Всем привет!!!
В этот раз я расскажу как быстро и легко настроить VPN сервер на Synology NAS, что бы иметь доступ к своей домашней или офисной сети находясь за ее пределами.
Для чего нужен такой VPN сервер для дома? Причин может быть много. Это либо безопасность, что бы не открывать незащищенные порты наружу открывая только порты VPN сервера, либо просто что бы подключаться к домашним устройствам из вне, так как буд-то вы находитесь дома. Для офиса же или предприятия думаю такой вопрос излишний, любой администратор понимает суть VPN сервера.
Synology NAS VPN сервер
И так у вас есть Synology NAS, вы заходите в центр пакетов и ставите VPN server
Открываете его и видите такую картину:
Synology VPN server поддерживает три протокола: PPTP, OpenVPN и L2TP\IPsec. PPTP хороший протокол, но считается менее безопасным чем другие. OpenVPN это открытый протокол и он есть на большинстве устройств. А L2TP\IPsec считается самым защищенным из представленных и он встроен почти во все ОС и устройства Windows, MAC OS, Android и IOS. Именно поэтому я и решил использовать последний, так как не нужно устанавливать дополнительное ПО.
Настройка L2TP\IPsec выглядит очень просто:
- Динамический IP-адрес, VPN Server присвоит VPN-клиентам IP-адреса, выбрав их из диапазона виртуальных IP-адресов. Например, если для динамического IP-адреса сервера VPN Server задано значение «172.16.68.0», то виртуальный IP-адрес VPN-клиента может быть в диапазоне от « 172.16.68.1» до « 172.16.68.[максимальное число подключений]» для PPTP и в диапазоне от « 172.16.68.2» до « 172.16.68.255» для OpenVPN.
Важно! Прежде чем указывать динамический IP-адрес сервера VPN, учтите следующее.
- Динамические IP-адреса, разрешенные для сервера VPN Server, должны быть в одном из следующих диапазонов:
- От «10.0.0.0» до «10.255.255.0»
- От «172.16.0.0» до «172.31.255.0»
- От «192.168.0.0» до «192.168.255.0»
- Указанные динамический IP-адрес сервера VPN Server и присвоенные клиентам VPN виртуальные IP-адреса не должны конфликтовать с IP-адресами, которые сейчас используются в вашей локальной сети.
Простыми словами сетка для VPN должна отличаться от вашей существующей реальной сети.
- С максимальным числом подключений думаю все понятно.
- В проверке подлинности два варианта, тот что PAP передает пароли в незашифрованном виде, это нас не устраивает, поэтому выбираем MS-CHAP v2
- MTU 1400 стоит по умолчанию, рекомендую так же оставить, так как оно должно быть меньше чем реальное MTU интернет подключения. Так как мы его не знаем, то ставим 1400. Этот параметр точно подойдет и особо не повлияет ни на что.
- Если вы хотите что бы через VPN подключение еще и ваш личный DNS работал, то укажите его IP адрес
- Запуск в режиме ядра ставим для максимальной производительности VPN сервера.
- Очень важно задать общий ключь достаточно сложный, это влияет на безопасность.
- Включать или не включать режим совместимости это на ваше усмотрения.
Для подключения MAC OS галочку совместимости нужно убрать !!!
На этом вся настройка Synology VPN сервера выполнена и он готов к подключению первых клиентов.
Так же хочу отметить, что если у вас на Synology настроен фаервол, то нужно разрешить в нем сетку для динамического IP настроенную первым этапом и открыть порты для внешних подключений
Порт 1723\TCP нужен для PPTP, порт 1194\UDP нужен для OpenVPN, а порты 1701\UDP, 4500\UDP и 500\UDP нужны для L2TP\IPsec.
Впрочем, когда вы все настроите и нажмете применить вам это сообщит система:
Windows 10\11 клиент
Теперь, когда все настроено и порты открыты и проброшены на NAT, настало время подключиться к нашему VPN серверу, Начнем с Windows. А с ним и только с ним как раз есть небольшие трудности.
По умолчанию встроенный VPN клиент Windows не поддерживает подключение к L2TP/IPsec через NAT. Дело в том, что IPsec использует протокол ESP (Encapsulating Security Payload) для шифрования пакетов, а протокол ESP не поддерживает PAT (Port Address Translation). Если вы хотите использовать IPSec для коммуникации, Microsoft рекомендует использовать белые IP адреса на VPN сервере. Простыми словами Windows хочет что бы вы поднимали VPN сервер на роутере или на сервере, который подключен непосредственно к интернету без роутера и NAT. Это весьма дорого и не всегда выполнимо. Поэтому есть решение.
