Je velmi výhodné mít například přístup k domácí síti pomocí smartphonu. Například pro provoz zařízení IoT, prohlížení obrázků z IP kamery nebo obcházení regionálních blokování. Nastavením serveru VPN jste bezpečně v domácí síti najednou. Nas je obvykle dostatečně výkonný pro použití jako server VPN, zvláště pokud nepotřebujete nejvyšší rychlost. V tomto článku vám ukážeme, jak jej nastavit a používat se smartphonem.
Pokud máte doma spuštěny všechny druhy krásných aplikací, dříve nebo později k nim budete mít přístup ze smartphonu, tabletu nebo notebooku na cestách. Zvažte například domácí automatizaci pomocí Home Assistant nebo Domoticz, streamování médií pomocí Plex nebo Emby, použití serverů pro stahování nebo jednoduchý přístup k osobním souborům. Můžete to zařídit pro každou aplikaci, obvykle přesměrováním několika portů, ale takové zadní vrátka nejsou bez rizika. Mnoho aplikací například obsahuje chyby zabezpečení nebo nepoužívá šifrovaná připojení.
Tyto problémy můžete vyřešit pomocí jednoho dobře zabezpečeného připojení VPN. Připojení VPN ve skutečnosti poskytuje další vrstvu ochrany navíc k zabezpečení samotných aplikací. Můžete také okamžitě použít všechny aplikace, jak jste zvyklí doma, a nemusíte upravovat jejich konfiguraci. To platí také pro aplikace, které byste normálně neměli používat přes internet, například přístup k souborům v síti (viz rámeček „Přístup k souborům přes internet“). Ukážeme vám, jak toho dosáhnout serverem VPN na NAS od Synology nebo QNAP.
Přístup k souborům přes internet
Váš NAS může být centrálním úložištěm ve vaší síti. Protokol SMB se používá pro přístup k souborům z počítače se systémem Windows. Zejména první verze (SMB 1.0) je velmi nebezpečná. Například zranitelnost spustila velký útok ransomwaru WannaCry. Ve Windows 10 je nyní ve výchozím nastavení zakázán a mnoho poskytovatelů blokuje port tcp 445 používaný pro přenos SMB. By měli být schopni používat připojení k internetu.
Společnost Microsoft také dělá totéž pro sdílené složky služby Azure Files. Přesto je to neobvyklé a nedoporučujeme to. To není jen problém důvěry. Mnoho sítí provozuje starší zranitelná zařízení. Dokonce i na nedávném zařízení Synology NAS se smb 3.0 ve výchozím nastavení zdá být zakázáno. Blokování portů u poskytovatelů, jako je Ziggo, vás také může obtěžovat. Kromě toho je výkon prostřednictvím připojení k internetu často zklamáním. Především zůstáváte náchylní k zranitelnostem, přestože se stále týká vašich nejdůležitějších dat. Pro přístup k vašim souborům v síti doporučujeme připojení VPN nebo alternativy, jako je cloudové úložiště.
01 Proč NAS?
V síti již můžete mít některá zařízení, která můžete použít jako server VPN, například směrovač. Neměli byste očekávat žádné zázraky výkonu a OpenVPN není vždy podporováno. Váš vlastní server je skvělá volba, ale to není na dosah každého. Pokud máte NAS, je to také možnost, s extra výpočetním výkonem a snadným použitím. Synology i QNAP ve výchozím nastavení podporují nastavení jako serveru VPN s relativně jednoduchou konfigurací. Pokud máte model s procesorem, který podporuje instrukční sadu AES-NI, budete těžit z podstatně vyššího výkonu.
Výkon můžete ovlivnit také pomocí algoritmu šifrování a velikosti klíče. V tomto základním kurzu zvolíme bezpečný kompromis, který stačí pro několik spojení. Skutečné nejvyšší rychlosti mohou zůstat mimo dosah, ale pro většinu aplikací to není problém a vždy existují další omezující faktory, například vaše připojení k internetu.
