On erittäin kätevää päästä kotiverkkoon mistä tahansa esimerkiksi älypuhelimella. Esimerkiksi IoT-laitteiden käyttämiseksi katsele kuvia IP-kamerasta tai ohita alueelliset estot. Asettamalla VPN-palvelimen olet turvallisesti kotiverkossasi yhdellä kertaa. Nas on yleensä riittävän tehokas käytettäväksi VPN-palvelimena, varsinkin jos et tarvitse suurinta nopeutta. Tässä artikkelissa näytämme, kuinka se asennetaan ja käytetään älypuhelimen kanssa.
Jos sinulla on kaikenlaisia kauniita sovelluksia käynnissä kotona, haluaisit ennemmin tai myöhemmin käyttää niitä älypuhelimesta, tabletista tai kannettavasta tien päällä. Harkitse esimerkiksi kodin automatisointia Home Assistantilla tai Domoticzilla, median suoratoistoa Plexillä tai Embyllä, latauspalvelimien käyttöä tai yksinkertaisesti pääsyä henkilökohtaisiin tiedostoihin. Voit järjestää tämän kullekin sovellukselle, yleensä lähettämällä muutaman portin, mutta tällaiset takaovet eivät ole vaarattomia. Esimerkiksi monissa sovelluksissa on haavoittuvuuksia tai ne eivät käytä salattuja yhteyksiä.
Voit ratkaista tällaiset ongelmat yhdellä hyvin suojatulla VPN-yhteydellä. VPN-yhteys tarjoaa itse asiassa ylimääräisen suojaustason itse sovellusten turvallisuuden lisäksi. Voit myös käyttää kaikkia sovelluksia heti, kun olet tottunut kotona, eikä sinun tarvitse muuttaa niiden kokoonpanoa. Tämä koskee myös sovelluksia, joita sinun ei normaalisti pitäisi käyttää Internetin kautta, kuten verkkotiedostojen käyttö (katso ruutu "Tiedostojen käyttö Internetin kautta"). Näytämme sinulle, miten tämä voidaan saavuttaa VPN-palvelimella NAS: lla Synologialta tai QNAP: lta.
Käytä tiedostoja Internetissä
Nenäsi voi olla verkon keskusvarastointipiste. Smb-protokollaa käytetään tiedostojen käyttämiseen Windows-tietokoneesta. Varsinkin ensimmäinen versio (smb 1.0) on erittäin vaarallinen. Esimerkiksi haavoittuvuus laukaisi suuren WannaCry-ransomware-hyökkäyksen. Windows 10: ssä se on nyt oletusarvoisesti pois käytöstä, ja monet palveluntarjoajat estävät smb-liikenteessä käytettävän tcp-portin 445. Pitäisi pystyä käyttämään Internet-yhteyttä.
Microsoft tekee samoin myös Azure Files -palvelun jaetuille kansioille. Silti se on epätavallista, emmekä suosittele sitä. Se ei ole vain luottamuskysymys. Monet verkot käyttävät vanhempia, haavoittuvia laitteita. Jopa tuoreessa Synology NAS: ssa smb 3.0 näyttää olevan oletusarvoisesti poissa käytöstä. Ziggon kaltaisten palveluntarjoajien satamien esto voi myös häiritä sinua. Lisäksi suorituskyky Internet-yhteyksien kautta on usein pettymys. Ennen kaikkea olet alttiina haavoittuvuuksille, vaikka se koskee edelleen tärkeimpiä tietojasi. Voit käyttää tiedostojasi verkossa suosittelemalla VPN-yhteyttä tai muita vaihtoehtoja, kuten pilvitallennustilaa.
01 Miksi NAS?
Verkossasi saattaa olla jo joitain laitteita, joita voit käyttää VPN-palvelimena, kuten reititin. Sinun ei pitäisi odottaa suorituskyvyn ihmeitä, eikä OpenVPN: ää aina tueta. Oma palvelimesi on loistava vaihtoehto, mutta se ei ole kaikkien ulottuvilla. Jos sinulla on NAS, se on myös vaihtoehto, ylimääräinen käsittelyteho ja paljon helppokäyttöisyyttä. Sekä Synology että QNAP tukevat oletusasetusten määrittämistä VPN-palvelimeksi suhteellisen yksinkertaisella määrityksellä. Jos sinulla on malli, jossa on prosessori, joka tukee AES-NI-käskysarjaa, voit hyötyä huomattavasti paremmasta suorituskyvystä.
Voit myös vaikuttaa suorituskykyyn salauksen ja avaimen koon algoritmilla. Tällä peruskurssilla valitsemme turvallisen kompromissin, joka riittää kouralliseen yhteyteen. Todelliset huippunopeudet voivat jäädä ulottumattomiin, mutta useimmissa sovelluksissa tämä ei ole ongelma, ja aina on muita rajoittavia tekijöitä, kuten Internet-yhteys.
