Knowledge Center

Configurare il VPN Server

Il pacchetto VPN Server trasforma facilmente Synology NAS in un server VPN per consentire agli utenti DSM di accedere in modo remoto e sicuro alle risorse condivise in una rete locale del Synology NAS. Integrando protocolli VPN comuni - PPTP e OpenVPN, L2TP/IPSec - VPN Server fornisce opzioni per stabilire e gestire servizi VPN su misura per le specifiche esigenze individuali.

Nota:

  • l'attivazione del servizio VPN influenza le prestazioni di rete del sistema.
  • Solo gli administrators possono installare e configurare VPN Server.

PPTP

PPTP (Point-to-Point Tunneling Protocol) è la soluzione VPN più comune supportata da molti client (inclusi Windows, Mac, Linux, e i dispositivi mobile). Per maggiori informazioni sul PPTP, consultare qui.

Per attivare il server VPN PPTP:

  1. Aprire VPN Server e passare a PPTP nel riquadro di sinistra.
  2. Spuntare Abilita server PPTP VPN.
  3. Specificare un indirizzo IP virtuale del server VPN nei campi Indirizzo IP dinamico. Per maggiori informazioni consultare Informazioni sull'indirizzo IP dinamico di seguito.
  4. Impostare il Numero massimo di connessioni per limitare il numero di connessioni VPN simultanee.
  5. Impostare il Numero massimo di connessioni con lo stesso account per limitare il numero di connessioni VPN contemporanee con lo stesso account.
  6. Scegliere una delle seguenti dal menu a discesa Autenticazione per autenticare i client VPN:
    • PAP: le password dei client VPN non verranno crittografate durante l'autenticazione.
    • MS-CHAP v2: le password dei client VPN verranno crittografate durante l'autenticazione utilizzando Microsoft CHAP versione 2.
  7. Se si seleziona MS-CHAP v2 per l'autenticazione precedente, scegliere una delle seguenti opzioni dal menu a discesa Crittografia per crittografare la connessione VPN:
    • No MPPE: la connessione VPN non sarà protetta con un meccanismo di crittografia.
    • MPPE opzionale: la connessione VPN verrà protetta con un meccanismo di crittografia a 40-bit o 128-bit o non lo sarà, in base alle impostazioni del client.
    • Richiedi MPPE: la connessione VPN verrà protetta con un meccanismo di crittografia a 40-bit o 128-bit, in base alle impostazioni del client.
  8. Impostare MTU (Unità di trasmissione massima) per limitare le dimensioni del pacchetto di dati tramite la rete VPN.
  9. Spuntare Utilizza DNS manuale e specificare l'indirizzo IP di un DNS server per spingere DNS a client PPTP. Se questa opzione è disabilitata, il server DNS utilizzato dalla Synology NAS sarà spinto sui client.
  10. Fare clic su Applica per rendere effettive le modifiche.

Nota:

  • quando si esegue il collegamento a VPN, le impostazioni di autenticazione e di crittografia dei client VPN devono essere identiche alle impostazioni specificate sul VPN Server o i client non saranno in grado di connettersi correttamente.
  • Per essere compatibile con più client PPTP funzionanti su sistemi operativi Windows, Mac OS, iOS e Android, l'MTU predefinito è impostato su 1400. Per ambienti di rete più complessi potrebbe essere necessario un MTU più piccolo. Se si continua a ricevere un messaggio di errore timeout, o in caso di connessioni instabili, provare a ridurre le dimensioni dell'MTU.
  • Verificare le impostazioni di inoltro porta e del firewall su Synology NAS e sul router per confermare che la porta TCP 1723 sia aperta.
  • Il servizio PPTP VPN è integrato in alcuni router, la porta 1723 è pertanto occupata. Per verificare che il VPN Server funzioni correttamente, è necessario disattivare il servizio PPTP VPN integrato tramite l'interfaccia di gestione del router per poter utilizzare il PPTP del VPN Server. Inoltre, i router meno recenti bloccano il protocollo GRE (protocollo IP 47), causando errori nella connessione VPN. Si consiglia di utilizzare un router che supporta le connessioni pass-through VPN.

OpenVPN

OpenVPN è una soluzione open source per l'implementazione del servizio VPN. Protegge la connessione VPN con un meccanismo di crittografia di tipo SSL/TLS. Per maggiori informazioni sul OpenVPN, consultare qui.

