商业源码 群晖NAS安装VPN Server 套件三种服务协议设定
我们在群晖nas里安装*** Server 套件可以把我们的群晖nas变成一个***服务器,我们可以安全的在远端存取Synology NAS 局域网内分享的资源,群晖的*** server整合了常用的通讯协定: PPTP、Open*** 、 L2TP/IPSec,当我们启用了nas的***服务,会影响系统的网络性能。
我们先来了解一下三种协议:
PPTP
PPTP (Point-to-Point Tunneling Protocol,点对点信道协议) 是常用的 *** 解决方案,且大多数的客户端 (包含 Windows、Mac、Linux 及行动装置) 皆支持。
若要启动 PPTP *** 服务器:
1、开启 *** Server 并前往左侧面板的 PPTP。
2、勾选启动 PPTP *** 服务器。
3、在动态 IP 地址字段输入 *** 服务器的虚拟 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。
4、设定最大联机数量来限制 *** 联机的共同联机数量。
5、设定同一账号最多联机数量来限制使用同一个账号所进行 *** 联机的共同联机数量。
6、从认证下拉式选单中选择下列任一项目来认证 *** 客户端:
PAP:认证过程中,将不加密 *** 客户端的密码。
MS-CHAP v2:认证过程中,将使用 Microsoft CHAP version 2 加密 *** 客户端的密码。
7、若您选择 MS-CHAP v2 验证,请从加密下拉式选单中选择下列任一项目来加密 *** 联机:
No MPPE:*** 联机不会受到加密机制保护。
Optional MPPE:客户端设定将决定 *** 联机会 / 不会受到 40-bit 或 128-bit 加密机制保护。
Require MPPE:客户端设定将决定 *** 联机会受到 40-bit 或 128-bit 加密机制保护。
8、设定 MTU (最大传输单元) 来限制 *** 网络传输的数据封包大小。
9、勾选手动设定 DNS 并指派 DNS 服务器的 IP 地址来发送给 PPTP 客户端。若停用此选项,则会将 Synology NAS 目前所使用的 DNS 服务器发送给客户端。
10、单击套用来让变更生效。
注意:
联机至 *** 时,*** 客户端的验证及加密设定必须与 *** Server 上的相同,否则客户端将无法成功联机。
为兼容于运行在 Windows、Mac OS、iOS 与 Android 系统的大部分 PPTP 客户端,预设的 MTU 值为 1400。若您的网络环境较为复杂,可能需要设定一个较小的 MTU 值。若您经常收到逾时讯息或联机不稳定,请降低 MTU 值。
请检查 Synology NAS 与路由器上的端口转送规则与防火墙设定,确认 TCP 1723 端口已开启。
部分路由器内建 PPTP *** 服务,因此可能已占用 1723 端口。您需先透过路由器的管理接口关闭其内建的 PPTP *** 服务,才能确保 *** Server 上的 PPTP *** 服务可以正常运作。此外,部分旧式路由器可能会封锁 GRE 协议 (IP 协议 47),造成 *** 联机失败;建议使用支持 *** pass-through 联机的路由器。
Open***
Open*** 是开放原始码的 *** 服务解决方案,会以 SSL / TLS 加密机制保护 *** 联机。
若要启动 Open*** *** 服务器:
1、开启 *** Server,前往左侧面板的 Open***。
2、勾选启动 Open*** 服务器。
3、在动态 IP 地址字段输入 *** 服务器的虚拟内部 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。
4、设定最大联机数量来限制 *** 联机的共同联机数量。
5、设定同一账号最多联机数量来限制使用同一个账号进行 *** 联机的共同联机数量。
6、为 Open*** 数据传输设定端口与通讯协议。您可以决定要将何种协议的数据封包透过 *** 转送至 Synology NAS 的哪个端口。默认值为 UDP 端口 1194
注意: 为确保 Synology NAS 上的服务可以正常运作,请避免将同样的一组端口与通讯协议指派给其他 Synology 服务。请参阅此篇应用教学以了解更多信息。
7、在加密下拉式选单中择一,以加密 *** 信道中的数据封包。
8、在验证下拉式选单中择一,以验证 *** 客户端。
9、若要在传输数据时压缩数据,请勾选启动 *** 压缩联机。此选项可提升传输速度,但可能会消耗较多系统资源。
10、勾选允许客户端存取服务器的局域网络来让客户端存取服务器的局域网络。
