Synology RT2600ac/RT1900ac無線路由器的VPN Plus Server套件

Synology群暉推出的第二代的RT2600ac無線路由器,使用量身打造Synology Router Manager (SRM)系統,無需太多的IT技術也能輕易地設定與操作,重點只要插入SD卡或隨身碟,搖身一變成為輕量級的NAS,新版SRM增加了 Cloud Station Server、VPN Plus 以及進階的網路防護套件Intrusion Prevention,相信假以時日,Synology Router的功能會更加豐富與強大,就與挨踢路人甲來一起來體驗VPN Plus Server的功能。

 

虛擬私有網路 (VPN) 是一種使用公用的網際網路架設的私有網路,可提供安全、加密的資料傳輸連線。一般企業使用VPN 來連接兩地的分公司,或讓員工出門在外或在家中能安全地連線至公司私有網路中來取得資源,Synology RT2600ac無線路由器內建 VPN Plus Server套件,讓你的路由器立即成為 VPN 伺服器,讓使用者也可以安全地遠端存取區域網路內分享的資源,尤其是WebVPN 不須另外安裝用戶端軟體,只要有瀏覽器即可從各處登入並透過安全連線進行存取。

Synology 無線路由器(RT2600ac/RT1900ac)透過 VPN Plus Server 套件,讓你的路由器立即成為 VPN 伺服器,只要SRM 使用者也可以安全地遠端存取 區域網路內分享的資源,其實之前就已經推出VPN Server套件,如今加入了Synology SSL VPN、WebVPN與SSTP,功能加強的介面形成了VPN Plus Server套件,讓您的 Synology Router 成為一台進階的 VPN (virtual private network,虛擬私人網路) 伺服器。

 

架設之前的準備

許多的IP分享器都是提供PPTP 方式居多,因為PPTP的方式最簡單易連,且Widnwos系統內建前端連線工具,讓你輕輕鬆鬆即可連線。之前Synology就有VPN Server套件,主要提供PPTP、OpenVPN 與 L2TP/IPSec三種協定的連結方式,如今推出VPN Plus Server套件,除了原本的三種協定外,增加了SSTP、SSL VPN、WebVPN。

 

使用IP來進入網頁,這樣是不是很遜呢?架個站沒有網域名稱有點說不過去,網域對架站來說是相當重要的前哨站,一般來說申請網域需付費的,且也不一定能申請自己想要的網域名稱,雖然所需的費用並不是所費不貲,但也是一筆小小地開銷,能省則省得原則下,有免費的當然最好,那「twbbs.org」絕對是最佳選擇。

不想使用Synology的DDNS,有浮動固IP或固IP,想要使用網域名稱的話,你可以申請一個屬於自己的網域名稱,免費的「twbbs.org」絕對是最佳選擇(申請方式可以參考申請免費的網域TWBBS.ORG文章)。 有了網域後最大的優點就是,只要地球上有網路的地方,不論你搬到天涯海角,不用再記住那數字號碼,輕鬆的讓大家都還找得到你,不過免費一般都無法自訂二級網域,不想架在別人的二級網域下,付費是天經地義的事情。

 

Synology Router的VPN Server僅是伺服器的功能,不支援網站與網站間的VPN橋接,且VPN 連線需設定一個固定的連線IP較佳,但若本身網路是以 PPPoE 方式連線,且又沒有浮動的固IP,可考慮使用DDNS來進行連線,Synology 也貼心的提供免費的DDNS(可參考Synology 搭配 QuickConnect,讓你走到哪裡都可輕易連回家中的NAS文章)。

 

在服務供應商上可以選擇不同的DDNS服務產商,支援的還不少,不過何必捨近求遠呢?Synology本身就提供DDNS的服務,請在服務供應商選取「Synology」,接著再將主機名稱命名一個屬於自己的個性化名稱,上層網域名稱無法自訂,你可以挑選好記的主網域名稱,例如挨踢路人甲主機名稱輸入「itsr」,上層網域選擇「synology.me」,那我的網域名稱就是「itsr.synology.me」。

 

新增完成後即可看到主機名稱下就是「itsr.synology.me」,以後不管是瀏覽器或行動裝置上的連結,輸入此網域名稱就萬事OK。

 

安裝 VPN Plus Server套件

在路由器SRM 1.1上可以找到VPN Plus Server套件,挨踢路人甲使用Synology RT2600ac來操作說明,安裝VPN Plus套件之前,請先進入「主選單」→ 「 套件中心」來尋找並安裝VPN Plus Server套件。

 

看到下載與安裝,請耐心等待。

 

安裝完後開啟主選單畫面,可以直接看到VPN Plus Server圖示,點選來執行進入設定。

 

看到快速入門的VPN Plus Server專屬功能,其實就是原本VPN Server加上自家的WebVPN與Synology SSL VPN。

 

