群晖NAS安装VPN Server 套件三种服务协议设定

群晖NAS安装VPN Server 套件三种服务协议设定,第1张

我们在群晖nas里安装*** Server 套件可以把我们的群晖nas变成一个***服务器,我们可以安全的在远端存取Synology NAS 局域网内分享的资源,群晖的*** server整合了常用的通讯协定:  PPTP、Open*** 、 L2TP/IPSec,当我们启用了nas的***服务,会影响系统的网络性能。

我们先来了解一下三种协议:

PPTP

PPTP (Point-to-Point Tunneling Protocol,点对点信道协议) 是常用的 *** 解决方案,且大多数的客户端 (包含 Windows、Mac、Linux 及行动装置) 皆支持。

若要启动 PPTP *** 服务器:

1、开启 *** Server 并前往左侧面板的 PPTP。

2、勾选启动 PPTP *** 服务器。

3、在动态 IP 地址字段输入 *** 服务器的虚拟 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。

4、设定最大联机数量来限制 *** 联机的共同联机数量。

5、设定同一账号最多联机数量来限制使用同一个账号所进行 *** 联机的共同联机数量。

6、从认证下拉式选单中选择下列任一项目来认证 *** 客户端:

PAP:认证过程中,将不加密 *** 客户端的密码。

MS-CHAP v2:认证过程中,将使用 Microsoft CHAP version 2 加密 *** 客户端的密码。

7、若您选择 MS-CHAP v2 验证,请从加密下拉式选单中选择下列任一项目来加密 *** 联机:

No MPPE:*** 联机不会受到加密机制保护。

Optional MPPE:客户端设定将决定 *** 联机会 / 不会受到 40-bit 或 128-bit 加密机制保护。

Require MPPE:客户端设定将决定 *** 联机会受到 40-bit 或 128-bit 加密机制保护。

8、设定 MTU (最大传输单元) 来限制 *** 网络传输的数据封包大小。

9、勾选手动设定 DNS 并指派 DNS 服务器的 IP 地址来发送给 PPTP 客户端。若停用此选项,则会将 Synology NAS 目前所使用的 DNS 服务器发送给客户端。

10、单击套用来让变更生效。

注意:

联机至 *** 时,*** 客户端的验证及加密设定必须与 *** Server 上的相同,否则客户端将无法成功联机。

为兼容于运行在 Windows、Mac OS、iOS 与 Android 系统的大部分 PPTP 客户端,预设的 MTU 值为 1400。若您的网络环境较为复杂,可能需要设定一个较小的 MTU 值。若您经常收到逾时讯息或联机不稳定,请降低 MTU 值。

请检查 Synology NAS 与路由器上的端口转送规则与防火墙设定,确认 TCP 1723 端口已开启。

部分路由器内建 PPTP *** 服务,因此可能已占用 1723 端口。您需先透过路由器的管理接口关闭其内建的 PPTP *** 服务,才能确保 *** Server 上的 PPTP *** 服务可以正常运作。此外,部分旧式路由器可能会封锁 GRE 协议 (IP 协议 47),造成 *** 联机失败;建议使用支持 *** pass-through 联机的路由器。

Open***

Open*** 是开放原始码的 *** 服务解决方案,会以 SSL / TLS 加密机制保护 *** 联机。

若要启动 Open*** *** 服务器:

1、开启 *** Server,前往左侧面板的 Open***。

2、勾选启动 Open*** 服务器。

3、在动态 IP 地址字段输入 *** 服务器的虚拟内部 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。

4、设定最大联机数量来限制 *** 联机的共同联机数量。

5、设定同一账号最多联机数量来限制使用同一个账号进行 *** 联机的共同联机数量。

6、为 Open*** 数据传输设定端口与通讯协议。您可以决定要将何种协议的数据封包透过 *** 转送至 Synology NAS 的哪个端口。默认值为 UDP 端口 1194

注意: 为确保 Synology NAS 上的服务可以正常运作,请避免将同样的一组端口与通讯协议指派给其他 Synology 服务。请参阅此篇应用教学以了解更多信息。

7、在加密下拉式选单中择一,以加密 *** 信道中的数据封包。

8、在验证下拉式选单中择一,以验证 *** 客户端。

9、若要在传输数据时压缩数据,请勾选启动 *** 压缩联机。此选项可提升传输速度,但可能会消耗较多系统资源。

10、勾选允许客户端存取服务器的局域网络来让客户端存取服务器的局域网络。

11、勾选启动 IPv6 服务器模式来启动 Open*** 服务器,以传送 IPv6 地址。您必须先在控制面板 > 网络 > 网络接口中,透过 6in4/6to4/DHCP-PD 取得 Prefix,并在此页面中选择该 Prefix。

12、单击套用来让变更生效。

注意:

*** Server 不支持站台对站台的桥接模式。

请检查 Synology NAS 与路由器上的端口转送规则与防火墙设定,确认 UDP 1194 端口已开启。

在 Windows Vista 或 Windows 7 上执行 Open*** GUI 时,请注意,UAC (用户帐户控制) 预设为开启。此设定开启时,需使用以系统管理员身份执行选项来透过 Open*** GUI 进行联机。

在 Windows 上透过 Open*** GUI 启动 IPv6 服务器模式时,请注意以下事项:

*** 所使用的接口名称不可包含空格,例如:LAN 1 须变更为 LAN1。

重新导向网关 (redirect-gateway) 选项须由客户端于 open***o*** 档案中设定。若您不想设定此选项,应手动设定 *** 接口的 DNS。您可以使用 Google IPv6 DNS:2001:4860:4860::8888。

若要汇出配置文件:

单击汇出配置文件。Open*** 让 *** 服务器可颁发证书供客户端使用。所汇出的档案为 zip 压缩文件,其中包含 cacrt (*** 服务器的凭证档案)、open***o*** (客户端使用的配置文件案),以及 READMEtxt (客户端如何设定 Open*** 联机的简易说明)。

注意:

每次启动 *** Server 时,便会自动复制、使用显示于控制面板 > 安全性 > 凭证之凭证。若您需使用第三方凭证,请到控制台 > 安全性 > 凭证 > 新增来汇入凭证,并重新启动 *** Server。

每次修改凭证文件 (显示于控制面板 > 安全性 > 凭证) 后,*** Server 将会自动重新启动。

L2TP/IPSec

L2TP (Layer 2 Tunneling Protocol) over IPSec 提供更安全的虚拟私有网络,且大多数的客户端 (如 Windows、Mac、Linux 及行动装置) 皆支持。

若要启动 L2TP/IPSec *** 服务器:

1、开启 *** Server 并前往左侧面板的 L2TP/IPSec。

2、勾选启动 L2TP/IPSec *** 服务器。

3、在动态 IP 地址字段输入 *** 服务器的虚拟 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。

4、设定最大联机数量来限制 *** 联机的共同联机数量。

5、设定同一账号最多联机数量来限制使用同一个账号进行 *** 联机的共同联机数量。

6、从认证下拉式选单中选择下列任一项目来认证 *** 客户端:

PAP:认证过程中,将不加密 *** 客户端的密码。

MS-CHAP v2:认证过程中,将使用 Microsoft CHAP version 2 加密 *** 客户端的密码。

7、设定 MTU (最大传输单元) 来限制 *** 网络传输的数据封包大小。

8、勾选手动设定 DNS 并指派 DNS 服务器的 IP 地址来发送给 L2TP/IPSec 客户端。若停用此选项,则会将 Synology NAS 目前所使用的 DNS 服务器发送给客户端。

9、若要发挥 *** 最大效能,选取执行核心 (kernel) 模式。

10、输入并确认预先共享密钥。您应将此密钥提供给 L2TP/IPSec *** 使用者以验证联机。

11、勾选启动 SHA2-256 兼容模式 (96 bit),以让特定客户端 (非 RFC 标准) 可以使用 L2TP/IPSec 联机。

12、单击套用来让变更生效。

注意:

联机至 *** 时,*** 客户端的验证及加密设定必须与 *** Server 上的设定相同,否则客户端将无法成功进行联机。

为兼容于运行在 Windows、Mac OS、iOS 与 Android 系统的大部分 L2TP/IPSec 客户端,预设的 MTU 值为 1400。若您的网络环境较为复杂,可能需要设定一个较小的 MTU 值。若您经常收到逾时讯息或联机不稳定,请降低 MTU 值。

请检查 Synology NAS 与路由器上的端口转送规则与防火墙设定,以确认 UDP 1701、500、4500 端口已开启。

部分路由器内建 L2TP 或 IPSec *** 服务,因此可能已占用 1701、500 或 4500 端口。您需先透过路由器的管理接口关闭其内建的 L2TP 或 IPsec *** 服务,才能确保 *** Server 上的 L2TP/IPsec *** 服务可以正常运作。建议使用支持 *** pass-through 联机的路由器。

关于动态 IP 地址

*** Server 会依据您在动态 IP 地址中输入的数字,从虚拟 IP 地址范围中选择一个 IP 地址来分配给 *** 客户端使用。例如:若 *** 服务器的动态 IP 地址设定为「10000」,则 PPTP *** 客户端的虚拟 IP 地址范围为「10001」至「1000[最大联机数量]」;Open*** 客户端的虚拟 IP 地址范围则为「10002」至「1000255」。

重要事项: 指定 *** 服务器的动态 IP 地址之前,请注意:

1、*** 服务器可使用的动态 IP 地址必须为下列其一:

从「10000」至「102552550」

从「1721600」至「172312550」

从「19216800」至「1921682550」

2、您指定的 *** 服务器动态 IP 地址以及指派给 *** 客户端的虚拟 IP 地址,皆不能与局域网络中任一已使用的 IP 地址冲突。

关于客户端进行 *** 联机时使用的网关设定

使用 *** 联机至 Synology NAS 的局域网络之,客户端可能需要为 *** 联机变更网关设定;否则,在 *** 联机建立之后,它们可能会无法联机至因特网。

pptp模式是***设置的一种

每个系统安装方法不一样

安卓

1、打开Android 系统“设置”菜单,选择“无线和网络”,点击“更多”。

2、点击“***” 选择“添加***网络

3、填写PPTP设置选项,“名称”可以随意填写一个,“类型”选择PPTP,“服务器地址”填写***线路地址,勾选“启用PPTP加密”,然后勾选“显示高级选项”,在弹出高级选项设置里,“DNS服务器”填写8888或留空。设置好后,点击保存完成创建

L2TP支持MP(Multilink Protocol),把多个物理通道捆绑为单一逻辑信道

pptp使用M$的拨号网络作为客户端,使用gre做tunnel封装,mppe进行加密。

l2tp也使用M$的拨号网络做为客户端,在lac进行一次证,在lns进行二次认证,tunnel是处于lac与lns之间。加密方式可以选择mppe和ipsec。

ipsec使用ESP/AH做为tunnel封装,一般需要专用的客户端。如cisco的*** client或其它厂商的client

PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似,但是仍存在以下几方面的不同:

1PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP(使用UDP),桢中继永久虚拟电路(PVCs),X25虚拟电路(VCs)或ATM VCs网络上使用。

2PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP,用户可以针对不同的服务质量创建不同的隧道。

3L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节。

4L2TP可以提供隧道验证,而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时,可以由IPSEC提供隧道验证,不需要在第2层协议上验证隧道。

  环境介绍:

  使用R1来模拟出internet的cisco路由器,外部接口为1721611

  使用R2来模拟内网的网络设备,在R2上启用环回接口2222,来模拟内部的应用。

  将PC的网卡与R1的外部接口做桥接,使用另一台笔记本电脑N1和我的PC的网卡直接相连。

  为简化配置,在R1和R2上直接运行ospf,R1上可以学习到2222的路由。

  R1上配置:

  R1(config)#vpdn enable 启用vpdn

  R1(config)#vpdn-group 1 进入vpdn-group 1,其实就是进入了vpdn的配置模式,创建了一个组

  R1(config-vpdn)#accept-dialin 允许路由器接受拨号请求

  R1(config-vpdn-acc-in)#protocol pptp 协议为PPTP

  R1(config-vpdn-acc-in)#virtual-template 1 指定使用virtual-template 1接口,使用该接口来接受PPTP的请求

  R1(config)#ip local pool cisco 101011 1010110 为PPTP的客户端创建地址池

  R1(config)#interface virtual-template 1 创建前面我们所提到的virtual-template 1

  R1(config-if)#encapsulation ppp 封装方式为ppp

  R1(config-if)#peer default ip address pool cisco 该接口使用cisco这个地址池

  R1(config-if)#ip unnumbered FastEthernet0/0 该接口的IP借用F0/0,也就是我们所说的外部接口

  R1(config-if)#no keepalive

  R1(config-if)#ppp encrypt mppe auto 加密方式MPPE

  R1(config-if)#ppp authentication pap chap mschap-v2 认证方式使用chap,pap,ms-chap-v2

  R1(config)#username chen pass chen 作为PPTP拨入的时候的用户名和密码

  在R2上配置路由:

  ip route 101010 2552552550 12111 因为pptp的客户端要访问2222,R2上必须要有回程的路由。

  至此,PPTP的服务端路由器的配置已经完成。

  下面是客户端,以WIN 7系统为例:

  在PC N1上进行以下配置:

  依次打开控制面板—网络和internet—网络和共享中心,选择:设置新的连接或网络;

  选择:连接到工作区;

  点击下一步,选择“否,创建新的连接”;

  点击下一步,选择“使用我的internet连接”;

  填写地址,与连接名称,并选择“现在不连接,仅进行设置以便稍后连接”;

  填写用户名和密码,我们在cisco路由器中设置的username和password均为chen,点击创建;

  创建后,关闭即可。

  重新依次打开:控制面板—网络和internet—网络连接;

  选择刚刚建立的“***连接”的属性,将***类型修改为PPTP;

  数据加密选择:可选加密,没有加密也可连接;

  将“质询握手身份验证协议(chap)”的钩去掉。

  进行以上配置后,就可以成功的进行PPTP的连接了。

  

  收藏分享

DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » 群晖NAS安装VPN Server 套件三种服务协议设定

0条评论

发表评论

提供最优质的资源集合

立即查看 了解详情