11、勾选启动 IPv6 服务器模式来启动 Open*** 服务器,以传送 IPv6 地址。您必须先在控制面板 > 网络 > 网络接口中,透过 6in4/6to4/DHCP-PD 取得 Prefix,并在此页面中选择该 Prefix。
12、单击套用来让变更生效。
注意:
*** Server 不支持站台对站台的桥接模式。
请检查 Synology NAS 与路由器上的端口转送规则与防火墙设定,确认 UDP 1194 端口已开启。
在 Windows Vista 或 Windows 7 上执行 Open*** GUI 时,请注意,UAC (用户帐户控制) 预设为开启。此设定开启时,需使用以系统管理员身份执行选项来透过 Open*** GUI 进行联机。
在 Windows 上透过 Open*** GUI 启动 IPv6 服务器模式时,请注意以下事项:
*** 所使用的接口名称不可包含空格,例如:LAN 1 须变更为 LAN1。
重新导向网关 (redirect-gateway) 选项须由客户端于 open***o*** 档案中设定。若您不想设定此选项,应手动设定 *** 接口的 DNS。您可以使用 Google IPv6 DNS:2001:4860:4860::8888。
若要汇出配置文件:
单击汇出配置文件。Open*** 让 *** 服务器可颁发证书供客户端使用。所汇出的档案为 zip 压缩文件,其中包含 cacrt (*** 服务器的凭证档案)、open***o*** (客户端使用的配置文件案),以及 READMEtxt (客户端如何设定 Open*** 联机的简易说明)。
注意:
每次启动 *** Server 时,便会自动复制、使用显示于控制面板 > 安全性 > 凭证之凭证。若您需使用第三方凭证,请到控制台 > 安全性 > 凭证 > 新增来汇入凭证,并重新启动 *** Server。
每次修改凭证文件 (显示于控制面板 > 安全性 > 凭证) 后,*** Server 将会自动重新启动。
L2TP/IPSec
L2TP (Layer 2 Tunneling Protocol) over IPSec 提供更安全的虚拟私有网络,且大多数的客户端 (如 Windows、Mac、Linux 及行动装置) 皆支持。
若要启动 L2TP/IPSec *** 服务器:
1、开启 *** Server 并前往左侧面板的 L2TP/IPSec。
2、勾选启动 L2TP/IPSec *** 服务器。
3、在动态 IP 地址字段输入 *** 服务器的虚拟 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。
4、设定最大联机数量来限制 *** 联机的共同联机数量。
5、设定同一账号最多联机数量来限制使用同一个账号进行 *** 联机的共同联机数量。
6、从认证下拉式选单中选择下列任一项目来认证 *** 客户端:
PAP:认证过程中,将不加密 *** 客户端的密码。
MS-CHAP v2:认证过程中,将使用 Microsoft CHAP version 2 加密 *** 客户端的密码。
7、设定 MTU (最大传输单元) 来限制 *** 网络传输的数据封包大小。
8、勾选手动设定 DNS 并指派 DNS 服务器的 IP 地址来发送给 L2TP/IPSec 客户端。若停用此选项,则会将 Synology NAS 目前所使用的 DNS 服务器发送给客户端。
9、若要发挥 *** 最大效能,选取执行核心 (kernel) 模式。
10、输入并确认预先共享密钥。您应将此密钥提供给 L2TP/IPSec *** 使用者以验证联机。
11、勾选启动 SHA2-256 兼容模式 (96 bit),以让特定客户端 (非 RFC 标准) 可以使用 L2TP/IPSec 联机。
12、单击套用来让变更生效。
注意:
联机至 *** 时,*** 客户端的验证及加密设定必须与 *** Server 上的设定相同,否则客户端将无法成功进行联机。
为兼容于运行在 Windows、Mac OS、iOS 与 Android 系统的大部分 L2TP/IPSec 客户端,预设的 MTU 值为 1400。若您的网络环境较为复杂,可能需要设定一个较小的 MTU 值。若您经常收到逾时讯息或联机不稳定,请降低 MTU 值。
请检查 Synology NAS 与路由器上的端口转送规则与防火墙设定,以确认 UDP 1701、500、4500 端口已开启。
部分路由器内建 L2TP 或 IPSec *** 服务,因此可能已占用 1701、500 或 4500 端口。您需先透过路由器的管理接口关闭其内建的 L2TP 或 IPsec *** 服务,才能确保 *** Server 上的 L2TP/IPsec *** 服务可以正常运作。建议使用支持 *** pass-through 联机的路由器。
