当前位置:首页 » 操作系统 » linuxipsecl2tp

linuxipsecl2tp

发布时间: 2024-12-12 11:34:36

‘壹’ 如何查看ipsec/l2tpd 服务器的证书认证模式

什么是 IPsec?
IPsec 是 虚拟私密网络(VPN) 的一种,用于在服务器和客户端之间建立加密隧道并传输敏感数据之用。它由两个阶段组成,第一阶段(Phrase 1, ph1),交换金钥建立连接,使用互联网金钥交换(ike)协议; 第二阶段(Phrase 2, ph2),连接建立后对数据进行加密传输,使用封装安全载荷(esp)协议。参考:维基网络 IPsec 词条。
其中,第一阶段和第二阶段可以使用不同的加密方法(cipher suites)。甚至,第一阶段 ike 协议的第一版(ikev1)有两种模式,主力模式(main mode)和积极模式(aggressive mode),主力模式进行六次加密握手,而积极模式并不加密,以实现快速建立连接的目的。
第一阶段的 ike 协议有两个版本(ikev1/ikev2),不同的开源/闭源软件实现的版本均不同,不同的设备实现的版本也不同。再联系到第一阶段/第二阶段使用的各种不同加密方法,使得 IPsec 的配置有点黑魔法的性质,要么完全懂,通吃; 要么完全不懂,照抄。
设备/操作系统规格
这里主要介绍了设备/操作系统使用的 ike 版本及其特殊要求。
Linux
命令行客户端就是 strongswan 本身,因此完美兼容,支持 ikev1/ikev2 和所有加密方法的连接。因此如果用户只使用 Linux 命令行客户端,不使用各种移动设备也不使用 Windows,那么完全没有那么多事。
但 Linux 的图形界面客户端 NetworkManager-strongswan 目前只支持 ikev2 连接,必须使用证书或 EAP (各种加密方法都支持,包括微软的 MSCHAPv2)进行认证,不支持纯密码(PSK)认证。这并不是 strongswan 的错误,或者技术不行(开源总是走在技术最前沿的,毕竟命令行是支持的),而仅仅是体现一种选择:ikev1 被 strongswan 项目认为是该淘汰的协议,而 PSK 加密被认为是非常不安全的。参考 strongswan 维基 NetworkManager 词条。
Android
Android 和 Linux 不一样,只支持 ikev1。其它方面和 Linux 一样,甚至有好多种 IPsec VPN 配置模式可供选择。
iOS/Mac OS X
它们声明使用的 IPsec 客户端为 Cisco,实际为自己修改的 racoon。它只支持 ike 协议的第一版即 ikev1,可以使用证书或纯密码(PSK)认证,但必须辅之 xauth 用户名/密码认证。
该修改版的 racoon 会优先使用不加密的积极模式,而积极模式是 strongSwan 所不支持的。所以要使用主力模式。
iOS 6 还有一个“衔尾”故障:它在第一阶段握手时会把数据包拆分成小块(fragmentation),然后“加密”发送。然而这种加密仅仅是声明的,其实并未加密,这就导致 strongSwan 及其它标准服务器端/Cisco 设备无法解密。另外 ikev1 的 fragmentation 插件是闭源的。开源服务器端无法对这些小块进行重组。参考:Cisco VPN stop working after upgrading to IOS 6

‘贰’ VPN相关技术

当您通过Internet使用VPN时,它会在两个设备/网络之间创建专用且加密的隧道。现在作为VPN,你很难对数据进行窃听,即使它被侵入,因为这是数据被加密,从这个加密数据中获取任何信息几乎是不可能的。有几种VPN隧道协议,如PPTP(点对点隧道协议),L2TP(第二层隧道协议),IPSec(Internet协议安全),SSL(安全套接字层)等,用于创建VPN隧道。

IPSec实现

工作于TCP/IP第三层IP层上网络数据安全地一整套体系结构;包括网络认证协议AH(Authentication Header,认证头)、ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,因特网密钥交换又称isakmp)和用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。

整个IPSec VPN地实现基本简化为两个SA协商完成

SA(security association):是两个通信实体经协商建立起来地一种协议,它们决定了用来保护数据包安全地IPsec协议,转码方式,密钥,以及密钥地有效存在时间等等

