Hvordan

Slik ordner du en VPN-server på din nas

Det er veldig praktisk å for eksempel få tilgang til hjemmenettverket ditt hvor som helst med smarttelefonen. For eksempel for å betjene IoT-enheter, se bilder fra IP-kameraet eller omgå regionale blokkeringer. Ved å sette opp en VPN-server er du trygt i hjemmenettverket på en gang. En nas er vanligvis kraftig nok til bruk som en VPN-server, spesielt hvis du ikke trenger den høyeste hastigheten. I denne artikkelen viser vi deg hvordan du konfigurerer den og bruker den med en smarttelefon.

Hvis du har alle slags vakre applikasjoner som kjører hjemme, vil du før eller siden få tilgang til dem fra en smarttelefon, nettbrett eller bærbar PC mens du er på farten. Tenk for eksempel på hjemmeautomatisering med Home Assistant eller Domoticz, mediestreaming med Plex eller Emby, bruk av nedlastingsservere eller bare tilgang til personlige filer. Du kan ordne dette for hver applikasjon, vanligvis ved å videresende noen få porter, men slike bakdører er ikke uten risiko. For eksempel inneholder mange applikasjoner sårbarheter eller bruker ikke krypterte tilkoblinger.

Du kan løse slike problemer med en godt sikret VPN-tilkobling. VPN-tilkoblingen gir faktisk et ekstra beskyttelseslag på toppen av sikkerheten til selve applikasjonene. Du kan også umiddelbart bruke alle applikasjoner som du er vant til hjemme og uten å måtte justere konfigurasjonen. Dette gjelder også applikasjoner som du normalt ikke bør bruke via Internett, for eksempel nettverksfiltilgang (se ramme "Få tilgang til filer via Internett"). Vi viser deg hvordan du kan oppnå dette med en VPN-server på en NAS fra Synology eller QNAP.

Få tilgang til filer over internett

Din nas kan være det sentrale lagringspunktet i nettverket ditt. Smb-protokollen brukes til å få tilgang til filer fra en Windows-PC. Spesielt den første versjonen (smb 1.0) er veldig usikker. For eksempel utløste et sikkerhetsproblem et stort WannaCry ransomware-angrep. I Windows 10 er det nå deaktivert som standard, og mange leverandører blokkerer tcp-porten 445 som brukes til smb-trafikk. Skal kunne bruke en internettforbindelse.

Microsoft gjør også det samme for delte mapper i Azure Files-tjenesten. Likevel er det uvanlig, og vi anbefaler det ikke. Det er ikke bare et tillitsproblem. Mange nettverk kjører eldre, sårbare enheter. Selv på en nylig Synology NAS ser det ut til at smb 3.0 er deaktivert som standard. Portblokkering hos leverandører som Ziggo kan også plage deg. Videre er ytelsen via internettforbindelser ofte skuffende. Fremfor alt er du utsatt for sårbarheter, mens det fremdeles gjelder dine mest kritiske data. For å få tilgang til filene dine i nettverket, anbefaler vi en VPN-tilkobling eller alternativer som skylagring.

01 Hvorfor en NAS?

Du kan allerede ha noen enheter i nettverket ditt som du kan bruke som en VPN-server, for eksempel en ruter. Du bør ikke forvente noen ytelses mirakler, og OpenVPN støttes ikke alltid. Din egen server er et flott alternativ, men det er ikke innen alles rekkevidde. Hvis du har en NAS, er det også et alternativ, med ekstra prosessorkraft og mye brukervennlighet. Både Synology og QNAP støtter konfigurering som en VPN-server som standard med relativt enkel konfigurasjon. Hvis du har en modell med en prosessor som støtter AES-NI instruksjonssett, vil du dra nytte av betydelig høyere ytelse.

Du kan også påvirke ytelsen med krypterings- og nøkkelstørrelsesalgoritmen. I dette grunnkurset velger vi et trygt kompromiss, nok for en håndfull forbindelser. Ekte topphastigheter kan forbli utenfor rekkevidde, men for de fleste applikasjoner er det ikke noe problem, og det er alltid andre begrensende faktorer, for eksempel internettforbindelsen.

