Je veľmi výhodné mať napríklad prístup k domácej sieti pomocou smartphonu. Napríklad na obsluhu zariadení IoT, prezeranie obrázkov z IP kamery alebo obchádzanie regionálnych blokád. Nastavením servera VPN ste bezpečne v domácej sieti naraz. NAS je zvyčajne dosť silný na to, aby sa dal použiť ako server VPN, najmä ak nepotrebujete najvyššiu rýchlosť. V tomto článku vám ukážeme, ako ho nastaviť a používať so smartfónom.
Ak máte doma spustené všetky druhy krásnych aplikácií, skôr či neskôr k nim budete mať prístup zo smartfónu, tabletu alebo notebooku na cestách. Zvážte napríklad domácu automatizáciu s Home Assistant alebo Domoticz, streamovanie médií pomocou Plex alebo Emby, použitie serverov na stiahnutie alebo jednoduchý prístup k osobným súborom. Môžete to zariadiť pre každú aplikáciu, zvyčajne presmerovaním niekoľkých portov, ale také zadné vrátka nie sú bez rizík. Napríklad veľa aplikácií obsahuje chyby zabezpečenia alebo nepoužívajú šifrované pripojenia.
Takéto problémy môžete vyriešiť jedným dobre zabezpečeným pripojením VPN. Pripojenie VPN v skutočnosti poskytuje ďalšiu vrstvu ochrany navyše k bezpečnosti samotných aplikácií. Môžete tiež okamžite použiť všetky aplikácie tak, ako ste zvyknutí doma, a nemusíte upravovať ich konfiguráciu. To platí aj pre aplikácie, ktoré by ste za normálnych okolností nemali používať cez internet, napríklad prístup k súborom v sieti (pozri rámček „Prístup k súborom cez internet“). Ukážeme vám, ako to dosiahnuť serverom VPN na NAS od spoločností Synology alebo QNAP.
Prístup k súborom cez internet
Váš NAS môže byť centrálnym úložným bodom vo vašej sieti. Protokol SMB sa používa na prístup k súborom z počítača so systémom Windows. Najmä prvá verzia (SMB 1.0) je veľmi nebezpečná. Napríklad zraniteľnosť spustila veľký útok ransomvéru WannaCry. V systéme Windows 10 je teraz predvolene zakázaný a mnoho poskytovateľov blokuje port tcp 445 používaný na prenos dát SMB. Mali by byť schopní používať pripojenie na internet.
To isté robí spoločnosť Microsoft aj pre zdieľané priečinky služby Azure Files. Stále je to neobvyklé a neodporúčame to. Nejde len o otázku dôvery. Mnoho sietí prevádzkuje staršie a zraniteľné zariadenia. Aj na nedávnom Synology NAS sa zdá, že smb 3.0 je v predvolenom nastavení zakázaný. Tiež vás môže obťažovať blokovanie portov u poskytovateľov, ako je Ziggo. Okrem toho je výkon prostredníctvom internetového pripojenia často sklamaním. Predovšetkým zostanete náchylní na chyby zabezpečenia, aj keď sa to stále týka vašich najdôležitejších údajov. Na prístup k svojim súborom v sieti odporúčame pripojenie VPN alebo alternatívy, ako je cloudové úložisko.
01 Prečo NAS?
Vo svojej sieti už môžete mať niektoré zariadenia, ktoré môžete použiť ako server VPN, napríklad smerovač. Nemali by ste očakávať žiadne zázraky výkonu a OpenVPN nie je vždy podporované. Váš vlastný server je skvelá voľba, ale nie je to pre každého dostupné. Ak máte NAS, je to tiež možnosť, s extra výpočtovým výkonom a ľahkým používaním. Synology aj QNAP štandardne podporujú nastavenie ako servera VPN s relatívne jednoduchou konfiguráciou. Ak máte model s procesorom, ktorý podporuje inštrukčnú sadu AES-NI, budete mať prospech z podstatne vyššieho výkonu.
Výkon môžete tiež ovplyvniť pomocou algoritmu šifrovania a veľkosti kľúča. V tomto základnom kurze volíme bezpečný kompromis, ktorý stačí na pár spojení. Skutočné najvyššie rýchlosti môžu zostať mimo dosahu, ale pre väčšinu aplikácií to nie je problém a vždy existujú ďalšie obmedzujúce faktory, napríklad vaše internetové pripojenie.
