能够从家外的任何地方使用您的智能手机访问您的家庭网络非常方便。例如,要操作 IoT 设备,查看来自 IP 摄像头的图像或绕过区域块。通过设置 VPN 服务器,您只需一个操作即可安全地连接到家庭网络。 NAS 通常足够强大,可以用作 VPN 服务器,尤其是在您不需要最高速度的情况下。在本文中,我们将向您展示如何设置它并将其与智能手机结合使用。
如果您在家中运行着各种精美的应用程序,那么您迟早会希望在旅途中通过智能手机、平板电脑或笔记本电脑访问它们。例如,想想 Home Assistant 或 Domoticz 的家庭自动化、Plex 或 Emby 的媒体流、下载服务器的使用或简单地访问个人文件。您可以为每个应用程序安排,通常通过转发几个端口,但这样的后门并非没有风险。例如,许多应用程序包含漏洞或不使用加密连接。
您可以通过一个安全性良好的 VPN 连接来解决此类问题。 VPN 连接实际上在应用程序本身的安全性之上提供了额外的保护层。您还可以像在家里一样立即使用所有应用程序,而无需调整其配置。这也适用于通常不应通过 Internet 使用的应用程序,例如网络文件访问(参见“通过 Internet 访问文件”框)。我们将向您展示如何通过 Synology 或 QNAP NAS 上的 VPN 服务器实现这一目标。
通过 Internet 访问文件
您的 NAS 可能是您网络中的中央存储点。 smb 协议用于从 Windows PC 访问文件。尤其是第一个版本(smb 1.0)非常不安全。例如,漏洞是 WannaCry 勒索软件主要攻击的根源。在 Windows 10 中,它现在默认禁用,许多提供商阻止用于 smb 流量的 tcp 端口 445。应该能够使用互联网连接。
Microsoft 本身也为 Azure 文件服务的共享文件夹执行此操作。尽管如此,这是不寻常的,我们不推荐它。这不仅仅是一个信任问题。许多网络运行旧的、易受攻击的设备。即使在最近的 Synology NAS 上,smb 3.0 似乎也是默认禁用的。 Ziggo 等提供商的端口阻塞也会困扰您。此外,通过互联网连接的性能往往令人失望。最重要的是,您仍然容易受到漏洞的影响,同时它仍然与您最关键的数据有关。要访问网络中的文件,我们建议使用 VPN 连接或替代方案,例如云存储。
01 为什么是鼻子?
您的网络中可能已经有一些可以用作 VPN 服务器的设备,例如路由器。您不应该期待性能方面的奇迹,而且 OpenVPN 并不总是受支持。您自己的服务器是一个不错的选择,但这并不是每个人都能做到的。如果您有 NAS,那也是一种选择,具有额外的处理能力和很多易用性。 Synology 和 QNAP 都支持默认设置为 VPN 服务器,配置相对简单。如果您的型号配备支持 AES-NI 指令集的处理器,您将受益于显着更高的性能。
您还可以通过加密算法和密钥大小来影响性能。在这个基础课程中,我们选择了一个安全的折衷方案,足以进行少量连接。真正的最高速度可能遥不可及,但这对大多数应用程序来说都不是问题,而且总是存在其他限制因素,例如您的互联网连接。
02 安装应用程序
Synology 的 VPN 服务器支持 PPTP、OpenVPN 和 L2TP/IPSec。只有最后两个有趣。您可以选择同时设置两者,但在本基础课程中,我们仅限于 OpenVPN。它提供了良好的性能和良好的安全性,在配置上有很大的自由度。要安装它去 包裹中心.搜索 虚拟专用网服务器 并安装应用程序。在 QNAP,您打开 应用中心 并寻找你 QVPN服务 在该部分 公用事业.除了以上协议,本应用还支持 QNAP 自己开发的 QBelt 协议。您还可以通过添加配置文件将 QNAP 应用程序用作 VPN 客户端,以防 NAS 需要使用外部 VPN 服务器。这也可以在 Synology 中找到,您会在下面找到选项 网络 在里面 控制面板.
