Napakadaling ma-access ang iyong home network mula sa kahit saan sa labas ng iyong tahanan gamit, halimbawa, ang iyong smartphone. Halimbawa, para magpatakbo ng mga IoT device, tingnan ang mga larawan mula sa IP camera o iwasan ang mga panrehiyong bloke. Sa pamamagitan ng pag-set up ng VPN server, ligtas kang nasa iyong home network sa isang aksyon. Ang isang NAS ay karaniwang sapat na malakas para magamit bilang isang VPN server, lalo na kung hindi mo kailangan ang pinakamataas na bilis. Sa artikulong ito ipapakita namin sa iyo kung paano i-set up at gamitin ito kasama ng isang smartphone.
Kung mayroon kang lahat ng uri ng magagandang application na tumatakbo sa bahay, maaga o huli ay gugustuhin mo ring i-access ang mga ito mula sa iyong smartphone, tablet o laptop habang nasa kalsada. Isipin, halimbawa, ang home automation gamit ang Home Assistant o Domoticz, media streaming gamit ang Plex o Emby, ang paggamit ng mga download server o simpleng pag-access sa mga personal na file. Maaari mong ayusin iyon sa bawat aplikasyon, kadalasan sa pamamagitan ng pagpapasa ng ilang port, ngunit ang gayong mga backdoor ay walang panganib. Halimbawa, maraming mga application ang naglalaman ng mga kahinaan o hindi gumagamit ng mga naka-encrypt na koneksyon.
Maaari mong lutasin ang mga naturang problema sa isang mahusay na secure na koneksyon sa VPN. Ang koneksyon ng VPN ay talagang nagbibigay ng karagdagang layer ng proteksyon sa itaas ng seguridad ng mga application mismo. Maaari mo ring gamitin kaagad ang lahat ng mga application tulad ng nakasanayan mo sa bahay at nang hindi inaayos ang kanilang configuration. Nalalapat din ito sa mga application na karaniwan mong hindi dapat gamitin sa pamamagitan ng Internet, tulad ng pag-access sa network file (tingnan ang kahon na 'I-access ang mga file sa pamamagitan ng Internet'). Ipapakita namin sa iyo kung paano makamit ito gamit ang isang VPN server sa isang Synology o QNAP NAS.
I-access ang mga file sa Internet
Ang iyong NAS ay maaaring ang sentral na storage point sa iyong network. Ang smb protocol ay ginagamit upang ma-access ang mga file mula sa isang Windows PC. Lalo na ang unang bersyon (smb 1.0) ay lubhang hindi ligtas. Halimbawa, ang isang kahinaan ay ang ugat ng isang malaking pag-atake ng WannaCry ransomware. Sa Windows 10 ito ay naka-disable na ngayon bilang default at maraming provider ang humaharang sa tcp port 445 na ginagamit para sa smb traffic. dapat na makagamit ng koneksyon sa internet.
Ginagawa rin ito mismo ng Microsoft para sa mga nakabahaging folder ng serbisyo ng Azure Files. Gayunpaman, hindi karaniwan at hindi namin ito inirerekomenda. Hindi lang trust issue yan. Maraming mga network ang nagpapatakbo ng mga mas lumang device. Kahit na sa isang kamakailang Synology NAS, ang smb 3.0 ay lumilitaw na hindi pinagana bilang default. Ang pag-block ng port sa mga provider tulad ng Ziggo ay maaari ring makaabala sa iyo. Higit pa rito, ang pagganap sa pamamagitan ng mga koneksyon sa internet ay kadalasang nakakadismaya. Higit sa lahat, nananatili kang mahina sa mga kahinaan, habang may kinalaman pa rin ito sa iyong pinakamahalagang data. Upang ma-access ang iyong mga file sa network, inirerekomenda namin ang isang koneksyon sa VPN o mga alternatibo tulad ng cloud storage.
