Veoma je zgodno da možete da pristupite svojoj kućnoj mreži sa bilo kog mesta van kuće pomoću, na primer, pametnog telefona. Na primer, da biste upravljali IoT uređajima, pregledajte slike sa IP kamere ili zaobiđite regionalne blokove. Podešavanjem VPN servera, bezbedno ste na svojoj kućnoj mreži u jednoj akciji. NAS je obično dovoljno moćan za korišćenje kao VPN server, posebno ako vam nije potrebna najveća brzina. U ovom članku ćemo vam pokazati kako da ga podesite i koristite u kombinaciji sa pametnim telefonom.
Ako imate sve vrste lepih aplikacija koje rade kod kuće, pre ili kasnije ćete želeti da im pristupite i sa svog pametnog telefona, tableta ili laptopa dok ste na putu. Razmislite, na primer, o kućnoj automatizaciji sa Home Assistant-om ili Domoticz-om, strimingu medija sa Plex-om ili Emby-jem, korišćenju servera za preuzimanje ili jednostavnom pristupu ličnim datotekama. To možete urediti po aplikaciji, često prosleđivanjem nekoliko portova, ali takva pozadinska vrata nisu bez rizika. Na primer, mnoge aplikacije sadrže ranjivosti ili ne koriste šifrovane veze.
Takve probleme možete rešiti jednom dobro obezbeđenom VPN vezom. VPN veza zapravo pruža dodatni sloj zaštite povrh sigurnosti samih aplikacija. Takođe možete odmah da koristite sve aplikacije kao što ste navikli kod kuće i bez prilagođavanja njihove konfiguracije. Ovo se takođe odnosi na aplikacije koje inače ne bi trebalo da koristite preko Interneta, kao što je pristup mrežnim datotekama (pogledajte okvir „Pristup datotekama preko Interneta“). Pokazaćemo vam kako da to postignete pomoću VPN servera na Synology ili QNAP NAS-u.
Pristupite datotekama preko Interneta
Vaš NAS može biti centralna tačka skladištenja u vašoj mreži. Smb protokol se koristi za pristup datotekama sa Windows računara. Naročito prva verzija (smb 1.0) je veoma nesigurna. Na primer, ranjivost je bila u korenu velikog napada WannaCry ransomware-a. U operativnom sistemu Windows 10 sada je podrazumevano onemogućen i mnogi provajderi blokiraju tcp port 445 koji se koristi za smb saobraćaj. trebalo bi da mogu da koriste internet vezu.
Sam Microsoft to takođe radi za deljene fascikle usluge Azure Files. Ipak, to je neobično i ne preporučujemo ga. To nije samo pitanje poverenja. Mnoge mreže pokreću starije, ranjive uređaje. Čak i na nedavnom Synology NAS-u, izgleda da je smb 3.0 podrazumevano onemogućen. Blokiranje porta kod provajdera kao što je Ziggo takođe može da vam smeta. Štaviše, performanse putem internet konekcija često su razočaravajuće. Iznad svega, ostajete ranjivi na ranjivosti, dok se to i dalje tiče vaših najkritičnijih podataka. Da biste pristupili vašim datotekama na mreži, preporučujemo VPN vezu ili alternative kao što je skladište u oblaku.
01 Zašto nos?
Možda već imate neke uređaje u svojoj mreži koje možete da koristite kao VPN server, kao što je ruter. Ne treba očekivati čuda u pogledu performansi, a OpenVPN nije uvek podržan. Vaš sopstveni server je dobra opcija, ali to nije svima na dohvat ruke. Ako imate NAS, to je takođe opcija, sa dodatnom procesorskom snagom i velikom lakoćom korišćenja. I Synology i QNAP podržavaju podešavanje kao VPN server podrazumevano uz relativno lako konfigurisanje. Ako imate model sa procesorom koji podržava AES-NI skup instrukcija, imaćete koristi od znatno većih performansi.
Takođe možete uticati na performanse pomoću algoritma šifrovanja i veličine ključa. U ovom osnovnom kursu biramo siguran kompromis, dovoljan za nekoliko veza. Prave najveće brzine mogu biti van domašaja, ali to nije problem za većinu aplikacija, a uvek postoje i drugi ograničavajući faktori, kao što je vaša internetska veza.