Можно использовать командлет PowerShell для внесения изменений в реестр:
Set-ItemProperty -Path "HKLM:SYSTEM\CurrentControlSet\Services\PolicyAgent" -Name "AssumeUDPEncapsulationContextOnSendRule" -Type DWORD -Value 2
Или отредактировать реестр вручную. Более подробно Как подключиться к VPN Server от Synology с помощью ПК Windows? – Центр знаний Synology
Затем создадим подключение VPN с такими параметрами:
На этом настройка подключения на Windows завершена и можно подключаться.
Если способ выше не помогает и ваш Windows ПК не подключается по L2TP то нужно сделать следующее:
Взято от сюда: Исправляем проблему подключения к L2TP/IPSec VPN серверу за NAT | Windows для системных администраторов (winitpro.ru)
- Ослабляет уровень шифрования, для L2TP/IPSec используются алгоритмы MD5 и DES:
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters" /v AllowL2TPWeakCrypto /t REG_DWORD /d 1 /f
- Включает шифрование IPsec, которое часто отключается некоторыми VPN клиентами или утилитами:
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters" /v ProhibitIpSec /t REG_DWORD /d 0 /fЕсли и это не поможет, то используйте вместо L2TP протокола PPTP на крайний случай.
Так же на Windows ПК встречается такая проблема: Не удается подключиться к удаленному компьютеру. Возможно потребуется изменение сетевых параметров соединения
Нужно открыть Диспетчер устройств – Сетевые адаптеры и удалить все устройства WAN Miniport
Затем щелкнуть в самый верх по названию вашего ПК и нажать кнопку “Обновить конфигурацию оборудования”
Устройства WAN miniport будут установлены заново и проблем с подключением не будет.
На телефоне подключение выглядит практически также, не вижу смысла это расписывать. Тут самое главное, то что это легко и все необходимое уже встроено в телефон. Настраивается в пару действий и работает просто превосходно.
MAC OS клиент
На MAC OS тоже все просто, только выглядит по другому, а параметры все теже:
Linux клиент
Мой основной и самый любимый дистрибутив для декстопа это Ubuntu. Поэтому буду показывать на ее примере, но в других дистрибутивах будет оналогично.
Для начала установим требуемый пакет, которого почему-то нет по умолчанию
sudo apt install network-manager-l2tp network-manager-l2tp-gnomeПосле этого открываем настройки, сетевые подключения и жмем добавить VPN
В открывшемся окне указываем название, доменное имя вашего NAS или IP адрес, логин DSM и тут начинается интересное
По умолчанию пароль вы не введете, нажимаем на вопрос и выбираем пункт 1 или 2 (сохранять пароль дя пользователя или всей ОС). Я выбрал первое. Затем жмете на кнопку Настройка Ipsec и вводите общий ключь сервера
Так же обязательно открывайте дополнительные настройки и ставте галочку: Enforce UDP encapsulation
Сохряняем все настройки, и включаем VPN. Если все введено правильно, то в терминале можно увидеть VPN интерфейс ну и проверить, что все работает как надо.
На этом моя статья “Synology NAS поднимаем VPN сервер” завершена. Пользуйтесь Synology и желаю удачи!!!
Добрый день!
Подскажите, сделал все по инструкции, но что-то видимо не так… Когда компьютер (клиент) находится в той же сети, что и сервер VPN, то компьютер подключается к VPN. А если подключить клиента через Wi-Fi например телефона, то уже все, VPN не подключается. Ошибка: “Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером”. Куда копать, подскажите?
два варианта. Первый проброс портов, второй в реестр винды. А может и там и там. Винда по умолчанию не устанавливает соединение с сервером находящимся за NAT. Я тоже долго с этим парился. Еще прикол такое. Что если вы из локалки подключились к серверу, то потом из интернета не подключается винда, у нее где-то зависает что-то. Как лечить я даже не знаю. Ловил такой глюк, но как его вылечил не помню.
Вроде и порты пробросил в маршрутизаторе и в винде правила создал, и в панели управления NAS во вкладке “Внешний доступ” конфигурацию маршрутизатора тоже настроил. А все равно не подключается… Буду копать дальше 🙂 Если проблему решу, отпишусь. Может кому пригодится.
Спасибо!