02 Nainštalujte aplikáciu
Server VPN spoločnosti Synology podporuje PPTP, OpenVPN a L2TP / IPSec. Zaujímavé sú iba posledné dva. Môžete voliteľne nastaviť oboje, ale v tomto základnom kurze sa obmedzíme na OpenVPN. Ponúka dobrý výkon a dobré zabezpečenie s veľkou voľnosťou v konfigurácii. Ak ju chcete nainštalovať, prejdite na stránku Centrum balíkov. Vyhľadávanie Server VPN a nainštalujte aplikáciu. Na QNAP otvoríte Centrum aplikácií a hľadať ťa Služba QVPN v sekcii Verejné služby. Okrem vyššie uvedených protokolov táto aplikácia podporuje aj protokol QBelt vyvinutý spoločnosťou QNAP. Aplikáciu QNAP môžete tiež použiť ako klienta VPN pridaním profilov, ak NAS potrebuje používať externý server VPN. Môže to urobiť aj spoločnosť Synology, ktorú nájdete nižšie Sieť v Ovládací panel.
03 Konfigurácia v spoločnosti Synology
Otvorené Server VPN a klepnite pod nadpis Nastaviť server VPN na OpenVPN. Začiarknite políčko Povoliť server OpenVPN. Upravte konfiguráciu podľa svojich preferencií, ako je protokol (udp alebo tcp), port a šifrovanie (pozri rámček „Protokol, port a šifrovanie pre OpenVPN“). Navrhuje sa bezpečná možnosť: AES-CBC s 256bitovým kľúčom a SHA512 na autentifikáciu. Buďte opatrní, pretože v zozname sú aj nebezpečné voľby. S možnosťou Umožnite klientom prístup na server LAN uistite sa, že z vášho pripojenia vpn máte prístup k ďalším zariadeniam v rovnakej sieti ako nas. Ak to neurobíte, môžete použiť iba nas a aplikácie na tomto nas, ktoré niekedy môžu stačiť.
Možnosť Povoľte kompresiu na prepojení VPN radšej to vypneme. Pridaná hodnota je obmedzená a nie je to bez rizík z dôvodu niektorých slabých miest. Nakoniec kliknite Uplatňovať nasledovaný Exportovať konfiguráciu získať balíček ZIP, ku ktorému sa budete pripájať neskôr. V časti Prehľad uvidíte, že je povolený OpenVPN. Používate bránu firewall vo svojom NAS? Potom choďte na Ovládací panel / Zabezpečenie / Brána firewall a pridať pravidlo, ktoré povoľuje prenos pre server vpn.
04 Konfigurácia na QNAP
Na zariadení QNAP NAS otvorte aplikáciu Služba QVPN a vyberte pod Server VPN možnosť OpenVPN. Začiarknite políčko Povoliť server OpenVPN a upravte konfiguráciu podľa svojich preferencií. Rovnako ako v prípade Synology si môžete ľubovoľne nastaviť protokol a port. V predvolenom nastavení sa AES používa na šifrovanie pomocou 128-bitového (predvolené) alebo 256-bitového kľúča. Možnosť Povoliť komprimované pripojenie VPN vypneme. Potom kliknite na Uplatňovať. Potom si môžete stiahnuť profil OpenVPN, ktorý obsahuje aj certifikát. Toto použijeme pod Androidom. nižšie Prehľad môžete zistiť, či je server vpn aktívny, a tiež ďalšie podrobnosti, ako napríklad pripojení používatelia.
Protokol, port a šifrovanie pre OpenVPN
OpenVPN je možné nakonfigurovať flexibilne. Najskôr je možné použiť ako protokol udp aj tcp, pričom uprednostňujeme udp, pretože pracuje efektívnejšie a rýchlejšie. „Regulačná“ povaha protokolu TCP bude pravdepodobne účinnejšia ako v prípade prenosu cez tunel VPN. Môžete si tiež zvoliť prakticky akýkoľvek port. Pre server udp je to v predvolenom nastavení port 1194. Bohužiaľ, spoločnosti často zatvárajú tieto a ďalšie porty pre odchádzajúci prenos. „Normálna“ prevádzka webových stránok je však takmer vždy možná prostredníctvom portov TCP 80 (http) a 443 (https). Toto môžete inteligentne využiť.