02 Instalirajte aplikaciju
Synology VPN server podržava PPTP, OpenVPN i L2TP/IPSec. Samo poslednja dva su zanimljiva. Opciono možete da podesite oba, ali u ovom osnovnom kursu ograničavamo se na OpenVPN. Nudi dobre performanse i dobru sigurnost, sa puno slobode u konfiguraciji. Da biste ga instalirali idite na Paket centar. Претрага VPN server i instalirajte aplikaciju. U QNAP-u otvarate Центар за апликације i traži tebe QVPN usluga na u odeljku Komunalne usluge. Pored gore navedenih protokola, ova aplikacija takođe podržava QBelt protokol koji je razvio sam QNAP. Takođe možete koristiti QNAP aplikaciju kao VPN klijent dodavanjem profila, u slučaju da NAS treba da koristi eksterni VPN server. Ovo je takođe moguće u Synology-u, tu opciju ćete pronaći ispod Mreža u Контролна табла.
03 Konfiguracija u Synology
Otvori VPN server i dodirnite ispod naslova Podešavanje VPN servera на OpenVPN. Stavite ček Omogućite OpenVPN server. Prilagodite konfiguraciju svojim željama, kao što su protokol (udp ili tcp), port i šifrovanje (pogledajte okvir „Protokol, port i šifrovanje za OpenVPN“). Predlaže se bezbedna opcija: AES-CBC sa 256-bitnim ključem i SHA512 za autentifikaciju. Budite oprezni, jer na listi postoje i nebezbedni izbori. Sa opcijom Dozvolite klijentima da pristupe LAN serveru uverite se da takođe možete da pristupite drugim uređajima na istoj mreži kao NAS sa svoje VPN veze. Ako to ne uradite, moći ćete da koristite samo NAS i aplikacije na tom NAS-u, što ponekad može biti dovoljno.
Опција Omogućite kompresiju na VPN linku više volimo da ga isključimo. Dodata vrednost je ograničena i nije bez rizika zbog nekih ranjivosti. Konačno kliknite Да се пријаве затим Izvezi konfiguraciju da biste preuzeli zip paket sa kojim ćete kasnije postaviti vezu. U okviru Pregled videćete da je OpenVPN omogućen. Da li koristite zaštitni zid na svom NAS-u? Zatim idite na Kontrolna tabla / Bezbednost / Zaštitni zid i dodajte pravilo koje dozvoljava saobraćaj za vpn server.
04 Konfiguracija u QNAP-u
Otvorite aplikaciju na QNAP NAS-u QVPN usluga i izaberite ispod VPN server опција OpenVPN. Stavite ček Omogućite OpenVPN server i prilagodite konfiguraciju svojim željama. Kao i kod Synology-a, možete slobodno da podesite protokol i port. Podrazumevano, AES se koristi za šifrovanje sa 128-bitnim (podrazumevano) ili 256-bitnim ključem. Опција Omogućite komprimovanu VPN vezu gasimo. Zatim kliknite Да се пријаве. Nakon toga, možete preuzeti OpenVPN profil, koji takođe sadrži sertifikat. Koristićemo ovo pod Androidom. ispod Pregled možete videti da li vpn server radi i sa drugim detaljima kao što su povezani korisnici.
Protokol, port i šifrovanje za OpenVPN
OpenVPN je fleksibilan za konfigurisanje. Za početak, i udp i tcp se mogu koristiti kao protokoli, pri čemu se preferira udp jer je efikasniji i brži. 'Regulatorna' priroda TCP protokola radije protiv saobraćaja preko VPN tunela nego što sarađuje sa njim. Štaviše, možete odabrati praktično bilo koji port. Za udp, podrazumevani port je 1194. Nažalost, kompanije često zatvaraju ove i druge portove za odlazni saobraćaj. Međutim, „normalan“ saobraćaj na veb lokaciji preko tcp portova 80 (http) i 443 (https) je skoro uvek moguć. Ovo možete pametno iskoristiti.