关于动态 IP 地址
*** Server 会依据您在动态 IP 地址中输入的数字,从虚拟 IP 地址范围中选择一个 IP 地址来分配给 *** 客户端使用。例如:若 *** 服务器的动态 IP 地址设定为「10000」,则 PPTP *** 客户端的虚拟 IP 地址范围为「10001」至「1000[最大联机数量]」;Open*** 客户端的虚拟 IP 地址范围则为「10002」至「1000255」。
重要事项: 指定 *** 服务器的动态 IP 地址之前,请注意:
1、*** 服务器可使用的动态 IP 地址必须为下列其一:
从「10000」至「102552550」
从「1721600」至「172312550」
从「19216800」至「1921682550」
2、您指定的 *** 服务器动态 IP 地址以及指派给 *** 客户端的虚拟 IP 地址,皆不能与局域网络中任一已使用的 IP 地址冲突。
关于客户端进行 *** 联机时使用的网关设定
使用 *** 联机至 Synology NAS 的局域网络之,客户端可能需要为 *** 联机变更网关设定;否则,在 *** 联机建立之后,它们可能会无法联机至因特网。
导语:当我们设计好路由器一些基本设置后,那如何设置l2tp呢?下面是我以前的经验整理的一些关于路由器上网怎么设置L2TP的相关资料,供你参考。
第一步:添加L2TP 地址池;登录路由器管理界面,在 对象管理 >> IP地址池 中添加L2TP地址池,
第二步:设置IKE安全条目、添加IKE安全提议,在 >> IKE>> IKE安全提议 中添加对应的安全提议,四条IKE策略均添加成功后,可以看到 IKE安全提议列表如下图;
第三步:添加IKE安全策略,在 >> IKE >> IKE安全策略 中添加对应的安全策略,需严格按照下图选择应用模式、ID类型、安全提议、DPD检测等设置,预共享密钥等参数可自行设置,设置完成后点击 新增。
第四步:设置IPSec安全条目、添加IPSec安全提议,在 >> IPSec >> IPSec安全提议 中添加对应的安全提议,所有提议均添加成功后,如下图:
第五步;添加IPSec安全策略,在 >> IPSec >> IPSec安全策略 中添加对应的安全策略,严格按照下图设置,注意:此处对端网关为0000,必须关闭PFS(NONE),如下图:
第六步;开启IPSec功能,在 >> IPSec 中启用IPSec功能,如下图:
第七步、设置L2TP 规则,在 >> L2TP 中添加L2TP账号,最大会话数:该账号允许最大接入的`用户数目。如下设置:
第八步、添加NAPT规则,在 传输控制 >> NAT设置 >> NAPT 中,添加L2TP地址池的NAPT规则,确保客户端拨号之后可以上网。
第九步:客户端连接L2TP,不同L2TP 客户端的配置方式有所差异,请您选择您的客户端操作系统,客户端拨号成功后,可以在L2TP服务器隧道信息显示客户端信息。
注意:设置加密的L2TP隧道,需要配置所有提议方可保证各类终端正常连接
在server2003上把设置做好之后,在路由器上做端口映射就可以了,
但是系-统自带的***,功能很有限,而且设置起来很麻烦,要不然其他品牌的***就没有生存空间了。
向你推荐一款***。叫PacketiX (派克斯) ***。这是一款纯软件的产品,不需要你更换现有的网络设备。直接在总部的一台电脑上安装,简单设置,***server端就搭建完成。然后客户端再从外网拨入。一个完整的***网络就搭建完成了。。相对于硬件的***,管理简单,不需要更换设备,不需要重新设计拓扑图。成本低得多。维护也简
您好,很高兴能帮助您,
1、打开“控制面板”,运行“网络和共享中心”。
2、选择“设置新的连接或网络”,在弹出的“设置连接或网络”窗口中,选中“连接到工作区”;单击“下一步”按钮。
3、在“连接到工作区”窗口中,选择“否,创建新连接”,单击“下一步”按钮。
4、选择“使用我的Internet连接(***)”。
5、在“键入要连接的Internet地址”窗口中,Internet地址是***拨号的服务器地址,一定要填写正确。目标名称可随意填写,用于识别。选中“现在不连接;仅进行设置以便稍后连接”(连接***还需要进一步设置L2PT) 。单击“下一步”按钮。
6、在“键入您的用户名和密码”窗口中,输入用户名和密码后,单击“创建”按钮。
7、现在不用立即连接,还有些后续注意的参数需要修改,先选择“关闭”按钮。
8、重新回到“控制面板”,运行“网络和共享中心”。选择“连接到网络”。
9、在弹出的窗口中,单击选中“*** 连接2”(即刚才设置的“目标名称”),右击选择属性。