IKE(isakmp)SA: 协商对IKE数据流进行加密以及对对等体进行验证地算法(对密钥地加密和peer地认证) 对等体之间只能存在一个

第一阶段:建立ISAKMPSA协商的是以下信息:

1、对等体之间采用何种方式做认证,是预共享密钥还是数字证书。

2、双方使用哪种加密算法(DES、3DES)

3、双方使用哪种HMAC方式,是MD5还是SHA

4、双方使用哪种Diffie-Hellman密钥组

5、使用哪种协商模式(主模式或主动模式)

6、协商SA的生存期

IPSec SA: 协商对对等体之间地IP数据流进行加密地算法  对等体之间可以存在多个

第二阶段:建立IPsecSA协商的是以下信息:

1、双方使用哪种封装技术,AH还是ESP

2、双方使用哪种加密算法

3、双方使用哪种HMAC方式,是MD5还是SHA

4、使用哪种传输模式,是隧道模式还是传输模式

5、协商SA的生存期

名词解释:

AH协议(IP协议号为51): 提供数据源认证、数据完整性校验和防报文重放功能,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报文头,此报文头插在标准IP包头后面,对数据提供完整性保护。可选择的认证算法有MD5(Message Digest)、SHA-1(Secure Hash Algorithm)等。

ESP协议(IP协议号为50): 提供加密、数据源认证、数据完整性校验和防报文重放功能。ESP的工作原理是在每一个数据包的标准IP包头后面添加一个ESP报文头,并在数据包后面追加一个ESP尾。与AH协议不同的是,ESP将需要保护的用户数据进行加密后再封装到IP包中,以保证数据的机密性。常见的加密算法有DES、3DES、AES等。同时,作为可选项,用户可以选择MD5、SHA-1算法保证报文的完整性和真实性。

IPSec有两种工作模式:

隧道(tunnel)模式: 用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。

传输(transport)模式: 只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。

1. 数据认证

数据认证有如下两方面的概念:

身份认证:身份认证确认通信双方的身份。支持两种认证方法:预共享密钥(pre-shared-key)认证和基于PKI的数字签名(rsa-signature)认证。

身份保护:身份数据在密钥产生之后加密传送,实现了对身份数据的保护。

2. DH

DH(Diffie-Hellman,交换及密钥分发)算法是一种公共密钥算法。通信双方在不传输密钥的情况下通过交换一些数据,计算出共享的密钥。即使第三者(如黑客)截获了双方用于计算密钥的所有交换数据,由于其复杂度很高,不足以计算出真正的密钥。所以,DH交换技术可以保证双方能够安全地获得公有信息。

3. PFS

PFS(Perfect Forward Secrecy,完善的前向安全性)特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。对于IPsec,是通过在IKE阶段2协商中增加一次密钥交换来实现的。PFS特性是由DH算法保障的。

IKE的交换过程

IKE使用了两个阶段为IPsec进行密钥协商并建立SA:

第一阶段,通信各方彼此间建立了一个已通过身份认证和安全保护的通道,即建立一个ISAKMP SA。第一阶段有主模式(Main Mode)和野蛮模式(Aggressive Mode)两种IKE交换方法。

第二阶段,用在第一阶段建立的安全隧道为IPsec协商安全服务,即为IPsec协商具体的SA,建立用于最终的IP数据安全传输的IPsec SA。

如图2-1所示,第一阶段主模式的IKE协商过程中包含三对消息:

l 第一对叫SA交换,是协商确认有关安全策略的过程;

l 第二对消息叫密钥交换,交换Diffie-Hellman公共值和辅助数据(如:随机数),密钥材料在这个阶段产生;

l 最后一对消息是ID信息和认证数据交换,进行身份认证和对整个第一阶段交换内容的认证。

野蛮模式交换与主模式交换的主要差别在于,野蛮模式不提供身份保护,只交换3条消息。在对身份保护要求不高的场合,使用交换报文较少的野蛮模式可以提高协商的速度;在对身份保护要求较高的场合,则应该使用主模式。

