In questo tutorial, esamineremo le istruzioni di configurazione e configurazione di Synology NAS OpenVPN.
Dopo il mio recente tutorial Guida all'installazione e alla configurazione di Ultimate Synology NAS, ho ricevuto un sacco di ottimi feedback da utenti interessati ad accedere in modo sicuro al proprio NAS dall'esterno della rete. Ho utilizzato l'applicazione Synology VPN Server con OpenVPN nell'ultimo anno e non ho riscontrato alcun problema. Posso accedere in sicurezza al mio NAS ovunque nel mondo e, soprattutto, controllo l'accesso.
Spiegherò rapidamente cosa fa un server VPN e i diversi tipi di configurazioni del server VPN, ma se già lo sai, puoi saltare alle istruzioni del server OpenVPN per Synology NAS.
1. Che cos'è un server VPN
Una VPN è una rete privata virtuale che estende la tua rete privata a una rete pubblica. In parole povere, ti consente di riconnetterti in modo sicuro alla tua rete locale da una rete esterna. Esistono due tipi di reti VPN:
1.1 Tipi di connessione VPN
VPN Split-Tunnel: Il traffico viene inviato attraverso la tua rete solo se sta tentando di accedere a una risorsa interna. Il tuo indirizzo IP quando navighi su un sito al di fuori della tua rete sarà l'indirizzo IP della rete su cui ti trovi attualmente.
VPN full-tunnel :Tutto il traffico viene inviato attraverso la rete domestica. Il tuo indirizzo IP per le richieste interne ed esterne sarà la tua rete domestica.
Ho creato un'immagine molto semplice di seguito che spiega questo, ma vedremo come configurare entrambi nei passaggi successivi. È importante notare che entrambi i tipi di connessione ti permetteranno di accedere alla tua rete locale. Questo mostra solo come il traffico viene instradato in modo diverso alle reti esterne.
NOTA: Questo non è il flusso di rete esatto. Sto semplificando il processo il più possibile.
2. Configurazione di Synology NAS OpenVPN – Istruzioni
1. Apri il Pacchetto Centro e Installa la VPN Server applicazione.
2. Apri l'applicazione e vai a OpenVPN sezione.
3. Abilita OpenVPN Server . Se lo desideri, modifica l'intervallo di indirizzi IP dinamici e le proprietà di connessione massime. Poiché stiamo tentando di accedere al nostro Synology NAS al di fuori della nostra rete, è necessario abilitare Consenti clienti per accedere alla LAN del server . Il resto può rimanere come predefinito. Fai clic su Applica .
4. Vai al privilegio sezione e assicurati che l'account utente con cui desideri connetterti alla VPN disponga dell'autorizzazione per OpenVPN .
3. Configurazione del firewall Synology NAS OpenVPN
Il nostro server VPN è ora configurato, ma dobbiamo assicurarci che il nostro firewall consenta l'accesso alla porta UDP 1194. Se non sei sicuro di come configurare il firewall di Synology, puoi imparare come nella nostra Guida all'installazione e alla configurazione di Ultimate Synology NAS.
5. Se stai utilizzando il firewall di Synology, apri il Control Pannello , Sicurezza , quindi vai al Firewall e Modifica Regole .
6. Crea un Consenti regola per la VPN Server (OpenVPN) applicazione, UDP porta 1194 .
7. Una volta completata, la regola dovrebbe essere superiore a nega tutti regola.
4. Port Forwarding
Abbiamo appena configurato il nostro firewall Synology per consentire le connessioni sulla porta UDP 1194 . Ora dobbiamo eseguire il port forwarding della porta UDP 1194 sul nostro router al nostro Synology NAS. Synology dispone della funzionalità UPnP, che offre al NAS la possibilità di aprire automaticamente le porte sul router. Se hai un router compatibile con UPnP, è molto facile configurarlo. Tuttavia, c'è molto dibattito sulla sicurezza di UPnP, quindi non ne parlerò in questo tutorial. Se desideri farlo in questo modo, puoi leggere l'articolo della guida di Synology qui.
Ora, il port forwarding sarà completamente diverso nella pagina delle impostazioni del router di ogni marchio. Questa è un'ottima guida che mostra come eseguire il port forwarding su router di diverse marche, ma la cosa migliore da fare è provare a cercare su Google il nome del router e port forwarding . Esempio:Netgear port forwarding
Questo processo richiede la configurazione di un indirizzo IP statico. Se al momento non disponi di una configurazione di un indirizzo IP statico, leggi come configurare un indirizzo IP statico qui.