Ak pre pripojenie OpenVPN zvolíte protokol TCP s portom 443, môžete sa pripojiť takmer pomocou ľubovoľného brány firewall a proxy servera, avšak so stratou rýchlosti. Ak máte luxus, môžete si nastaviť dva servery vpn, jeden s serverom udp / 1194 a druhý s serverom tcp / 443. Pokiaľ ide o šifrovanie, AES-CBC je najbežnejšia s AES-GCM ako objavujúcou sa alternatívou. 256-bitový kľúč je normou, ale 128 alebo 192-bitový kľúč je tiež veľmi bezpečný. Do vzdialenej budúcnosti je prakticky nemožné prelomiť (dobre zvolený) 128-bitový kľúč. Ešte dlhší kľúč preto pridáva málo z hľadiska ochrany, ale stojí viac výpočtového výkonu.
05 Vytváranie vhodných používateľských účtov
Na prihlásenie na server vpn je tiež potrebný používateľský účet. Toto je bežný používateľský účet na serveri NAS so správnymi oprávneniami na používanie servera vpn. V spoločnosti Synology majú všetci používatelia možnosť predvolene používať server VPN. Zadaním upravte podľa svojich preferencií Server VPN do Práva ísť. V spoločnosti QNAP vstúpite Služba QVPN do Nastavenia privilégií. Tu pridáte požadovaných používateľov vpn ručne od miestnych používateľov v systéme nas.
06 Post-editácia profilu OpenVPN
Musíte si prejsť profil OpenVPN v textovom editore a podľa potreby vykonať úpravy. V spoločnosti Synology chytíte súbor zip (openvpn.zip) v priečinku, po ktorom súbor upravíte VPNConfig.ovpn sa dá otvoriť vo vašom textovom editore. Tu nájdete linkový ovládač YOUR_SERVER_IP 1194 a trochu ďalej proto udp. Toto označuje, ktoré číslo portu (1194) a protokol (udp) by sa malo použiť pri nastavovaní spojenia. Na mieste YOUR_SERVER_IP zadajte doma adresu IP vášho internetového pripojenia, ktorá je už predvolene zadaná v QNAP.
Nedostávate od svojho poskytovateľa internetu pevnú IP adresu pre internetové pripojenie doma, ale dynamickú a teda meniacu sa IP adresu? Potom je dobrou alternatívou služba dynamic-dns (ddns). Môžete si ju jednoducho nastaviť na svojom NAS (pozri rámček „Služba dynamického DNS na vašom NAS“) a potom zadať adresu namiesto adresy IP v profile (nedeje sa to automaticky). So Synology je dynamická dns extra užitočná, pretože potom môžete pomocou vytvoreného certifikátu servera vytvoriť pripojenie a vyriešiť problém s certifikátom.
Dynamická služba DNS na vašom NAS
Vďaka službe dynamických dns (ddns) sa vaša adresa IP uchováva a odovzdáva externému serveru, ktorý zaisťuje, že zvolený názov hostiteľa je vždy prepojený so správnou adresou IP. Toto si môžete len tak spustiť po nose. V spoločnosti Synology ju nájdete pod Ovládací panel / vzdialený prístup. Najjednoduchším spôsobom je zvoliť si spoločnosť Synology ako (bezplatného) poskytovateľa služieb s dostupným názvom hostiteľa a názvom domény (zvolíme my) groensyn154.synology.me), pokiaľ je k dispozícii kombinácia. Voliteľne môžete tiež nastaviť vlastného poskytovateľa ddns. Na QNAP idete na Ovládací panel / sieť a virtuálny prepínač. Pod pohárom Prístup k službám nájdete možnosť DDNS. Môžete si nastaviť vlastného poskytovateľa DDNS a tiež si sami nakonfigurovať a používať službu myQNAPcloud od QNAP. Nastavením vás prevedie sprievodca. Na konci si môžete zvoliť, ktoré služby chcete nastaviť. Z bezpečnostných dôvodov by ste to mohli obmedziť sami DDNS vybrať.
