设置 VPN Server

通过 VPN Server 套件,您可轻松将 Synology NAS 转变为 VPN 服务器,让用户可以安全地远程访问 Synology NAS 局域网中共享的资源。VPN Server 整合最常用的 VPN 协议 - PPTP、OpenVPN 和 L2TP/IPSec - 提供您可根据自己的需求建立和管理 VPN 服务的各种选项。

注:

PPTP

PPTP(点对点隧道协议)是常用的 VPN 解决方案,且大多数的客户端(包括 Windows、Mac、Linux 及移动设备)皆支持此协议。要了解更多有关 PPTP 的信息,请参阅此处

若要启用 PPTP VPN 服务器:

  1. 打开 VPN Server,然后进入左侧面板中的 PPTP
  2. 勾选启用 PPTP VPN 服务器
  3. 动态 IP 地址栏中指定 VPN 服务器的虚拟 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。
  4. 设置连接数上限以限制 VPN 同时连接数量。
  5. 设置与同一帐户的最大连接数以限制与同一帐户的 VPN 同时连接数量。
  6. 验证下拉菜单中选择以下其中一项以验证 VPN 客户端:
  7. 如果您在上面为验证选择了 MS-CHAP v2,请从加密下拉菜单中选择以下其中一项来加密 VPN 连接:
  8. 设置 MTU(最大传输单元)来限制通过 VPN 传送的数据包大小。
  9. 勾选手动设置 DNS 并指定 DNS 服务器的 IP 地址以将 DNS 推送到 PPTP 客户端。如果禁用此选项,则会将 Synology NAS 当前使用的 DNS 服务器推送到客户端。
  10. 单击应用来使更改生效。

注:

OpenVPN

OpenVPN 是实现 VPN 服务的开放源代码解决方案。它会以 SSL/TLS 加密机制保护 VPN 连接。要了解更多有关 OpenVPN 信息,请访问此处

若要启用 OpenVPN VPN 服务器:

  1. 打开 VPN Server,然后进入左侧面板中的 OpenVPN
  2. 勾选启用 OpenVPN 服务器
  3. 动态 IP 地址栏中指定 VPN 服务器的虚拟内部 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。
  4. 设置连接数上限以限制 VPN 同时连接数量。
  5. 设置与同一帐户的最大连接数以限制与同一帐户的 VPN 同时连接数量。
  6. 为 OpenVPN 数据传输设置端口协议。您可以决定用于在 VPN 上转发数据包的 Synology NAS 端口和协议。默认为 UDP 端口 1194
    注:若要确保 Synology NAS 上的服务正常运行,请避免分配与其他 Synology 服务相同的端口和协议集。要了解更多信息,请参阅本文
  7. 从下拉菜单中配置加密,以在 VPN 隧道中对数据包进行加密。
  8. 从下拉菜单中配置验证以验证 VPN 客户端。
  9. 如果您要在传输过程中压缩数据,请勾选启用 VPN 链接压缩。此选项可提升传输速度,但可能会消耗较多系统资源。
  10. 勾选允许客户端访问服务器的 LAN,可允许客户端访问服务器的 LAN。
  11. 勾选启用 IPv6 服务器模式,可启用 OpenVPN 服务器来发送 IPv6 地址。您需要先通过 6in4/6to4/DHCP-PD 在控制面板 > 网络 > 网络接口中获取前缀。然后在此页面选择前缀。
  12. 单击应用来使更改生效。

注:

若要导出配置文件:

请单击导出配置。OpenVPN 可让 VPN 服务器向客户端颁发验证证书。所导出的文件为 zip 格式文件,其中包含 ca.crt(VPN 服务器的证书文件)、openvpn.ovpn(供客户端使用的配置文件)以及 README.txt(有关如何为客户端设置 OpenVPN 连接的简易说明)。要了解更多信息,请参阅此处

注:

L2TP/IPSec

L2TP over IPSec(第二层隧道协议)提供更安全的虚拟专用网络,且大多数的客户端(如 Windows、Mac、Linux 及移动设备)皆支持此协议。要了解更多有关 L2TP 的信息,请参阅此处

注:

若要启用 L2TP/IPSec VPN 服务器:

  1. 打开 VPN Server,然后进入左侧面板中的 L2TP/IPSec
  2. 勾选启用 L2TP/IPSec VPN 服务器
  3. 动态 IP 地址栏中指定 VPN 服务器的虚拟 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。
  4. 设置连接数上限以限制 VPN 同时连接数量。
  5. 设置与同一帐户的最大连接数以限制与同一帐户的 VPN 同时连接数量。
  6. 验证下拉菜单中选择以下其中一项以验证 VPN 客户端:
  7. 设置 MTU(最大传输单元)来限制通过 VPN 传送的数据包大小。
  8. 勾选手动设置 DNS 并指定 DNS 服务器的 IP 地址以将 DNS 推送到 L2TP/IPSec 客户端。如果禁用此选项,则会将 Synology NAS 当前使用的 DNS 服务器推送到客户端。
  9. 要获得最大的 VPN 性能,请选择以核心模式运行
  10. 输入预共享密钥并进行确认。您应将此密钥授予 L2TP/IPSec VPN 用户来验证连接。
  11. 勾选启用 SHA2-256 兼容模式(96 位)允许特定客户端(非 RFC 标准)使用 L2TP/IPSec 连接。
  12. 单击应用来使更改生效。

注:

关于动态 IP 地址

在向 VPN 客户端分配 IP 地址时,VPN Server 会根据您在动态 IP 地址中输入的数字,从某个虚拟 IP 地址范围中进行选择。例如,如果 VPN 服务器的动态 IP 地址设置为“10.0.0.0”,则 VPN 客户端的虚拟 IP 地址范围对于 PPTP 为“10.0.0.1”至“10.0.0.[连接数量上限]”,对于 OpenVPN 则为“10.0.0.2”至“10.0.0.255”。

重要事项:指定 VPN 服务器的动态 IP 地址之前,请注意:

  1. VPN 服务器允许的动态 IP 地址必须为以下任何一个:
    • 从“10.0.0.0”到“10.255.255.0”
    • 从“172.16.0.0”到“172.31.255.0”
    • 从“192.168.0.0”到“192.168.255.0”
  2. VPN 服务器的指定动态 IP 地址以及分配给 VPN 客户端的虚拟 IP 地址不能与局域网中当前使用的任何 IP 地址产生冲突。

关于客户端进行 VPN 连接时使用的网关设置

通过 VPN 连接至 Synology NAS 的局域网之前,客户端可能需要为 VPN 连接更改网关设置。否则在建立 VPN 连接时,客户端可能会无法连接至 Internet。要了解详细信息,请参阅此处