03 Synology 的配置
打开 虚拟专用网服务器 并点按标题下方 VPN 服务器设置 在 开放式VPN.签到 启用 OpenVPN 服务器.根据您的偏好调整配置,例如协议(udp 或 tcp)、端口和加密(参见“OpenVPN 的协议、端口和加密”框)。建议使用安全选项:带有 256 位密钥和 SHA512 的 AES-CBC 进行身份验证。小心,因为列表中也有不安全的选择。随着选项 允许客户端访问局域网服务器 确保您还可以通过 VPN 连接访问与 NAS 位于同一网络上的其他设备。如果您不这样做,您将只能使用 nas 和该 nas 上的应用程序,这有时就足够了。
选项 在 VPN 链接上启用压缩 我们更喜欢关闭它。附加值是有限的,并且由于某些漏洞,它并非没有风险。最后点击 申请 其次是 导出配置 以检索稍后将用于设置连接的 zip 包。在概览下,您将看到 OpenVPN 已启用。您是否在 NAS 上使用防火墙?然后去 控制面板/安全/防火墙 并添加允许 VPN 服务器流量的规则。
04 QNAP 配置
在 QNAP NAS 上打开应用程序 QVPN服务 并在下面选择 VPN服务器 选项 开放式VPN.签到 启用 OpenVPN 服务器 并根据您的喜好调整配置。就像使用 Synology 一样,您可以自由设置协议和端口。默认情况下,AES 用于使用 128 位(默认)或 256 位密钥进行加密。选项 启用压缩 VPN 连接 我们关掉。然后点击 申请.之后,您可以下载 OpenVPN 配置文件,其中也包含证书。我们将在 Android 下使用它。以下 概述 您可以查看 vpn 服务器是否正在运行以及其他详细信息,例如已连接的用户。
OpenVPN 的协议、端口和加密
OpenVPN 配置灵活。对于初学者来说,udp 和 tcp 都可以用作协议,udp 是首选,因为它更高效、更快。 TCP 协议的“监管”性质与 VPN 隧道上的流量相反,而不是与之合作。此外,您几乎可以选择任何端口。对于 udp,默认端口是 1194。不幸的是,公司经常关闭这些和其他端口以用于传出流量。但是,通过 tcp 端口 80 (http) 和 443 (https) 的“正常”网站流量几乎总是可能的。您可以巧妙地利用这一点。
如果您为 OpenVPN 连接选择端口 443 的 tcp 协议,您几乎可以通过任何防火墙和代理服务器进行连接,但会降低速度。如果您有条件,可以设置两台 VPN 服务器,一台使用 udp/1194,另一台使用 tcp/443。在加密方面,AES-CBC 是最常见的,而 AES-GCM 作为新兴的替代方案。 256 位密钥是常态,但 128 或 192 位密钥也非常安全。在遥远的未来,破解(精心挑选的)128 位密钥几乎是不可能的。因此,更长的密钥在保护方面几乎没有增加,但确实会花费更多的计算能力。
05 启用用户帐户
还需要用户帐户才能登录 vpn 服务器。那是 nas 上的普通用户帐户,具有使用 vpn 服务器的正确权限。默认情况下,Synology 允许所有用户使用 VPN 服务器。通过输入根据您的喜好调整此项 虚拟专用网服务器 可恶的 权利 去。在 QNAP,您输入 QVPN服务 可恶的 权限设置.在这里,您可以从 nas 上的本地用户手动添加所需的 vpn 用户。
06 编辑 OpenVPN 配置文件
您必须在文本编辑器中浏览 OpenVPN 配置文件,并在必要时进行调整。在 Synology,您解压缩 zip 文件 (openvpn.zip) 到一个文件夹中,然后您可以保存文件 VPNConfig.ovpn 可以在文本编辑器中打开。在这里你会找到线遥控器 你的服务器IP 1194 再远一点 原型udp.这表示哪个端口号(1194) 和协议 (UDP) 必须在建立连接时使用。在的地方 你的_SERVER_IP 输入你在家上网的IP地址,QNAP默认已经填好了。
您是否从您的互联网提供商处接收到用于在家中互联网连接的固定 IP 地址,而是一个动态且因此变化的 IP 地址?那么动态 DNS 服务 (ddns) 是一个不错的选择。您可以简单地在您的 nas 上设置它(请参阅“您的 nas 上的动态 dns 服务”框),然后在配置文件中输入地址而不是 IP 地址(这不会自动发生)。对于 Synology,动态 dns 非常有用,因为您可以使用创建的服务器证书来设置连接,以解决证书问题。
