Como organizar um servidor VPN em seu NAS

É muito prático poder acessar sua rede doméstica de qualquer lugar fora de sua casa com, por exemplo, seu smartphone. Por exemplo, para operar dispositivos IoT, visualize imagens da câmera IP ou contorne bloqueios regionais. Ao configurar um servidor VPN, você está com segurança em sua rede doméstica em uma ação. Um NAS geralmente é poderoso o suficiente para ser usado como um servidor VPN, especialmente se você não precisar da velocidade mais alta. Neste artigo, mostramos como configurá-lo e usá-lo em combinação com um smartphone.

Se você tem todos os tipos de aplicativos bonitos em execução em casa, mais cedo ou mais tarde também vai querer acessá-los de seu smartphone, tablet ou laptop enquanto estiver em trânsito. Pense, por exemplo, na automação residencial com Home Assistant ou Domoticz, streaming de mídia com Plex ou Emby, a utilização de servidores de download ou simplesmente acesso a arquivos pessoais. Você pode organizar isso por aplicativo, geralmente encaminhando algumas portas, mas tais backdoors não são isentas de riscos. Por exemplo, muitos aplicativos contêm vulnerabilidades ou não usam conexões criptografadas.

Você pode resolver esses problemas com uma conexão VPN bem protegida. A conexão VPN, na verdade, fornece uma camada extra de proteção além da segurança dos próprios aplicativos. Você também pode usar imediatamente todos os aplicativos como está acostumado em casa e sem ajustar sua configuração. Isso também se aplica a aplicativos que você normalmente não deve usar via Internet, como acesso a arquivos de rede (consulte o quadro 'Acessar arquivos via Internet'). Mostraremos como fazer isso com um servidor VPN em um Synology ou QNAP NAS.

Acesse arquivos pela Internet

Seu NAS pode ser o ponto de armazenamento central em sua rede. O protocolo smb é usado para acessar arquivos de um PC com Windows. Especialmente a primeira versão (smb 1.0) é muito insegura. Por exemplo, uma vulnerabilidade estava na raiz de um grande ataque do ransomware WannaCry. No Windows 10, ele agora está desabilitado por padrão e muitos provedores bloqueiam a porta tcp 445 usada para o tráfego smb. Deve ser capaz de usar uma conexão de Internet.

A própria Microsoft também faz isso para pastas compartilhadas do serviço Arquivos do Azure. Ainda assim, é incomum e não o recomendamos. Isso não é apenas uma questão de confiança. Muitas redes executam dispositivos mais antigos e vulneráveis. Mesmo em um Synology NAS recente, o smb 3.0 parece estar desabilitado por padrão. O bloqueio de portas com provedores como o Ziggo também pode incomodá-lo. Além disso, o desempenho por meio de conexões de internet costuma ser decepcionante. Acima de tudo, você permanece vulnerável a vulnerabilidades, embora ainda preocupe seus dados mais críticos. Para acessar seus arquivos na rede, recomendamos uma conexão VPN ou alternativas, como armazenamento em nuvem.

01 Por que um nariz?

Você já pode ter alguns dispositivos em sua rede que pode usar como um servidor VPN, como um roteador. Você não deve esperar milagres em termos de desempenho e o OpenVPN nem sempre é compatível. Seu próprio servidor é uma boa opção, mas não está ao alcance de todos. Se você tem um NAS, essa também é uma opção, com poder de processamento extra e muita facilidade de uso. Ambos Synology e QNAP suportam a configuração como servidor VPN por padrão com configuração relativamente fácil. Se você tiver um modelo com um processador compatível com o conjunto de instruções AES-NI, terá um desempenho significativamente superior.

Você também pode influenciar o desempenho com o algoritmo de criptografia e o tamanho da chave. Neste curso básico, escolhemos um meio-termo seguro, o suficiente para um punhado de conexões. As verdadeiras velocidades máximas podem estar fora de alcance, mas isso não é um problema para a maioria dos aplicativos e sempre há outros fatores limitantes, como sua conexão com a Internet.

02 Instale o aplicativo

O servidor VPN da Synology suporta PPTP, OpenVPN e L2TP / IPSec. Apenas os dois últimos são interessantes. Você pode opcionalmente configurar ambos, mas neste curso básico nos limitamos ao OpenVPN. Oferece bom desempenho e boa segurança, com muita liberdade de configuração. Para instalar vá para Centro de Pacotes. Procurar Servidor VPN e instale o aplicativo. Na QNAP você abre Central de aplicativos e procurando por você Serviço QVPN na seção Serviços de utilidade pública. Além dos protocolos acima, este aplicativo também suporta o protocolo QBelt desenvolvido pela própria QNAP. Você também pode usar o aplicativo QNAP como um cliente VPN, adicionando perfis, caso o NAS precise usar um servidor VPN externo. Isso também é possível na Synology, você encontrará a opção em Rede no Painel de controle.

