Anda dapat mengatur server VPN di nas Anda seperti ini

Sangat nyaman untuk dapat mengakses jaringan rumah Anda dari mana saja dengan ponsel cerdas Anda, misalnya. Misalnya, untuk mengoperasikan perangkat IoT, melihat gambar dari kamera IP atau menghindari penyumbatan regional. Dengan mengatur server VPN, Anda dengan aman berada di jaringan rumah Anda sekaligus. Sebuah nas biasanya cukup kuat untuk digunakan sebagai server VPN, terutama jika Anda tidak membutuhkan kecepatan tertinggi. Pada artikel ini kami menunjukkan kepada Anda cara mengaturnya dan menggunakannya dengan smartphone.

Jika Anda memiliki semua jenis aplikasi cantik yang berjalan di rumah, cepat atau lambat Anda pasti ingin mengaksesnya dari smartphone, tablet, atau laptop di jalan. Pertimbangkan, misalnya, otomatisasi rumah dengan Home Assistant atau Domoticz, streaming media dengan Plex atau Emby, penggunaan server unduhan atau hanya akses ke file pribadi. Anda dapat mengatur ini untuk setiap aplikasi, biasanya dengan meneruskan beberapa port, tetapi pintu belakang seperti itu bukannya tanpa risiko. Misalnya, banyak aplikasi mengandung kerentanan atau tidak menggunakan koneksi terenkripsi.

Anda dapat mengatasi masalah seperti itu dengan satu koneksi VPN yang diamankan dengan baik. Koneksi VPN sebenarnya memberikan lapisan perlindungan ekstra di atas keamanan aplikasi itu sendiri. Anda juga dapat langsung menggunakan semua aplikasi seperti biasa di rumah dan tanpa harus menyesuaikan konfigurasinya. Ini juga berlaku untuk aplikasi yang biasanya tidak Anda gunakan melalui internet, seperti akses file jaringan (lihat kotak 'Mengakses file melalui internet'). Kami menunjukkan kepada Anda bagaimana mencapai ini dengan server VPN pada NAS dari Synology atau QNAP.

Akses file melalui Internet

Nas Anda mungkin menjadi titik penyimpanan pusat di jaringan Anda. Protokol seseorang digunakan untuk mengakses file dari PC Windows. Terutama versi pertama (seseorang 1.0) sangat tidak aman. Misalnya, kerentanan berada di akar serangan ransomware WannaCry utama. Saat ini dinonaktifkan secara default di Windows 10 dan banyak penyedia memblokir port tcp 445 yang digunakan untuk lalu lintas seseorang. Harus dapat menggunakan koneksi internet.

Microsoft juga melakukan hal yang sama untuk folder bersama dari layanan File Azure. Tetap saja, itu tidak biasa dan kami tidak merekomendasikannya. Itu bukan hanya masalah kepercayaan. Banyak jaringan menjalankan perangkat yang lebih tua dan rentan. Bahkan pada NAS Synology baru-baru ini, smb 3.0 tampaknya dinonaktifkan secara default. Pemblokiran port pada penyedia seperti Ziggo juga dapat mengganggu Anda. Selain itu, kinerja melalui koneksi internet seringkali mengecewakan. Di atas segalanya, Anda tetap rentan terhadap kerentanan, sementara data terpenting Anda masih terlibat. Untuk mengakses file Anda di jaringan, kami merekomendasikan koneksi VPN atau alternatif seperti penyimpanan cloud.

01 Mengapa NAS?

Anda mungkin sudah memiliki beberapa perangkat di jaringan Anda yang dapat Anda gunakan sebagai server VPN, seperti router. Anda seharusnya tidak mengharapkan keajaiban kinerja dan OpenVPN tidak selalu didukung. Server Anda sendiri adalah opsi yang bagus, tetapi tidak dapat dijangkau semua orang. Jika Anda memiliki nas, itu juga merupakan pilihan, dengan kekuatan pemrosesan ekstra dan banyak kemudahan penggunaan. Baik Synology dan QNAP mendukung pengaturan sebagai server VPN secara default dengan konfigurasi yang relatif sederhana. Jika Anda memiliki model dengan prosesor yang mendukung set instruksi AES-NI, Anda akan mendapatkan keuntungan dari kinerja yang jauh lebih tinggi.