во вкладке внешний доступ? это зачем вообще. Много кто там что-то настраивает. Я бы не рекомендовал вообще в этой вкладке что-то делать. Нужно пробросить порт? Зайдите на роутер и пробросте, а эту настройку не трогайте. Я конечно же могу ошибаться, но я делаю так как написал и пока все работало.
Где-то в Мануале к Synology было написано что там необходимо прописать те же порты что и на маршрутизаторе…
Я правильно понял, что когда создаешь VPN соединение на Windows, то в строке “имя или адрес сервера” необходимо писать локальный ip адрес Synology?
нет конечно, в интернете ни один маршрутизатор не знает локальный адрес вашего сервер, он скрыт за натом. вписывать нужно внешний ип адрес, ну или доменное имя привязанное к внешнему ип адресу вашего роутера. И у вас должен быть белый ип на роутере.
а если нет внешнего белого ай пи?
домен из quick connect или ddns от synology не сработает?
А если нет белого ай пи?
подойдет ли домен квикконнект? http://QuickConnect.to/raziel78
или домен дднс от сино? raziel78.synology.me
или айпи адрес внешний от дднс сино ? например 89.109.47.159
у меня не работает, работает только через локальный адрес коробки синологи (((
Если на роутере нет белого IP адреса то не работает DDNS. Вы можите включить ddns, но привяжется к белому ип провайдера, а не вашего роутера, если у вас нет белого ип. VPN сервер не работает через службу квикконект, так как квикконект это служба для перенаправления web трафика.
все отлично расписано и рассказано, подключение удалось из разных пк, но компьютеров и самого synology не видно
Немного не понимаю, что значит не видно? по ип должно все работать, по имени нет, а так же не будет видно в сетевом окружении другие ПК, так как используется L3 VPN. Если нужно зайти на другие ПК, то нужно заходить к ним по IP. Если такой вариант не устраивает, то нужно использовать специализированное устройство, напирмер роутер с VPN сервером, который будет иметь гораздо больше настроек. VPN на Synology же служит для доступа к серверу по защищенному каналу, что он и делает.
Разобрался по ип все компьютеры видно и можно зайти. Кроме самого сервера с ип 192.168.1.100
Возможно фаервол, разрешите доступ с сети VPN или отключите во время тестирования.
А я вот понадеялся, что это даст мне российский IP для доступа к российским сервисам. Подключиться удалось, vpn работает, но ip в итоге все равно не российский. Подскажите, может есть способ через synology сделать, чтобы я из казахстана мог выходить в сеть с российским IP? чтобы доступ к сервисам русским был?
В теории можно, NAS должен стоять в России, а вам подключиться через VPN и направить весь трафик в это соединение, называется шлюз по умолчанию.
Александр, помогите плиз и на практике. NAS стоит в россии имеет статичный IP. VPN я настроил и к нему подключился. Все работает. А вот про то, как направить весь трафик в это соединение (шлюз) я не знаю. Помогите плиз.
Напишите мне в телеграмм, ссылки есть на сайте.
Тот же вопрос, ставлю галочку отправлять весь трафик через VPN – ни чего не меняется
С трафиком через VPN разобрался, теперь понять, почему не могу попасть на внутренние ресурсы своей сети по IP адресам?
Проверяйте в первую очередь фаервол.
Возможно я неправильно настраиваю ip сеть? DHCP роутера организует сеть 192.168.1.0 255.255.255.0(/24)
Динамический адрес L2TP/IPSec 172.16.68.0 Соответственно клиенту присваивается 172.16.68.1
Доступ клиента к DS есть по адресу 172.16.68.0:5000 а к моей сети 192.168.1.0 нет(
Фаервол отключен и в роутере и на DS. Куда копать не пойму
Добрый вечер! Я дилетант в этом деле. Nas стоит дома как хранилище для фото и всяких документов. Я не совсем понял про ваш VPN (уровень выше)). Но мне нужен ВПН что-бы заходить на ресурсы (сайты) к которым у нас доступ закрыть. Слышал что можно как-то это сделать через NAS. Сможете помочь?
Для этого нужно расположить Synology в другой стране, из которой доступ к этим ресурсам открыт
Добрый день. Спасибо за статью. Недавно приобрел DS220+, пытаюсь разобраться с настройкой удаленного подключения, и выжать максимальную скорость. Я правильно понял, что qucikconnect он более медленней, чем когда ты используешь белый ip ? И правильно понял, если итти по пути белого ip, для безопасности, не нужны порты пробрасывать на роутере, а сразу переходить VPN сервер ?