02 Asenna sovellus
Synologyn VPN-palvelin tukee PPTP-, OpenVPN- ja L2TP / IPSec-palveluja. Vain kaksi viimeistä ovat mielenkiintoisia. Voit halutessasi asettaa molemmat, mutta tällä peruskurssilla rajoitutaan OpenVPN: ään. Se tarjoaa hyvän suorituskyvyn ja hyvän turvallisuuden, ja kokoonpanossa on paljon vapautta. Asenna se siirtymällä kohtaan Package Center. Hae VPN-palvelin ja asenna sovellus. QNAP: ssä avaat Sovelluskeskus ja etsi sinua QVPN-palvelu kohdassa Apuohjelmat. Edellä mainittujen protokollien lisäksi tämä sovellus tukee myös QNAP: n kehittämää QBelt-protokollaa. Voit käyttää QNAP-sovellusta myös VPN-asiakkaana lisäämällä profiileja, jos NAS: n on käytettävä ulkoista VPN-palvelinta. Synologia voi tehdä sen myös, löydät vaihtoehdon alla Verkko että Ohjauspaneeli.
03 Konfigurointi Synologiassa
Avata VPN-palvelin ja napauta otsikon alla Määritä VPN-palvelin päällä OpenVPN. Valitse ruutu Ota OpenVPN-palvelin käyttöön. Säädä kokoonpano mieltymystesi mukaan, kuten protokolla (udp tai tcp), portti ja salaus (katso ruutu "Protokolla, portti ja salaus OpenVPN: lle"). Ehdotetaan suojattua vaihtoehtoa: AES-CBC 256-bittisellä avaimella ja SHA512 todennusta varten. Ole varovainen, koska luettelossa on myös vaarallisia valintoja. Vaihtoehdolla Salli asiakkaiden käyttää LAN-palvelinta varmista, että pääset muihin laitteisiin samassa verkossa kuin nas VPN-yhteyden kautta. Jos et tee tätä, voit käyttää vain nas ja sen nas sovelluksia, mikä voi joskus riittää.
Vaihtoehto Ota käyttöön pakkaaminen VPN-linkissä mieluummin sammuttaa sen. Lisäarvo on rajallinen, eikä siitä ole riskejä joidenkin haavoittuvuuksien vuoksi. Napsauta lopuksi Hakea jonka jälkeen Vie kokoonpano noutaa zip-paketin, johon yhdistät myöhemmin. Kohdassa Yleiskatsaus näet, että OpenVPN on käytössä. Käytätkö palomuuria nenälläsi? Mene sitten Ohjauspaneeli / Suojaus / palomuuri ja lisää sääntö, joka sallii vpn-palvelimen liikenteen.
04 Kokoonpano QNAP: ssa
Avaa sovellus QNAP NAS: lla QVPN-palvelu ja valitse kohdasta VPN-palvelin vaihtoehto OpenVPN. Valitse ruutu Ota OpenVPN-palvelin käyttöön ja säädä kokoonpano mieltymystesi mukaan. Kuten Synologiassa, voit asettaa protokollan ja portin vapaasti. Oletusarvoisesti AES: ää käytetään salaukseen 128-bittisellä (oletus) tai 256-bittisellä avaimella. Vaihtoehto Ota pakattu VPN-yhteys käyttöön sammutamme. Napsauta sitten Hakea. Tämän jälkeen voit ladata OpenVPN-profiilin, joka sisältää myös varmenteen. Käytämme tätä Androidissa. alla Yleiskatsaus voit nähdä, onko vpn-palvelin aktiivinen, myös muiden yksityiskohtien, kuten liitettyjen käyttäjien, kanssa.
Protokolla, portti ja salaus OpenVPN: lle
OpenVPN voidaan määrittää joustavasti. Ensinnäkin sekä udp: tä että tcp: tä voidaan käyttää protokollana, kun taas udp on edullinen, koska se toimii tehokkaammin ja nopeammin. TCP-protokollan "säätelevä" luonne toimii todennäköisesti paremmin kuin VPN-tunnelin kautta kulkevan liikenteen kanssa. Voit myös valita käytännössä minkä tahansa portin. Udp: lle tämä on oletusarvoisesti portti 1194. Valitettavasti yritykset sulkevat nämä ja muut portit lähtevän liikenteen vuoksi. "Normaali" verkkosivustoliikenne on kuitenkin melkein aina mahdollista TCP-porttien 80 (http) ja 443 (https) kautta. Voit käyttää tätä älykkäästi.