10、选中“网络”选项卡,除“Internet 协议版本 4 (TCP/IPv4)”外,将其他选项的勾去掉。
11、选中“安全”选项卡,***类型选择“使用 IPsec 的第2层隧道协议(L2TP/IPSec)”,单击“高级设置”按钮。
12、在“高级属性”窗口中,选择“使用预共享的密钥身份验证”,输入密钥后,单击“确定”按钮,退出设置。
13、L2TP拨号配置都已经全部配置完毕,现在可以连接***连接。
14、重新回到“控制面板”,运行“网络和共享中心”。选择“连接到网络”。在弹出的窗口中,单击选中“*** 连接2”,单击“连接”按钮。
15、在“连接 *** 连接2”窗口中,输入登录的用户名和密码后,单击“连接”按钮,即可通过L2TP ***方式远程连接服务器了。
你的采纳是我前进的动力,还有不懂的地方,请你继续“追问”!
如你还有别的问题,可另外向我求助;答题不易,互相理解,互相帮助!
设置还是比较复杂的,一步一步说明(windows7为例):
第一步:打开“控制面板”,找到“网络和共享中心”。
第二步:选择“设置新的连接或网络”,在弹出的“设置连接或网络”窗口中,选中“连接到工作区”;单击“下一步”按钮。
第三步,在“连接到工作区”窗口中,选择“否,创建新连接”,单击“下一步”按钮。
第四步:选择“使用我的Internet连接(***)”。
第五步:在“键入要连接的Internet地址”窗口中,Internet地址是***拨号的服务器地址,一定要填写正确。目标名称可随意填写,用于识别。选中“现在不连接;仅进行设置以便稍后连接”(连接***还需要进一步设置L2PT) 。单击“下一步”按钮。
第六步:在“键入您的用户名和密码”窗口中,输入用户名和密码后,单击“创建”按钮。
第七步:现在不用立即连接,还有些后续注意的参数需要修改,先选择“关闭”按钮。
第八步:重新回到“控制面板”,运行“网络和共享中心”。选择“连接到网络”。
第九步:在弹出的窗口中,单击选中“*** 连接2”(即刚才设置的“目标名称”),右击选择属性。
第十步:选中“网络”选项卡,除“Internet 协议版本 4 (TCP/IPv4)”外,将其他选项的勾去掉。
第十一步:选中“安全”选项卡,***类型选择“使用 IPsec 的第2层隧道协议(L2TP/IPSec)”,单击“高级设置”按钮。
第十二步:在“高级属性”窗口中,选择“使用预共享的密钥身份验证”,输入密钥后,单击“确定”按钮,退出设置。
L2TP拨号配置都已经全部配置完毕,现在就可以连接***连接。重新回到“控制面板”,运行“网络和共享中心”。选择“连接到网络”。在弹出的窗口中,单击选中“***连接2”,单击“连接”按钮。在“连接 *** 连接2”窗口中,输入登录的用户名和密码后,单击“连接”按钮,即可通过L2TP ***方式远程连接了。
L2TP+IPSec虚拟专用网
特点:跨平台,数据加密传输,安全
1,部署IPSec服务
1)安装软件包
[root@client ~]# yum -y install libreswan
2)新建IPSec密钥验证配置文件
[root@client ~]# cat /etc/ipsecconf //仅查看一下该主配置文件
include /etc/ipsecd/ conf //加载该目录下的所有配置文件
[root@client ~]# vim /etc/ipsecd/myipsecconf
//新建该文件,参考lnmp_soft//myipsecconf
conn IDC-PSK-NAT
rightsubnet=vhost:%priv //允许建立的×××虚拟网络
also=IDC-PSK-noNAT
conn IDC-PSK-noNAT
authby=secret //加密认证
ike=3des-sha1;modp1024 //算法
phase2alg=aes256-sha1;modp2048 //算法
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=3h
type=transport
left=2011210 //重要,服务器本机的外网IP
leftprotoport=17/1701
right=%any //允许任何客户端连接
rightprotoport=17/%any
3)创建IPSec预定义共享密钥
[root@client ~]# cat /etc/ipsecsecrets //仅查看,不要修改该文件
include /etc/ipsecd/
secrets
[root@client ~]# vim /etc/ipsecd/mypasssecrets //新建该文件
2011210 %any: PSK "randpass" //randpass为预共享密钥
