VPN poslužitelj možete urediti na svom naslu ovako

Na primjer, vrlo je povoljno imati pristup svojoj kućnoj mreži s bilo kojeg mjesta putem pametnog telefona. Na primjer, za upravljanje IoT uređajima, prikaz slika s IP kamere ili zaobilaženje regionalnih blokada. Postavljanjem VPN poslužitelja jednim ste potezom sigurno na svojoj kućnoj mreži. Nas je obično dovoljno moćan za upotrebu kao VPN poslužitelj, posebno ako vam nije potrebna najveća brzina. U ovom ćemo vam članku pokazati kako ga postaviti i koristiti sa pametnim telefonom.

Ako kod kuće imate pokrenute sve vrste lijepih aplikacija, prije ili kasnije željet ćete im pristupiti sa pametnog telefona, tableta ili laptopa na cesti. Razmotrite, na primjer, automatizaciju kuće s Home Assistantom ili Domoticzom, streaming medija s Plexom ili Embyem, upotrebu poslužitelja za preuzimanje ili jednostavno pristup osobnim datotekama. To možete organizirati za svaku aplikaciju, obično prosljeđivanjem nekoliko priključaka, ali takva pozadinska vrata nisu bez rizika. Na primjer, mnoge aplikacije sadrže ranjivosti ili ne koriste šifrirane veze.

Takve probleme možete riješiti jednom dobro osiguranom VPN vezom. VPN veza zapravo pruža dodatni nivo zaštite povrh sigurnosti samih aplikacija. Također možete odmah koristiti sve programe kao što ste navikli kod kuće i bez prilagodbe njihove konfiguracije. To se također odnosi na aplikacije koje obično ne biste trebali koristiti putem interneta, poput mrežnog pristupa datotekama (pogledajte okvir "Pristup datotekama putem interneta"). Pokazujemo vam kako to postići VPN poslužiteljem na NAS-u tvrtke Synology ili QNAP.

Pristupite datotekama putem Interneta

Nas je možda središnje mjesto za pohranu u vašoj mreži. Smb protokol koristi se za pristup datotekama s Windows računala. Pogotovo je prva verzija (smb 1.0) vrlo nesigurna. Na primjer, ranjivost je bila u korijenu velikog napada ransomwarea WannaCry. Danas je onemogućen prema zadanim postavkama u sustavu Windows 10, a mnogi pružatelji usluga blokiraju tcp priključak 445 koji se koristi za maloprometni promet. Trebali bi moći koristiti internetsku vezu.

Microsoft također čini isto za dijeljene mape usluge Azure Files. Ipak, neobično je i ne preporučujemo ga. To nije samo pitanje povjerenja. Mnoge mreže pokreću starije, ranjive uređaje. Čini se da je čak i na nedavnom Synology NAS-u smb 3.0 onemogućen prema zadanim postavkama. Blokiranje priključaka kod pružatelja usluga kao što je Ziggo također vam može smetati. Nadalje, izvedba putem internetskih veza često je razočaravajuća. Iznad svega, i dalje ste podložni ranjivostima, dok su vaši najvažniji podaci i dalje uključeni. Da biste pristupili datotekama u mreži, preporučujemo VPN vezu ili alternative poput pohrane u oblaku.

01 Zašto NAS?

Možda u svojoj mreži već imate neke uređaje koje možete koristiti kao VPN poslužitelj, poput usmjerivača. Ne biste trebali očekivati ​​čuda u izvedbi, a OpenVPN nije uvijek podržan. Vaš vlastiti poslužitelj izvrsna je opcija, ali nije svima dostupan. Ako imate nas, to je također opcija, s dodatnom procesorskom snagom i velikom lakoćom upotrebe. I Synology i QNAP podržavaju postavljanje kao VPN poslužitelj prema zadanim postavkama s relativno jednostavnom konfiguracijom. Ako imate model s procesorom koji podržava skup uputa AES-NI, dobit ćete znatno veće performanse.

Na izvedbu možete utjecati i algoritmom šifriranja i veličine ključa. U ovom osnovnom tečaju odabiremo siguran kompromis, dovoljan za pregršt veza. Prave najveće brzine mogu ostati nedostižne, ali za većinu aplikacija to nije problem, a uvijek postoje i drugi ograničavajući čimbenici, poput internetske veze.

