Nó rất tiện dụng để có thể truy cập mạng gia đình của bạn từ bất kỳ đâu bên ngoài ngôi nhà của bạn, chẳng hạn như điện thoại thông minh của bạn. Ví dụ: để vận hành các thiết bị IoT, hãy xem hình ảnh từ camera IP hoặc vượt qua các khối khu vực. Bằng cách thiết lập máy chủ VPN, bạn đang ở trên mạng gia đình của mình một cách an toàn chỉ bằng một thao tác. Một NAS thường đủ mạnh để sử dụng như một máy chủ VPN, đặc biệt nếu bạn không cần tốc độ cao nhất. Trong bài viết này, chúng tôi hướng dẫn bạn cách thiết lập và sử dụng nó kết hợp với điện thoại thông minh.
Nếu bạn có tất cả các loại ứng dụng tuyệt đẹp đang chạy ở nhà, sớm hay muộn bạn cũng sẽ muốn truy cập chúng từ điện thoại thông minh, máy tính bảng hoặc máy tính xách tay của mình khi đang di chuyển trên đường. Ví dụ: hãy nghĩ đến tự động hóa gia đình với Home Assistant hoặc Domoticz, phát trực tuyến phương tiện với Plex hoặc Emby, việc sử dụng máy chủ tải xuống hoặc đơn giản là truy cập vào các tệp cá nhân. Bạn có thể sắp xếp điều đó cho mỗi ứng dụng, thường bằng cách chuyển tiếp một vài cổng, nhưng các cổng hậu như vậy không phải là không có rủi ro. Ví dụ, nhiều ứng dụng chứa lỗ hổng bảo mật hoặc không sử dụng kết nối được mã hóa.
Bạn có thể giải quyết những vấn đề như vậy bằng một kết nối VPN được bảo mật tốt. Kết nối VPN thực sự cung cấp một lớp bảo vệ bổ sung bên cạnh tính bảo mật của chính các ứng dụng. Bạn cũng có thể sử dụng ngay lập tức tất cả các ứng dụng như ở nhà mà không cần điều chỉnh cấu hình của chúng. Điều này cũng áp dụng cho các ứng dụng mà bạn thường không nên sử dụng qua Internet, chẳng hạn như truy cập tệp mạng (xem hộp 'Truy cập tệp qua Internet'). Chúng tôi sẽ chỉ cho bạn cách đạt được điều này với máy chủ VPN trên Synology hoặc QNAP NAS.
Truy cập tệp qua Internet
NAS của bạn có thể là điểm lưu trữ trung tâm trong mạng của bạn. Giao thức smb được sử dụng để truy cập tệp từ PC Windows. Đặc biệt là phiên bản đầu tiên (smb 1.0) rất không an toàn. Ví dụ, một lỗ hổng là gốc rễ của một cuộc tấn công lớn của phần mềm tống tiền WannaCry. Trong Windows 10, nó hiện bị tắt theo mặc định và nhiều nhà cung cấp chặn cổng tcp 445 được sử dụng cho lưu lượng smb. Nên có thể sử dụng kết nối internet.
Bản thân Microsoft cũng thực hiện điều này đối với các thư mục chia sẻ của dịch vụ Tệp Azure. Tuy nhiên, nó không bình thường và chúng tôi không khuyến khích. Đó không chỉ là vấn đề về niềm tin. Nhiều mạng chạy các thiết bị cũ hơn, dễ bị tấn công. Ngay cả trên NAS Synology gần đây, smb 3.0 dường như bị tắt theo mặc định. Việc chặn cổng với các nhà cung cấp như Ziggo cũng có thể làm phiền bạn. Hơn nữa, hiệu suất thông qua kết nối internet thường đáng thất vọng. Trên hết, bạn vẫn dễ bị tấn công bởi các lỗ hổng, trong khi nó vẫn liên quan đến dữ liệu quan trọng nhất của bạn. Để truy cập các tệp của bạn trong mạng, chúng tôi khuyên bạn nên kết nối VPN hoặc các lựa chọn thay thế như lưu trữ đám mây.