nas 上的动态 dns 服务
使用动态 dns 服务 (ddns),您的 IP 地址会被保留并传递到外部服务器,从而确保所选的主机名始终链接到正确的 IP 地址。你可以在你的 nas 上运行它。在 Synology,您会在下面找到它 控制面板/远程访问.最简单的方法是选择 Synology 作为具有可用主机名和域名的(免费)服务提供商(我们选择 greensyn154.synology.me),只要组合可用。或者,您还可以设置自定义 ddns 提供程序。在 QNAP,您可以前往 控制面板/网络和虚拟交换机.在标题下 访问服务 你找到选项了吗 动态域名解析.您可以设置自定义 ddns 提供程序,也可以配置和使用 QNAP 的 myQNAPcloud 服务本身。向导会引导您完成设置。最后,您可以选择应设置哪些服务。出于安全原因,您可以仅将其限制为 动态域名解析 选择。
07 添加证书
使用 QNAP,登录 VPN 服务器时的身份验证仅基于用户名和密码。使用 Synology,您还需要两个客户端证书来防止连接错误,这当然也更加安全。您可以在应用程序中手动添加它们,但也(正如我们在此处所做的那样)将它们包含在 OpenVPN 配置文件中。我们使用 ddns 证书(在我们的示例中属于 greensyn154.synology.me) 为两个证书。去 控制面板/安全.轻按 配置 并确保在后面选择此证书 虚拟专用网服务器.关闭窗口 取消.右键单击证书并选择 出口证书.
解压缩 zip 文件。在文本编辑器中打开 OpenVPN 配置文件。在底部你会看到一个方块与内容 大约crt.在下面添加一个块 您在其中输入的内容 证书文件 套。然后添加另一个块 与内容 私钥文件.使用此配置文件,您可以结合 NAS 上的用户帐户设置连接。
08 其他配置选项
您可以根据自己的喜好设置更多选项。第一个取决于您的使用目的。您是否只想使用 VPN 连接远程访问您的家庭网络?在 Synology,您必须确保在上线之前 重定向网关 def1 在您的个人资料中有一个括号 (#) 以便将其视为注释。如果您删除括号,则所有流量都将通过 VPN 隧道,例如您访问的常规网站也是如此。对于 QNAP,这是一个服务器设置,因此它不会影响配置文件。你设置 QVPN服务 有选项 将此连接用作外部设备的默认网关.如果您打开它,来自 VPN 客户端的所有流量都将通过 VPN 隧道。你想检查一下吗?然后使用浏览器访问 http://whatismyipaddress.com。如果您的公共 IP 地址(您的互联网连接)列在此处,您就知道流量正在通过隧道。
09 路由器中的端口转发
在这个基础课程中,我们在端口 1194 上为 vpn 服务器设置了 udp 协议,这也是您需要使用端口转发规则从路由器转发到 nas 的唯一流量。建议首先在您的网络中为 NAS 提供一个固定的 IP 地址。添加此类规则的方式因路由器而异。规则本身很简单。传入流量使用 udp 协议,端口为 1194。作为目的地,您输入 nas 的 ip 地址,端口现在也是 1194。
10 从智能手机访问
从智能手机使用 VPN 连接只是一小步。确保您使用的是外部网络(例如移动网络)而不是您自己的 WiFi 网络,以便您真正从外部建立连接。如上所述,我们使用官方 OpenVPN Connect 应用程序,您可以从 Google Play Store 或 iOS App Store 下载。您可以将 Android 智能手机连接到 PC,然后您可以将 OpenVPN 配置文件复制到下载文件夹。然后通过导入配置文件/文件使用应用程序导入配置文件。使用 iPhone,您可以使用 iTunes,或通过电子邮件将 OpenVPN 配置文件发送给自己,然后在 OpenVPN 应用程序中打开它。
输入与您在 NAS 上的帐户关联的用户名和密码。现在您可以通过点击个人资料进行连接。在此之后,您可以访问您的 NAS 和您的 NAS 所连接的家庭网络。
使用 ipv6 时的限制
在本文中,我们假设您的 vpn 服务器使用的是 ipv4 地址,而不是 ipv6。在某些情况下,这是一个问题。例如,Ziggo 等互联网提供商有时不再为客户提供公共 IPv4 地址。在这种情况下,您只能通过 ipv6 接收到您的 VPN 服务器的传入连接。如果您想从移动网络连接到您的智能手机,这又是另一个问题,因为 ipv6 仅在移动连接上很少提供。