VPN PlusServer 畫面上可以看到,分成Synology VPN與常見VPN協定,Synology VPN就是新增的WebVPN與Synology SSL VPN,常見 VPN協定有 PPTP、OpenVPN 與 L2TP/IPSec外,也加入了SSTP,讓你建立及管理 VPN 服務有多元的選擇。本篇主要是以Synology SSL VPN與WebVPN為主,至於OpenVPN 與 L2TP/IPSec可參考「使用NAS輕輕鬆鬆架設VPN伺服器」文章。

 

Synology SSL VPN

VPN Plus Server 提供兩項 Synology 特有的 VPN 服務,Synology SSL VPN 和 WebVPN,Synology SSL VPN透過專屬的用戶端軟體進行連線,即可利用 VPN的安全來快速存取網頁、檔案及應用程式。網域名稱與SSL憑證並非三言兩語可以說明白,所以利用 Synology DDNS 服務來實例演練。

使用你的網域名稱進入SRM系統畫面上,開啟 VPN Plus Server,按一下左方的 「Synology VPN」選項,右方點選【SSL VPN】分頁畫面,並勾選「啟動Synology SSL VPN」按下〔套用〕。

 

此時你會看到Synology SSL VPN的登入網址(紅色框),假如你剛剛沒有使用網域網址方式進入,請重新使用網址名稱來登入並再次開啟VPN Plus Server。

 

雖然還沒有憑證,沒關係,直接輸入剛剛設定的SSL VPN網址「https://itsr.synology.me:443」來試試看,登入必須使用SSL加密的傳輸協定,也就是必須以「https」協定來登入,果然出現不安全的,SSL是Secure Socket Layer(安全套接層協議)的縮寫,可以在Internet上提供秘密性傳輸,是網頁伺服器和瀏覽器之間以加解密方式溝通的安全技術標準,由於SSL的憑證不是第三方信任單位簽署的,所以會跳出下圖畫面,故暫時以「進階」來進入。

 

接著選擇「繼續前往XXX 網站(不安全)」來進入。

 

看到下圖登入畫面,使用允許的帳號來登入。

 

登入後馬上看到用戶端軟體未安裝/啟動的畫面,目前Synology SSL VPN前端工具支援PC、iOS與Linux系統,PC上系統只要是Windows 7/8/10都可以連結,所以點選大大的〔Synology SSL VPN Client〕按鈕來下載用戶端工具。

 

下載後執行出現安全性警告畫面,這是正常,請按下〔執行〕來繼續。

 

接著就是Windows的招牌安裝動作,只要按下〔下一步〕很容易完成安裝。

授權合約說明,應該不會有人真的看完吧!請點選「我接受授權合約中的條款」後按下〔下一步〕。

 

來到準備安裝的畫面,請點選〔安裝〕。

 

安裝完成後出現畫面,當然就是按下〔完成〕來離開安裝的程式。

 

有了用戶端工具,再次連上「https://itsr.synology.me:443」網址出現下圖畫面,點選〔連線〕來啟動Synology SSL VPN。

 

看到已建立SSL VPN連線畫面,有顯示目前持續時間、平均延遲時間、傳送與接收的大小等。

 

試著利用檔案總管來連入遠端的Synology DS916 NAS,直接輸入DS916的IP位址,接著輸入帳號與密碼直接進入看到共用的資料夾,就這樣輕鬆的存取遠端的資料。

 

當你SSL VPN線後,可以在VPN Plus Server套件的連線畫面上,看到連線的歷史資料、目的連線與WwbVPN連線等資訊。

 

例如下圖中察看到目前哪個使用者使用什麼通訊協定與虛擬IP來VPN連線。

 

在日誌上也可以找到連線的記錄。

 

當然不是每個人都可以輕易連線進來,權限畫面上可以指定使用者與支援的VPN協定。

 

看到授權兩個字,莫非與MailPlus Server套件一樣,需要費用嗎?

 

來試一下速度,從遠端的家中的NAS下載大檔案,家中的網路頻寬是100/40Mb,VPN後家中上傳資料頻寬應該40Mb的限制,沒想到VPN後速度還可以達到4.85MB(38.8Mb),效果真不錯。

 

運作中也可以開啟VPN Plus Server的總攬畫面,來看看網路的流量,與檔案總管的下載速度是否一樣。

 

SSL VPN連線後想要中斷,也是很簡單,一旦連線後,畫面上就會出現〔中斷連線〕的按鈕。

建立自我簽署憑證

什麼是SSL憑證服務,主要用於建立瀏覽器和網站伺服器之間的安全通道,可以提供伺服器身分鑑別及資料傳輸加密。 SSL認證機制有一個安全通道,確保網路使用者輸入的個人資料避免遭駭客截取或竄改,不過挨踢路人甲尚未有申請三方憑證,因此使用 Synology Router來建立自我簽署憑證,再將憑證安裝至所有本機用戶端。

以RT2600ac為例,在「控制台」→「服務」→「憑證」畫面上有建立、更新、匯入與簽署憑證的動作,假如你有第三方的憑證,則可以選擇〔匯入憑證〕,筆者沒有,所以利用Synology Router來建立自我簽署憑證,請按下〔建立憑證〕來開始。

 