IKE在IPsec中的作用

l 因为有了IKE,IPsec很多参数(如:密钥)都可以自动建立,降低了手工配置的复杂度。

l IKE协议中的DH交换过程,每次的计算和产生的结果都是不相关的。每次SA的建立都运行DH交换过程,保证了每个SA所使用的密钥互不相关。

l IPsec使用AH或ESP报文头中的序列号实现防重放。此序列号是一个32比特的值,此数溢出后,为实现防重放,SA需要重新建立,这个过程需要IKE协议的配合。

l 对安全通信的各方身份的认证和管理,将影响到IPsec的部署。IPsec的大规模使用,必须有CA(Certificate Authority,认证中心)或其他集中管理身份数据的机构的参与。

l IKE提供端与端之间动态认证。

IPsec与IKE的关系

图 5 IPsec与IKE的关系图

从图2-2中我们可以看出IKE和IPsec的关系:

l IKE是UDP之上的一个应用层协议,是IPsec的信令协议;

l IKE为IPsec协商建立SA,并把建立的参数及生成的密钥交给IPsec;

l IPsec使用IKE建立的SA对IP报文加密或认证处理。

SSL VPN简介

SSL VPN是以SSL协议为安全基础的VPN远程接入技术,移动办公人员(在SSL VPN中被称为远程用户)使用SSL VPN可以安全、方便的接入企业内网,访问企业内网资源,提高工作效率。

SSL VPN技术优势:

无客户端的便捷部署

应用层接入的安全保护

企业延伸的效率提升

SSL协议从身份认证、机密性、完整性三个方面确保了数据通信的安全 。

SSL VPN实现私密性 完整性 不可否认 源认证

SSL VPN的特点:

采用B/S架构,远程用户无需安装额外软件,可直接使用浏览器访问内网资源。

SSL VPN可根据远程用户访问内网资源的不同,对其访问权限进行高细粒度控制。

提供了本地认证、服务器认证、认证匿名和证书挑战多种身份认证方式,提高身份认证的灵活性。

可以使用主机检查策略。

缓存清理策略用于清理远程用户访问内网过程中在终端上留下的访问哼唧,加固用户的信息安全。

PN类型详解 PPTP VPN

PPTP:点对点隧道协议,一种支持多协议虚拟专用网络(VPN)的网络技术,工作在第二层数据链路层。以同样工作在第二层的点对点传输协议(PPP)为基础,PPTP将PPP帧封装成IP数据包,以便于在互联网上传输并可以通过密码验证协议(PAP),可扩展认证协议(EAP)增加安全性。远程用户能够通过安装有点对点协议的操作系统访问公司网络资源。

PPTP VPN的实现需要:客户机和服务器之间必须有联通并且可用的IP网络。

该VPN可在Windows、Linux环境下搭建,或者通过配置路由器来实现。

L2F:第二层转发协议。 用于建立跨越公共网络的安全隧道来将ISP POP连接到企业内部网关。这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。 L2F允许高层协议的链路层隧道技术,使得把原始拨号服务器的位置和拨号协议连接终止与提供的网络访问位置分离成为可能。

L2TP VPN

L2TP:二层隧道协议,结合PPTP与L2F两种二层隧道协议的优点,为众多公司接受。 L2TP扩展了PPP模型,它使用PPP来封装用户数据,允许多协议通过隧道传送,作为安全性增强,L2TP与IPSec(Internet协议安全性)结合——L2TP/IPsec, L2TP基于UDP协议,因此L2TP不保证数据消息的可靠投递,若数据丢失,不予重传。

L2TP 的实现:与PPTP不同, PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接。

该VPN可在Windows、Linux环境下搭建,或者通过配置防火墙、路由器来实现。

MPLS VPN

MPLS:多协议标签交换(MPLS)是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由地址、转发和交换等能力。更特殊的是,它具有管理各种不同形式通信流的机制。

它提供了一种方式,将IP地址映射为简单的具有固定长度的标签,用于不同的包转发和包交换技术。

传统的VPN是基于 PPTP L2TP等隧道协议来实现私有网络间数据流在公网上的传送。而LSP本身就是公网上的隧道,所以用MPLS来实现VPN有天然的优势。

基于MPLS的VPN就是通过LSP将私有网络的不同分支联结起来,形成一个统一的网络。基于MPLS的VPN还支持对不同VPN间的互通控制。

MPLSVPN网络主要由CE、PE和P等3部分组成:

CE(Customer Edge):用户网络边缘设备,可以是路由器 交换机 主机。

PE(Provider Edge):是服务商边缘路由器,位于骨干网络。

P(Provider):是服务提供商网络中的骨干路由器

SSL工作Socket层,IPsec工作在网络层.