Per attivare il server VPN di OpenVPN:

  1. Aprire VPN Server e passare a OpenVPN nel riquadro di sinistra.
  2. Spuntare Attiva server OpenVPN.
  3. Specificare un indirizzo IP interno virtuale del server VPN nei campi Indirizzo IP dinamico. Per maggiori informazioni consultare Informazioni sull'indirizzo IP dinamico di seguito.
  4. Impostare il Numero massimo di connessioni per limitare il numero di connessioni VPN simultanee.
  5. Impostare il Numero massimo di connessioni con lo stesso account per limitare il numero di connessioni VPN contemporanee con lo stesso account.
  6. Impostare Porta e Protocollo per la trasmissione dati OpenVPN. È possibile stabilire a quale porta di Synology NAS e attraverso quale protocollo i pacchetti dati sono inoltrati su VPN. L'impostazione predefinita è Porta UDP 1194.
    Nota: per garantire il corretto funzionamento dei servizi in Synology NAS, evitare di assegnare lo stesso set di porta e protocollo di altri servizi Synology. Per ulteriori informazioni, consultare questo articolo.
  7. Nel menu a discesa, configurare Crittografia per crittare i pacchetti di dati nei tunnel VPN.
  8. Nel menu a discesa, configurare Autenticazione per autenticare i client VPN.
  9. Per comprimere i dati durante il trasferimento, spuntare Abilita compressione nel collegamento VPN. Questa opzione consente di aumentare la velocità di trasmissione, ma potrebbe consumare più risorse del sistema.
  10. Per consentire ai client di accedere alla LAN del server, spuntare Consenti ai client di accedere alla LAN del server.
  11. Per consentire al server OpenVPN di inviare indirizzi IPv6, spuntare Abilita modalità server IPv6. Innanzitutto, p necessario ottenere un prefisso via 6in4/6to4/DHCP-PD in Pannello di controllo > Rete > Interfaccia di rete. Quindi selezionare il prefisso in questa pagina.
  12. Fare clic su Applica per rendere effettive le modifiche.

Nota:

  • VPN Server non supporta la modalità ponte per connessioni sito-a-sito.
  • Verificare le impostazioni di inoltro porta e del firewall su Synology NAS e sul router per confermare che la porta UDP 1194 sia aperta.
  • Quando si utilizza OpenVPN GUI su Windows Vista o Windows 7, UAC (controllo account utente) è abilitato per impostazione predefinita. Se abilitato, sarà necessario utilizzare l'opzione Esegui come amministratore per collegarsi correttamente con OpenVPN GUI.
  • Quando si abilita la modalità server IPv6 in Windows con OpenVPN GUI, occorre notare quanto segue:
    1. Il nome dell'interfaccia usato dalla VPN non può avere spazi, ad es., LAN 1 deve essere cambiato in LAN 1.
    2. L'opzione Reindirizza gateway deve essere impostata nel file openvpn.ovpn dal client. Se non si desidera impostare questa funzione, impostare il DNS dell'interfaccia VPN manualmente. È possibile usare Google IPv6 DNS: 2001:4860:4860::8888.

Per esportare il file di configurazione:

Fare clic su Esporta configurazione. OpenVPN consente al server VPN di emettere un certificato di autenticazione per i client. Il file esportato è un file zip che contiene openvpn.ovpn (file di configurazione per il vlient), README.txt (istruzioni semplici su come configurare la connessione OpenVPN per il client). Per maggiori informazioni, consultare qui.

Nota:

  • ogni volta che VPN Server è in esecuzione, copia e utilizza automaticamente il certificato mostrato su Pannello di controllo > Sicurezza > Certificato. Per utilizzare un certificato di terzi, importare il certificato su Pannello di controllo > Sicurezza > Certificato > Aggiungi e riavviare VPN Server.
  • VPN Server verrà riavviato automaticamente ogni volta che il file mostrato in Pannello di controllo > Sicurezza > Certificato viene modificato. Sarà necessario anche esportare il nuovo file .opvn su tutti i client.

L2TP/IPSec

L2TP (Layer 2 Tunneling Protocol) su IPSec fornisce le reti private virtuali con sicurezza aumentata ed è supportata dalla maggior parte dei client (come Windows, Mac, Linux e dispositivi mobile). Per maggiori informazioni sul L2TP, consultare qui.

Nota:

  • per usare L2TP/IPSec, verificare che Synology NAS esegua DSM 4.3 o successive.