8. Crea una regola di port forwarding per porta UDP 1194 all'indirizzo IP del Synology NAS. Nell'esempio seguente, 192.168.1.220 è l'indirizzo IP del mio Synology NAS.
Supponendo che tu sia stato in grado di aprire la porta UDP 1194 e configurare correttamente la regola del firewall Synology, la configurazione della porta è ora completa!
5. Modifiche ai file di configurazione di Synology NAS OpenVPN
Ora che abbiamo configurato il nostro server, dobbiamo modificare il nostro file di configurazione. Prima di entrare nei passaggi, devi assicurarti di aver configurato DDNS. La maggior parte delle persone ha indirizzi IP esterni dinamici, quindi è necessaria la creazione di un nome host DDNS perché è necessario assicurarsi di accedere sempre al proprio indirizzo IP esterno. Se desideri configurare DDNS utilizzando un nome host synology.me gratuito, puoi seguire le istruzioni di Synology qui. Se desideri utilizzare DuckDNS, ho scritto un tutorial su come farlo qui. Se sei assolutamente sicuro di avere un indirizzo IP esterno statico che non cambia mai, non devi configurare DDNS. Usa semplicemente il tuo indirizzo IP esterno come YOUR_SERVER_IP.
È anche importante notare che il provider DDNS è irrilevante, devi solo assicurarti di avere un nome host DDNS configurato!
9. Apri il server VPN applicazione e seleziona OpenVPN . Seleziona Esporta configurazione .
10. Estrarre il contenuto della cartella. Modificheremo solo il file OpenVPN.ovpn, quindi apri quel file con un editor di testo.
11. Per impostazione predefinita, riceverai un file di configurazione OpenVPN predefinito con un certificato univoco in basso. Questo documento non deve essere condiviso con nessuno tranne gli utenti che desideri autenticare con la tua VPN. Dobbiamo modificare gli elementi seguenti che sono evidenziati in rosa .
- IL TUO_IP_SERVER :questo dovrebbe essere il nome host DDNS che hai configurato.
- gateway di reindirizzamento def1 :Questo è ciò che determina se stai configurando una VPN split-tunnel o full-tunnel. Se non sei sicuro di quale desideri, fai riferimento all'immagine sopra per vedere le differenze. Creo due file di configurazione separati (uno per split-tunnel e uno per full-tunnel) e, a seconda della situazione, utilizzo l'uno o l'altro. Per abilitare il tunnel completo, rimuovere il segno "#" (questo è il simbolo per un commento). La semplice rimozione del simbolo del commento abiliterà la VPN full-tunnel. NOTA: Se stai utilizzando un iPhone e hai iOS 7 o versioni successive, dovrai aggiungere redirect-gateway ipv6 in gateway di reindirizzamento def1.
- opzione DHCP :Se disponi di un server DNS locale che desideri utilizzare, puoi aggiungere l'indirizzo IP del tuo server DNS lì. Se non disponi di un server DNS locale, lascia questa riga commentata. NOTA :Se non hai configurato un server DNS locale, OpenVPN utilizzerà per impostazione predefinita i record DNS pubblici di Google. Ciò significa che non sarai in grado di accedere a nessuna delle tue risorse di rete locale in base al nome host, ma solo all'indirizzo IP. Se desideri configurare un server DNS locale, puoi consultare il mio tutorial su Pi-hole qui. NOTA: Questo è un esempio molto semplice di come è possibile utilizzare il DNS.
- certificato-client-non-richiesto :Questa opzione non è aggiunta per impostazione predefinita, ma dovrebbe essere aggiunta se utilizzerai i nuovi client OpenVPN (la maggior parte delle persone lo farà). Se non aggiungi questa opzione, riceverai un messaggio di errore quando ti connetti. Sebbene tu possa procedere attraverso il messaggio di errore, questo interromperà il verificarsi dell'errore.
dev tun tls-client remote YOUR_SERVER_IP 1194 # The "float" tells OpenVPN to accept authenticated packets from any address, # not only the address which was specified in the --remote option. # This is useful when you are connecting to a peer which holds a dynamic address # such as a dial-in user or DHCP client. # (Please refer to the manual of OpenVPN for more information.) #float # If redirect-gateway is enabled, the client will redirect it's # default network gateway through the VPN. # It means the VPN connection will firstly connect to the VPN Server # and then to the internet. # (Please refer to the manual of OpenVPN for more information.) #redirect-gateway def1 #redirect-gateway ipv6 #REQUIRED for iOS 7 and above. # dhcp-option DNS: To set primary domain name server address. # Repeat this option to set secondary DNS server addresses. #dhcp-option DNS DNS_IP_ADDRESS pull # If you want to connect by Server's IPv6 address, you should use # "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode proto udp script-security 2 comp-lzo reneg-sec 0 cipher AES-256-CBC auth SHA512 auth-user-pass client-cert-not-required -----BEGIN CERTIFICATE----- [YOUR CERTIFICATE WILL BE HERE. LEAVE THIS ALL AS DEFAULT] -----END CERTIFICATE-----
12. Salva il file di configurazione e aggiungilo a tutti i dispositivi con cui desideri testare la connessione VPN. Normalmente testo la connessione con il mio cellulare, poiché non puoi essere sulla stessa rete del tuo server VPN. DEVI testarlo da una rete esterna (telefono cellulare/hotspot è un'ottima opzione).