01 Tại sao lại là mũi?
Bạn có thể đã có một số thiết bị trong mạng của mình mà bạn có thể sử dụng làm máy chủ VPN, chẳng hạn như bộ định tuyến. Bạn không nên mong đợi những điều kỳ diệu về mặt hiệu suất và OpenVPN không phải lúc nào cũng được hỗ trợ. Máy chủ của riêng bạn là một lựa chọn tốt, nhưng điều đó không nằm trong tầm tay của mọi người. Nếu bạn có NAS, đó cũng là một lựa chọn, với sức mạnh xử lý bổ sung và rất dễ sử dụng. Cả Synology và QNAP đều hỗ trợ thiết lập làm máy chủ VPN theo mặc định với cấu hình tương đối dễ dàng. Nếu bạn có kiểu máy có bộ xử lý hỗ trợ tập lệnh AES-NI, bạn sẽ được hưởng lợi từ hiệu suất cao hơn đáng kể.
Bạn cũng có thể ảnh hưởng đến hiệu suất bằng thuật toán mã hóa và kích thước khóa. Trong khóa học cơ bản này, chúng tôi chọn một thỏa hiệp an toàn, đủ cho một số ít các kết nối. Tốc độ tối đa thực sự có thể nằm ngoài khả năng, nhưng đó không phải là vấn đề đối với hầu hết các ứng dụng và luôn có các yếu tố hạn chế khác, chẳng hạn như kết nối internet của bạn.
02 Cài đặt ứng dụng
Máy chủ VPN của Synology hỗ trợ PPTP, OpenVPN và L2TP / IPSec. Chỉ có hai điều cuối cùng là thú vị. Bạn có thể tùy chọn thiết lập cả hai, nhưng trong khóa học cơ bản này, chúng tôi tự giới hạn OpenVPN. Nó cung cấp hiệu suất tốt và độ an toàn tốt, với nhiều tự do trong cấu hình. Để cài đặt nó, hãy truy cập Trung tâm trọn gói. Tìm kiếm Máy chủ VPN và cài đặt ứng dụng. Tại QNAP, bạn mở Trung tâm Ứng dụng và đang tìm kiếm bạn Dịch vụ QVPN trong phần Tiện ích. Ngoài các giao thức trên, ứng dụng này còn hỗ trợ giao thức QBelt do chính QNAP phát triển. Bạn cũng có thể sử dụng ứng dụng QNAP làm máy khách VPN bằng cách thêm cấu hình, trong trường hợp NAS cần sử dụng máy chủ VPN bên ngoài. Điều này cũng có thể thực hiện được tại Synology, bạn sẽ tìm thấy tùy chọn dưới Mạng bên trong Bảng điều khiển.
03 Cấu hình tại Synology
Mở ra Máy chủ VPN và nhấn vào dưới tiêu đề Thiết lập máy chủ VPN trên OpenVPN. Đăng ký Bật máy chủ OpenVPN. Điều chỉnh cấu hình theo sở thích của bạn, chẳng hạn như giao thức (udp hoặc tcp), cổng và mã hóa (xem hộp 'Giao thức, cổng và mã hóa cho OpenVPN'). Một tùy chọn an toàn được đề xuất: AES-CBC với khóa 256bit và SHA512 để xác thực. Hãy cẩn thận, vì cũng có những lựa chọn không an toàn trong danh sách. Với tùy chọn Cho phép khách hàng truy cập vào máy chủ LAN đảm bảo rằng bạn cũng có thể truy cập các thiết bị khác trên cùng mạng với NAS từ kết nối VPN của mình. Nếu bạn không làm được điều này, bạn sẽ chỉ có thể sử dụng nas và các ứng dụng trên nas đó, đôi khi có thể là đủ.
Các tùy chọn Bật tính năng nén trên liên kết VPN chúng tôi muốn tắt nó đi. Giá trị gia tăng là có hạn và không phải không có rủi ro do một số lỗ hổng. Cuối cùng bấm Để áp dụng theo dõi bởi Xuất cấu hình để truy xuất gói zip mà bạn sẽ thiết lập kết nối sau này. Trong phần Tổng quan, bạn sẽ thấy rằng OpenVPN đã được bật. Bạn có đang sử dụng tường lửa trên NAS của mình không? Sau đó đi đến Bảng điều khiển / Bảo mật / Tường lửa và thêm quy tắc cho phép lưu lượng truy cập vào máy chủ vpn.