Jos valitset OpenVPN-yhteydelle TCP-protokollan portilla 443, voit muodostaa yhteyden melkein minkä tahansa palomuurin ja välityspalvelimen kautta, mutta nopeuden menetys. Jos sinulla on ylellisyyttä, voit perustaa kaksi vpn-palvelinta, joista toinen on udp / 1194 ja toinen tcp / 443. Salausasioissa AES-CBC on yleisin AES-GCM: n kanssa nousevana vaihtoehtona. 256-bittinen avain on normi, mutta 128- tai 192-bittinen avain on myös erittäin turvallinen. Kaukaiseen tulevaisuuteen asti on käytännössä mahdotonta murtaa (hyvin valittu) 128-bittinen avain. Vielä pidempi avain lisää suojauksen kannalta vähän, mutta maksaa enemmän laskentatehoa.
05 Käyttäjätilien sopivuus
Käyttäjätili vaaditaan myös kirjautumiseen VPN-palvelimeen. Se on tavallinen nas-tili, jolla on oikeat oikeudet käyttää VPN-palvelinta. Synologiassa kaikilla käyttäjillä on mahdollisuus käyttää oletusarvoisesti VPN-palvelinta. Säädä tämä mieltymystesi mukaan kirjoittamalla VPN-palvelin että Oikeudet mennä. QNAP: ssä menet sisään QVPN-palvelu että Etuoikeusasetukset. Täällä lisätään halutut vpn-käyttäjät manuaalisesti paikallisten käyttäjien nas-tiedostosta.
06 Post-edit OpenVPN -profiili
Sinun täytyy käydä läpi OpenVPN-profiili tekstieditorissa ja tehdä muutoksia tarvittaessa. Synologiassa tartut zip-tiedostoon (openvpn.zip) kansiossa, jonka jälkeen muokkaat tiedostoa VPNConfig.ovpn voi avata tekstieditorissa. Täältä löydät linjan kaukosäätimen YOUR_SERVER_IP 1194 ja vähän kauemmas proto udp. Tämä osoittaa, mikä porttinumero (1194) ja protokolla (udp) tulisi käyttää muodostettaessa yhteyttä. Paikassa YOUR_SERVER_IP syötä kotisi Internet-yhteyden IP-osoite, joka on jo syötetty oletuksena QNAP: ssä.
Etkö saa Internet-palveluntarjoajalta kiinteää IP-osoitetta Internet-yhteydelle kotona, mutta dynaamista ja siksi muuttuvaa IP-osoitetta? Sitten dynaaminen-dns-palvelu (ddns) on hyvä vaihtoehto. Voit asettaa sen vain nenällesi (katso ruutu "Dynaaminen DNS-palvelu nasillesi") ja kirjoittaa sitten osoite IP-osoitteen sijaintiin profiilissa (tämä ei tapahdu automaattisesti). Synology-sovelluksessa dynaaminen dns on erityisen hyödyllinen, koska voit sitten luoda luotua palvelinsertifikaattia yhteyden muodostamiseksi, varmenteen ongelman ratkaisemiseksi.
Dynaaminen DNS-palvelu NAS-palvelimellasi
Dynaamisen dns-palvelun (ddns) avulla IP-osoitteesi säilytetään ja välitetään ulkoiselle palvelimelle, mikä varmistaa, että valittu isäntänimi on aina linkitetty oikeaan IP-osoitteeseen. Voit vain ajaa tämän nenälläsi. Synologiassa löydät sen kohdasta Ohjauspaneeli / Etäkäyttö. Helpoin tapa on valita Synology (ilmaiseksi) palveluntarjoajaksi, jolla on käytettävissä oleva isäntänimi ja verkkotunnus (valitsemme groensyn154.synology.me), kunhan yhdistelmä on käytettävissä. Vaihtoehtoisesti voit myös asettaa mukautetun ddns-palveluntarjoajan. QNAP: ssä menet Ohjauspaneeli / verkko ja virtuaalikytkin. Kupin alla Access-palvelut löydät vaihtoehdon DDNS. Voit asettaa mukautetun DDNS-palveluntarjoajan sekä määrittää ja käyttää QNAP: n myQNAPcloud-palvelua itse. Ohjattu toiminto opastaa sinut asetusten läpi. Lopussa voit valita, mitkä palvelut perustetaan. Turvallisuussyistä voit rajoittaa sitä yksin DDNS valita.