Anda juga dapat memengaruhi kinerja dengan enkripsi dan algoritme ukuran kunci. Dalam kursus dasar ini kami memilih kompromi yang aman, cukup untuk beberapa koneksi. Kecepatan tertinggi sebenarnya mungkin tetap tidak terjangkau, tetapi untuk sebagian besar aplikasi itu tidak masalah dan selalu ada faktor pembatas lainnya, seperti koneksi internet Anda.

02 Instal aplikasi

Server VPN Synology mendukung PPTP, OpenVPN dan L2TP / IPSec. Hanya dua yang terakhir yang menarik. Anda dapat mengatur keduanya secara opsional, tetapi dalam kursus dasar ini kami membatasi diri kami pada OpenVPN. Ini menawarkan kinerja yang baik dan keamanan yang baik, dengan banyak kebebasan dalam konfigurasi. Untuk menginstalnya, buka Pusat Paket . Temukan VPN Server dan instal aplikasi. Di QNAP, buka Pusat Aplikasi dan temukan Layanan QVPN di bagian Utilitas. Selain protokol di atas, aplikasi ini juga mendukung protokol QBelt yang dikembangkan oleh QNAP. Anda juga dapat menggunakan aplikasi QNAP sebagai klien VPN dengan menambahkan profil, jika NAS perlu menggunakan server VPN eksternal. Synology dapat melakukannya juga, Anda dapat menemukan opsi di bawah Jaringan di Panel Kontrol .

03 Konfigurasi di Synology

Terbuka VPN Server dan tekan OpenVPN di bawah judul Set up VPN Server . Centang kotak Aktifkan server OpenVPN . Sesuaikan konfigurasi dengan preferensi Anda, seperti protokol (udp atau tcp), port dan enkripsi (lihat kotak 'Protokol, port dan enkripsi untuk OpenVPN'). Sebuah opsi aman diusulkan: AES-CBC dengan kunci 256bit dan SHA512 untuk otentikasi. Hati-hati, karena ada juga pilihan yang tidak aman dalam daftar. Gunakan opsi Izinkan klien mengakses server LANpastikan bahwa Anda dapat mengakses perangkat lain di jaringan yang sama dengan nas dari koneksi vpn Anda. Jika Anda gagal melakukan ini, Anda hanya dapat menggunakan nas dan aplikasi pada nas itu, yang terkadang cukup.

Kami lebih suka menonaktifkan opsi Aktifkan kompresi pada koneksi VPN . Nilai tambahnya terbatas dan bukannya tanpa risiko karena beberapa kerentanan. Terakhir, klik Apply diikuti oleh Export Configuration untuk mengambil paket zip yang akan Anda gunakan untuk menghubungkan. Di bawah Ikhtisar, Anda akan melihat bahwa OpenVPN diaktifkan. Apakah Anda menggunakan firewall di nas Anda? Lalu pergi ke Control Panel / Security / Firewall dan tambahkan aturan yang memungkinkan lalu lintas untuk server vpn.

04 Konfigurasi di QNAP

Pada QNAP NAS Anda membuka aplikasi Layanan QVPN dan memilih di antara opsi server VPN OpenVPN . Centang kotak Aktifkan server OpenVPN dan sesuaikan konfigurasi dengan preferensi Anda. Seperti Synology, Anda dapat dengan bebas mengatur protokol dan port. Secara default, AES digunakan untuk enkripsi dengan kunci 128 bit (default) atau 256 bit. Kami mematikan opsi Aktifkan koneksi VPN terkompresi . Kemudian klik Apply . Setelah ini, Anda dapat mengunduh profil OpenVPN, yang juga berisi sertifikat. Kami akan menggunakan ini di bawah Android. Di bawah IkhtisarAnda dapat melihat apakah server vpn aktif dengan juga detail lain seperti pengguna yang terhubung.

Protokol, port, dan enkripsi untuk OpenVPN

OpenVPN fleksibel untuk dikonfigurasi. Sebagai permulaan, udp dan tcp dapat digunakan sebagai protokol, dengan udp lebih disukai karena bekerja lebih efisien dan lebih cepat. Sifat 'mengatur' dari protokol TCP lebih cenderung bekerja melawan daripada membantu lalu lintas melalui terowongan VPN. Selain itu, Anda dapat memilih hampir semua port. Untuk udp ini adalah porta 1194 secara default. Sayangnya, perusahaan sering menutup port ini dan port lain untuk lalu lintas keluar. Namun, lalu lintas situs web 'normal' hampir selalu dimungkinkan melalui port tcp 80 (http) dan 443 (https). Anda bisa memanfaatkan ini dengan cerdas.