01 Bakit may ilong?
Maaaring mayroon ka nang ilang device sa iyong network na magagamit mo bilang VPN server, gaya ng router. Hindi ka dapat umasa ng mga himala sa mga tuntunin ng pagganap at ang OpenVPN ay hindi palaging suportado. Ang iyong sariling server ay isang magandang opsyon, ngunit hindi iyon maaabot ng lahat. Kung mayroon kang NAS, opsyon din iyon, na may dagdag na kapangyarihan sa pagpoproseso at maraming kadalian ng paggamit. Parehong sinusuportahan ng Synology at QNAP ang pag-set up bilang VPN server bilang default na may medyo madaling pagsasaayos. Kung mayroon kang modelong may processor na sumusuporta sa set ng pagtuturo ng AES-NI, makikinabang ka sa mas mataas na performance.
Maaari mo ring maimpluwensyahan ang pagganap gamit ang algorithm ng pag-encrypt at ang laki ng key. Sa pangunahing kursong ito, pipili kami ng ligtas na kompromiso, sapat para sa ilang mga koneksyon. Maaaring hindi maabot ang tunay na pinakamataas na bilis, ngunit hindi iyon problema para sa karamihan ng mga application, at palaging may iba pang mga salik na naglilimita, gaya ng iyong koneksyon sa internet.
02 I-install ang application
Sinusuportahan ng VPN server ng Synology ang PPTP, OpenVPN at L2TP/IPSec. Ang huling dalawa lamang ang kawili-wili. Maaari mong opsyonal na i-set up ang pareho, ngunit sa pangunahing kursong ito nililimitahan namin ang aming sarili sa OpenVPN. Nag-aalok ito ng mahusay na pagganap at mahusay na kaligtasan, na may maraming kalayaan sa pagsasaayos. Upang i-install ito pumunta sa Package Center. Maghanap VPN Server at i-install ang application. Sa QNAP ka magbubukas Sentro ng applikasyon at hinahanap ka Serbisyo ng QVPN sa seksyon Mga utility. Bilang karagdagan sa mga protocol sa itaas, sinusuportahan din ng application na ito ang QBelt protocol na binuo ng QNAP mismo. Maaari mo ring gamitin ang QNAP application bilang isang VPN client sa pamamagitan ng pagdaragdag ng mga profile, kung sakaling ang NAS ay kailangang gumamit ng isang panlabas na VPN server. Posible rin ito sa Synology, makikita mo ang opsyon sa ilalim Network nasa Control Panel.
03 Configuration sa Synology
Bukas VPN Server at i-tap sa ilalim ng heading Pag-setup ng VPN Server sa OpenVPN. Maglagay ng check in Paganahin ang OpenVPN server. Ayusin ang configuration sa iyong kagustuhan, tulad ng protocol (udp o tcp), port at encryption (tingnan ang kahon na 'Protocol, port at encryption para sa OpenVPN'). Iminumungkahi ang isang secure na opsyon: AES-CBC na may 256bit na key at SHA512 para sa authentication. Mag-ingat, dahil mayroon ding mga hindi ligtas na pagpipilian sa listahan. Gamit ang pagpipilian Payagan ang mga kliyente na ma-access ang LAN server tiyaking maa-access mo rin ang iba pang mga device sa parehong network gaya ng NAS mula sa iyong koneksyon sa VPN. Kung nabigo kang gawin ito, magagamit mo lang ang nas at ang mga application sa nas na iyon, na kung minsan ay sapat na.
Ang pagpipilian Paganahin ang compression sa VPN link mas gusto naming i-off ito. Limitado ang idinagdag na halaga at hindi ito walang panganib dahil sa ilang mga kahinaan. Sa wakas ay mag-click Para mag-apply sinundan ng I-export ang configuration upang makuha ang zip package kung saan mo ise-set up ang koneksyon sa ibang pagkakataon. Sa ilalim ng Pangkalahatang-ideya makikita mo na ang OpenVPN ay pinagana. Ginagamit mo ba ang firewall sa iyong NAS? Pagkatapos ay pumunta sa Control Panel / Security / Firewall at magdagdag ng panuntunan na nagbibigay-daan sa trapiko para sa vpn server.