07 Varmenteiden lisääminen
QNAP: n avulla todennus, kun kirjaudut sisään VPN-palvelimeen, tapahtuu vain käyttäjänimen ja salasanan perusteella. Synologian kanssa tarvitset myös kaksi asiakassertifikaattia yhteysvirheiden välttämiseksi, mikä on tietysti myös paljon turvallisempi. Voit lisätä ne manuaalisesti sovellukseen, mutta sisällyttää ne myös (kuten täällä), OpenVPN-profiiliin. Käytämme ddns-sertifikaattia (esimerkissä, joka kuuluu groensyn154.synology.me) kahdelle todistukselle. Voit tehdä tämän siirtymällä osoitteeseen Ohjauspaneeli / Suojaus. Näpäytä Määritä ja varmista, että tämä varmenne on valittu takana VPN-palvelin. Sulje ikkuna Peruuttaa. Napsauta hiiren kakkospainikkeella sertifikaattia ja valitse Vientitodistus.
Pura zip-tiedosto. Avaa OpenVPN-profiili tekstieditorissa. Alareunassa näet lohkonsisällön kanssa noin crt. Sen alapuolelle lisätään lohko johon syötät sisällön cert.pem liikkua. Lisää sitten toinen lohko joka sisältää privkey.pem. Tällä profiililla voit muodostaa yhteyden yhdessä käyttäjän käyttäjätilin kanssa.
08 Muut määritysvaihtoehdot
Voit asettaa lisää vaihtoehtoja mieltymystesi mukaan. Ensimmäinen riippuu käyttötarkoituksestasi. Haluatko käyttää vain VPN-yhteyttä etäyhteyden saamiseksi kotiverkkoosi? Synologiassa sinun on varmistettava, että ennen riviä redirect-gateway def1 profiilissasi sulu (#) niin, että sitä pidetään kommenttina. Jos poistat rasti, kaikki liikenne kulkee VPN-tunnelin läpi, esimerkiksi tavallisten verkkosivustojen kohdalla. QNAP: n kanssa tämä on palvelinasetus, joten se ei vaikuta profiiliin. Sinä asetit sen QVPN-palvelu vaihtoehdon kanssa Käytä tätä yhteyttä oletusyhdyskäytävänä ulkoisille laitteille. Jos kytket sen päälle, kaikki VPN-asiakasliikenne kulkee VPN-tunnelin läpi. Haluatko tarkistaa sen? Käy sitten selaimella osoitteessa //whatismyipaddress.com. Jos julkinen IP-osoitteesi (Internet-yhteytesi) ilmoitetaan tässä, tiedät, että liikenne kulkee tunnelin läpi.
09 Porttien edelleenlähetys reitittimessä
Tässä peruskurssissa olemme asettaneet udp-protokollaksi portin 1194 vpn-palvelimelle, ja se on myös ainoa liikenne, joka sinun on välitettävä reitittimeltäsi nenälle portinsiirtosäännön avulla. On suositeltavaa antaa nas: lle ensin kiinteä IP-osoite verkossasi. Tapa, jolla lisäät tällaisen säännön, vaihtelee reitittimittäin. Itse sääntö on yksinkertainen. Saapuva liikenne käyttää udp-protokollaa ja portti on 1194. Syötä nas: n IP-osoite määränpääksi ja portti on nyt 1194.
10 Pääsy älypuhelimesta
Se on vain pieni askel käyttää VPN-yhteyttä älypuhelimesta. Varmista, että olet ulkoisessa verkossa (kuten matkapuhelinverkossa) etkä omassa WiFi-verkossasi, jotta muodostat yhteyden todella ulkopuolelta. Kuten ilmoitimme, käytämme virallista OpenVPN Connect -sovellusta, jonka voit ladata Google Play Kaupasta tai iOS App Storesta. Voit liittää Android-älypuhelimen tietokoneeseen, jonka jälkeen voit kopioida OpenVPN-profiilin Lataa-kansioon. Tuo sitten profiili sovelluksella tuontiprofiilin / tiedoston kautta. IPhonen avulla voit käyttää iTunesia tai lähettää sähköpostia OpenVPN-profiilille itsellesi ja avata sen OpenVPN-sovelluksessa.
Syötä käyttäjätunnuksesi ja salasanasi, joka liittyy tiliisi. Nyt voit muodostaa yhteyden napauttamalla profiilia. Tämän jälkeen sinulla on pääsy nenäsi ja kotiverkkoosi, johon nenäsi on kytketty.
Rajoitukset käytettäessä ipv6: ta
Tässä artikkelissa oletetaan, että käytät IPV4-osoitetta VPN-palvelimellesi, ei IPv6: ta. Joissakin tilanteissa tämä on ongelma. Esimerkiksi Internet-palveluntarjoajat, kuten Ziggo, eivät joskus enää anna asiakkaille julkista ipv4-osoitetta. Tällöin voit vastaanottaa saapuvia yhteyksiä VPN-palvelimeesi vain ipv6: n kautta. Ja se on toinen ongelma, jos haluat muodostaa yhteyden älypuhelimeesi matkapuhelinverkosta, koska ipv6: ta tarjotaan vain säästeliäästi matkapuhelinyhteyksissä.
