使用NAS輕輕鬆鬆架設VPN伺服器
我們都知道對岸網路總是擋東擋西的,到對岸出差或工作的人相當不方便,因此常常聽到人家說:「還不簡單,翻牆就好了」,是要翻到台灣海峽嗎?原來指的就是透過VPN來達到偽裝的效果,目前有些IP分享器有內建VPN連線服務的功能,不過若你有Synology NAS,一樣可以讓你海外旅行、國外出差也能突破當地的網路控管,想要逛哪裡就逛哪裡,如同在台灣上網一樣的自由度。
虛擬私有網路 (VPN) 是一種使用公用的網際網路架設的私有網路,可提供安全、加密的資料傳輸連線。一般企業使用VPN 來連接兩地的分公司,或讓員工出門在外或在家中能安全地連線至公司私有網路中來取得資源。
Synology NAS透過 VPN Server 套件,讓你的NAS立即成為 VPN 伺服器,讓 DSM 使用者也可以安全地遠端存取 NAS區域網路內分享的資源,不過VPN Server套件不支援站台對站台的橋接模式。
架設之前的準備
Synology NAS目前提供PPTP、OpenVPN 與 L2TP/IPSec三種協定的連結方式,許多的IP分享器都是提供PPTP 方式居多,因為PPTP的方式最簡單易連,且Widnwos系統內建前端連線工具,讓你輕輕鬆鬆即可連線。
到底要用PPTP、OpenVPN 與 L2TP/IPSec哪一種協定呢?每一種協定均有獨特的功能和優勢,當然你的設備所支援的協定也很重要,在安全性和速度考量下,穩定與通暢是非常重要的,如PPTP最簡單實用,效能又不錯,雖然安全性差了一些些,仍是我第一的選擇,不過對岸有PPTP封包的攔截動作,魚與熊掌不可兼得,下表列出三種協定的特色與說明。
| PPTP | L2TP/IPSec | OpenVPN | |
| VPN加密 | 128位元 | 256位元 | 256位元 |
| VPN安全性 | 基本加密 | 較高加密。檢查資料完整性並封裝資料 | 較高加密。透過數位憑證驗證資料。 |
| VPN速度 | 由於較低的基本加密而速度快 | 需要更多CPU處理封裝資料 | 速度快,即使是跨越很遠距離的連線,性能也相幫優越。 |
| 穩定 | 在大多數Wi-Fi熱點上執行良好,非常穩定 | 在支援NAT的裝置上性能穩 | 最為可靠且穩定協定,即使在非可靠網路之上與Wi-Fi熱點上,都表現不俗 |
| 兼容 | 對於大多數桌上型電腦、行動裝置和平板電腦作業系統都有內建 | 對於大多數桌上型電腦、行動裝置和平板電腦作業系統都有內建 | 受大多數桌上型電腦作業系統和Android行動裝置和平板裝置的支援 |
| 結論 | PPTP是快速、易於使用的通訊協定。若您的裝置不支援OpenVPN,則它是一個不錯的選擇,但對岸會檔PPTP的封包 | 若您的裝置不支援OpenVPN並且安全性相當重要,則L2TP/IPSec是一個不錯的選擇 | OpenVPN是推薦用於桌上型電腦的通訊協定,包括Windows、Mac OS X和Linux。具有最高性能——快速、安全和可靠 |
Synology NAS的VPN Server僅是伺服器的功能,不支援網站與網站間的VPN橋接,且VPN 連線需設定一個固定的連線IP較佳,但若本身網路是以 PPPoE 方式連線,且又沒有浮動的固IP,可考慮使用DDNS來進行連線,Synology 也貼心的提供免費的DDNS(可參考https://it.walker-a.com/archives/1196文章)。
有浮動固IP或固IP,想要使用網域名稱的話,你可以申請一個屬於自己的網域名稱,免費的「twbbs.org」絕對是最佳選擇(申請方式可以參考申請免費的網域TWBBS.ORG文章)。
不管哪一種協定,都必須注意到防火牆的阻擋,所以必須至IP分享器內設定虛擬伺服器埠的轉換,PPTP、OpenVPN 與 L2TP/IPSec三種使用的連接埠都不同,其設定與說明如下(每台IP分享器設定會有所差異)
- PPTP: TCP 1723
- L2TP/IPSec:UDP 1701、500、4500
- OpenVPN:UDP 1194
安裝 VPN Server
挨踢路人甲使用Synology DS112+來操作說明,系統是DSM 5.0,安裝VPN Server套件之前,請先進入「主選單」→ 「 套件中心」來尋找並安裝VPN Server套件。
安裝完後開啟主選單畫面,可以直接看到VPN Server圖示,點選來執行進入設定。
VPN Server 畫面上可以看到,常用的 VPN 通訊協定,有 PPTP、OpenVPN 與 L2TP/IPSec,讓你建立及管理 VPN 服務的多元選擇。
啟用PPTP VPN
PPTP (點對點通道協議) 是常用的 VPN 解決方案,且大多數的用戶端 (包含 Windows、Mac、Linux 及行動裝置) 皆支援 PPTP,PPTP是個快速與易於使用的通訊協定,若您的裝置不支援OpenVPN,則它是一個不錯的選擇。
左邊選單畫面上先選擇PPTP,接著右邊勾選「啟動PPTP VPN伺服器」,當然如果你有網路基礎,可以變動動態 IP 位址、最大連線數量、認證、加密、MTU、手動DNS等值,最後按下〔套用〕即可。
VPN Server套件很貼心,會提示IP分享器或路由器上確認是否開啟TCP 1723連接埠。
確定開啟了TCP 1723連接埠後,也要到VPPN伺服器上的權限查看是否允許使用者進行的VPN協定。
Windows系統內建PPTP 前端工具的連線,網路上Google一下就跑出一大推文章,所以下面以手機方式來說明,先進入「設定」→「無線網路」上的VPN畫面,接著來新增一個VPN連線設定。
新增設定時要注意類型選擇PPTP協定,伺服器的位址就是你IP分享器的位址,至少要有浮動固IP,想要使用網址的話,你可以申請一個屬於自己的網域名稱,免費的「twbbs.org」絕對是最佳選擇(申請方式可以參考申請免費的網域TWBBS.ORG文章)。
設定完VPN連線後點選即出現連線的帳號與密碼,請輸入NAS上設定的帳號密碼,按下連線即可看到右圖的已連線畫面,沒有連線成功請檢查你的分享器或防火牆的1723連接埠是否設定正確。
我使用的是紅米Note+台灣大哥大,連上「www.myip.net」測試,果然出現的IP是我小烏龜上的浮動固IP。
再到VPN伺服器畫面上查看,確實也發現一個使用者登入的清單。
>>請繼續閱讀 L2TP/IPSec與OpenVPN篇
** 頁次選擇在下方 **
您客氣了, 文章寫得很詳細,加油!!
您好 我的設備是Synology NAS DS216j 以及 中華電信光世代 ZyXEL VDSL2P880
這樣也可以設VPN嗎?
文章很詳細,只是有錯別字: 併案左圖右下 > 並按
感謝告知,已修正~~
請問我的NAS郵件伺服機不通,不知那里設錯,是因為沒有反解嗎?