02 Nainstalujte aplikaci
Server VPN společnosti Synology podporuje PPTP, OpenVPN a L2TP / IPSec. Zajímavé jsou pouze poslední dva. Můžete volitelně nastavit obojí, ale v tomto základním kurzu se omezíme na OpenVPN. Nabízí dobrý výkon a dobré zabezpečení se spoustou volnosti v konfiguraci. Chcete-li jej nainstalovat, přejděte na Centrum balíčků. Vyhledávání Server VPN a nainstalujte aplikaci. Na QNAP otevřete Centrum aplikací a hledat tě Služba QVPN v sekci Utility. Kromě výše uvedených protokolů tato aplikace podporuje také protokol QBelt vyvinutý společností QNAP. Aplikaci QNAP můžete také použít jako klienta VPN přidáním profilů, pokud NAS potřebuje použít externí server VPN. Společnost Synology to dokáže také, níže naleznete možnost Síť v Kontrolní panel.
03 Konfigurace ve společnosti Synology
Otevřeno Server VPN a klepněte pod nadpis Nastavte server VPN na OpenVPN. Zaškrtněte políčko Povolte server OpenVPN. Upravte konfiguraci podle svých preferencí, například protokol (udp nebo tcp), port a šifrování (viz rámeček „Protokol, port a šifrování pro OpenVPN“). Navrhuje se zabezpečená možnost: AES-CBC s 256bitovým klíčem a SHA512 pro ověřování. Buďte opatrní, protože v seznamu jsou také nebezpečné volby. S možností Umožněte klientům přístup na server LAN ujistěte se, že z vašeho připojení vpn máte přístup k dalším zařízením ve stejné síti jako nas. Pokud to neuděláte, můžete použít pouze nas a aplikace na tomto nas, což může někdy stačit.
Možnost Povolte kompresi na odkazu VPN raději to vypneme. Přidaná hodnota je omezená a není to bez rizik kvůli některým zranitelnostem. Nakonec klikněte Použít následován Exportovat konfiguraci k načtení balíčku zip, ke kterému se budete připojovat později. V části Přehled uvidíte, že je povolen OpenVPN. Používáte bránu firewall na svém nas? Pak jděte na Ovládací panely / Zabezpečení / Brána firewall a přidat pravidlo, které povolí provoz na serveru vpn.
04 Konfigurace na QNAP
Na QNAP NAS otevřete aplikaci Služba QVPN a vyberte pod Server VPN možnost OpenVPN. Zaškrtněte políčko Povolte server OpenVPN a upravte konfiguraci podle svých preferencí. Stejně jako v případě Synology můžete volně nastavit protokol a port. Ve výchozím nastavení se AES používá k šifrování pomocí 128bitového (výchozí) nebo 256bitového klíče. Možnost Povolit komprimované připojení VPN vypneme. Poté klikněte na Použít. Poté si můžete stáhnout profil OpenVPN, který také obsahuje certifikát. Toto použijeme pod Androidem. níže Přehled můžete zjistit, zda je server vpn aktivní, a také další podrobnosti, například připojené uživatele.
Protokol, port a šifrování pro OpenVPN
OpenVPN lze konfigurovat flexibilně. Za prvé lze jako protokol použít udp i tcp, přičemž udp je upřednostňován, protože pracuje efektivněji a rychleji. „Regulační“ povaha protokolu TCP je pravděpodobnější, že bude fungovat proti, než při provozu přes tunel VPN. Můžete si také vybrat prakticky libovolný port. Pro udp je to ve výchozím nastavení port 1194. Bohužel společnosti často zavírají tyto a další porty pro odchozí provoz. „Normální“ provoz na webu je však téměř vždy možný přes porty TCP 80 (http) a 443 (https). Můžete to chytře využít.