SSL(安全套接层)是一个基于标准的加密协议,提供加密和身份识别服务。SSL广泛应用于在互联网上提供加密的通讯。SSL最普通的应用是在网络浏览器中通过HTTPS实现的。然而,SSL是一种透明的协议,对用户基本上是不可见的,它可应用于任何基于TCP/IP的应用程序。

  通用路由封装协议GRE(Generic Routing Encapsulation) 提供了 将一种协议的报文封装在另一种协议报文中 的机制,是一种 隧道封装技术 。GRE可以 封装组播数据 ,并可以 和IPSec结合使用 ,从而保证语音、视频等组播业务的安全

 IPSec  用于在两个端点之间提供安全的IP通信,但只能加密并传播单播数据,无法加密和传输语音、视频、动态路由协议信息等组播数据流量

 GRE属于网络层协议 IP协议号为47

GRE的优点总结:

 GRE实现机制简单,对隧道两端的设备负担小

 GRE隧道可以通过IPv4网络连通多种网络协议的本地网络,有效利用了原有的网络架构,降低成本

 GRE隧道扩展了跳数受限网络协议的工作范围,支持企业灵活设计网络拓扑

 GRE隧道可以封装组播数据,和IPSec结合使用时可以保证语音、视频等组播业务的安全

 GRE隧道支持使能MPLS LDP,使用GRE隧道承载MPLS LDP报文,建立LDP LSP,实现MPLS骨干网的互通

 GRE隧道将不连续的子网连接起来,用于组建实现企业总部和分支间安全的连接

 GRE属于网络层协议 IP协议号为47

GRE的优点总结:

 GRE实现机制简单,对隧道两端的设备负担小

 GRE隧道可以通过IPv4网络连通多种网络协议的本地网络,有效利用了原有的网络架构,降低成本

 GRE隧道扩展了跳数受限网络协议的工作范围,支持企业灵活设计网络拓扑

 GRE隧道可以封装组播数据,和IPSec结合使用时可以保证语音、视频等组播业务的安全

 GRE隧道支持使能MPLS LDP,使用GRE隧道承载MPLS LDP报文,建立LDP LSP,实现MPLS骨干网的互通

 GRE隧道将不连续的子网连接起来,用于组建,实现企业总部和分支间安全的连接

隧道接口

 GRE隧道是通过隧道两端的 Tunnel接口 建立的,所以需要在隧道两端的设备上分别配置 Tunnel接口 。对于GRE的Tunnel接口,需要指定其协议类型为GRE、源地址或源接口、目的地址和Tunnel接口IP地址

  隧道接口(tunnel接口) 是为实现报文的封装而提供的一种点对点类型的虚拟接口 与loopback接口类似 都是一种 逻辑接

 GRE隧道接口包含 源地址 、 目的地址 和 隧道接口IP地址 和 封装类型

 Tunnel的源地址:配置报文传输协议中的源地址。

 当配置地址类型时,直接作为源地址使用

 当配置类型为源接口时,取该接口的IP地址作为源地址使用

  Tunnel的目的地址 :配置报文传输协议中的目的地址

  Tunnel接口IP地址 :为了在Tunnel接口上启用动态路由协议,或使用静态路由协议发布Tunnel接口,需要为Tunnel接口分配IP地址。Tunnel接口的IP地址可以不是公网地址,甚至可以借用其他接口的IP地址以节约IP地址。但是当Tunnel接口借用IP地址后,该地址不能直接通过tunnel口互通,因此在借用IP地址情况下,必须配置静态路由或路由协议先实现借用地址的互通性,才能实现Tunnel的互通。

L2TP基本概念:

L2TP(Layer 2 Tunneling Protocol) VPN是一种用于承载PPP报文的隧道技术,该技术主要应用在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。

L2TP VPN的优点:

身份验证机制,支持本地认证,支持Radius服务器等认证方式

多协议传输,L2TP传输PPP数据包,PPP本身可以传输多协议,而不仅仅是IP可以在PPP数据包内封装多种协议

计费认证地址分配

可在LAC和LNS两处同时计费,即ISP处(用于产生账单)及企业网关(用于付费及审计)。L2TP能够提供数据传输的出入包数、字节数以及连接的起始、结束时间等计费数据,可根据这些数据方便地进行网络计费