6. Configurazione e test del client Synology NAS OpenVPN
Ora che abbiamo configurato tutto, dobbiamo testare la nostra connessione. Scarica il client OpenVPN sul tuo cellulare o su un PC che puoi collegare a una rete diversa. Ricorda, devi essere connesso a un'altra rete per testarlo.
13. Scarica qui il software client OpenVPN per il tuo dispositivo.
14. Seleziona il pulsante Aggiungi in basso e quindi scegli File . Ora ti dovrebbe essere richiesto di cercare il .ovpn file che abbiamo creato in precedenza. Carica il file e quindi accedi con il tuo nome utente e password DSM.
15. Dovresti essere in grado di connetterti alla tua VPN ora.
16. Mostrerò due esempi di seguito. Innanzitutto, sono connesso al mio server VPN utilizzando la mia connessione a tunnel diviso. Puoi vedere che il mio indirizzo IP esterno è la mia rete mobile (poiché sto accedendo a una pagina Web esterna).
17. In questa schermata, sono connesso al mio server VPN utilizzando la mia connessione full-tunnel. Il mio indirizzo IP esterno è quello del mio ISP, poiché tutto il traffico viene instradato attraverso la mia rete domestica.
Entrambe le connessioni VPN a tunnel diviso e a tunnel completo ti consentono di accedere alle tue risorse locali, ma le connessioni VPN a tunnel completo dovrebbero essere utilizzate se stai cercando di proteggere il traffico di rete (come quando sei su una rete Wi-Fi pubblica) .
7. Configurazione route statica – Configurazione Synology NAS OpenVPN
Questo passaggio non è necessario a meno che tu non debba accedere ai dispositivi VPN dalla tua rete domestica.
La tua rete domestica e la rete VPN saranno su sottoreti diverse, il che significa che i tuoi dispositivi locali saranno in grado di parlare solo con le macchine sulla sua sottorete (la rete VPN vedrà entrambe). Affinché la tua rete locale parli con la tua rete VPN (nel mio caso, 192.168.1.X e 10.5.0.X), sarà necessario configurare un percorso statico nel router. Non posso esaminare i passaggi di configurazione per questo poiché ogni router è diverso, ma di seguito è riportato uno screenshot del percorso statico che ho configurato. L'indirizzo IP del gateway sarà l'indirizzo IP del tuo Synology NAS (poiché è lì che è in esecuzione la tua VPN). La sottorete 10.5.0.0/24 è dove dovrai inserire l'intervallo IP che stai utilizzando (come definito nelle impostazioni di OpenVPN).
8. Configurazione di Synology NAS OpenVPN – Conclusione
Questo è stato un lungo tutorial che ha attraversato molti passaggi. La configurazione del server VPN di Synology consente di connettersi in modo sicuro alla rete domestica per accedere al NAS e alle risorse locali. Inoltre ignora completamente la necessità di QuickConnect o di esporre il NAS a Internet (che è un rischio per la sicurezza). Come ulteriore vantaggio, la connessione VPN a tunnel completo proteggerà la tua connessione anche su dispositivi Wi-Fi pubblici!
C'è una cosa che voglio menzionare riguardo alla sicurezza di questa VPN. Synology fa un lavoro piuttosto scarso nel consentire all'utente di configurare questo nel modo più sicuro possibile. Con il modo in cui è configurato, tecnicamente , sei esposto a un attacco man-in-the-middle. C'è molto che deve succedere per essere esposto a quel tipo di attacco, ma voglio ricordare che è una preoccupazione valida. Se la sicurezza completa è la tua principale preoccupazione, valuterei l'implementazione di OpenVPN su un Raspberry Pi o sul tuo router (se applicabile). Il dispositivo che esegue OpenVPN non ha molta importanza, deve solo essere in grado di configurare facilmente i certificati server/client.
Se avete domande, lasciatele nei commenti! Se il contenuto ti è piaciuto, condividilo!