04 Cấu hình tại QNAP
Mở ứng dụng trên QNAP NAS Dịch vụ QVPN và chọn bên dưới Máy chủ VPN sự lựa chọn OpenVPN. Đăng ký Bật máy chủ OpenVPN và điều chỉnh cấu hình theo sở thích của bạn. Cũng giống như với Synology, bạn có thể tự do thiết lập giao thức và cổng. Theo mặc định, AES được sử dụng để mã hóa bằng khóa 128 bit (mặc định) hoặc 256 bit. Các tùy chọn Bật kết nối VPN nén chúng tôi tắt. Sau đó nhấp vào Để áp dụng. Sau đó, bạn có thể tải xuống hồ sơ OpenVPN, hồ sơ này cũng chứa chứng chỉ. Chúng tôi sẽ sử dụng điều này trong Android. phía dưới Tổng quat bạn có thể xem máy chủ vpn có đang chạy hay không với các thông tin chi tiết khác như người dùng được kết nối.
Giao thức, Cổng và Mã hóa cho OpenVPN
OpenVPN có thể cấu hình linh hoạt. Đối với người mới bắt đầu, cả udp và tcp đều có thể được sử dụng làm giao thức, trong đó udp được ưu tiên hơn vì nó hiệu quả hơn và nhanh hơn. Bản chất 'quy định' của giao thức TCP hoạt động chống lại thay vì hợp tác với lưu lượng truy cập qua đường hầm VPN. Hơn nữa, thực tế bạn có thể chọn bất kỳ cổng nào. Đối với udp, cổng mặc định là 1194. Thật không may, các công ty thường đóng các cổng này và các cổng khác cho lưu lượng đi. Tuy nhiên, lưu lượng truy cập trang web 'bình thường' qua cổng tcp 80 (http) và 443 (https) hầu như luôn luôn có thể. Bạn có thể tận dụng điều này một cách thông minh.
Nếu bạn chọn giao thức tcp với cổng 443 cho kết nối OpenVPN, bạn có thể kết nối thông qua hầu hết mọi tường lửa và máy chủ proxy, nhưng tốc độ bị giảm. Nếu có điều kiện xa xỉ, bạn có thể thiết lập hai máy chủ VPN, một với udp / 1194 và một với tcp / 443. Về mặt mã hóa, AES-CBC là phổ biến nhất với AES-GCM như một giải pháp thay thế mới nổi. Khóa 256 bit là tiêu chuẩn, nhưng khóa 128 hoặc 192 bit cũng rất an toàn. Cho đến tương lai xa, hầu như không thể bẻ khóa một khóa 128 bit (được lựa chọn kỹ càng). Do đó, một khóa thậm chí dài hơn sẽ tăng thêm ít về mặt bảo vệ, nhưng lại tiêu tốn nhiều sức mạnh tính toán hơn.
05 Kích hoạt tài khoản người dùng
Tài khoản người dùng cũng được yêu cầu để đăng nhập vào máy chủ vpn. Đó là một tài khoản người dùng bình thường trên nas với các quyền chính xác để sử dụng máy chủ vpn. Theo mặc định, Synology cho phép tất cả người dùng sử dụng máy chủ VPN. Điều chỉnh tùy chọn này theo sở thích của bạn bằng cách nhập Máy chủ VPN khó chịu quyền lợi đi. Tại QNAP, bạn nhập Dịch vụ QVPN khó chịu Cài đặt Đặc quyền. Tại đây bạn thêm người dùng vpn mong muốn theo cách thủ công từ người dùng cục bộ trên nas.
06 Chỉnh sửa hồ sơ OpenVPN
Bạn phải xem qua hồ sơ OpenVPN trong trình soạn thảo văn bản và thực hiện các điều chỉnh khi cần thiết. Tại Synology, bạn giải nén tệp zip (openvpn.zip) vào một thư mục và sau đó bạn có thể lưu tệp VPNConfig.ovpn có thể mở trong trình soạn thảo văn bản của bạn. Ở đây bạn sẽ tìm thấy điều khiển từ xa YOUR_SERVER_IP 1194 và xa hơn một chút udp nguyên mẫu. Điều này cho biết số cổng nào (1194) và giao thức (udp) phải được sử dụng khi thiết lập kết nối. Ở vị trí của YOUR_SERVER_IP nhập địa chỉ IP của kết nối internet tại nhà của bạn, với QNAP, điều này đã được điền theo mặc định.