LNS可放置于企业网的USG之后,对远端用户地址进行动态分配和管理,可支持私有地址应用

不受NAT限制穿越,支持远程接入,灵活的身份验证及时以及高度的安全性,L2TP协议本身并不提供连接的安全性,但它可以依赖于PPP提供的认证(CHAP、PAP等),因此具有PP所具有的所有安全特性。

L2TP和PPTP区别:

L2TP:公有协议、UDP1701、支持隧道验证,支持多个协议,多个隧道,压缩字节,支持三种模式

PPTP:私有协议、TCP1723、不支持隧道验证,只支持IP、只支持点到点

PPTP:

点对点隧道协议(PPTP)是由包括Microsoft和3com等公司组成的PPTP论坛开发的,一种点对点隧道协议,基于拔号使用的PPP协议使用PAP或CHAP之类的加密算法,或者使用Microsoft的点对点加密算法MPPE。

L2TP:

第二层隧道协议(L2TP)是IETF基于L2F(Cisco的2层转发协议)开发的PPTP后续版本,是一种工业标准Internet隧道协议。

两者的主要区别主要有以下几点:

PPTP只能在两端间建立单一隧道,L2TP支持在两端点间使用多隧道,这样可以针对不同的用户创建不同的服务质量

L2TP可以提供隧道验证机制,而PPTP不能提供这样的机制,但当L2TP或PPTP与IPSec共同使用时,可以由IPSec提供隧道验证,不需要在第二层协议上提供隧道验证机制

PPTP要求互联网络为IP网络,而L2TP只要求隧道媒介提供面向数据包的点对点连接,L2TP可以在IP(使用UDP),FR,ATM,x.25网络上使用

L2TP可以提供包头压缩。当压缩包头时,系统开销(voerhead)占用4个字节,而PPTP协议下要占用6个字节

‘叁’ 群晖NAS安装VPN Server 套件三种服务协议设定

我们在群晖nas里安装VPN Server 套件可以把我们的群晖nas变成一个VPN服务器,我们可以安全的在远端存取Synology NAS 局域网内分享的资源,群晖的VPN server整合了常用的通讯协定:  PPTP、OpenVPN 、 L2TP/IPSec,当我们启用了nas的vpn服务,会影响系统的网络性能。

我们先来了解一下三种协议:

PPTP

PPTP (Point-to-Point Tunneling Protocol,点对点信道协议) 是常用的 VPN 解决方案,且大多数的客户端 (包含 Windows、Mac、Linux 及行动装置) 皆支持。

若要启动 PPTP VPN 服务器:

1、开启 VPN Server 并前往左侧面板的 PPTP。

2、勾选启动 PPTP VPN 服务器。

3、在动态 IP 地址字段输入 VPN 服务器的虚拟 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。

4、设定最大联机数量来限制 VPN 联机的共同联机数量。

5、设定同一账号最多联机数量来限制使用同一个账号所进行 VPN 联机的共同联机数量。

6、从认证下拉式选单中选择下列任一项目来认证 VPN 客户端:

PAP:认证过程中,将不加密 VPN 客户端的密码。

MS-CHAP v2:认证过程中,将使用 Microsoft CHAP version 2 加密 VPN 客户端的密码。

7、若您选择 MS-CHAP v2 验证,请从加密下拉式选单中选择下列任一项目来加密 VPN 联机:

No MPPE:VPN 联机不会受到加密机制保护。

Optional MPPE:客户端设定将决定 VPN 联机会 / 不会受到 40-bit 或 128-bit 加密机制保护。

Require MPPE:客户端设定将决定 VPN 联机会受到 40-bit 或 128-bit 加密机制保护。

8、设定 MTU (最大传输单元) 来限制 VPN 网络传输的数据封包大小。

9、勾选手动设定 DNS 并指派 DNS 服务器的 IP 地址来发送给 PPTP 客户端。若停用此选项,则会将 Synology NAS 目前所使用的 DNS 服务器发送给客户端。

10、单击套用来让变更生效。

注意:

联机至 VPN 时,VPN 客户端的验证及加密设定必须与 VPN Server 上的相同,否则客户端将无法成功联机。

为兼容于运行在 Windows、Mac OS、iOS 与 Android 系统的大部分 PPTP 客户端,预设的 MTU 值为 1400。若您的网络环境较为复杂,可能需要设定一个较小的 MTU 值。若您经常收到逾时讯息或联机不稳定,请降低 MTU 值。