02 Installer applikasjonen

Synologys VPN-server støtter PPTP, OpenVPN og L2TP / IPSec. Bare de to siste er interessante. Du kan valgfritt sette begge deler, men i dette grunnleggende kurset begrenser vi oss til OpenVPN. Det gir god ytelse og god sikkerhet, med mye frihet i konfigurasjonen. For å installere det, gå til Pakkesenter. Søk VPN-server og installer applikasjonen. På QNAP åpner du App Center og se etter deg QVPN-tjeneste i seksjonen Verktøy. I tillegg til de ovennevnte protokollene, støtter denne applikasjonen også QBelt-protokollen utviklet av QNAP. Du kan også bruke QNAP-applikasjonen som en VPN-klient ved å legge til profiler hvis NAS trenger å bruke en ekstern VPN-server. Synology kan gjøre det også, du finner alternativet nedenfor Nettverk i Kontrollpanel.

03 Konfigurasjon ved Synology

Åpen VPN-server og trykk under overskriften Sett opp VPN ServerOpenVPN. Merk av i boksen Aktiver OpenVPN-serveren. Juster konfigurasjonen etter dine preferanser, for eksempel protokollen (udp eller tcp), porten og krypteringen (se ruten "Protokoll, port og kryptering for OpenVPN"). Et sikkert alternativ anbefales: AES-CBC med 256 bit nøkkel og SHA512 for autentisering. Vær forsiktig, for det er også usikre valg i listen. Med alternativet Gi klienter tilgang til LAN-serveren sørg for at du har tilgang til andre enheter i samme nettverk som nas fra vpn-tilkoblingen din. Hvis du ikke klarer dette, kan du bare bruke nas og applikasjonene på den nas, noe som noen ganger kan være nok.

Valget Aktiver komprimering på VPN-lenken vi foretrekker å slå den av. Merverdien er begrenset, og den er ikke uten risiko på grunn av noen sårbarheter. Til slutt klikker du Å søke etterfulgt av Eksporter konfigurasjon for å hente zip-pakken som du vil koble til senere. Under oversikt vil du se at OpenVPN er aktivert. Bruker du brannmuren på nesa? Gå deretter til Kontrollpanel / Sikkerhet / Brannmur og legg til en regel som tillater trafikk for vpn-serveren.

04 Konfigurasjon på QNAP

Åpne applikasjonen på en QNAP NAS QVPN-tjeneste og velg under VPN-server valget OpenVPN. Merk av i boksen Aktiver OpenVPN-serveren og juster konfigurasjonen etter dine preferanser. Som med Synology, kan du fritt stille protokollen og porten. Som standard brukes AES for kryptering med en 128 bit (standard) eller 256 bit nøkkel. Valget Aktiver komprimert VPN-tilkobling vi slår av. Klikk deretter på Å søke. Etter dette kan du laste ned OpenVPN-profilen, som også inneholder sertifikatet. Vi vil bruke dette under Android. under Oversikt du kan se om vpn-serveren er aktiv med også andre detaljer som tilkoblede brukere.

Protokoll, port og kryptering for OpenVPN

OpenVPN kan konfigureres fleksibelt. Til å begynne med kan både udp og tcp brukes som protokoll, med udp å foretrekke fordi den fungerer mer effektivt og raskere. TCP-protokollens "regulerende" natur er mer sannsynlig å virke mot enn med trafikk over en VPN-tunnel. Du kan også velge praktisk talt hvilken som helst port. For udp er dette som standard port 1194. Dessverre stenger selskaper ofte disse og andre porter for utgående trafikk. Imidlertid er "normal" nettstedstrafikk nesten alltid mulig via TCP-portene 80 (http) og 443 (https). Du kan gjøre smart bruk av dette.

