1

В моей сети есть NAS-устройство Synology, у него статический IP-адрес, и я хочу иметь доступ к нему вне локальной сети.

В настоящее время у меня работает 2 службы, к которым я хочу получить доступ извне:

  • Плекс на порт XX
  • Центр загрузки на порт YY

Я уже получил его с помощью перенаправления портов и DDNS. Я использовал noip, чтобы иметь адрес, указывающий на мой внешний IP, чтобы я мог делать такие вещи, как:

  • mysupernas.ddns.net:XX и получите Plex
  • mysupernas.ddns.net:YY и получить Центр загрузки
  • И так далее...

Но это было очень опасно, любой, у кого была ссылка, мог иметь прямой доступ к этим услугам.

Люди говорили, что пробуют Open VPN, но есть проблема, мне нужно иметь доступ ко всему этому откуда угодно, и я использую некоторые компьютеры с заблокированными правами администратора, и я не смогу установить клиент Open VPN.

Что мне делать, как получить безопасный и удаленный доступ к локальной сети?

2 ответа2

2

Сервер VPN также может предлагать PPTP-соединения, которые можно использовать без дополнительного программного обеспечения, но они менее безопасны, но это все же лучше, чем ваши внутренние службы, подключенные к Интернету напрямую через переадресацию портов.

Документация: https://help.synology.com/dsm/?section=VPNCenter&version=1.2&link=vpn_setup.html

  1. Откройте VPN-сервер и перейдите в «Настройки»> «PPTP» на левой панели.
  2. Установите флажок Включить PPTP VPN-сервер.
  3. Укажите виртуальный IP-адрес VPN-сервера в полях Динамический IP-адрес. Обратитесь к разделу «О динамическом IP-адресе» ниже для получения дополнительной информации.
  4. Установите Максимальный номер соединения, чтобы ограничить количество одновременных VPN-соединений.
  5. Задайте Максимальное количество соединений с одной учетной записью, чтобы ограничить количество одновременных VPN-подключений с одной учетной записью.
  6. Выберите один из следующих вариантов в раскрывающемся меню Аутентификация для аутентификации клиентов VPN:

    • PAP: пароли VPN-клиентов не будут зашифрованы во время аутентификации.
    • MS-CHAP v2: пароли VPN-клиентов будут зашифрованы во время аутентификации с использованием Microsoft CHAP версии 2.
  7. Если вы выбрали MS-CHAP v2 для аутентификации выше, выберите любой из следующих параметров в раскрывающемся меню Шифрование для шифрования VPN-подключения:

    • Нет MPPE: VPN-соединение не будет защищено механизмом шифрования.
    • Требовать MPPE (40/128 бит): VPN-соединение будет защищено 40-битным или 128-битным механизмом шифрования, в зависимости от настроек клиента.
    • Максимальный MPPE (128 бит): VPN-соединение будет защищено 128-битным механизмом шифрования, который обеспечивает самый высокий уровень безопасности.
  8. Установите MTU (Maximum Transmission Unit), чтобы ограничить размер пакета данных, передаваемых через VPN.

  9. Установите флажок Использовать ручной DNS и укажите IP-адрес DNS-сервера для передачи DNS клиентам PPTP. Если этот параметр отключен, DNS-сервер, используемый Synology NAS, будет отправлен клиентам.
  10. Нажмите Применить, чтобы изменения вступили в силу.

При подключении к VPN параметры аутентификации и шифрования VPN-клиентов должны совпадать с настройками, указанными на VPN-сервере, иначе клиенты не смогут подключиться успешно.

Для совместимости с большинством клиентов PPTP, работающих под управлением операционных систем Windows, Mac OS, iOS и Android, значение MTU по умолчанию установлено на 1400. Для более сложных сетевых сред может потребоваться меньший MTU. Попробуйте уменьшить размер MTU, если вы продолжаете получать ошибку тайм-аута или испытываете нестабильные соединения.

Проверьте параметры переадресации портов и брандмауэра на NAS-устройстве Synology и маршрутизаторе, чтобы убедиться, что порт TCP 1723 открыт.

Служба PPTP VPN встроена в некоторые маршрутизаторы, порт 1723 может быть занят. Чтобы обеспечить правильную работу VPN-сервера, вам может потребоваться отключить встроенную службу PPTP VPN через интерфейс управления маршрутизатора, чтобы обеспечить работу PPTP-сервера VPN. Кроме того, некоторые старые маршрутизаторы блокируют протокол GRE (IP-протокол 47), что приведет к сбою VPN-соединения. Рекомендуется использовать маршрутизатор, поддерживающий сквозные соединения VPN.

2
  1. Настройте VirtualBox на некотором компьютере внутри вашей локальной сети.

  2. Установите минимальную виртуальную машину Debian (384 МБ ОЗУ, достаточно 3 ГБ жесткого диска), без графической среды или сервисов, только с openssh-сервером.

  3. Настройте перенаправление портов на вашем маршрутизаторе - не на номер порта по умолчанию 22, а на какой-то высокий порт, скажем, 30000-60000. Запомните этот номер порта :)

  4. Добавьте пользователя без прав администратора и не забывайте часто менять его пароль.

  5. На компьютере WAN загрузите и запустите PuTTY. Настройте подключение к внешнему IP-адресу вашего дома с включенным SSH-туннелированием.

  6. На компьютере WAN настройте браузер на использование прокси-сервера socks и укажите его на localhost, чтобы порт был установлен в настройках PuTTY.

  7. Введите локальный IP-адрес в URL браузера.


Зачем использовать отдельный Debian вместо прямого подключения к Synology? Потому что прошивка Synology гораздо менее безопасна (помните Synolocker?) чем минимальный Debian с настройками по умолчанию 2015 года.

Конечно, вы также можете использовать PPTP, как в предыдущем ответе. Но PPTP может быть заблокирован на удаленной стороне, например. когда вы используете компьютер своего работодателя, а работодатель блокирует внешний трафик VPN. Тогда лучше использовать Ssh, потому что вам просто нужно найти один единственный незаблокированный номер порта (например, 443), и вы можете установить соединение.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .