VPN (Virtual Private Network) là một mạng riêng ảo, thường được các công ty, doanh nghiệp triển khai đành cho các nhân viên thường làm ở nhiều nơi khác nhau, thường di chuyển (đi nước ngoài, du lịch…) nhưng vẫn truy cập dữ liệu công ty một các an toàn. Dữ liệu luôn được mã hóa khi truyền thông qua hạ tầng khác nhau thông thường là internet.Trên thiết bị NAS Synology cũng hỗ trợ người dùng gói phần mềm VPN Server cho phép các username trên thiết bị có thể tuy từ xa, sử dụng, chia sẻ các tài nguyên trên thiết bị. Gói VPN Server tích hợp các giao thức khác nhau giúp người quản trị có thể lựa chọn giao thức phù hợp với từng như cầu của người dùng:
– PPTP.
– OpenVPN.
– L2TP/IPSec.
Bước 1: Cài đặt gói VPN Server.
– Đăng nhập tài khoản có quyền admin. Vào Main menu -> Package Center -> All à VPNServer và chọn Install.
Bước 2: Cấu hình VPN Server.
Vào Main menu -> VPN Server.
Tại mục Settings ta có thể đồng thời cấu hình cho 3 giao thức hoặc 1 trong 3 giao thức này: PPTP, OpenVPN, L2TP/IPSec.
-
PPTP (Point-to-Point Tunneling Protocol)
o PPTP là giao thức thường được sử dụng và tương thích hầu hết các clients chạy Windows, Mac, Linux và các thiết bị động.
Để sử dụng được dịch vụ tick “Enable PPTP VPN Server”. Tiếp tục thiết lập các thông số:
o Dynamic IP address: Từ client, sau chi chứng thực username/password thành công server sẽ cấp cho các clients dãy địa chỉ này. VD: 10.0.0.1
o Maximum connection number: Số kết nối VPN tối đa.
o Maximum number of connections with same account: Số kết nối VPN tối đa cho cùng một tài khoản.
o Authentication: các phương thức chứng thực
v PAP: trong quá trình chứng thực password của VPN clients không được mã hóa.
v MS-CHAPv2: trong quá trình chứng thực password của VPN clients sẽ được mã hóa bằng Microsoft CHAP version 2.
o No MPPE: Kết nối VPN sẽ không được mã hóa bất cứ cơ chế nào.
o Require MPPE (40/128 bit): Kết nối VPN sẽ được bảo vệ bởi cơ chế 40 bit hoặc 128 bit, phụ thuộc vào thiết lập của clients.
o Maximum MPPE (128 bit): Kết nối VPN sẽ được bảo vệ bởi cơ chế cao nhất 128 bit.
v MTU: giới hạn gói tin kích thước của gói dữ liệu truyền thông qua VPN.
v Use manual DNS: nếu chọn và nhập địa chỉ DNS thì VPN sẽ gán DDNS này cho VPN clients, ngược lại nếu để trống VPN server sẽ lấy DNS của hệ điều hành.
v Chọn Apply
Một số lưu ý với PPTP:
Muốn kết nối thành công được với VPN Server, trên clients phải được cài đặt chứng thực và mã hóa giống như VPN Server.
Giao thức PPTP clients hỗ trợ chạy trên Windows, Mac OS, Mac iOS, và thiết bị Android, giá trị mặc định của MTU được thiết lập là 1400. Đối với các môi trường mạng hay các trường hợp phức tạp hơn cần thiết lập giá trị MTU nhỏ hơn. Nếu gặp tình trạng time out, bạn có thể giảm giá trị MTU xuống và kết nối lại.
Ngoài ra, để kết nối thành công để VPN server cần phải mở port 1723 (TCP).
-
OpenVPN
o OpenVPN là một giải pháp mã nguồn mở sử dụng giao thức bảo vệ kết nối VPN qua giao thức mã hóa SSL/TLS.
Để sử dụng được dịch vụ tick “Enable Open VPN Server”. Tiếp tục thiết lập các thông số:
o Dynamic IP address: đường mạng sẽ cấp khi clients đăng nhập vào.
o Maximum connection number: Số kết nối VPN tối đa.
o Enable compression on the VPN link: Khi enable tùy chọn này dữ liệu sẽ được nén trong quá trình truyền tuy nhiên sẽ tốn tài nguyên của hệ thống hơn.
o Allow clients to access server’s LAN: cho phép clients đến cổng LAN của server.
o Enable IPv6 server mode: mở OpenVPN để gửi địa chỉ Ipv6. Trước tiên, anh/chị phải thiết lập prefix bằng 6in4/6to4/DHCP-PD trong Control Panel à Network à Network Interface. Sau đó anh/chị có thể chọn prefix tại đây.
o Export configuration: OpenVPN cho phép VPN Server cấp giấy xác thực cho clients. Các file được xuất ra trong một tập tin zip bao gồm ca.crt (file chứng nhận cho máy chủ VPN), openvpn.ovpn (tập tin cấu hình cho clients), và Readme.txt (chỉ dẩn đơn giản về các thiết lập kết nối OpenVPN cho clients).