Hvis du velger TCP-protokollen med port 443 for OpenVPN-tilkoblingen, kan du koble til nesten hvilken som helst brannmur og proxy-server, men med tap av hastighet. Hvis du har luksusen, kan du sette opp to vpn-servere, en med udp / 1194 og en annen med tcp / 443. Når det gjelder kryptering, er AES-CBC mest vanlig med AES-GCM som et voksende alternativ. En 256bit nøkkel er normen, men en 128 eller 192 bit nøkkel er også veldig trygg. Inntil en fjern fremtid er det praktisk talt umulig å knekke en (velvalgt) 128-bit nøkkel. En enda lengre nøkkel tilfører derfor lite når det gjelder beskyttelse, men koster mer datakraft.

05 Gjøre brukerkontoer passende

Det kreves også en brukerkonto for å logge på VPN-serveren. Det er en vanlig brukerkonto på nas med riktig tillatelse til å bruke vpn-serveren. På Synology har alle brukere muligheten til å bruke VPN-serveren som standard. Juster dette etter dine preferanser ved å angi VPN-server til Rettigheter å gå. På QNAP går du inn QVPN-tjeneste til Privilege-innstillinger. Her legger du til de ønskede vpn-brukerne manuelt fra de lokale brukerne på nas.

06 Postrediger OpenVPN-profil

Du må gå gjennom OpenVPN-profilen i en tekstredigerer og gjøre justeringer der det er nødvendig. På Synology tar du tak i zip-filen (openvpn.zip) i en mappe som du redigerer filen etter VPNConfig.ovpn kan åpne i tekstredigeringsprogrammet. Her finner du fjernkontrollen DIN_SERVER_IP 1194 og litt lenger proto udp. Dette indikerer hvilket portnummer (1194) og protokoll (udp) bør brukes når du setter opp tilkoblingen. På stedet for DIN_SERVER_IP skriv inn IP-adressen til internettforbindelsen hjemme, som allerede er angitt som standard på QNAP.

Får du ikke en fast IP-adresse fra internettleverandøren din for internettforbindelsen hjemme, men en dynamisk og derfor skiftende IP-adresse? Da er en dynamisk-dns-tjeneste (ddns) et godt alternativ. Du kan ganske enkelt sette den på din nas (se ruten "Dynamic DNS service on your nas") og deretter legge inn adressen i stedet for IP-adressen i profilen (dette skjer ikke automatisk). Med Synology er dynamisk dns ekstra nyttig, fordi du deretter kan bruke det opprettede serversertifikatet til å sette opp tilkoblingen for å løse et sertifikatproblem.

Dynamisk DNS-tjeneste på din NAS

Med en dynamisk-dns-tjeneste (ddns) blir IP-adressen din beholdt og overført til en ekstern server, noe som sikrer at det valgte vertsnavnet alltid er knyttet til riktig IP-adresse. Du kan bare kjøre dette på nesen. På Synology finner du det under Kontrollpanel / ekstern tilgang. Den enkleste måten er å velge Synology som en (gratis) tjenesteleverandør med et tilgjengelig vertsnavn og domenenavn (vi velger groensyn154.synology.me), så lenge kombinasjonen er tilgjengelig. Eventuelt kan du også angi en tilpasset ddns-leverandør. På QNAP går du til Kontrollpanel / nettverk og virtuell bryter. Under koppen Få tilgang til tjenester du finner alternativet DDNS. Du kan angi en tilpasset DDNS-leverandør, samt konfigurere og bruke QNAPs myQNAPcloud-tjeneste selv. En veiviser veileder deg gjennom innstillingene. På slutten kan du velge hvilke tjenester du vil sette opp. Av sikkerhetsgrunner kan du begrense det alene DDNS å velge.

07 Legge til sertifikater

Med QNAP gjøres autentisering når du logger på vpn-serveren kun basert på brukernavn og passord. Med Synology trenger du også to klientsertifikater for å unngå tilkoblingsfeil, noe som selvfølgelig også er mye sikrere. Du kan legge dem til manuelt i appen, men også (som vi gjør her) inkludere dem i OpenVPN-profilen. Vi bruker ddns-sertifikatet (i vårt eksempel tilhører groensyn154.synology.me) for de to sertifikatene. For å gjøre dette, gå til Kontrollpanel / sikkerhet. Trykk på Konfigurer og sørg for at dette sertifikatet er valgt bak VPN-server. Lukk vinduet med Avbryt. Høyreklikk på sertifikatet og velg Eksporter sertifikat.