03 Configuração na Synology

Abrir Servidor VPN e toque sob o título Configuração do servidor VPN sobre OpenVPN. Faça um check-in Habilitar servidor OpenVPN. Ajuste a configuração de acordo com sua preferência, como protocolo (udp ou tcp), porta e criptografia (consulte o quadro 'Protocolo, porta e criptografia para OpenVPN'). Uma opção segura é sugerida: AES-CBC com uma chave de 256 bits e SHA512 para autenticação. Tenha cuidado, porque também existem opções inseguras na lista. Com a opção Permitir que os clientes acessem o servidor LAN certifique-se de que você também pode acessar outros dispositivos na mesma rede que o NAS a partir de sua conexão VPN. Se você não fizer isso, só poderá usar o nas e os aplicativos desse nas, o que às vezes pode ser suficiente.

A opção Ativar compactação no link VPN preferimos desligá-lo. O valor agregado é limitado e não é isento de riscos devido a algumas vulnerabilidades. Finalmente clique Aplicar seguido pela Configuração de exportação para recuperar o pacote zip com o qual você configurará a conexão posteriormente. Em Visão geral, você verá que o OpenVPN está habilitado. Você está usando o firewall em seu NAS? Então vá para Painel de Controle / Segurança / Firewall e adicione uma regra que permite o tráfego para o servidor VPN.

04 Configuração na QNAP

Abra o aplicativo em um QNAP NAS Serviço QVPN e escolha abaixo Servidor VPN a opção OpenVPN. Faça um check-in Habilitar servidor OpenVPN e ajuste a configuração de acordo com sua preferência. Assim como com Synology, você pode definir livremente o protocolo e a porta. Por padrão, o AES é usado para criptografia com uma chave de 128 bits (padrão) ou 256 bits. A opção Habilitar conexão VPN compactada nós desligamos. Então clique Aplicar. Depois disso, você pode baixar o perfil OpenVPN, que também contém o certificado. Vamos usar isso no Android. abaixo Visão geral você pode ver se o servidor VPN está sendo executado também com outros detalhes, como usuários conectados.

Protocolo, porta e criptografia para OpenVPN

OpenVPN é flexível para configurar. Para começar, tanto o udp quanto o tcp podem ser usados ​​como protocolos, com o udp sendo preferido porque é mais eficiente e rápido. A natureza 'regulatória' do protocolo TCP funciona contra, em vez de cooperar com o tráfego em um túnel VPN. Além disso, você pode escolher praticamente qualquer porta. Para udp, a porta padrão é 1194. Infelizmente, as empresas costumam fechar essas e outras portas para o tráfego de saída. No entanto, o tráfego 'normal' do site através das portas tcp 80 (http) e 443 (https) quase sempre é possível. Você pode fazer um uso inteligente disso.

Se você escolher o protocolo tcp com a porta 443 para a conexão OpenVPN, poderá se conectar por meio de quase qualquer firewall e servidor proxy, mas com perda de velocidade. Se você tiver o luxo, poderá configurar dois servidores VPN, um com udp / 1194 e um segundo com tcp / 443. Em termos de criptografia, AES-CBC é o mais comum com AES-GCM como uma alternativa emergente. Uma chave de 256 bits é a norma, mas uma chave de 128 ou 192 bits também é muito segura. Até um futuro distante, será virtualmente impossível quebrar uma chave de 128 bits (bem escolhida). Uma chave ainda mais longa, portanto, adiciona pouco em termos de proteção, mas custa mais poder de computação.

05 Habilitar contas de usuário

Uma conta de usuário também é necessária para fazer login no servidor vpn. Essa é uma conta de usuário comum no NAS com as permissões corretas para usar o servidor VPN. Por padrão, Synology permite que todos os usuários usem o servidor VPN. Ajuste isso de acordo com sua preferência inserindo Servidor VPN desagradável direitos ir. Na QNAP você entra Serviço QVPN desagradável Configurações de privilégio. Aqui, você adiciona os usuários vpn desejados manualmente a partir dos usuários locais no nas.

06 Editar perfil OpenVPN

Você deve percorrer o perfil OpenVPN em um editor de texto e fazer ajustes quando necessário. Na Synology você extrai o arquivo zip (openvpn.zip) em uma pasta e, em seguida, você pode salvar o arquivo VPNConfig.ovpn pode abrir em seu editor de texto. Aqui você encontrará a linha remota YOUR_SERVER_IP 1194 e um pouco mais longe protótipo udp. Isso indica qual número de porta (1194) e protocolo (udp) deve ser usado ao configurar a conexão. No lugar de YOUR_SERVER_IP insira o endereço IP de sua conexão de internet em casa, com QNAP isso já é preenchido por padrão.

Você não recebe um endereço IP fixo do seu provedor de Internet para a conexão à Internet em casa, mas um endereço IP dinâmico e, portanto, variável? Então, um serviço dns dinâmico (ddns) é uma boa alternativa. Você pode simplesmente configurá-lo no seu nas (veja o quadro 'Serviço de dns dinâmico no seu nas') e inserir o endereço em vez do endereço IP no perfil (isso não acontece automaticamente). Com Synology, dns dinâmico é extremamente útil, porque você pode usar o certificado de servidor criado para configurar a conexão, para resolver um problema de certificado.