请检查 Synology NAS 与路由器上的端口转送规则与防火墙设定,确认 TCP 1723 端口已开启。

部分路由器内建 PPTP VPN 服务,因此可能已占用 1723 端口。您需先透过路由器的管理接口关闭其内建的 PPTP VPN 服务,才能确保 VPN Server 上的 PPTP VPN 服务可以正常运作。此外,部分旧式路由器可能会封锁 GRE 协议 (IP 协议 47),造成 VPN 联机失败;建议使用支持 VPN pass-through 联机的路由器。

OpenVPN

OpenVPN 是开放原始码的 VPN 服务解决方案,会以 SSL / TLS 加密机制保护 VPN 联机。

若要启动 OpenVPN VPN 服务器:

1、开启 VPN Server,前往左侧面板的 OpenVPN。

2、勾选启动 OpenVPN 服务器。

3、在动态 IP 地址字段输入 VPN 服务器的虚拟内部 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。

4、设定最大联机数量来限制 VPN 联机的共同联机数量。

5、设定同一账号最多联机数量来限制使用同一个账号进行 VPN 联机的共同联机数量。

6、为 OpenVPN 数据传输设定端口与通讯协议。您可以决定要将何种协议的数据封包透过 VPN 转送至 Synology NAS 的哪个端口。默认值为 UDP 端口 1194

注意: 为确保 Synology NAS 上的服务可以正常运作,请避免将同样的一组端口与通讯协议指派给其他 Synology 服务。请参阅此篇应用教学以了解更多信息。

7、在加密下拉式选单中择一,以加密 VPN 信道中的数据封包。

8、在验证下拉式选单中择一,以验证 VPN 客户端。

9、若要在传输数据时压缩数据,请勾选启动 VPN 压缩联机。此选项可提升传输速度,但可能会消耗较多系统资源。

10、勾选允许客户端存取服务器的局域网络来让客户端存取服务器的局域网络。

11、勾选启动 IPv6 服务器模式来启动 OpenVPN 服务器,以传送 IPv6 地址。您必须先在控制面板 > 网络 > 网络接口中,透过 6in4/6to4/DHCP-PD 取得 Prefix,并在此页面中选择该 Prefix。

12、单击套用来让变更生效。

注意:

VPN Server 不支持站台对站台的桥接模式。

请检查 Synology NAS 与路由器上的端口转送规则与防火墙设定,确认 UDP 1194 端口已开启。

在 Windows Vista 或 Windows 7 上执行 OpenVPN GUI 时,请注意,UAC (用户帐户控制) 预设为开启。此设定开启时,需使用以系统管理员身份执行选项来透过 OpenVPN GUI 进行联机。

在 Windows 上透过 OpenVPN GUI 启动 IPv6 服务器模式时,请注意以下事项:

VPN 所使用的接口名称不可包含空格,例如:LAN 1 须变更为 LAN1。

重新导向网关 (redirect-gateway) 选项须由客户端于 openvpn.ovpn 档案中设定。若您不想设定此选项,应手动设定 VPN 接口的 DNS。您可以使用 Google IPv6 DNS:2001:4860:4860::8888。

若要汇出配置文件:

单击汇出配置文件。OpenVPN 让 VPN 服务器可颁发证书供客户端使用。所汇出的档案为 zip 压缩文件,其中包含 ca.crt (VPN 服务器的凭证档案)、openvpn.ovpn (客户端使用的配置文件案),以及 README.txt (客户端如何设定 OpenVPN 联机的简易说明)。

注意:

每次启动 VPN Server 时,便会自动复制、使用显示于控制面板 > 安全性 > 凭证之凭证。若您需使用第三方凭证,请到控制台 > 安全性 > 凭证 > 新增来汇入凭证,并重新启动 VPN Server。

每次修改凭证文件 (显示于控制面板 > 安全性 > 凭证) 后,VPN Server 将会自动重新启动。

L2TP/IPSec

L2TP (Layer 2 Tunneling Protocol) over IPSec 提供更安全的虚拟私有网络,且大多数的客户端 (如 Windows、Mac、Linux 及行动装置) 皆支持。

若要启动 L2TP/IPSec VPN 服务器:

1、开启 VPN Server 并前往左侧面板的 L2TP/IPSec。

2、勾选启动 L2TP/IPSec VPN 服务器。

3、在动态 IP 地址字段输入 VPN 服务器的虚拟 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。