Per attivare server L2TP/IPSec VPN:

  1. Aprire VPN Server e passare a L2TP/IPSec nel riquadro di sinistra.
  2. Spuntare Attiva server L2TP/IPSec VPN.
  3. Specificare un indirizzo IP virtuale del server VPN nei campi Indirizzo IP dinamico. Per maggiori informazioni consultare Informazioni sull'indirizzo IP dinamico di seguito.
  4. Impostare il Numero massimo di connessioni per limitare il numero di connessioni VPN simultanee.
  5. Impostare il Numero massimo di connessioni con lo stesso account per limitare il numero di connessioni VPN contemporanee con lo stesso account.
  6. Scegliere una delle seguenti dal menu a discesa Autenticazione per autenticare i client VPN:
    • PAP: le password dei client VPN non verranno crittografate durante l'autenticazione.
    • MS-CHAP v2: le password dei client VPN verranno crittografate durante l'autenticazione utilizzando Microsoft CHAP versione 2.
  7. Impostare MTU (Unità di trasmissione massima) per limitare le dimensioni del pacchetto di dati tramite la rete VPN.
  8. Spuntare Utilizza DNS manuale e specificare l'indirizzo IP di un DNS server per spingere DNS su client L2TP/IPSec. Se questa opzione è disabilitata, il server DNS utilizzato dalla Synology NAS sarà spinto sui client.
  9. Per ottenere prestazioni VPN ottimali, selezionare Esegui in modalità kernel.
  10. Immettere e confermare una chiave pre-condivisa. Questa chiave segreta può essere assegnata all'utente L2TP/IPSec VPN per autenticare la connessione.
  11. Spuntare Abilita modalità compatibile SHA2-256 (96 bit) per consentire a determinati client (non standard RFC) di usare la connessione L2TP/IPSec.
  12. Fare clic su Applica per rendere effettive le modifiche.

Nota:

  • quando si esegue il collegamento a VPN, le impostazioni di autenticazione e di crittografia dei client VPN devono essere identiche alle impostazioni specificate sul VPN Server o i client non saranno in grado di connettersi correttamente.
  • Per essere compatibile con più client L2TP/IPSec funzionanti su sistemi operativi Windows, Mac OS, iOS e Android, l'MTU predefinito è impostato su 1400. Per ambienti di rete più complessi potrebbe essere necessario un MTU più piccolo. Provare a ridurre le dimensioni dell'MTU se si continua a ricevere un messaggio di errore timeout o nel caso di una connessione instabile.
  • Verificare le impostazioni confermare Synology NAS e sul router per confermare che le porte UDP 1701, 500 e 4500 siano aperte.
  • Il servizio L2TP o IPSec VPN è integrato in alcuni router, la porta 1701, 500 o 4500 è pertanto occupata. Per verificare che il VPN Server funzioni correttamente, è necessario disattivare il servizio L2TP o IPSec VPN integrato tramite l'interfaccia di gestione del router per poter utilizzare il L2TP/IPSec del VPN Server. Si consiglia di utilizzare un router che supporta le connessioni pass-through VPN.

Informazioni sull'indirizzo IP dinamico

In base al numero inserito in Indirizzo IP dinamico, VPN Server sceglie tra un intervallo di indirizzi IP virtuali durante l'assegnazione degli indirizzi IP ai client VPN. Ad esempio, se l'indirizzo IP dinamico del server VPN è impostato su "10.0.0.0", l'indirizzo IP virtuale del client VPN può essere compreso tra "10.0.0.1" e "10.0.0.[numero massimo di connessioni]" per PPTP, e da "10.0.0.2" a "10.0.0.255" per OpenVPN.

Importante: Prima di specificare l'indirizzo IP dinamico del server VPN, notare quanto segue:

  1. Gli indirizzi IP dinamici consentiti per il server VPN devono essere del tipo:
    • Da "10.0.0.0" a "10.255.255.0"
    • Da "172.16.0.0" a "172.31.255.0"
    • Da "192.168.0.0" a "192.168.255.0"
  2. L'indirizzo IP dinamico specificato del server VPN e gli indirizzi IP virtuali assegnati per i client VPN non devono essere in conflitto con gli indirizzi IP utilizzati nella LAN.

Informazioni sull'impostazione gateway del client per la connessione VPN

Prima di eseguire il collegamento alla LAN di Synology NAS tramite VPN, è necessario cambiare l'impostazione gateway per la connessione VPN. In caso contrario, potrebbe non essere possibile connettersi a quando viene stabilita la connessione VPN. Per informazioni dettagliate, consultare qui.

PPTP
OpenVPN
L2TP/IPSec