Từ những người dùng quan tâm đến việc truy cập NAS của họ một cách an toàn và bảo mật từ bên ngoài mạng của họ. Chúng tôi đã sử dụng ứng dụng Synology VPN Server với OpenVPN trong năm qua và không gặp vấn đề gì. Có thể truy cập NAS của mình một cách an toàn ở mọi nơi trên thế giới và quan trọng hơn là có thể kiểm soát quyền truy cập. Trong bài viết này chúng tôi sẽ giải thích nhanh chức năng của VPN Server và các loại cấu hình máy chủ VPN khác nhau và hướng dẫn cấu hình OpenVPN trên NAS Synology. Cùng theo dõi chi tiết nhé.
I. VPN Server là gì ?
VPN (Virtual Private Network) là một mạng riêng ảo, thường được các công ty, doanh nghiệp triển khai dành cho các nhân viên thường làm ở nhiều nơi khác nhau, thường di chuyển (đi nước ngoài, du lịch…) nhưng vẫn truy cập dữ liệu công ty một các an toàn. Có hai loại mạng VPN.
Gói VPN Server tích hợp các giao thức khác nhau giúp người quản trị có thể lựa chọn giao thức phù hợp với từng như cầu của người dùng:
- PPTP.
- OpenVPN.
- L2TP/IPSec.
1. Các loại kết nối VPN:
Split-Tunnel VPN: thực hiện nhiệm vụ chia lưu lượng truy cập Internet. Với Split Tunneling tính năng, bạn có thể lưu lượng truy cập Internet thông qua VPN hoặc local network.
VPN Split Tunneling bảo vệ lưu lượng truy cập mà bạn định tuyến qua mạng VPN, đồng thời, bạn cũng không mất quyền truy cập cục bộ mạng và các thiết bị được kết nối trên mạng đó. Tính năng này có sẵn trên Windows, Android, Android TV.
Full-Tunnel VPN: là VPN đầy đủ, hoặc SSL VPN, kết nối tất cả các lưu lượng được di chuyển.
Dưới đây là mô tả cơ bản giải thích điều này. Chúng ta cần xem xét cách định cấu hình cả hai trong các bước sau. Điều quan trọng cần lưu ý là cả hai loại kết nối sẽ cho phép bạn truy cập mạng cục bộ của mình. Điều này chỉ cho thấy lưu lượng truy cập được định tuyến khác với các mạng bên ngoài như thế nào.
II. Hướng dẫn cài đặt OpenVPN – NAS Synology
1. Mở Package Center và Cài đặt ứng dụng VPN Server.
2. Mở OpenVPN.
3. Mở OpenVPN Server. Thay đổi dải địa chỉ IP động và properties kết nối tối đa nếu bạn muốn. Vì chúng tôi muốn truy cập NAS Synology bên ngoài mạng của mình, chúng tôi cần bật cho phép máy khách truy cập mạng LAN của máy chủ. Phần còn lại có thể giữ nguyên như mặc định. Apply.
4. Phân quyền và đảm bảo rằng tài khoản người dùng mà bạn muốn kết nối với VPN có quyền cho OpenVPN.
III. Cấu hình Firewall OpenVPN
VPN Server đã được định cấu hình, nhưng cần đảm bảo rằng tường lửa cho phép truy cập vào UDP port 1194.
5. Nếu bạn đang sử dụng tường lửa của Synology, hãy mở Control Panel, Security, sau đó Firewall và Edit Rules.
6. Tạo cho phép cho ứng dụng Máy chủ VPN (OpenVPN), UDP port 1194.
7. Hoàn thành.
IV. Port Forwarding
Cấu hình Synology firewall để cho phép các kết nối trên UDP port 1194. Bây giờ cần UDP port 1194 trên router sang NAS Synology. Synology có chức năng UPnP, cung cấp cho NAS của bạn khả năng tự động mở các port trên router của bạn. Nếu bạn có router tương thích với UPnP, bạn rất dễ dàng thiết lập điều này. Tuy nhiên, có rất nhiều tranh luận về tính bảo mật của UPnP, vì vậy tôi sẽ không đề cập đến vấn đề này trong hướng dẫn này.