Bạn không nhận được địa chỉ IP cố định từ nhà cung cấp dịch vụ internet của mình cho kết nối internet tại nhà, mà là địa chỉ IP động và do đó thay đổi? Sau đó, một dịch vụ dns động (ddns) là một lựa chọn thay thế tốt. Bạn có thể chỉ cần thiết lập nó trên nas của mình (xem hộp 'Dịch vụ dns động trên nas của bạn') và sau đó nhập địa chỉ thay vì địa chỉ IP trong hồ sơ (điều này không xảy ra tự động). Với Synology, dns động cực kỳ hữu ích, vì sau đó bạn có thể sử dụng chứng chỉ máy chủ đã tạo để thiết lập kết nối, nhằm giải quyết vấn đề chứng chỉ.
Dịch vụ dns động trên nas của bạn
Với dịch vụ dynamic-dns (ddns), địa chỉ IP của bạn được lưu giữ và chuyển đến máy chủ bên ngoài, điều này đảm bảo rằng tên máy chủ đã chọn luôn được liên kết với địa chỉ IP chính xác. Bạn chỉ có thể chạy cái này trên mũi của mình. Tại Synology, bạn sẽ tìm thấy nó dưới Bảng điều khiển / Truy cập từ xa. Cách dễ nhất là chọn Synology làm nhà cung cấp dịch vụ (miễn phí) với tên máy chủ và tên miền có sẵn (chúng tôi chọn greensyn154.synology.me), miễn là sự kết hợp có sẵn. Theo tùy chọn, bạn cũng có thể thiết lập một nhà cung cấp ddns tùy chỉnh. Tại QNAP, bạn đi đến Bảng điều khiển / Mạng và Công tắc ảo. Dưới tiêu đề Dịch vụ truy cập bạn có tìm thấy tùy chọn không DDNS. Bạn có thể thiết lập nhà cung cấp ddns tùy chỉnh, cũng như định cấu hình và sử dụng chính dịch vụ myQNAPcloud của QNAP. Trình hướng dẫn sẽ hướng dẫn bạn qua các cài đặt. Cuối cùng, bạn có thể chọn dịch vụ nào sẽ được thiết lập. Vì lý do bảo mật, bạn chỉ có thể giới hạn điều đó bằng cách DDNS chọn.
07 Thêm chứng chỉ
Với QNAP, xác thực khi đăng nhập vào máy chủ VPN chỉ dựa trên tên người dùng và mật khẩu. Với Synology, bạn cũng cần hai chứng chỉ ứng dụng khách để ngăn lỗi kết nối, điều này tất nhiên cũng an toàn hơn rất nhiều. Bạn có thể thêm chúng theo cách thủ công trong ứng dụng, nhưng cũng có thể (như chúng tôi làm ở đây) đưa chúng vào hồ sơ OpenVPN. Chúng tôi sử dụng chứng chỉ ddns (trong ví dụ của chúng tôi thuộc về greensyn154.synology.me) cho hai chứng chỉ. Đi đến Bảng điều khiển / Bảo mật. Gõ vào Định cấu hình và đảm bảo rằng chứng chỉ này được chọn phía sau Máy chủ VPN. Đóng cửa sổ với Hủy bỏ. Nhấp chuột phải vào chứng chỉ và chọn Giấy chứng nhận xuất khẩu.
Giải nén tệp zip. Mở hồ sơ OpenVPN trong trình soạn thảo văn bản. Ở dưới cùng, bạn thấy một khốivới nội dung của xấp xỉ.crt. Dưới đó bạn thêm một khối trong đó bạn nhập nội dung của cert.pem các bộ. Sau đó, thêm một khối khác với nội dung của privkey.pem. Với cấu hình này, bạn có thể thiết lập kết nối kết hợp với tài khoản người dùng trên NAS của mình.
