Hướng dẫn cấu hình NAS Synology làm VPN Server

huong_dan_cau_hinh_nas_synology_lam_vpn_server_khue_tu_giai_phap_nas

Giới thiệu

VPN (virtual private network - mạng riêng ảo) là một mạng riêng mà trong đó sử dụng một cơ sở hạ tầng mạng công cộng (thường là internet) để cung cấp những kết nối an toàn và được mã hóa để truyền dữ liệu. Các doanh nghiệp thường triển khai VPN để cung cấp cho các nhân viên một phương thức kết nối an toàn đến các máy chủ hoặc các tài nguyên khác đặt tại hệ thống mạng của công ty ngay cả khi họ công tác bên ngoài, đi du lịch hay làm việc tại nhà.

Với gói phần mềm VPN Server, DiskStation của bạn dễ dàng đóng vai trò thành một VPN server, cho phép các DSM users có khả năng truy cập từ xa an toàn đến các tài nguyên chia sẻ trong hệ thống mạng nội bộ của DiskStation. Bằng cách tích hợp các giao thức VPN phổ biến - PPTP, OpenVPN, L2TP/IPSec - VPN Server cung cấp các tùy chọn để thiết lập và quản lý dịch vụ VPN phù hợp với từng nhu cầu của các cá nhân. 

Bài viết bên dưới Khuê Tú sẽ hướng dẫn bạn cách cấu hình dịch vụ VPN với NAS Synology. 

Nội dung

  1. Chuẩn bị
  2. Cài đặt VPN Server
  3. Cấu hình VPN Server
    • 3.1 PPTP
    • 3.2 OpenVPN
    • 3.3 L2TP/IPSec
  4. Kiểm tra kết nối

1. Chuẩn bị

Để thực hiện việc cấu hình một VPN Server, bạn cần phải hoàn tất những phần sau:

  • Lắp đặt xong Synology DiskStation và đã cài hệ điều hành Synology DiskStation Manager (DSM). 
  • Nếu bạn muốn kết nối đến VPN Server từ bên ngoài mạng nội bộ, bạn cần phải cấu hình port forwarding và đảm bảo là bạn đã có thể kết nối NAS DiskStation của bạn từ bên ngoài internet.

Ghi chú: Chỉ những users thuộc administrators group mới cài đặt và cấu hình được VPN Server.

2. Cài đặt VPN Server

Để cài đặt VPN Server trên DiskStation, bạn làm theo những bước sau.

  1. Đăng nhập vào DSM với tài khoản thuộc administrators group.
  2. Đến phần Main Menu > Package Center để tìm và cài đặt VPN Server.

3. Cấu hình VPN Server

Tiếp theo bạn vào Main Menu > VPN Server để mở VPN Server. Trên panel trái, bạn sẽ thấy các giao thức phổ biến được sử dụng, gồm: PPTP, OpenVPN, và L2TP/IPSec. Khuê Tú sẽ giải thích và hướng dẫn bạn cách cấu hình từng giao thức.

huong_dan_cau_hinh_nas_synology_lam_vpn_server_khue_tu_giai_phap_nas

3.1 PPTP

PPTP (Point-to-Point Tunneling Protocol) là một giải pháp VPN thường được sử dụng và hỗ trợ tương thích với các clients chạy Windows, Mac, Linux, và các thiết bị di động.