Một số lưu ý với OpenVPN:
VPN Server không hỗ trợ kêt nối site-to-site.
Khi sử dụng OpenVPN Gui trên Windows 7, Windows 8, Windows 10 anh/chị lưu ý UAC(User Account Control) phải được bật và cần phải chọn “Run as administrator” khi chạy OpenVPN Gui.
Ngoài ra, để kết nối thành công để VPN server cần phải mở port 1194 (UCP).
-
L2TP/IPSec:
L2TP (Layer 2 Tunneling Protocol) thông qua IPSec cung cấp cho các mạng riêng ảo để tăng tính bảo mật và được hỗ trợ trên hầu hết các clients như : windows, Mac, Linux, và các thiết bị di động.
Để sử dụng được dịch vụ tick “Enable Open VPN Server”. Tiếp tục thiết lập các thông số:
o Dynamic IP address: đường mạng sẽ cấp khi clients đăng nhập vào.
o Maximum connection number: Số kết nối VPN tối đa.
o Maximum number of connections with same account: Số kết nối VPN tối đa cho cùng một tài khoản.
o Authentication: các phương thức chứng thực
v PAP: trong quá trình chứng thực password của VPN clients không được mã hóa.
v MS-CHAPv2: trong quá trình chứng thực password của VPN clients sẽ được mã hóa bằng Microsoft CHAP version 2.
- No MPPE: Kết nối VPN sẽ không được mã hóa bất cứ cơ chế nào.
- Require MPPE (40/128 bit): Kết nối VPN sẽ được bảo vệ bởi cơ chế 40 bit hoặc 128 bit, phụ thuộc vào thiết lập của client.
- Maximum MPPE (128 bit): Kết nối VPN sẽ được bảo vệ bởi cơ chế cao nhất 128 bit.
o MTU: giới hạn gói tin kích thước của gói dữ liệu truyền qua VPN.
o Use manual DNS: nếu chọn và nhập địa chỉ DNS thì VPN sẽ gán DDNS này cho VPN clients, ngược lại nếu để trống VPN server sẽ lấy DNS của hệ điều hành.
o IKE authentication: điền và xác nhận khóa để chia sẻ (pre-shared key). Khóa này sẽ được trao cho người dùng dể chứng thực khi kết nối.
o Chọn Apply
Một số lưu ý với L2TP/IPSec:
Muốn kết nối thành công được với VPN Server, trên clients phải được cài đặt chứng thực và mã hóa giống như VPN Server.
Giao thức PPTP clients hỗ trợ chạy trên Windows, Mac OS, Mac iOS, và thiết bị Android, giá trị mặc định của MTU được thiết lập là 1400. Đối với các môi trường mạng hay các trường hợp phức tạp hơn cần thiết lập giá trị MTU nhỏ hơn. Nếu gặp tình trạng time out, bạn có thể giảm giá trị MTU xuống và kết nối lại.
Ngoài ra, để kết nối thành công để VPN server cần phải mở port 1701, 500, 4500 (UCP).
Bước 3: Một số thiêt lập quản lý trên VPN Server.
Mục Privilege: Phân quyền cho các các username được quyền sử dụng dịch vụ nào trong 3 dịch vụ đã cài đặt ở trên. Sau đó nhấn Save.
Mục General Settings: cho phép người quản trị chọn card mạng để sử dụng VPN (nếu co nhiều card) và cho phép sử dụng account local hoặc account khi đã join domain, ldap (nếu có). Ngoài ra người quản trị có thể bật tính năng auto bock để tăng tính bảo mật.
Mục Log: giúp người quản trị xem lại các sự kiện của tất cả clients.
Mục Connection List: Danh sách clients kết nối. Người quản trị có thể ngắt kết nối các clients này bằng việc chọn clients và nhấn Disconnected.
Bước 4: Kiểm tra kết nối từ clients.
– Sau khi đã thiết lập VPN thành công từ trên NAS.
Tiến hành thiết lập trên clients đúng cấu hình, phân quyền cho username đã thiết lập. Ví dụ sủ dụng PPTP trên Windows:
o Tạo kết nối VPN trong Control Panel -> Network and Sharing center -> Setup new connection or network -> Connect to a Place -> Tạo kết nối mới -> Nhập IP/DDNS à Finish.