//2011210是×××服务器的IP
4)启动IPSec服务
[root@client ~]# systemctl start ipsec
[root@client ~]# netstat -ntulp |grep pluto
udp 0 0 127001:4500 0000: 3148/pluto
udp 0 0 192168410:4500 0000:
3148/pluto
udp 0 0 2011210:4500 0000: 3148/pluto
udp 0 0 127001:500 0000:
3148/pluto
udp 0 0 192168410:500 0000: 3148/pluto
udp 0 0 2011210:500 0000:
3148/pluto
udp6 0 0 ::1:500 ::: 3148/pluto
32 部署XL2TP服务
1)安装软件包(软件包参考lnmp_soft)
[root@client ~]# yum localinstall xl2tpd-138-2el7x86_64rpm
2) 修改xl2tp配置文件(修改3个配置文件的内容)
[root@client ~]# vim /etc/xl2tpd/xl2tpdconf //修改主配置文件
[global]
[lns default]
ip range = 1921683128-1921683254 //分配给客户端的IP池
local ip = 2011210 //×××服务器的IP地址
[root@client ~]# vim /etc/ppp/optionsxl2tpd //认证配置
require-mschap-v2 //添加一行,强制要求认证 物联网开发找 上海捌跃网络科技有限公司
#crtscts //注释或删除该行
#lock //注释或删除该行
root@client ~]# vim /etc/ppp/chap-secrets //修改密码文件
jacob 123456 //账户名称 服务器标记 密码 客户端IP
3)启动服务
[root@client ~]# systemctl start xl2tpd
[root@client ~]# netstat -ntulp |grep xl2tpd
udp 0 0 0000:1701 0000: 3580/xl2tpd
4)设置路由转发,防火墙
[root@client ~]# echo "1" > /proc/sys/net/ipv4/ip_forward
[root@client ~]# firewall-cmd --set-default-zone=trusted
5)×××设置(非必需操作)
[root@client ~]# iptables -t nat -A POSTROUTING -s 19216830/24 -j SNAT --to-source 2011210
33客户端设置
1)新建网络连接,输入×××服务器账户与密码。
设置×××连接的属性,预共享密钥是IPSec配置文件中填写的randpass,具体操作如图所示。(高版本不用这么麻烦)
2)设置Windows注册表(不修改注册表,连接×××默认会报789错误),具体操作如下:(win7以上不用操作)
单击"开始",单击"运行",键入"regedit",然后单击"确定"
找到下面的注册表子项,然后单击它:
HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Rasman\Parameters
在"编辑"菜单上,单击"新建"->"DWORD值"
在"名称"框中,键入"ProhibitIpSec"
在"数值数据"框中,键入"1",然后单击"确定"
退出注册表编辑器,然后重新启动计算机
连接×××并测试网络连通性。
转自:http://blog51ctocom/14050800/2314209
1
安装需要的软件
yum install make gcc gmp-devel bison flex lsof wget libpcap-devel ppp policycoreutils
2
安装Openswan
wget --no-check-certificate http://wwwopenswanorg/download/openswan-2635targztar -zxvf openswan-2635targzcd openswan-2635make programs install
3
配置IPSec
vi /etc/ipsecconf
找到protostack=auto,修改为
protostack=netkey
然后在最后加上:
conn L2TP-PSK-NATrightsubnet=vhost:%privalso=L2TP-PSK-noNAT