Pakk ut zip-filen. Åpne OpenVPN-profilen i en tekstredigerer. Nederst ser du en blokkmed innholdet i ca. crt. Under det legger du til en blokk der du skriver inn innholdet i cert.pem bevege seg. Deretter legger du til en annen blokk inneholder innholdet i privkey.pem. Med denne profilen kan du opprette en forbindelse i kombinasjon med brukerkontoen på din nas.

08 Andre konfigurasjonsalternativer

Du kan angi flere alternativer i henhold til dine preferanser. Det første avhenger av formålet med bruken. Vil du bare bruke VPN-tilkoblingen for å få ekstern tilgang til hjemmenettverket ditt? På Synology må du sørge for at før linjen redirect-gateway def1 i profilen din en parentes (#) slik at det regnes som en kommentar. Hvis du fjerner krysset, vil all trafikk gå gjennom VPN-tunnelen, til og med for vanlige nettsteder du besøker, for eksempel. Med QNAP er dette en serverinnstilling, så det påvirker ikke profilen. Du setter den opp QVPN-tjeneste med alternativet Bruk denne tilkoblingen som standard gateway for eksterne enheter. Hvis du slår den på, vil all trafikk fra VPN-klienten gå gjennom VPN-tunnelen. Vil du sjekke det? Gå deretter til adressen //whatismyipaddress.com med en nettleser. Hvis din offentlige IP-adresse (av internettforbindelsen din) er oppgitt her, vet du at trafikken går gjennom tunnelen.

09 Videresendingsporter i ruteren

I dette grunnleggende kurset har vi satt udp-protokollen til port 1194 for vpn-serveren, og det er også den eneste trafikken du trenger å videresende fra ruteren din til din nas med en portvideresendingsregel. Det anbefales å gi nas en fast IP-adresse i nettverket ditt først. Måten du legger til en slik regel på, varierer fra ruteren. Selve regelen er enkel. Den innkommende trafikken bruker udp-protokollen, og porten er 1194. Skriv inn IP-adressen til din nas som destinasjon, og porten er nå 1194.

10 Tilgang fra smarttelefon

Det er bare et lite skritt å bruke VPN-tilkoblingen fra en smarttelefon. Forsikre deg om at du er i et eksternt nettverk (for eksempel mobilnettverket) og ikke på ditt eget WiFi-nettverk, slik at du faktisk kobler deg fra utsiden. Som angitt bruker vi den offisielle OpenVPN Connect-appen, som du kan laste ned fra Google Play Store eller iOS App Store. Du kan koble en Android-smarttelefon til PC-en, hvoretter du kan kopiere OpenVPN-profilen til nedlastingsmappen. Importer deretter profilen med appen via Importer profil / fil. Med en iPhone kan du bruke iTunes, eller sende OpenVPN-profilen til deg selv og åpne den i OpenVPN-appen.

Skriv inn brukernavnet og passordet som er knyttet til kontoen din på nas. Nå kan du koble til ved å trykke på profilen. Etter dette vil du ha tilgang til nas og hjemmenettverket som nas er koblet til.

Begrensninger når du bruker ipv6

I denne artikkelen antar vi at du bruker en ipv4-adresse for VPN-serveren din og ikke en ipv6. I noen situasjoner er dette et problem. For eksempel gir internettleverandører som Ziggo ikke lenger kundene en offentlig ipv4-adresse. I et slikt tilfelle kan du bare motta innkommende tilkoblinger til VPN-serveren din via ipv6. Og det er et annet problem hvis du vil koble til smarttelefonen din fra et mobilnettverk, fordi ipv6 bare tilbys sparsomt på mobilforbindelser.

$config[zx-auto] not found$config[zx-overlay] not found