Ako odaberete tcp protokol sa portom 443 za OpenVPN vezu, možete se povezati preko skoro svakog zaštitnog zida i proksi servera, ali uz gubitak brzine. Ako imate luksuz, možete postaviti dva VPN servera, jedan sa udp/1194 i drugi sa tcp/443. Što se tiče šifrovanja, AES-CBC je najčešći sa AES-GCM kao alternativom u nastajanju. 256-bitni ključ je norma, ali 128-bitni ili 192-bitni ključ je takođe veoma siguran. Do daleke budućnosti, biće praktično nemoguće razbiti (dobro odabran) 128-bitni ključ. Još duži ključ stoga malo dodaje u smislu zaštite, ali košta više računarske snage.
05 Omogućite korisničke naloge
Korisnički nalog je takođe potreban za prijavu na vpn server. To je običan korisnički nalog na NAS-u sa ispravnim dozvolama za korišćenje vpn servera. Synology podrazumevano dozvoljava svim korisnicima da koriste VPN server. Prilagodite ovo svojim željama unosom VPN server gadno prava да иде. U QNAP ulazite QVPN usluga gadno Podešavanja privilegija. Ovde možete ručno dodati željene vpn korisnike od lokalnih korisnika na nas.
06 Uredite OpenVPN profil
Morate da prođete kroz OpenVPN profil u uređivaču teksta i izvršite podešavanja tamo gde je to potrebno. U Synology-u izvlačite zip datoteku (openvpn.zip) u fasciklu, a zatim možete da sačuvate datoteku VPNConfig.ovpn može da se otvori u vašem uređivaču teksta. Ovde ćete pronaći linijski daljinski upravljač VAŠ_SERVER_IP 1194 i malo dalje prototype udp. Ovo označava broj porta (1194) i protokol (udp) se mora koristiti prilikom postavljanja veze. Na mestu od YOUR_SERVER_IP unesite IP adresu vaše internet konekcije kod kuće, sa QNAP-om ovo je već popunjeno podrazumevano.
Zar ne dobijate fiksnu IP adresu od svog internet provajdera za internet vezu kod kuće, već dinamičku i stoga promenljivu IP adresu? Onda je dynamic-dns usluga (ddns) dobra alternativa. Možete ga jednostavno podesiti na svom NAS-u (pogledajte okvir 'Dynamic DNS service on your NAS') i zatim uneti adresu umesto IP adrese u profil (ovo se ne dešava automatski). Sa Synology, dinamički DNS je izuzetno koristan, jer tada možete da koristite kreirani sertifikat servera da biste podesili vezu, da biste rešili problem sa sertifikatom.
Dinamička DNS usluga na vašem NAS-u
Sa dinamičkim dns servisom (ddns) vaša IP adresa se čuva i prosleđuje spoljnom serveru, što osigurava da je izabrano ime hosta uvek povezano sa tačnom IP adresom. Možete samo pokrenuti ovo na svom nasu. Na Synology-u ćete ga naći pod Kontrolna tabla / daljinski pristup. Najlakše je izabrati Synology kao (besplatnog) provajdera usluga sa dostupnim imenom hosta i imenom domena (mi biramo greensyn154.synology.me), sve dok je kombinacija dostupna. Opciono, možete podesiti i prilagođenog ddns provajdera. U QNAP idete u Kontrolna tabla / Mreža i virtuelni prekidač. Pod naslovom Pristup uslugama nalazite li opciju DDNS. Možete da podesite prilagođenog ddns provajdera, kao i da konfigurišete i koristite samu QNAP-ovu uslugu myQNAPcloud. Čarobnjak vas vodi kroz podešavanja. Na kraju možete izabrati koje usluge treba podesiti. Iz bezbednosnih razloga to možete ograničiti samo na DDNS да изаберете.
07 Dodajte sertifikate
Sa QNAP-om, autentifikacija prilikom prijavljivanja na VPN server se zasniva samo na korisničkom imenu i lozinki. Sa Synology-om su vam potrebna i dva klijentska sertifikata da biste sprečili greške u vezi, što je naravno i mnogo bezbednije. Možete ih dodati ručno u aplikaciju, ali i (kao što radimo ovde) uključiti ih u OpenVPN profil. Koristimo ddns sertifikat (u našem primeru koji pripada greensyn154.synology.me) za dva sertifikata. Иди на Kontrolna tabla / Sigurnost. Додирните на Konfigurišite i uverite se da je ovaj sertifikat izabran iza VPN server. Zatvorite prozor sa Поништити, отказати. Kliknite desnim tasterom miša na sertifikat i izaberite Izvozni sertifikat.