一般VPN的連線大都是與已知使用者間來驗證通道,所以選擇「建立自我簽署憑證」並按〔下一步〕。

 

由於是自我簽署憑證,憑證名稱核發單位可以自訂,其他欄位填入相關資訊後按〔下一步〕來繼續。

 

再次出現的憑證名稱填入用於 WebVPN (及 Synology SSL VPN) 的萬用字元憑證,就是Synology DDNS 主機名稱的萬用字元版本,例如筆者建立的itsr.synology.me的DDNS,其萬用字元版本就是「*.itsr.synology.me」,這樣Synology DDNS 主機名稱下的所有子網域都會受到保護,輸入完後按下〔套用〕來建立自我簽署憑證。

 

建立完成後即可匯出憑證。

 

當然你可能不回讓任意人連入後端平台來下載憑證,所以另一種方式就是先進入VPN Plus 網路入口。

 

登入後按下右邊帳號旁的人像圖示,點選〔設定〕即可看到憑證下載視窗。

 

有了憑證後即可將下載的憑證安裝。

 

憑證主要是如同一個安全通道的鑰匙,因此安裝時必須選擇存放的位置,由於Windows是多人使用的系統,憑證存放的位置可以是目前使用者,或是本機上所有的使用者,筆者選擇「本機電腦」讓此電腦上的所有使用者皆可適用。

 

位置選擇完後接下來是存放區,點選「將所有憑證放入以下的存放區」並按下〔瀏覽〕,在出現的的視窗上點選「受信任的根憑證授權單位」後再再按〔確定〕。

 

確定存證存放區是「受信任的根憑證授權單位」後按〔下一步〕來繼續。

 

憑證匯入電腦指定的畫面,按下〔完成〕即可匯入成功。

 

Synology WebVPN

Synology SSL VPN透過專屬的用戶端軟體進行連線,即可利用 VPN 的安全來快速存取網頁、檔案及應用程式,但有時在外地或使用他人電腦,在無法安裝用戶端軟體進行連線時,Synology WebVPN即可解決你的問題,WebVPN 可透過網頁瀏覽器進行 VPN 連線,存取網際網路或區域網路內的網頁,重點是毋須使用額外的用戶端軟體,很帥吧!

開啟 VPN Plus Server,按一下左方的 「Synology VPN」選項,右方點選【WebVPN】分頁畫面並勾選「啟動WebVPN」,依說明輸入下列資料:

  • 網域前置詞:為該網域輸入用來辨識的前置詞文字。
  • 網域名稱:為 WebVPN 入口輸入已註冊的網域名稱。網域名稱與 Synology Router 的 IP 位址應在 DNS 伺服器上互相對應。
  • HTTPS 連接埠:指定透過 HTTPS 進行 WebVPN 存取的連接埠。
  • 最大連線數:可同時連接的數量

有了憑證後,進入WebVPN 入口網址(https://網域前置詞.網域名稱:443)不會出現不安全的警告畫面,看到網址前的綠色安全兩個字,感覺安心多了。

 

有了憑證後自動轉如下圖的控制畫面,左邊分成WebVPN與SSL VPN兩大模式,右邊的中文解說已經相當淺顯易懂,相信不用多作解釋。

 

進入WebVPN畫面,只要輸入遠端的機器IP按下右邊的〔連線〕。

 

果然直接進入了遠端NAS的登入畫面,WebVPN不用前端工具即可輕鬆駕馭遠端的機器。

 

不想一一的牢記遠端的機器IP位置,你可以進入【WebVPN入口】分頁畫面上,新增各個機器的入口對應位置,例如新增剛剛連線的Synology DS916+ NAS的入口對應。

 

以後進入即可看到這些對應的入口名稱,你不用再背那硬梆梆的IP,只要點選剛剛建立的入口名稱即可連入,善用WebVPN入口管理機器的對應,方便用戶端輕鬆存取遠方的設備。

 

有了憑證的加持後,SSL VPN也是不會出現安全的警告畫面,一樣有用戶端軟體可以直接下載,以安裝完用戶端的則可按下〔連線〕。

 

連線成功後出現的畫面,是不是一樣呢?

 

心得與感想

想要自己使用Linux架設VPN伺服器並不容易,相關的網路知識不易一蹴可幾,想要利用VPN通道來建立專用的通道,沒有兩把刷子怎麼能上梁山,這個騙網路與程式的通道讓你解除特定網路的封印,最常聽到的就是對岸所說的翻牆,不過筆者都是用於辦公室與家中的秘密通道,搭配行動裝置,任何地方都都能運用辦公室上的所有資源,Synology Router給你更多的VPN解決方案。

itwalker
itwalker

或許技術與功力已遠遠不及時下年輕人,但試著去畫一個圓,圓不圓沒關係,盡力就好,如果覺得文章不錯的話,請大家按個「讚」或「+1」,感謝您的支持與鼓勵!歡迎加入我的粉絲團 : https://www.facebook.com/itwalker ,更多關於挨踢路人甲的文章: https://walker-a.com

文章: 2730

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料