Pokud pro připojení OpenVPN zvolíte protokol TCP s portem 443, můžete se připojit přes téměř jakýkoli firewall a proxy server, ale se ztrátou rychlosti. Pokud máte luxus, můžete nastavit dva servery vpn, jeden s udp / 1194 a druhý s tcp / 443. Pokud jde o šifrování, AES-CBC je nejběžnější s AES-GCM jako nově vznikající alternativou. Standardem je 256bitový klíč, ale 128bitový nebo 192bitový klíč je také velmi bezpečný. Do vzdálené budoucnosti je prakticky nemožné prolomit (dobře zvolený) 128bitový klíč. Ještě delší klíč tedy přidává jen málo z hlediska ochrany, ale stojí více výpočetního výkonu.
05 Vytváření vhodných uživatelských účtů
K přihlášení k serveru vpn je také vyžadován uživatelský účet. Jedná se o běžný uživatelský účet v nas se správnými oprávněními k používání serveru vpn. Ve společnosti Synology mají všichni uživatelé ve výchozím nastavení možnost používat server VPN. Upravte to podle svých preferencí zadáním Server VPN na Práva jít. Na QNAP jdete dovnitř Služba QVPN na Nastavení oprávnění. Zde přidáte požadované uživatele vpn ručně od místních uživatelů na nas.
06 Post-editovat profil OpenVPN
Musíte projít profil OpenVPN v textovém editoru a v případě potřeby provést úpravy. Ve společnosti Synology uchopíte soubor zip (openvpn.zip) ve složce, po které soubor upravíte VPNConfig.ovpn lze otevřít v textovém editoru. Zde najdete dálkový ovladač YOUR_SERVER_IP 1194 a trochu dále proto udp. To označuje, které číslo portu (1194) a protokol (udp) by se mělo použít při nastavování připojení. Na místě YOUR_SERVER_IP zadejte IP adresu vašeho internetového připojení doma, která je již ve výchozím nastavení zadána u QNAP.
Nezískáte od svého poskytovatele internetu pevnou IP adresu pro připojení k internetu doma, ale dynamickou a tedy měnící se IP adresu? Pak je dobrou alternativou služba dynamic-dns (ddns). Můžete jej jednoduše nastavit na vašem nas (viz rámeček „Služba dynamického DNS na vašem nas“) a poté zadat adresu místo IP adresy v profilu (nedochází to automaticky). Se Synology je dynamická dns extra užitečná, protože pak můžete pomocí vytvořeného certifikátu serveru nastavit připojení a vyřešit problém s certifikátem.
Dynamická služba DNS na vašem NAS
U služby dynamické dns (ddns) je vaše IP adresa uchována a předána externímu serveru, což zajišťuje, že vybraný název hostitele je vždy spojen se správnou IP adresou. Prostě si to můžete spustit na nose. Ve společnosti Synology ji najdete pod Ovládací panel / vzdálený přístup. Nejjednodušší je vybrat Synology jako (bezplatného) poskytovatele služeb s dostupným názvem hostitele a názvem domény (zvolíme my) groensyn154.synology.me), pokud je kombinace k dispozici. Volitelně můžete také nastavit vlastního poskytovatele ddns. Na QNAP přejdete na Ovládací panely / Síť a virtuální přepínač. Pod šálkem Přístup ke službám možnost najdete DDNS. Můžete nastavit vlastního poskytovatele DDNS a také si sami nakonfigurovat a používat službu myQNAPcloud od QNAP. Nastavením vás provede průvodce. Na konci si můžete vybrat, které služby chcete nastavit. Z bezpečnostních důvodů byste to mohli omezit sami DDNS vybrat.
07 Přidávání certifikátů
U QNAP se ověřování při přihlášení k serveru vpn provádí pouze na základě uživatelského jména a hesla. Se Synology také potřebujete dva klientské certifikáty, abyste se vyhnuli chybám při připojení, což je samozřejmě také mnohem bezpečnější. Můžete je přidat ručně do aplikace, ale také (jako my zde) je zahrnout do profilu OpenVPN. Používáme certifikát ddns (v našem příkladu patřící k groensyn154.synology.me) pro oba certifikáty. Chcete-li to provést, přejděte na Ovládací panely / Zabezpečení. Klepněte na Konfigurovat a ujistěte se, že je tento certifikát vybrán Server VPN. Zavřete okno pomocí zrušení. Klikněte pravým tlačítkem na certifikát a vyberte Exportovat certifikát.