И да и нет. Квикконект не медленнее, но может работать медленно если нет белого ип и не проброшены порты. Он сделан что бы быстро и гарантировано получить внешний доступ. Скажем у меня он работал на максимальной скорости всегда. Самое безопасное конечно использовать впн и внутри уже все остальное, но я бы сказал это параноя и это не удобно. Если вы готовы к таким трудностям, то все в ваших руках.
У меня медленно скачивает папки, ( через поделиться ссылкой. ) И photos mobile, долго грузит видео. Интернет где nas 250мбит, на телефоне и ноуте удаленно от дома до 100мбит, в зависимости от соединения. Сейчас сделано – прописаны Mac и ip адреса устройств на роутере в локальной сети и включен quickconnect. Мне было бы и удобно на quick connect и остановиться. Если я куплю статический ip у оператора, мне обязательно пробрасывать порты на роутере ? Просто видел информацию в интернет что это не безопасно, так как открываются порты. И использование статического ip, безопасно ли ? И может глупый вопрос, но будут ли работать сервисы vpn, с статическим ip для использования инстаграм ? Спасибо
Не нужен для ваших задач статичный ип, достаточно белого динамического и проброс портов и будет 250М. Все будет работать, сервисам впн не важно какой у вас ип.
Спасибо Вам за помощь и за понятные ролики! ) Пробросил порты 5000 и 5001 скорость в разы выросла.
Если можете еще подсказать, я фотограф, собственно взял NAS для фото. И когда копирую файлы фотографий, он очень долго думает, пишет подготовка к копированию или перемещению, создаются как буду-то скрытые файлы сначала каждой фотографии, а если я эти файлы, закидываю не по отдельности а в папке, то копирование или перемещение начинается моментально. У меня MacBook, пробовал и через lan и через wifi ситуация аналогична.
Загружайте фотографии через Finedr по протоколу SMB если находитесь дома (там где нас стоит). Если срочно то через File Station. Так как через web интерфейс он создает собственную структуру фото по годам и месецам, а для фотографа это не приемлемо обычно.
Да, забыл упомянуть, у меня это происходит именно по smb. То есть если много файлов к примеру 1500шт, то он очень долго готовиться ( пишет подготовка копирования ) . Если я те же файлы но в папке и копирую именно папку, а не файлы, то копирование происходит моментально.
Подготовка копирования вызвана вашей ОС, она скачивает информацию о файлах, резервирует место и только потом делает копирование. Посмотрите видео или статю Synology как повысить производительность SMB Моеж твам поможет
Все подключается, но не видны компы локальной сети по ip
Нужно подключаться к ПК вручную \\IP-PC
ну класс совет)
они даже не пингуются, т.е. вся сеть не видна за впн
Либо у вас трафик идет не через впн, либо на тех машинах фаервол, настраивайте или отключайте его.
Нет, просто сервер не выдает маршрут, пришлось вручную на клиенте прописать
Просто галочки не хватала в настройках впн на клиенте использовать шлюз по умолчанию. Но если вы этого не хотите и можете прописать только ту удаленную сеть маршрутом, то это более правильно, просто я не хочу это объяснять тут, так как люди разные и в маршрутизации разбираются единицы.
При VPN подключении ddns нужно отключить?
Скорость через VPN быстрее чем через ddns?
Вопрос не по теме.
nas ds 118 в основном используем для удаленной работы через ddns(в основном для работы с фото), имеет ли смысл переходить на ds 220. Будет ли прибавка в скорости при работе через ddns. Сейчас порой долго все загружается, хотя скорость интернета хорошая, может что-то с диском, хотя smart тест пишет все исправно.
Вы все перемешали. DNS преобразует имя в IP адрес что и бы заходить на роутер напрямую. VPN создаетитуннель между устройствами в интернете и использует для этого тот же DNS. Насчёт скорости нужно смотреть, что конкретно медленно работает, проверять внутри локальной сети, какой протокол используете и так далее
Не получается войти через ddsm пока в конце адреса не указать:5001, в чем может быть причина? Причем буквально вчера все работало…
Вообще это стандартное поведение. По умолчанию браузер использует 80 и 443. Возможно вы установили web Station
Ставил, но удалял. Просто раньше все работало. А сейчас, чтобы делиться адресом нужно всем с портом давать ссылку
Если вы делитесь адресом драйва, то это настраивается в драйве. И да, если вы хотите 443 порт, то его нужно пробрасывать. Если один раз поставили Web Station и даже если потом удалили, то теперь так и будет. Но не расстраивайтесь, рано или поздно и по другим причинам это бы настало.
Нужно пробрасывать 443 порт?