Izvucite zip datoteku. Otvorite OpenVPN profil u uređivaču teksta. Na dnu vidite bloksa sadržajem approx.crt. Ispod toga dodajete blok u koji unosite sadržaj od cert.pem setovi. Zatim dodajte još jedan blok sa sadržajem privkey.pem. Sa ovim profilom možete da podesite vezu u kombinaciji sa korisničkim nalogom na vašem NAS-u.
08 Druge opcije konfiguracije
Možete postaviti više opcija prema vašim željama. Prvo zavisi od svrhe upotrebe. Da li želite da koristite VPN vezu samo za daljinski pristup svojoj kućnoj mreži? U Synology-u morate da se uverite u to pre linije preusmeravanje gateway def1 u vašem profilu zagrada (#) tako da se tretira kao komentar. Ako uklonite zagradu, sav saobraćaj će ići kroz VPN tunel, na primer i za obične veb lokacije koje posećujete. Sa QNAP-om, ovo je podešavanje servera, tako da ne utiče na profil. Vi ga postavite QVPN usluga sa opcijom Koristite ovu vezu kao podrazumevani mrežni prolaz za spoljne uređaje. Ako ga uključite, sav saobraćaj sa VPN klijenta će ići kroz VPN tunel. Hoćeš li to da proveriš? Zatim posetite http://whatismyipaddress.com koristeći pregledač. Ako je vaša javna IP adresa (vaše internet veze) navedena ovde, znate da saobraćaj ide kroz tunel.
09 Prosleđivanje portova u ruteru
U ovom osnovnom kursu smo postavili udp protokol na port 1194 za vpn server i to je ujedno i jedini saobraćaj koji treba da prosleđujete sa vašeg rutera na vaš nas pomoću pravila za prosleđivanje portova. Preporučljivo je da NAS-u prvo date fiksnu IP adresu u vašoj mreži. Način na koji dodajete takvo pravilo razlikuje se u zavisnosti od rutera. Samo pravilo je jednostavno. Dolazni saobraćaj koristi udp protokol i port je 1194. Kao odredište upisujete IP adresu vašeg NAS-a i port je sada takođe 1194.
10 Pristup sa pametnog telefona
Samo je mali korak da koristite VPN vezu sa pametnog telefona. Uverite se da ste na spoljnoj mreži (kao što je mobilna mreža), a ne na sopstvenoj WiFi mreži, tako da zapravo uspostavite vezu spolja. Kao što je naznačeno, koristimo zvaničnu aplikaciju OpenVPN Connect koju možete preuzeti sa Google Play prodavnice ili iOS App Store-a. Možete povezati Android pametni telefon sa računarom, nakon čega možete kopirati OpenVPN profil u fasciklu za preuzimanje. Zatim uvezite profil pomoću aplikacije preko Uvezi profil / datoteku. Sa iPhone-om, možete da koristite iTunes ili da sebi pošaljete OpenVPN profil e-poštom i otvorite ga u OpenVPN aplikaciji.
Unesite korisničko ime i lozinku povezane sa vašim nalogom na NAS-u. Sada se možete povezati dodirom na profil. Nakon toga imate pristup svom NAS-u i kućnoj mreži na koju je vaš NAS povezan.
Ograničenja pri korišćenju ipv6
U ovom članku pretpostavljamo da koristite ipv4 adresu za svoj vpn server, a ne ipv6. U nekim situacijama ovo predstavlja problem. Na primer, internet provajderi kao što je Ziggo ponekad više ne daju korisnicima javnu IPv4 adresu. U tom slučaju, dolazne veze na svoj VPN server možete primati samo preko ipv6. A to je još jedan problem ako želite da se povežete sa svojim pametnim telefonom sa mobilne mreže, jer se ipv6 nudi samo štedljivo na mobilnim vezama.