04 Configuration sa QNAP
Buksan ang application sa isang QNAP NAS Serbisyo ng QVPN at pumili sa ibaba VPN server ang pagpipilian OpenVPN. Maglagay ng check in Paganahin ang OpenVPN server at ayusin ang configuration sa iyong kagustuhan. Tulad ng sa Synology, maaari mong malayang itakda ang protocol at port. Bilang default, ang AES ay ginagamit para sa pag-encrypt gamit ang alinman sa 128-bit (default) o 256-bit na key. Ang pagpipilian Paganahin ang naka-compress na koneksyon sa VPN off namin. Pagkatapos ay i-click Para mag-apply. Pagkatapos nito, maaari mong i-download ang OpenVPN profile, na naglalaman din ng sertipiko. Gagamitin namin ito sa ilalim ng Android. sa ibaba Pangkalahatang-ideya makikita mo kung tumatakbo ang vpn server kasama ang iba pang mga detalye tulad ng mga konektadong user.
Protocol, Port at Encryption para sa OpenVPN
Ang OpenVPN ay nababaluktot upang i-configure. Para sa mga panimula, ang parehong udp at tcp ay maaaring gamitin bilang mga protocol, na ang udp ay ginustong dahil ito ay mas mahusay at mas mabilis. Ang 'regulatory' na katangian ng TCP protocol ay gumagana laban sa halip na makipagtulungan sa trapiko sa isang VPN tunnel. Higit pa rito, maaari kang pumili ng halos anumang port. Para sa udp, ang default na port ay 1194. Sa kasamaang palad, madalas na isinasara ng mga kumpanya ang mga ito at ang iba pang mga port para sa papalabas na trapiko. Gayunpaman, ang 'normal' na trapiko sa website sa pamamagitan ng mga tcp port 80 (http) at 443 (https) ay halos palaging posible. Magagamit mo ito nang matalino.
Kung pipiliin mo ang tcp protocol na may port 443 para sa koneksyon sa OpenVPN, maaari kang kumonekta sa halos anumang firewall at proxy server, ngunit may pagkawala ng bilis. Kung mayroon kang karangyaan, maaari kang mag-set up ng dalawang VPN server, ang isa ay may udp/1194 at ang isang segundo ay may tcp/443. Sa mga tuntunin ng pag-encrypt, ang AES-CBC ang pinakakaraniwan sa AES-GCM bilang isang umuusbong na alternatibo. Ang isang 256-bit na key ay ang pamantayan, ngunit ang isang 128 o 192-bit na key ay ligtas din. Hanggang sa malayong hinaharap, halos imposibleng i-crack ang isang (napiling mabuti) na 128-bit na key. Ang isang mas mahabang key samakatuwid ay nagdaragdag ng kaunti sa mga tuntunin ng proteksyon, ngunit nagkakahalaga ng mas maraming kapangyarihan sa pag-compute.
05 Paganahin ang mga user account
Kinakailangan din ang isang user account upang mag-log in sa vpn server. Iyon ay isang ordinaryong user account sa nas na may tamang mga pahintulot na gamitin ang vpn server. Bilang default, pinapayagan ng Synology ang lahat ng mga gumagamit na gamitin ang VPN server. Ayusin ito sa iyong kagustuhan sa pamamagitan ng pagpasok VPN Server pangit mga karapatan pumunta. Sa QNAP ka pumasok Serbisyo ng QVPN pangit Mga Setting ng Pribilehiyo. Dito mo idinaragdag ang mga gustong user ng vpn nang manu-mano mula sa mga lokal na user sa nas.
06 I-edit ang OpenVPN profile
Kailangan mong dumaan sa profile ng OpenVPN sa isang text editor at gumawa ng mga pagsasaayos kung kinakailangan. Sa Synology i-extract mo ang zip file (openvpn.zip) sa isang folder at pagkatapos ay maaari mong i-save ang file VPNConfig.ovpn maaaring buksan sa iyong text editor. Dito makikita mo ang line remote YOUR_SERVER_IP 1194 at kaunti pa prototype udp. Ipinapahiwatig nito kung aling numero ng port (1194) at protocol (udp) ay dapat gamitin kapag nagse-set up ng koneksyon. Sa lugar ng YOUR_SERVER_IP ipasok ang IP address ng iyong koneksyon sa internet sa bahay, gamit ang QNAP ito ay napunan na bilang default.
