почти всяка защитна стена и прокси сървър, но със загуба на скорост. Ако имате лукса, можете да настроите два vpn сървъра, един с udp / 1194 и втори с tcp / 443. По отношение на криптирането, AES-CBC е най-често срещан с AES-GCM като нова алтернатива. 256-битов ключ е норма, но 128-битов или 192-битов ключ също е много безопасен. До далечното бъдеще е практически невъзможно да се пробие (добре подбран) 128-битов ключ. Следователно още по-дългият ключ добавя малко по отношение на защитата, но струва повече изчислителна мощ.

05 Подготовка на потребителски акаунти

Потребителски акаунт също е необходим за влизане във VPN сървъра. Това е обикновен потребителски акаунт в nas с правилните разрешения за използване на vpn сървъра. В Synology всички потребители имат опцията да използват VPN сървъра по подразбиране. Настройте това според предпочитанията си, като отидете на Разрешения във VPN сървъра . С QNAP отидете в Privilege Settings в QVPN услуга . Тук добавяте желаните потребители на vpn ръчно от локалните потребители на nas.

06 Профил след редактиране на OpenVPN

Трябва да преминете през профила OpenVPN в текстов редактор и да направите корекции, където е необходимо. В Synology извличате zip файла ( openvpn.zip ) в папка, след което можете да отворите файла VPNConfig.ovpn във вашия текстов редактор. Тук ще намерите линията дистанционно YOUR_SERVER_IP 1194 и малко по-нататък на proto udp . Това определя кой номер на порт ( 1194 ) и протокол ( udp ) трябва да се използват при установяване на връзката. На сайта YOUR_SERVER_IP попълнете IP адреса на вашата интернет връзка у дома, QNAP вече е по подразбиране.

Не получавате ли фиксиран и следователно динамичен IP адрес от вашия интернет доставчик за интернет връзка у дома? Тогава услугата за динамични dns (ddns) е добра алтернатива. Можете просто да го настроите на вашия nas (вижте полето „Динамична DNS услуга на вашия nas“) и след това да въведете адреса на мястото на IP адреса в профила (това не се случва автоматично). Със Synology динамичният dns е изключително удобен, защото след това можете да използвате създадения сертификат на сървъра, за да настроите връзката за решаване на проблем със сертификат.

Динамична DNS услуга на вашето NAS

С услугата dynamic-dns (ddns) вашият IP адрес се съхранява и предава на външен сървър, което гарантира, че избраното име на хост винаги е свързано с правилния IP адрес. Можете просто да прокарате това по носа си. В Synology ще го намерите под Контролен панел / Отдалечен достъп . Най-лесният начин е да изберете Synology като (безплатен) доставчик на услуги с налично име на хост и име на домейн (ние избираме groensyn154.synology.me ), стига да е налична комбинацията. По желание можете да зададете и персонализиран доставчик на ddns. В QNAP отидете на Контролен панел / Мрежа и виртуален превключвател . Под заглавие Услуги за достъп ще намерите опцията DDNS. Можете да зададете персонализиран доставчик на DDNS, както и да конфигурирате и използвате услугата myQNAPcloud на QNAP сами. Съветникът ще ви преведе през настройките. В края можете да изберете кои услуги да настроите. От съображения за сигурност можете да ограничите това, като изберете само DDNS .

07 Добавяне на сертификати

С QNAP удостоверяването при влизане в VPN сървъра се основава само на потребителско име и парола. Със Synology ви трябват и два клиентски сертификата, за да се избегнат грешки при свързване, което разбира се е много по-сигурно. Можете да ги добавите ръчно в приложението, но също така (както правим тук) да ги включите в профила OpenVPN. Използваме сертификата ddns (в нашия пример, принадлежащ на groensyn154.synology.me ) за двата сертификата. За да направите това, отидете на Контролен панел / Защита . Докоснете Конфигуриране и се уверете, че този сертификат е избран зад VPN сървъра . Затворете прозореца с Отказ . Щракнете с десния бутон върху сертификата и изберете Експорт на сертификат.

Извлечете zip файла. Отворете профила OpenVPN в текстов редактор. В долната част виждате блоксъс съдържание на приблизително crt . Под това добавяте блоккъдето поставяте съдържанието на cert.pem . След това добавете още един блоксъдържащо съдържанието на privkey.pem . С този профил можете да настроите връзка в комбинация с потребителския акаунт на вашия nas.

08 Други опции за конфигуриране

Можете да зададете повече опции според вашите предпочитания. Първото зависи от целта ви на употреба. Искате ли да използвате VPN връзката само за отдалечен достъп до вашата домашна мрежа? Със Synology се уверете, че има отметка ( # ) преди линията за пренасочване-шлюз def1 във вашия профил, така че да се счита за коментар. Ако премахнете отметката, целият трафик ще минава през VPN тунела, също и за редовни уебсайтове, които посещавате. С QNAP това е настройка на сървъра, така че не засяга профила. Настройвате го в QVPN услуга с опцията Използвайте тази връзка като шлюз по подразбиране за външни устройства. Ако го включите, целият трафик от VPN клиента ще минава през VPN тунела. Искате ли да проверите това? След това посетете адреса //whatismyipaddress.com с браузър. Ако тук е посочен вашият публичен IP адрес (на вашата интернет връзка), вие знаете, че трафикът преминава през тунела.

09 Пренасочване на портове в рутера

В този основен курс сме задали протокола udp за vpn сървъра на порт 1194 и това е и единственият трафик, който трябва да препратите от вашия рутер към вашия nas с правило за пренасочване на портове. Препоръчително е първо да ни дадете фиксиран IP адрес във вашата мрежа. Начинът, по който добавяте такова правило, се различава за всеки рутер. Самото правило е просто. Входящият трафик използва udp протокол и портът е 1194. Въведете ip адреса на вашия nas като дестинация и портът вече е 1194.

10 Достъп от смартфон

Използването на VPN връзка от смартфон е само малка стъпка. Уверете се, че сте във външна мрежа (като мобилната мрежа), а не във вашата собствена WiFi мрежа, така че да се свързвате отвън. Както е посочено, ние използваме официалното приложение OpenVPN Connect, което можете да изтеглите от Google Play Store или iOS App Store. Можете да свържете смартфон с Android към компютъра, след което можете да копирате профила OpenVPN в папката за изтегляне. След това импортирайте профила с приложението чрез Импортиране на профил / файл. С iPhone можете да използвате iTunes или да изпратите имейл профила на OpenVPN до себе си и да го отворите в приложението OpenVPN.

Въведете потребителското име и паролата, свързани с вашия акаунт, в nas. Сега можете да се свържете, като докоснете профила. След това ще имате достъп до вашия nas и домашната мрежа, към която е свързан вашият nas.

Ограничения при използване на ipv6

В тази статия предполагаме, че използвате ipv4 адрес за вашия VPN сървър, а не ipv6. В някои ситуации това е проблем. Например интернет доставчици като Ziggo понякога вече не дават на клиентите публичен ipv4 адрес. В такъв случай можете да получавате само входящи връзки към вашия vpn сървър чрез ipv6. И това е друг проблем, ако искате да се свържете с вашия смартфон от мобилна мрежа, тъй като ipv6 се предлага само пестеливо при мобилни връзки.