Extrahujte soubor ZIP. Otevřete profil OpenVPN v textovém editoru. Dole vidíte bloks obsahem ca. crt. Pod to přidáte blok ve kterém zadáváte obsah cert.pem hýbat se. Pak přidejte další blok obsahující obsah privkey.pem. S tímto profilem můžete nastavit připojení v kombinaci s uživatelským účtem ve vašem nas.
08 Další možnosti konfigurace
Můžete nastavit více možností podle svých preferencí. První závisí na účelu použití. Chcete pouze použít připojení VPN, abyste měli vzdálený přístup k domácí síti? Ve společnosti Synology se musíte ujistit, že před řádkem brána přesměrování def1 ve vašem profilu závorka (#), takže je považován za komentář. Pokud zrušíte zaškrtnutí, veškerý provoz projde tunelem VPN, například i pro běžné webové stránky, které navštívíte. U QNAP se jedná o nastavení serveru, takže to neovlivní profil. Nastavil jsi to Služba QVPN s možností Toto připojení použijte jako výchozí bránu pro externí zařízení. Pokud ji zapnete, veškerý provoz z klienta VPN projde tunelem VPN. Chcete to zkontrolovat? Poté v prohlížeči přejděte na adresu //whatismyipaddress.com. Pokud je zde uvedena vaše veřejná IP adresa (vašeho internetového připojení), víte, že provoz prochází tunelem.
09 Přeposílání portů ve směrovači
V tomto základním kurzu jsme nastavili protokol udp na port 1194 pro server vpn a to je také jediný přenos, který potřebujete k předávání z vašeho routeru do vašeho nas pomocí pravidla předávání portů. Doporučujeme nejprve dát nas pevnou IP adresu ve vaší síti. Způsob přidání takového pravidla se u jednotlivých směrovačů liší. Samotné pravidlo je jednoduché. Příchozí provoz používá protokol udp a port je 1194. Jako cíl zadejte adresu IP vašeho nas a port je nyní 1194.
10 Přístup ze smartphonu
Je to jen malý krok k použití připojení VPN ze smartphonu. Ujistěte se, že jste v externí síti (například v mobilní síti) a ne ve vlastní síti WiFi, abyste se skutečně připojili zvenčí. Jak již bylo uvedeno, používáme oficiální aplikaci OpenVPN Connect, kterou si můžete stáhnout z obchodu Google Play nebo iOS App Store. K počítači můžete připojit smartphone se systémem Android, poté můžete zkopírovat profil OpenVPN do složky Stáhnout. Poté profil importujte pomocí aplikace přes Importovat profil / soubor. U iPhonu můžete používat iTunes nebo si můžete poslat e-mailem profil OpenVPN a otevřít jej v aplikaci OpenVPN.
Zadejte uživatelské jméno a heslo spojené s vaším účtem na nas. Nyní se můžete připojit klepnutím na profil. Poté budete mít přístup k vašemu nas a domácí síti, ke které je váš nas připojen.
Omezení při používání protokolu ipv6
V tomto článku předpokládáme, že pro svůj server VPN používáte adresu IPv4, nikoli IPV6. V některých situacích je to problém. Například poskytovatelé internetu, jako je Ziggo, již někdy neposkytují zákazníkům veřejnou adresu ipv4. V takovém případě můžete přijímat příchozí připojení k vašemu serveru VPN pouze prostřednictvím protokolu ipv6. A to je další problém, pokud se chcete ke svému smartphonu připojit z mobilní sítě, protože ipv6 je v mobilních připojeních nabízen jen omezeně.