Jika Anda memilih protokol tcp dengan port 443 untuk koneksi OpenVPN, Anda dapat terhubung melalui hampir semua firewall dan server proxy, tetapi dengan kehilangan kecepatan. Jika Anda memiliki kemewahan, Anda dapat mengatur dua server vpn, satu dengan udp / 1194 dan yang kedua dengan tcp / 443. Dalam hal enkripsi, AES-CBC paling umum dengan AES-GCM sebagai alternatif yang muncul. Kunci 256bit adalah norma, tetapi kunci 128 atau 192 bit juga sangat aman. Hingga masa depan yang jauh, hampir tidak mungkin untuk memecahkan kunci 128-bit (yang dipilih dengan baik). Oleh karena itu, kunci yang lebih panjang menambahkan sedikit dalam hal perlindungan, tetapi membutuhkan lebih banyak daya komputasi.

05 Membuat akun pengguna sesuai

Akun pengguna juga diperlukan untuk masuk ke server VPN. Itu adalah akun pengguna biasa di nas dengan izin yang benar untuk menggunakan server vpn. Di Synology, semua pengguna memiliki opsi untuk menggunakan server VPN secara default. Sesuaikan ini dengan preferensi Anda dengan pergi ke Perizinan di VPN Server . Dengan QNAP, pergi ke Settings Privilege di QVPN layanan . Di sini Anda menambahkan pengguna vpn yang diinginkan secara manual dari pengguna lokal di nas.

06 Pasca-edit profil OpenVPN

Anda harus melalui profil OpenVPN di editor teks dan membuat penyesuaian jika diperlukan. Di Synology, Anda mengekstrak file zip ( openvpn.zip ) di folder setelah itu Anda dapat membuka file VPNConfig.ovpn di editor teks Anda. Di sini Anda akan menemukan jalur remote YOUR_SERVER_IP 1194 dan sedikit lebih jauh pada proto udp . Ini menentukan nomor port ( 1194 ) dan protokol ( udp ) mana yang harus digunakan saat membuat koneksi. Di situs YOUR_SERVER_IP isi alamat IP koneksi Internet Anda di rumah, QNAP sudah default.

Apakah Anda tidak mendapatkan alamat IP tetap dan dinamis dari penyedia internet Anda untuk koneksi internet di rumah? Kemudian layanan dynamic-dns (ddns) adalah alternatif yang baik. Anda cukup mengaturnya di nas Anda (lihat kotak 'Layanan DNS Dinamis di nas Anda') dan kemudian masukkan alamat di tempat alamat IP di profil (ini tidak terjadi secara otomatis). Dengan Synology, dns dinamis sangat berguna, karena Anda kemudian dapat menggunakan sertifikat server yang dibuat untuk mengatur koneksi guna memecahkan masalah sertifikat.

Layanan DNS dinamis di NAS Anda

Dengan layanan dynamic-dns (ddns) alamat IP Anda disimpan dan diteruskan ke server eksternal, yang memastikan bahwa nama host yang dipilih selalu ditautkan ke alamat IP yang benar. Anda bisa menjalankan ini di hidung Anda. Di Synology, Anda akan menemukannya di bawah Control Panel / Remote Access . Cara termudah adalah memilih Synology sebagai penyedia layanan (gratis) dengan nama host dan nama domain yang tersedia (kami memilih groensyn154.synology.me ), selama kombinasinya tersedia. Secara opsional, Anda juga bisa menyetel penyedia ddns kustom. Di QNAP, buka Panel Kontrol / Jaringan dan Sakelar Virtual . Di bawah judul Access services Anda akan menemukan opsi DDNS. Anda dapat menyetel penyedia DDNS khusus, serta mengonfigurasi dan menggunakan layanan myQNAPcloud QNAP sendiri. Seorang wizard memandu Anda melalui pengaturan. Pada akhirnya Anda dapat memilih layanan mana yang akan disiapkan. Untuk alasan keamanan, Anda dapat membatasinya hanya dengan memilih DDNS .

07 Menambahkan sertifikat

Dengan QNAP, otentikasi saat masuk ke server VPN hanya berdasarkan nama pengguna dan kata sandi. Dengan Synology, Anda juga memerlukan dua sertifikat klien untuk menghindari kesalahan koneksi, yang tentunya jauh lebih aman. Anda dapat menambahkannya secara manual di aplikasi, tetapi juga (seperti yang kami lakukan di sini) memasukkannya ke dalam profil OpenVPN. Kami menggunakan sertifikat ddns (dalam contoh kami milik groensyn154.synology.me ) untuk dua sertifikat. Untuk melakukan ini, buka Panel Kontrol / Keamanan . Ketuk Konfigurasi dan pastikan sertifikat ini dipilih di belakang Server VPN . Tutup jendela dengan Batal . Klik kanan pada sertifikat dan pilih Ekspor Sertifikat.