07 Pridávanie certifikátov
V prípade QNAP sa autentifikácia pri prihlásení na server vpn vykonáva iba na základe používateľského mena a hesla. So spoločnosťou Synology tiež potrebujete dva klientske certifikáty, aby ste sa vyhli chybám pri pripojení, čo je samozrejme tiež oveľa bezpečnejšie. Môžete ich pridať ručne v aplikácii, ale tiež ich (rovnako ako my tu) zahrnúť do profilu OpenVPN. Používame certifikát ddns (v našom príklade patriaci k groensyn154.synology.me) pre tieto dva certifikáty. Ak to chcete urobiť, choďte na Ovládací panel / Zabezpečenie. Klepnite na Konfigurovať a uistite sa, že je tento certifikát vybraný za Server VPN. Zatvorte okno pomocou Zrušiť. Kliknite pravým tlačidlom myši na certifikát a vyberte Vývozné osvedčenie.
Extrahujte súbor zip. V textovom editore otvorte profil OpenVPN. V dolnej časti vidíte bloks obsahom ca. crt. Pod túto položku pridáte blok do ktorého zadávate obsah cert.pem pohnúť sa. Potom pridajte ďalší blok obsahujúci obsah privkey.pem. S týmto profilom môžete vytvoriť spojenie v kombinácii s používateľským účtom vo vašom NAS.
08 Ďalšie možnosti konfigurácie
Môžete nastaviť viac možností podľa svojich preferencií. Prvá závisí od účelu použitia. Chcete iba použiť pripojenie VPN na vzdialený prístup k domácej sieti? V spoločnosti Synology sa musíte uistiť, že pred riadkom brána presmerovania def1 vo vašom profile zátvorka (#) tak, aby sa to považovalo za komentár. Ak zrušíte začiarknutie, všetka komunikácia prejde tunelom VPN, napríklad aj pri bežných webových stránkach, ktoré navštívite. Pri QNAP je toto nastavenie servera, takže to neovplyvní profil. Nastavil si to Služba QVPN s opciou Použite toto pripojenie ako predvolenú bránu pre externé zariadenia. Ak ju zapnete, všetka komunikácia z klienta VPN prejde tunelom VPN. Chceš to skontrolovať? Potom v prehliadači navštívte adresu //whatismyipaddress.com. Ak je tu uvedená vaša verejná IP adresa (vášho internetového pripojenia), viete, že prevádzka prechádza cez tunel.
09 Preposielanie portov v smerovači
V tomto základnom kurze sme nastavili protokol udp na port 1194 pre server vpn, čo je tiež jediný prenos, ktorý musíte presmerovať z vášho smerovača do vášho pravidla pomocou pravidla presmerovania portov. Odporúča sa najskôr dať nas pevnú adresu IP vo vašej sieti. Spôsob, akým pridáte takéto pravidlo, sa líši podľa smerovača. Samotné pravidlo je jednoduché. Prichádzajúci prenos používa protokol udp a port je 1194. Ako cieľ zadajte adresu IP vášho nas a port je teraz 1194.
10 Prístup zo smartphonu
Je to len malý krok k použitiu pripojenia VPN zo smartfónu. Uistite sa, že sa nachádzate v externej sieti (napríklad v mobilnej sieti) a nie vo vlastnej sieti WiFi, aby ste sa mohli skutočne pripájať zvonku. Ako je uvedené, používame oficiálnu aplikáciu OpenVPN Connect, ktorú si môžete stiahnuť z obchodu Google Play alebo iOS App Store. K počítaču môžete pripojiť smartphone so systémom Android, potom môžete skopírovať profil OpenVPN do priečinka Download. Potom profil importujte pomocou aplikácie cez Importovať profil / súbor. S iPhone môžete použiť iTunes alebo si poslať e-mailom profil OpenVPN a otvoriť ho v aplikácii OpenVPN.
Zadajte užívateľské meno a heslo spojené s vašim účtom do nas. Teraz sa môžete pripojiť klepnutím na profil. Potom budete mať prístup k svojmu NAS a domácej sieti, ku ktorej je váš NAS pripojený.
Obmedzenia pri používaní protokolu ipv6
V tomto článku predpokladáme, že pre svoj server VPN používate adresu ipv4, a nie adresu ipv6. V niektorých situáciách to predstavuje problém. Napríklad poskytovatelia internetu, ako je Ziggo, už niekedy neposkytujú zákazníkom verejnú adresu ipv4. V takom prípade môžete prijímať prichádzajúce spojenia so serverom VPN iba prostredníctvom protokolu ipv6. A to je ďalší problém, ak sa chcete k svojmu smartfónu pripojiť z mobilnej siete, pretože protokol ipv6 je v mobilných pripojeniach ponúkaný iba obmedzene.