conn L2TP-PSK-noNATauthby=secretpfs=noauto=addkeyingtries=3rekey=noikelifetime=8hkeylife=1htype=transportleft=YOURSERVERIPADDRESSleftprotoport=17/1701right=%anyrightprotoport=17/%any
记得把YOURSERVERIPADDRESS改成你自己服务器的IP地址。
4
设置共享密钥PSK
vi /etc/ipsecsecrets
填入以下代码,把YOURSERVERIPADDRESS改成你自己服务器的IP地址。
YOURSERVERIPADDRESS %any: PSK "YourSharedSecret"
5
修改包转发设置,下面为两段代码,分别运行
for each in /proc/sys/net/ipv4/conf/doecho 0 > $each/accept_redirectsecho 0 > $each/send_redirectsdone
这是另外一段代码
echo 1 >/proc/sys/net/core/xfrm_larval_drop
修改内核设置
vi /etc/sysctlconf
找到"netipv4ip_forward",将其值改为1,然后重启使其生效。
sysctl -p
重启IPSec
/etc/initd/ipsec restart
安装xl2tpd和rp-l2tp
wget http://sourceforgenet/projects/rp-l2tp/files/rp-l2tp/04/rp-l2tp-04targztar -zxvf rp-l2tp-04targzcd rp-l2tp-04/configuremakecp handlers/l2tp-control /usr/local/sbin/mkdir /var/run/xl2tpd/ln -s /usr/local/sbin/l2tp-control /var/run/xl2tpd/l2tp-control
wget http://wwwxelerancecom/wp-content/uploads/software/xl2tpd/xl2tpd-130targztar -zxvf xl2tpd-130targzcd xl2tpd-130makemake install
建立xl2tpd配置文件
mkdir /etc/xl2tpdvi /etc/xl2tpd/xl2tpdconf
输入
[global]ipsec saref = yes
[lns default]ip range = 1082882-108288254local ip = 1082881refuse chap = yesrefuse pap = yesrequire authentication = yesppp debug = yespppoptfile = /etc/ppp/optionsxl2tpdlength bit = yes
配置ppp,建立optionsxl2tpd文件
vi /etc/ppp/optionsxl2tpd
输入
require-mschap-v2
ms-dns 8888
ms-dns 8844
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
设置拨号用户名和密码
vi /etc/ppp/chap-secrets
根据说明输入用户名、密码等,例如:
jackie jackie
添加iptables转发规则
iptables --table nat --append POSTROUTING --jump MASQUERADE
保存iptables转发规则
/etc/initd/iptables save
重启iptables
/etc/initd/iptables restart
以debug方式启动l2tp,查看有无错误
xl2tpd -D
如果看到"Listening on IP address 0000, port 1701"说明配置成功了,但是此时你不一定能连上***,配置好之后重启一下服务器。
设置开机启动
vi /etc/rclocal
在rclocal中加入
for each in /proc/sys/net/ipv4/conf/doecho 0 > $each/accept_redirectsecho 0 > $each/send_redirectsdone
echo 1 >/proc/sys/net/core/xfrm_larval_drop
/etc/initd/ipsec restart
/usr/local/sbin/xl2tpd
0条评论