Ekstrak file zip tersebut. Buka profil OpenVPN di editor teks. Di bagian bawah Anda melihat satu blokdengan isi sekitar crt . Di bawahnya Anda menambahkan satu bloktempat Anda meletakkan konten cert.pem . Kemudian tambahkan blok lainberisi konten privkey.pem . Dengan profil ini Anda dapat mengatur koneksi dalam kombinasi dengan akun pengguna di nas Anda.

08 Opsi konfigurasi lainnya

Anda dapat mengatur lebih banyak opsi sesuai dengan preferensi Anda. Yang pertama tergantung pada tujuan penggunaan Anda. Apakah Anda hanya ingin menggunakan koneksi VPN untuk akses jarak jauh ke jaringan rumah Anda? Dengan Synology, pastikan ada tanda centang ( # ) sebelum baris redirect-gateway def1 di profil Anda sehingga dianggap sebagai komentar. Jika Anda menghapus centang, semua lalu lintas akan melalui terowongan VPN, juga untuk situs web biasa yang Anda kunjungi. Dengan QNAP ini adalah pengaturan server, jadi tidak mempengaruhi profil. Anda mengaturnya di Layanan QVPN dengan opsi Gunakan koneksi ini sebagai gateway default untuk perangkat eksternal. Jika Anda menyalakannya, semua lalu lintas dari klien VPN akan melalui terowongan VPN. Apakah Anda ingin memeriksanya? Kemudian kunjungi alamat //whatismyipaddress.com dengan browser. Jika alamat IP publik Anda (dari koneksi internet Anda) disebutkan di sini, Anda tahu bahwa lalu lintas melewati terowongan.

09 Meneruskan port di router

Dalam kursus dasar ini kami telah menetapkan protokol udp untuk server vpn ke port 1194 dan itu juga satu-satunya lalu lintas yang harus Anda teruskan dari router ke nas Anda dengan aturan penerusan port. Dianjurkan untuk memberikan nas alamat IP tetap di jaringan Anda terlebih dahulu. Cara Anda menambahkan aturan seperti itu berbeda untuk tiap router. Aturannya sendiri sederhana. Lalu lintas masuk menggunakan protokol udp dan portnya adalah 1194. Masukkan alamat ip nas Anda sebagai tujuan dan portnya sekarang adalah 1194.

10 Akses dari smartphone

Ini hanyalah langkah kecil untuk menggunakan koneksi VPN dari smartphone. Pastikan Anda berada di jaringan eksternal (seperti jaringan seluler) dan bukan di jaringan WiFi Anda sendiri, sehingga Anda benar-benar tersambung dari luar. Seperti yang ditunjukkan, kami menggunakan aplikasi OpenVPN Connect resmi yang dapat Anda unduh dari Google Play Store atau iOS App Store. Anda bisa menghubungkan smartphone Android ke PC, setelah itu Anda bisa menyalin profil OpenVPN ke folder Download. Kemudian impor profil dengan aplikasi melalui Impor Profil / File. Dengan iPhone Anda dapat menggunakan iTunes, atau mengirim email ke profil OpenVPN ke diri Anda sendiri dan membukanya di aplikasi OpenVPN.

Masukkan username dan password yang terkait dengan akun Anda di nas. Sekarang Anda dapat terhubung dengan mengetuk profil. Setelah ini Anda akan memiliki akses ke nas Anda dan jaringan rumah yang terhubung ke nas Anda.

Batasan saat menggunakan ipv6

Pada artikel ini, kami berasumsi bahwa Anda menggunakan alamat ipv4 untuk server VPN Anda dan bukan ipv6. Dalam beberapa situasi, ini menjadi masalah. Misalnya, penyedia internet seperti Ziggo terkadang tidak lagi memberikan pelanggan alamat ipv4 publik. Dalam kasus seperti itu, Anda hanya dapat menerima koneksi masuk ke server vpn Anda melalui ipv6. Dan itu masalah lain jika Anda ingin terhubung ke ponsel cerdas Anda dari jaringan seluler, karena ipv6 hanya ditawarkan secara hemat pada koneksi seluler.