Giờ đây, chuyển tiếp cổng sẽ hoàn toàn khác trên trang cài đặt router của mọi model. Đây là một hướng dẫn tuyệt vời chỉ ra cách chuyển tiếp trên một số model router khác nhau. Ví dụ: Chuyển tiếp Netgear port.
Quá trình này yêu cầu bạn phải thiết lập địa chỉ IP tĩnh.
8. Tạo chuyển tiếp cổng cho cổng UDP 1194 tới địa chỉ IP của NAS. Trong ví dụ dưới đây, 192.168.1.220 là địa chỉ IP của NAS.
V. Thay đổi file cấu hình NAS OpenVPN
Chúng tôi cần sửa đổi tệp cấu hình của mình. Trước khi chúng ta đi vào các bước, bạn cần đảm bảo rằng bạn đã cấu hình DDNS. Hầu hết mọi người đều có địa chỉ IP động bên ngoài, vì vậy việc tạo tên máy chủ DDNS là bắt buộc vì bạn cần đảm bảo rằng bạn luôn truy cập địa chỉ IP bên ngoài của mình. Nếu bạn muốn định cấu hình DDNS bằng tên máy chủ synology.me miễn phí, bạn có thể làm theo hướng dẫn của Synology tại đây. Nếu bạn hoàn toàn khẳng định rằng bạn có địa chỉ IP bên ngoài tĩnh không bao giờ thay đổi, bạn không phải thiết lập DDNS. Chỉ cần sử dụng địa chỉ IP bên ngoài của bạn làm YOUR_SERVER_IP.
Cũng cần lưu ý rằng nhà cung cấp DDNS không liên quan, bạn chỉ cần đảm bảo rằng bạn đã định cấu hình tên máy chủ DDNS.
9. Mở VPN Serve và chọn OpenVPN. Chọn Xuất cấu hình (Export configuration).
10. Giải nén nội dung của thư mục. Sẽ chỉ chỉnh sửa tệp OpenVPN.ovpn, vì vậy hãy mở tệp đó bằng text editor.
11. Theo mặc định, bạn sẽ nhận được tệp cấu hình OpenVPN mặc định với chứng chỉ duy nhất ở dưới cùng. Không được chia sẻ tài liệu này với bất kỳ ai khác ngoài những người dùng mà bạn muốn xác thực bằng VPN của mình. Chúng ta cần thay đổi các mục bên dưới được tô màu Đỏ.
- YOUR_SERVER_IP: DDNS hostname
- redirect-gateway def1: Đây là yếu tố quyết định xem bạn đang định cấu hình VPN chia đường hầm hay toàn đường dẫn. Nếu bạn không chắc mình thích loại nào, hãy tham khảo hình ảnh ở trên để xem sự khác biệt. Tôi tạo hai tệp cấu hình riêng biệt (một cho split-tunnel và một full-tunnel) và tùy thuộc vào tình huống, sử dụng cái này hoặc cái kia. Để bật full-tunnel, hãy xóa dấu “#” (đây là symbol). Chỉ cần xóa biểu tượng nhận xét sẽ kích hoạt VPN full-tunnel. LƯU Ý: Nếu bạn đang sử dụng iPhone và có iOS 7 trở lên, bạn sẽ cần thêm ipv6 cổng chuyển hướng trong redirect-gateway def1.
- dhcp-option: Nếu có local DNS server bạn muốn sử dụng, bạn có thể thêm địa chỉ IP của máy chủ DNS của mình vào đó. Nếu bạn không có local DNS server, hãy xem dòng này. LƯU Ý: Nếu bạn chưa cấu hình local DNS server, OpenVPN sẽ mặc định sử dụng các bản ghi DNS công khai của Google. Điều này có nghĩa là bạn sẽ không thể truy cập bất kỳ local network của mình bằng tên máy chủ, chỉ địa chỉ IP. Nếu bạn muốn định cấu hình local DNS server, bạn có thể xem hướng dẫn của LƯU Ý: Đây là một ví dụ rất cơ bản về cách DNS có thể được sử dụng.