08 Tùy chọn cấu hình khác
Bạn có thể đặt nhiều tùy chọn hơn theo sở thích của mình. Đầu tiên phụ thuộc vào mục đích sử dụng của bạn. Bạn chỉ muốn sử dụng kết nối VPN để truy cập mạng gia đình của mình từ xa? Tại Synology, bạn phải đảm bảo rằng trước khi dòng cổng chuyển hướng def1 trong hồ sơ của bạn một dấu ngoặc (#) để nó được coi như một nhận xét. Nếu bạn loại bỏ dấu ngoặc đơn, tất cả lưu lượng truy cập sẽ đi qua đường hầm VPN, ví dụ như đối với các trang web thông thường mà bạn truy cập. Với QNAP, đây là cài đặt máy chủ, vì vậy nó không ảnh hưởng đến hồ sơ. Bạn đặt nó Dịch vụ QVPN với tùy chọn Sử dụng kết nối này làm cổng mặc định cho các thiết bị bên ngoài. Nếu bạn bật nó, tất cả lưu lượng truy cập từ máy khách VPN sẽ đi qua đường hầm VPN. Bạn có muốn kiểm tra điều đó không? Sau đó, truy cập http://whatismyipaddress.com bằng trình duyệt. Nếu địa chỉ IP công cộng của bạn (kết nối internet của bạn) được liệt kê ở đây, bạn biết rằng lưu lượng truy cập đang đi qua đường hầm.
09 Cổng chuyển tiếp trong bộ định tuyến
Trong khóa học cơ bản này, chúng tôi đã đặt giao thức udp trên cổng 1194 cho máy chủ vpn và đó cũng là lưu lượng duy nhất bạn cần để chuyển tiếp từ bộ định tuyến đến nas của mình bằng quy tắc chuyển tiếp. Trước tiên, bạn nên cung cấp cho NAS một địa chỉ IP cố định trong mạng của bạn. Cách bạn thêm quy tắc như vậy khác nhau trên mỗi bộ định tuyến. Quy tắc tự nó rất đơn giản. Lưu lượng đến sử dụng giao thức udp và cổng là 1194. Tại điểm đến, bạn nhập địa chỉ ip của nas và cổng bây giờ cũng là 1194.
10 Truy cập từ điện thoại thông minh
Đó chỉ là một bước nhỏ để sử dụng kết nối VPN từ điện thoại thông minh. Đảm bảo rằng bạn đang ở trên một mạng bên ngoài (chẳng hạn như mạng di động) chứ không phải trên mạng WiFi của riêng bạn, để bạn thực sự tạo kết nối từ bên ngoài. Như đã chỉ ra, chúng tôi sử dụng ứng dụng OpenVPN Connect chính thức mà bạn có thể tải xuống từ Cửa hàng Google Play hoặc Cửa hàng ứng dụng iOS. Bạn có thể kết nối điện thoại thông minh Android với PC, sau đó bạn có thể sao chép cấu hình OpenVPN vào thư mục Tải xuống. Sau đó, nhập hồ sơ với ứng dụng thông qua Nhập hồ sơ / tệp. Với iPhone, bạn có thể sử dụng iTunes hoặc gửi hồ sơ OpenVPN qua email cho chính mình và mở nó trong ứng dụng OpenVPN.
Nhập tên người dùng và mật khẩu được liên kết với tài khoản của bạn trên NAS. Bây giờ bạn có thể kết nối bằng cách nhấn vào hồ sơ. Sau đó, bạn có quyền truy cập vào NAS của mình và mạng gia đình mà NAS của bạn được kết nối.
Những hạn chế khi sử dụng ipv6
Trong bài viết này, chúng tôi giả định rằng bạn sử dụng địa chỉ ipv4 cho máy chủ vpn của bạn chứ không phải ipv6. Trong một số tình huống, đây là một vấn đề. Ví dụ, các nhà cung cấp internet như Ziggo đôi khi không còn cung cấp cho khách hàng địa chỉ IPv4 công cộng nữa. Trong trường hợp này, bạn chỉ có thể nhận các kết nối đến máy chủ VPN của mình thông qua ipv6. Và đó là một vấn đề khác nếu bạn muốn kết nối với điện thoại thông minh của mình từ mạng di động, bởi vì ipv6 chỉ được cung cấp rất ít trên các kết nối di động.