Hindi ka ba nakakatanggap ng nakapirming IP address mula sa iyong internet provider para sa koneksyon sa internet sa bahay, ngunit isang pabago-bago at samakatuwid ay iba-iba ang IP address? Kung gayon ang isang dynamic-dns service (ddns) ay isang magandang alternatibo. Maaari mo lamang itong i-set up sa iyong nas (tingnan ang kahon na 'Dynamic na serbisyo ng dns sa iyong nas') at pagkatapos ay ilagay ang address sa halip na ang IP address sa profile (hindi ito awtomatikong nangyayari). Sa Synology, ang dynamic na dns ay higit na kapaki-pakinabang, dahil maaari mong gamitin ang nilikha na sertipiko ng server upang i-set up ang koneksyon, upang malutas ang isang problema sa sertipiko.
Dynamic na serbisyo ng dns sa iyong nas
Sa isang serbisyo ng dynamic-dns (ddns) ang iyong IP address ay pinapanatili at ipinapasa sa isang panlabas na server, na nagsisiguro na ang napiling pangalan ng host ay palaging naka-link sa tamang IP address. Maaari mo lamang patakbuhin ito sa iyong nas. Sa Synology makikita mo ito sa ilalim Control Panel / Remote Access. Ang pinakamadali ay piliin ang Synology bilang isang (libre) service provider na may available na hostname at domain name (pinili namin greensyn154.synology.me), hangga't available ang kumbinasyon. Opsyonal, maaari ka ring mag-set up ng custom na ddns provider. Sa QNAP ka pupunta Control Panel / Network at Virtual Switch. Sa ilalim ng pamagat Mga Serbisyo sa Pag-access nahanap mo ba ang pagpipilian DDNS. Maaari kang mag-set up ng custom na provider ng ddns, pati na rin i-configure at gamitin ang mismong serbisyo ng myQNAPcloud ng QNAP. Gagabayan ka ng isang wizard sa mga setting. Sa dulo maaari mong piliin kung aling mga serbisyo ang dapat i-set up. Para sa mga kadahilanang pangseguridad maaari mong limitahan iyon sa pamamagitan lamang DDNS Pumili.
07 Magdagdag ng mga Sertipiko
Sa QNAP, ang pagpapatunay kapag nagla-log in sa VPN server ay nakabatay sa username at password lamang. Sa Synology kailangan mo rin ng dalawang sertipiko ng kliyente upang maiwasan ang mga error sa koneksyon, na siyempre ay mas ligtas din. Maaari mong idagdag ang mga ito nang manu-mano sa app, ngunit din (tulad ng ginagawa namin dito) isama ang mga ito sa profile ng OpenVPN. Ginagamit namin ang sertipiko ng ddns (sa aming halimbawa na kabilang sa greensyn154.synology.me) para sa dalawang sertipiko. Pumunta sa Control Panel / Seguridad. I-tap ang I-configure at siguraduhin na ang certificate na ito ay napili sa likod VPN Server. Isara ang bintana gamit ang Kanselahin. Mag-right click sa certificate at piliin I-export ang Sertipiko.
I-extract ang zip file. Buksan ang profile ng OpenVPN sa isang text editor. Sa ibaba makikita mo ang isang blokekasama ang nilalaman ng approx.crt. Sa ibaba ay magdagdag ka ng isang bloke kung saan ipinasok mo ang mga nilalaman ng cert.pem set. Pagkatapos ay magdagdag ng isa pang bloke kasama ang nilalaman ng privkey.pem. Sa profile na ito maaari kang mag-set up ng koneksyon kasama ang user account sa iyong NAS.