4、设定最大联机数量来限制 VPN 联机的共同联机数量。

5、设定同一账号最多联机数量来限制使用同一个账号进行 VPN 联机的共同联机数量。

6、从认证下拉式选单中选择下列任一项目来认证 VPN 客户端:

PAP:认证过程中,将不加密 VPN 客户端的密码。

MS-CHAP v2:认证过程中,将使用 Microsoft CHAP version 2 加密 VPN 客户端的密码。

7、设定 MTU (最大传输单元) 来限制 VPN 网络传输的数据封包大小。

8、勾选手动设定 DNS 并指派 DNS 服务器的 IP 地址来发送给 L2TP/IPSec 客户端。若停用此选项,则会将 Synology NAS 目前所使用的 DNS 服务器发送给客户端。

9、若要发挥 VPN 最大效能,选取执行核心 (kernel) 模式。

10、输入并确认预先共享密钥。您应将此密钥提供给 L2TP/IPSec VPN 使用者以验证联机。

11、勾选启动 SHA2-256 兼容模式 (96 bit),以让特定客户端 (非 RFC 标准) 可以使用 L2TP/IPSec 联机。

12、单击套用来让变更生效。

注意:

联机至 VPN 时,VPN 客户端的验证及加密设定必须与 VPN Server 上的设定相同,否则客户端将无法成功进行联机。

为兼容于运行在 Windows、Mac OS、iOS 与 Android 系统的大部分 L2TP/IPSec 客户端,预设的 MTU 值为 1400。若您的网络环境较为复杂,可能需要设定一个较小的 MTU 值。若您经常收到逾时讯息或联机不稳定,请降低 MTU 值。

请检查 Synology NAS 与路由器上的端口转送规则与防火墙设定,以确认 UDP 1701、500、4500 端口已开启。

部分路由器内建 L2TP 或 IPSec VPN 服务,因此可能已占用 1701、500 或 4500 端口。您需先透过路由器的管理接口关闭其内建的 L2TP 或 IPsec VPN 服务,才能确保 VPN Server 上的 L2TP/IPsec VPN 服务可以正常运作。建议使用支持 VPN pass-through 联机的路由器。

关于动态 IP 地址

VPN Server 会依据您在动态 IP 地址中输入的数字,从虚拟 IP 地址范围中选择一个 IP 地址来分配给 VPN 客户端使用。例如:若 VPN 服务器的动态 IP 地址设定为“10.0.0.0”,则 PPTP VPN 客户端的虚拟 IP 地址范围为“10.0.0.1”至“10.0.0.[最大联机数量]”;OpenVPN 客户端的虚拟 IP 地址范围则为“10.0.0.2”至“10.0.0.255”。

重要事项: 指定 VPN 服务器的动态 IP 地址之前,请注意:

1、VPN 服务器可使用的动态 IP 地址必须为下列其一:

从“10.0.0.0”至“10.255.255.0”

从“172.16.0.0”至“172.31.255.0”

从“192.168.0.0”至“192.168.255.0”

2、您指定的 VPN 服务器动态 IP 地址以及指派给 VPN 客户端的虚拟 IP 地址,皆不能与局域网络中任一已使用的 IP 地址冲突。

关于客户端进行 VPN 联机时使用的网关设定

使用 VPN 联机至 Synology NAS 的局域网络之,客户端可能需要为 VPN 联机变更网关设定;否则,在 VPN 联机建立之后,它们可能会无法联机至因特网。

热点内容
安卓投屏怎么才能无延迟 发布:2024-12-12 13:40:52 浏览:854
androidl通知 发布:2024-12-12 13:22:59 浏览:532
如何搭建短信服务器 发布:2024-12-12 13:18:28 浏览:112
开拓者bose音响是哪个版本配置 发布:2024-12-12 13:01:27 浏览:571
泰拉瑞亚电脑联机服务器ip号 发布:2024-12-12 12:48:42 浏览:238
vivo手机设置帐号密码在哪里设置 发布:2024-12-12 12:44:23 浏览:194
外网远程访问服务器 发布:2024-12-12 12:41:33 浏览:97
郝斌c语言百度网盘 发布:2024-12-12 12:15:39 浏览:138
通用云服务器购买费用 发布:2024-12-12 12:11:52 浏览:248
java调用post接口 发布:2024-12-12 12:10:26 浏览:755