- client-cert-not-started: Tùy chọn này không được thêm theo mặc định nhưng sẽ được thêm vào nếu bạn sẽ sử dụng các ứng dụng OpenVPN clients mới (hầu hết mọi người sẽ như vậy). Nếu bạn không thêm tùy chọn này, bạn sẽ nhận được thông báo lỗi khi kết nối. Trong khi bạn có thể tiếp tục thông báo lỗi, điều này sẽ ngăn lỗi xảy ra.
dev tun
tls-client
remote YOUR_SERVER_IP 1194
# The “float” tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the –remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)
#float
# If redirect-gateway is enabled, the client will redirect it’s
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
#redirect-gateway def1
#redirect-gateway ipv6 #REQUIRED for iOS 7 and above.
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
#dhcp-option DNS DNS_IP_ADDRESS
pull
# If you want to connect by Server’s IPv6 address, you should use
# “proto udp6” in UDP mode or “proto tcp6-client” in TCP mode
proto udp
script-security 2
comp-lzo
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-user-pass
client-cert-not-required
—–BEGIN CERTIFICATE—–
[YOUR CERTIFICATE WILL BE HERE. LEAVE THIS ALL AS DEFAULT] —–END CERTIFICATE—–
12. Lưu tệp cấu hình và thêm tệp đó vào bất kỳ thiết bị nào mà bạn muốn kiểm tra kết nối VPN. Tôi thường kiểm tra kết nối với điện thoại di động của mình, vì bạn không thể ở trên cùng một mạng với máy chủ VPN của mình. Bạn phải kiểm tra điều này từ một mạng bên ngoài (điện thoại di động / điểm phát sóng).
VI. Kiểm tra và cấu hình OpenVPN Client
Đã cấu hình mọi thứ, chúng tôi cần kiểm tra kết nối của mình. Tải xuống ứng dụng OpenVPN trên điện thoại di động của bạn hoặc trên PC mà bạn có thể kết nối với một mạng khác. Hãy nhớ rằng, bạn phải kết nối với một mạng khác để kiểm tra điều này.
13. Tải xuống phần mềm máy khách OpenVPN cho thiết bị của bạn tại đây. (for your device here).
14. Chọn nút thêm ở dưới cùng rồi chọn file. Bạn sẽ được nhắc duyệt tìm file .ovpn mà đã tạo trước đó. Tải file và sau đó đăng nhập bằng tên người dùng và mật khẩu DSM của bạn.
15. Kết nối với VPN.
16. Hai ví dụ dưới đây. Đầu tiên, tôi được kết nối với VPN Server của mình bằng kết nối split tunnel.
VII. Cấu hình Route OpenVPN.
Bước này không bắt buộc trừ khi bạn cần truy cập các thiết bị VPN từ mạng gia đình của mình.
Mạng gia đình và mạng VPN của bạn sẽ nằm trên các mạng con khác nhau, có nghĩa là các thiết bị cục bộ của bạn sẽ chỉ có thể nói chuyện với các máy trên mạng (mạng VPN sẽ thấy cả hai). Để local network của bạn kết nối với mạng VPN (trong trường hợp của tôi là 192.168.1.X và 10.5.0.X), một tuyến tĩnh sẽ cần được định cấu hình trong bộ định tuyến của bạn. dưới đây là ảnh chụp màn hình của static route mà tôi đã cấu hình. Địa chỉ IP Gateway sẽ là địa chỉ IP của NAS Synology của bạn. Mạng con 10.5.0.0/24 là nơi bạn sẽ cần nhập dải IP bạn đang sử dụng (như được xác định trong cài đặt OpenVPN).
VIII. Kết luận:
Cấu hình VPN Server của Synology cho phép bạn kết nối an toàn với mạng gia đình để truy cập NAS và local network của bạn. Nó cũng hoàn toàn bỏ qua nhu cầu QuickConnect hoặc để NAS của bạn tiếp xúc với internet (đây là một rủi ro bảo mật). Như một lợi ích bổ sung, kết nối VPN full tunnel cũng sẽ bảo mật kết nối của bạn khi sử dụng các thiết bị Wi-Fi công cộng!
Hiện nay, Mstar Corp là Service Provider duy nhất của Synology tại Việt Nam. Có đội ngũ IT trình độ chuyên môn cao về NAS Synology cũng như các sản phẩm của Synology. Đã có kinh nghiệm triển khai nhiều dự án từ doanh nghiệp nhỏ cho đến lớn, hay cả đơn vị chính phủ. Liên hệ ngay với đội ngũ Mstar Corp để được hỗ trợ tư vấn về các sản phẩm.