08 Iba pang mga opsyon sa pagsasaayos
Maaari kang magtakda ng higit pang mga opsyon ayon sa iyong kagustuhan. Ang una ay depende sa iyong layunin ng paggamit. Gusto mo lang bang gamitin ang koneksyon sa VPN para ma-access ang iyong home network nang malayuan? Sa Synology kailangan mong tiyakin na bago ang linya redirect gateway def1 sa iyong profile isang bracket (#) upang ito ay ituring bilang isang komento. Kung aalisin mo ang panaklong, lahat ng trapiko ay dadaan sa VPN tunnel, para din sa mga regular na website na binibisita mo, halimbawa. Sa QNAP, isa itong setting ng server, kaya hindi ito nakakaapekto sa profile. Itakda mo ito Serbisyo ng QVPN na may opsyon Gamitin ang koneksyon na ito bilang default na gateway para sa mga external na device. Kung i-on mo ito, lahat ng trapiko mula sa VPN client ay dadaan sa VPN tunnel. Gusto mo bang suriin iyon? Pagkatapos ay bisitahin ang http://whatismyipaddress.com gamit ang isang browser. Kung ang iyong pampublikong IP address (ng iyong koneksyon sa internet) ay nakalista dito, alam mo na ang trapiko ay dumadaan sa tunnel.
09 Port forwarding sa router
Sa basic course na ito, itinakda namin ang udp protocol sa port 1194 para sa vpn server at iyon din ang tanging traffic na kailangan mong i-forward mula sa iyong router papunta sa iyong nas na may portforwarding rule. Maipapayo na bigyan muna ang NAS ng isang nakapirming IP address sa iyong network. Ang paraan ng pagdaragdag mo ng naturang panuntunan ay naiiba sa bawat router. Ang panuntunan mismo ay simple. Ang papasok na trapiko ay gumagamit ng udp protocol at ang port ay 1194. Bilang destinasyon, ilalagay mo ang ip address ng iyong nas at ang port ay 1194 na rin ngayon.
10 Pag-access mula sa smartphone
Ito ay isang maliit na hakbang lamang upang magamit ang koneksyon ng VPN mula sa isang smartphone. Siguraduhin na ikaw ay nasa isang panlabas na network (gaya ng mobile network) at hindi sa iyong sariling WiFi network, upang ikaw ay aktwal na gumawa ng isang koneksyon mula sa labas. Gaya ng ipinahiwatig, ginagamit namin ang opisyal na OpenVPN Connect app na maaari mong i-download mula sa Google Play Store o iOS App Store. Maaari mong ikonekta ang isang Android smartphone sa PC, pagkatapos nito ay maaari mong kopyahin ang profile ng OpenVPN sa folder ng Pag-download. Pagkatapos ay i-import ang profile gamit ang app sa pamamagitan ng Import Profile / File. Gamit ang isang iPhone, maaari mong gamitin ang iTunes, o i-email ang OpenVPN profile sa iyong sarili at buksan ito sa OpenVPN app.
Ilagay ang username at password na nauugnay sa iyong account sa NAS. Ngayon ay maaari ka nang kumonekta sa pamamagitan ng pag-tap sa profile. Pagkatapos nito, mayroon kang access sa iyong NAS at sa home network kung saan nakakonekta ang iyong NAS.
Mga paghihigpit kapag gumagamit ng ipv6
Sa artikulong ito, ipinapalagay namin na gumagamit ka ng ipv4 address para sa iyong vpn server at hindi ipv6. Sa ilang mga sitwasyon ito ay isang problema. Halimbawa, minsan hindi na binibigyan ng mga internet provider tulad ng Ziggo ang mga customer ng pampublikong IPv4 address. Sa ganoong kaso, makakatanggap ka lamang ng mga papasok na koneksyon sa iyong VPN server sa pamamagitan ng ipv6. At iyon ay isa pang problema kung gusto mong kumonekta sa iyong smartphone mula sa isang mobile network, dahil ang ipv6 ay inaalok lamang ng matipid sa mga mobile na koneksyon.