Serviço de dns dinâmico em seu NAS

Com um serviço dns dinâmico (ddns), seu endereço IP é mantido e passado para um servidor externo, o que garante que o nome do host escolhido esteja sempre vinculado ao endereço IP correto. Você pode simplesmente executar isso no seu NAS. Na Synology, você o encontrará em Painel de controle / acesso remoto. O mais fácil é escolher Synology como um provedor de serviços (gratuito) com um nome de host e nome de domínio disponíveis (nós escolhemos greensyn154.synology.me), desde que a combinação esteja disponível. Opcionalmente, você também pode configurar um provedor ddns personalizado. Na QNAP você vai para Painel de controle / rede e switch virtual. Sob o título Serviços de acesso você encontra a opção DDNS. Você pode configurar um provedor ddns personalizado, bem como configurar e usar o próprio serviço myQNAPcloud da QNAP. Um assistente o orienta nas configurações. No final, você pode escolher quais serviços devem ser configurados. Por razões de segurança, você pode limitar isso por apenas DDNS escolher.

07 Adicionar Certificados

Com a QNAP, a autenticação ao fazer login no servidor VPN é baseada apenas no nome de usuário e senha. Com a Synology, você também precisa de dois certificados de cliente para evitar erros de conexão, o que, obviamente, também é muito mais seguro. Você pode adicioná-los manualmente no aplicativo, mas também (como fazemos aqui) incluí-los no perfil OpenVPN. Usamos o certificado ddns (em nosso exemplo pertencente a greensyn154.synology.me) para os dois certificados. Vamos para Painel de controle / segurança. Toque em Configurar e certifique-se de que este certificado seja selecionado por trás Servidor VPN. Feche a janela com Cancelar. Clique com o botão direito no certificado e escolha Certificado de Exportação.

Extraia o arquivo zip. Abra o perfil OpenVPN em um editor de texto. Na parte inferior você vê um blococom o conteúdo de aprox.crt. Abaixo disso você adiciona um bloco em que você insere o conteúdo de cert.pem conjuntos. Em seguida, adicione outro bloco com o conteúdo de privkey.pem. Com este perfil, você pode configurar uma conexão em combinação com a conta de usuário em seu NAS.

08 Outras opções de configuração

Você pode definir mais opções de acordo com sua preferência. O primeiro depende do propósito de uso. Você deseja usar a conexão VPN apenas para acessar sua rede doméstica remotamente? Na Synology, você deve ter certeza de que antes da linha redirecionar gateway def1 em seu perfil um colchete (#) para que seja tratado como um comentário. Se você remover o parêntese, todo o tráfego passará pelo túnel VPN, também para sites regulares que você visita, por exemplo. Com QNAP, esta é uma configuração do servidor, portanto, não afeta o perfil. Você definiu Serviço QVPN com a opção Use esta conexão como o gateway padrão para dispositivos externos. Se você ativá-lo, todo o tráfego do cliente VPN passará pelo túnel VPN. Você quer verificar isso? Em seguida, visite http://whatismyipaddress.com usando um navegador. Se o seu endereço IP público (da sua conexão com a Internet) estiver listado aqui, você sabe que o tráfego está passando pelo túnel.

09 Encaminhamento de porta no roteador

Neste curso básico, definimos o protocolo udp na porta 1194 para o servidor vpn e esse é também o único tráfego que você precisa para encaminhar do roteador para o NAS com uma regra de encaminhamento de porta. É aconselhável primeiro dar ao NAS um endereço IP fixo em sua rede. A maneira como você adiciona essa regra difere de roteador. A regra em si é simples. O tráfego de entrada usa o protocolo udp e a porta é 1194. Como destino, você insere o endereço IP do seu nas e a porta também é 1194 agora.

10 Acesso de smartphone

É apenas um pequeno passo usar a conexão VPN de um smartphone. Certifique-se de estar em uma rede externa (como a rede móvel) e não em sua própria rede WiFi, para que você realmente faça uma conexão de fora. Conforme indicado, usamos o aplicativo OpenVPN Connect oficial que você pode baixar na Google Play Store ou iOS App Store. Você pode conectar um smartphone Android ao PC e, em seguida, copiar o perfil OpenVPN para a pasta Download. Em seguida, importe o perfil com o aplicativo por meio de Importar Perfil / Arquivo. Com um iPhone, você pode usar o iTunes ou enviar por e-mail o perfil OpenVPN para você mesmo e abri-lo no aplicativo OpenVPN.

Digite o nome de usuário e a senha associados à sua conta no NAS. Agora você pode se conectar tocando no perfil. Depois disso, você tem acesso ao seu NAS e à rede doméstica à qual o seu NAS está conectado.

Restrições ao usar ipv6

Neste artigo, presumimos que você usa um endereço ipv4 para o servidor vpn e não ipv6. Em algumas situações, isso é um problema. Por exemplo, provedores de Internet como o Ziggo às vezes não fornecem mais aos clientes um endereço IPv4 público. Nesse caso, você só pode receber conexões de entrada para o servidor VPN via ipv6. E esse é outro problema se você quiser se conectar ao seu smartphone a partir de uma rede móvel, porque o ipv6 só é oferecido com moderação nas conexões móveis.

Postagens recentes