02 Instalirajte aplikaciju

Synologyjev VPN poslužitelj podržava PPTP, OpenVPN i L2TP / IPSec. Zanimljiva su samo posljednja dva. Po želji možete postaviti oboje, ali u ovom osnovnom tečaju ograničavamo se na OpenVPN. Nudi dobre performanse i dobru sigurnost, s puno slobode u konfiguraciji. Da biste ga instalirali, idite u Package Center . Pronađite VPN poslužitelj i instalirajte aplikaciju. Na QNAP-u otvorite App Center i pronađite QVPN uslugu u odjeljku Uslužni programi. Uz gore navedene protokole, ova aplikacija također podržava QBelt protokol koji je razvio QNAP. Aplikaciju QNAP možete koristiti i kao VPN klijent dodavanjem profila ako NAS treba koristiti vanjski VPN poslužitelj. To može učiniti i Synology, opciju možete pronaći u odjeljku Mreža na upravljačkoj ploči .

03 Konfiguracija u Synology

Otvoreno VPN poslužitelja i slavine OpenVPN pod naslovom Set up VPN poslužitelja . Potvrdite okvir Omogući OpenVPN poslužitelj . Prilagodite konfiguraciju prema svojim željama, poput protokola (udp ili tcp), porta i šifriranja (pogledajte okvir "Protokol, priključak i šifriranje za OpenVPN"). Predlaže se sigurna opcija: AES-CBC s 256-bitnim ključem i SHA512 za provjeru autentičnosti. Budite oprezni, jer na popisu ima i nesigurnih izbora. Upotrijebite opciju Dopusti klijentima pristup LAN poslužiteljupobrinite se da možete pristupiti drugim uređajima na istoj mreži kao i nas s vaše vpn veze. Ako to ne uspijete, možete koristiti samo nas i aplikacije na tom nas, što ponekad može biti dovoljno.

Radije onemogućimo opciju Omogući kompresiju na VPN vezi . Dodana vrijednost je ograničena i nije bez rizika zbog nekih ranjivosti. Na kraju, kliknite Primijeni, a zatim Izvoz konfiguracije, da biste preuzeli zip paket koji ćete koristiti za povezivanje. U odjeljku Pregled vidjet ćete da je OpenVPN omogućen. Koristite li vatrozid na nosima? Zatim idite na Upravljačku ploču / Sigurnost / Vatrozid i dodajte pravilo koje omogućuje promet za vpn poslužitelj.

04 Konfiguracija na QNAP-u

Na QNAP NAS-u otvorite aplikaciju QVPN Service i odaberite opciju VPV poslužitelja OpenVPN . Označite okvir Omogući OpenVPN poslužitelj i prilagodite konfiguraciju prema svojim željama. Kao i kod Synology, i vi možete slobodno postaviti protokol i port. Prema zadanim postavkama, AES se koristi za šifriranje s 128-bitnim (zadanim) ili 256-bitnim ključem. Mi okrenuti off Omogući stisnut opciju VPN veze . Zatim kliknite Primijeni . Nakon toga možete preuzeti OpenVPN profil, koji također sadrži certifikat. Ovo ćemo koristiti pod Androidom. Pod pregledommožete vidjeti je li vpn poslužitelj aktivan s ostalim detaljima kao što su povezani korisnici.

Protokol, port i šifriranje za OpenVPN

OpenVPN je fleksibilan za konfiguriranje. Za početak se kao protokol mogu koristiti udp i tcp, s tim da se preferira udp jer djeluje učinkovitije i brže. Vjerojatnije je da će 'regulirajuća' priroda TCP protokola djelovati nego pomoći u prometu preko VPN tunela. Nadalje, možete odabrati praktički bilo koju luku. Za udp ovo je prema zadanim postavkama port 1194. Nažalost, tvrtke često zatvaraju ove i druge luke za odlazni promet. Međutim, 'uobičajeni' promet na web stranici gotovo je uvijek moguć putem tcp priključaka 80 (http) i 443 (https). To možete pametno iskoristiti.

Ako za vezu OpenVPN odaberete tcp protokol s portom 443, možete se povezati putem gotovo bilo kojeg vatrozida i proxy poslužitelja, ali uz gubitak brzine. Ako imate luksuz, možete postaviti dva vpn poslužitelja, jedan s udp / 1194 i drugi s tcp / 443. Što se tiče šifriranja, AES-CBC je najčešći kod AES-GCM-a kao nove alternative. 256-bitni ključ je norma, ali 128 ili 192 bitni ključ je također vrlo siguran. Do daleke budućnosti praktički je nemoguće razbiti (dobro odabrani) 128-bitni ključ. Stoga još dulji ključ dodaje malo u pogledu zaštite, ali košta veću računalnu snagu.

05 Prilagođavanje korisničkih računa

Za prijavu na VPN poslužitelj potreban je i korisnički račun. To je redovni korisnički račun na nas s ispravnim dozvolama za upotrebu vpn poslužitelja. U Synologyu svi korisnici prema zadanim postavkama imaju mogućnost upotrebe VPN poslužitelja. Prilagodite ovo svojim željama odlaskom na Dopuštenja na VPN poslužitelju . S QNAP-om idite na Privilege Settings u QVPN Service . Ovdje ručno dodajete željene vpn korisnike od lokalnih korisnika na nas.

06 Post-uredi OpenVPN profil

Morate proći kroz profil OpenVPN u uređivaču teksta i po potrebi izvršiti prilagodbe. U Synologyu izdvajate zip datoteku ( openvpn.zip ) u mapu nakon koje možete otvoriti datoteku VPNConfig.ovpn u svom uređivaču teksta. Ovdje ćete pronaći liniju daljinski YOUR_SERVER_IP 1194 i malo dalje na proto udp . Ovo specificira koji broj porta ( 1194 ) i protokol ( udp ) treba koristiti prilikom uspostavljanja veze. Na web mjestu YOUR_SERVER_IP unesite IP adresu internetske veze kod kuće, QNAP je već zadan.

Ne dobivate li od svog davatelja internetske usluge fiksnu, a time i dinamičnu IP adresu za internetsku vezu kod kuće? Tada je usluga Dynamic-DNS (ddns) dobra alternativa. Jednostavno ga možete postaviti na nas (pogledajte okvir "Dinamička DNS usluga na vašem nas"), a zatim unesite adresu umjesto IP adrese u profil (to se ne događa automatski). Uz Synology, dinamički dns je izuzetno zgodan jer tada možete koristiti stvoreni certifikat poslužitelja za postavljanje veze za rješavanje problema s certifikatom.

Dinamična DNS usluga na vašem NAS-u

Pomoću usluge Dynamic-dns (ddns) vaša se IP adresa čuva i prosljeđuje vanjskom poslužitelju, što osigurava da je odabrano ime hosta uvijek povezano s ispravnom IP adresom. Možete ovo samo trčati po nosu. U Synologyu ćete ga pronaći pod Upravljačka ploča / Udaljeni pristup . Najlakši je način odabrati Synology kao (besplatnog) pružatelja usluga s dostupnim imenom hosta i imenom domene (mi odabiremo groensyn154.synology.me ), sve dok je kombinacija dostupna. Po želji možete postaviti i prilagođenog davatelja usluga ddns. Na QNAP-u idite na Upravljačka ploča / Mreža i virtualni prekidač . Pod naslovom Pristupne usluge pronaći ćete opciju DDNS. Možete postaviti prilagođenog DDNS davatelja usluga, kao i sami konfigurirati i koristiti QNAP-ovu uslugu myQNAPcloud. Čarobnjak vas vodi kroz postavke. Na kraju možete odabrati koje usluge postaviti. Iz sigurnosnih razloga to biste mogli ograničiti samo odabirom DDNS-a .

07 Dodavanje certifikata

Kod QNAP-a provjera autentičnosti prilikom prijave na VPN poslužitelj temelji se samo na korisničkom imenu i lozinci. Sa Synologyom vam trebaju i dva certifikata klijenta kako biste izbjegli pogreške u povezivanju, što je naravno puno sigurnije. Možete ih dodati ručno u aplikaciju, ali također (kao što to radimo ovdje) uključiti u profil OpenVPN. Za dva certifikata koristimo certifikat ddns (u našem primjeru koji pripada groensyn154.synology.me ). Da biste to učinili, idite na Upravljačka ploča / Sigurnost . Dodirnite Konfiguriraj i provjerite je li ovaj certifikat odabran iza VPN poslužitelja . Zatvorite prozor tipkom Odustani . Desnom tipkom miša kliknite certifikat i odaberite Izvoz certifikata.

Izdvojite zip datoteku. Otvorite profil OpenVPN u uređivaču teksta. Na dnu vidite bloksa sadržajem cca crt . Ispod toga dodajte blokgdje stavljate sadržaj cert.pem . Zatim dodajte još jedan blokkoji sadrži sadržaj privkey.pem . Ovim profilom možete postaviti vezu u kombinaciji s korisničkim računom na vašem nas.

08 Ostale mogućnosti konfiguracije

Možete postaviti više opcija prema svojim željama. Prvo ovisi o vašoj namjeni upotrebe. Želite li VPN vezu koristiti samo za daljinski pristup vašoj kućnoj mreži? Uz Synology, provjerite postoji li potvrda ( # ) prije preusmjeravanja linije def1 u vašem profilu tako da se smatra komentarom. Ako uklonite oznaku, sav promet proći će kroz VPN tunel, također za redovite web stranice koje posjećujete. S QNAP-om ovo je postavka poslužitelja, tako da ne utječe na profil. Postavili ste ga u QVPN usluzi s opcijom Koristi ovu vezu kao zadani pristupnik za vanjske uređaje. Ako ga uključite, sav promet s VPN klijenta proći će kroz VPN tunel. Želite li to provjeriti? Zatim s preglednikom posjetite adresu //whatismyipaddress.com. Ako je ovdje navedena vaša javna IP adresa (vaše internetske veze), znate da promet prolazi kroz tunel.

09 Portovi za prosljeđivanje u usmjerivaču

U ovom osnovnom tečaju postavili smo udp protokol za vpn poslužitelj na port 1194 i to je ujedno i jedini promet koji morate preusmjeriti sa svog usmjerivača na vaš nas s pravilom za prosljeđivanje priključaka. Preporučljivo je da nam prvo date fiksnu IP adresu u svojoj mreži. Način na koji dodajete takvo pravilo razlikuje se po usmjerivaču. Samo pravilo je jednostavno. Dolazni promet koristi udp protokol i port je 1194. Unesite ip adresu svog nas kao odredište i port je sada 1194.

10 Pristup sa pametnog telefona

Samo je mali korak korištenje VPN veze sa pametnog telefona. Provjerite jeste li na vanjskoj mreži (poput mobilne mreže), a ne na vlastitoj WiFi mreži, tako da se zapravo povezujete izvana. Kao što je navedeno, koristimo službenu aplikaciju OpenVPN Connect koju možete preuzeti iz Google Play trgovine ili iOS App Store. Android računalo možete povezati s računalom, nakon čega možete kopirati profil OpenVPN u mapu Preuzimanje. Zatim uvezite profil s aplikacijom putem Uvezi profil / datoteku. S iPhoneom možete koristiti iTunes ili si OpenVPN profil poslati e-poštom i otvoriti ga u aplikaciji OpenVPN.

Unesite korisničko ime i lozinku povezane s vašim računom na nas. Sada se možete povezati dodirivanjem profila. Nakon toga imat ćete pristup svom nas i kućnoj mreži na koju je vaš nas povezan.

Ograničenja pri korištenju ipv6

U ovom članku pretpostavljamo da za svoj VPN poslužitelj koristite ipv4 adresu, a ne ipv6. U nekim je situacijama to problem. Na primjer, internetski davatelji kao što je Ziggo ponekad više ne daju kupcima javnu ipv4 adresu. U tom slučaju dolazne veze s vašim vpn poslužiteljem možete primati samo putem ipv6. A to je još jedan problem ako se želite povezati sa svojim pametnim telefonom s mobilne mreže, jer se ipv6 nudi rijetko na mobilnim vezama.