  1. Chọn PPTP trong mục Settings trên panel trái.huong_dan_cau_hinh_nas_synology_lam_vpn_server_khue_tu_giai_phap_nas
  2. Tick chọn Enable PPTP VPN server.huong_dan_cau_hinh_nas_synology_lam_vpn_server_khue_tu_giai_phap_nas
  3. Bây giờ bạn sẽ cấu hình các tùy chọn nâng cao bên dưới theo nhu cầu của bạn. 
    • Dynamic IP address: Bạn điền địa chỉ mạng ở đây. Enter a network address here. VPN Server sẽ gán các địa chỉ IP ảo cho các VPN clients theo thông tin địa chỉ IP mà bạn điền ở đây. Ví dụ, nếu bạn điền "10.0.0.0," thì địa chỉ IP ảo được gán cho các VPN clients sẽ có dải IP từ "10.0.0.1" đến "10.0.0.[Maximum connection number]" cho giao thức PPTP.
    • Maximum connection number: chỉ định số lượng kết nối tối đa đồng thời cho các kết nối VPN.
    • Authentication: lựa chọn một trong các tùy chọn sau:
      • PAP: phương thức xác thực này không mã hóa mật khẩu của VPN clients trong quá trình xác thực. 
      • MS-CHAP v2: phương thức xác thực này sẽ thực hiện mã hóa mật khẩu của các VPN clients trong quá trình xác thực bằng cách sử dụng Microsoft CHAP version 2.
    • Encryption: Nếu bạn đã chọn MS-CHAP v2 ở trên, tiếp tục chọn một trong các tùy chọn mã hóa sau:
      • No MPPE: các kết nối VPN sẽ không được bảo vệ bởi bất cứ cơ chế mã hóa nào.
      • Require MPPE (40/128 bit): các kết nối VPN sẽ được bảo vệ với một cớ chế mã hóa 40-bit hoặc 128-bit, tùy thuộc vào cách thiết lập của các clients. 
      • Maximum MPPE (128 bit): các kết nối VPN sẽ được bảo vệ với cơ chế mã hóa 128-bit - cấp độ bảo mật cao nhất của phương thức này.
    • MTU: Chỉ định giá trị truyền dữ liệu tối đa để giới hạn kích thước (dung lượng) của gói dữ liệu được truyền qua đường VPN. 
    • Use manual DNS: chỉ định địa chỉ IP của DNS server chủ động cho các VPN clients. Nếu tùy chọn này bị disabled, DNS server của DiskStation sẽ được gán cho các clients.
    huong_dan_cau_hinh_nas_synology_lam_vpn_server_khue_tu_giai_phap_nas
  4. Chọn Apply.
Ghi chú:
  • Khi kết nối tới VPN, các thiết lập về xác thực và mã hóa của VPN clients phải giống với thiết lập trên VPN Server, nếu khác, clients sẽ không thể kết nối thành công tới server. 
  • Để tương thích với các PPTP clients phổ biến chạy Windows, Mac OS, Mac iOS, và thiết bị Android, giá trị mặc định của MTU được thiết lập là 1400. Đối với các môi trường mạng hay các trường hợp phức tạp hơn, bạn cần thiết lập giá trị MTU nhỏ hơn. Nếu bạn gặp những tình huống khó khăn mà chưa có kinh nghiệm hay kết nối bị time out, bạn có thể thử giảm giá trị MTU xuống và thử lại. 
  • Nhớ kiểm tra cấu hình forwarding và thiết lập firewall trên DiskStation và router để chắc chắn TCP port 1723 được mở. (kiểm tra mở port tại link này)
  • Dịch vụ PPTP VPN có thể được tích hợp sẵn trên một vài router, nên có thể port 1723 đã bị chiếm. Do đó, để đảm bảo VPN Server hoạt động trơn tru, bạn nên kiểm tra và disable dịch vụ PPTP VPN trên router đang sử dụng. Ngoài ra, một vài router đời cũ cũng khóa giao thức GRE(IP protocol 47), sẽ làm kết nối VPN bị thất bại. Chúng tôi khuyến cáo bạn sử dụng một router có hỗ trợ VPN pass-through.

3.2 OpenVPN

OpenVPN là một giải pháp mã nguồn mở để triển khai VPN. OpenVPN bảo vệ các kết nối VPN bằng cơ chế mã hóa SSL/TLS.

  1. Chọn OpenVPN trong phần Settings ở panel trái.huong_dan_cau_hinh_nas_synology_lam_vpn_server_khue_tu_giai_phap_nas
  2. Tick chọn Enable OpenVPN server.
  3. Bây giờ bạn sẽ cấu hình các tùy chọn nâng cao bên dưới theo nhu cầu của bạn. 
    • Dynamic IP address: Bạn điền địa chỉ mạng ở đây. Enter a network address here. VPN Server sẽ gán các địa chỉ IP ảo cho các VPN clients theo thông tin địa chỉ IP mà bạn điền ở đây. Ví dụ, nếu bạn điền "10.0.0.0," thì địa chỉ IP ảo được gán cho các VPN clients sẽ có dải IP từ "10.0.0.1" đến "10.0.0.[Maximum connection number]" cho OpenVPN.
    • Maximum connection number: chỉ định số lượng kết nối tối đa đồng thời cho các kết nối VPN.
    • Enable compression on VPN link: Enable tùy chọn này nếu bạn muốn nén dữ liệu trong quá trình truyền dữ liệu. Tùy chọn này có thể tăng tốc độ truyền nhưng sẽ ngốn tài nguyên hệ thống hơn. 
    huong_dan_cau_hinh_nas_synology_lam_vpn_server_khue_tu_giai_phap_nas
  4. Click Apply.
Ghi chú:
  • VPN Server không hỗ trợ chế độ (bridge) cầu nối cho các kết nối site-to-site.
  • Nhớ kiểm tra cấu hình forwarding và thiết lập firewall trên DiskStation và router để chắc chắn TCP port 1194 được mở. (kiểm tra mở port tại link này).
  • Khi sử dụng OpenVPN GUI (phần mềm cài trên cilent để kết nối tới VPN Server) trên Windows Vista hoặc Windows 7, bạn nhớ lưu ý rằng UAC (User Account Control) phải được enable lên. Nếu UAC đã được enabled, bạn sẽ cần phải sử dụng chức năng "Run as administrator" khi chạy OpenVPN GUI.

3.3 L2TP/IPSec

L2TP (Layer 2 Tunneling Protocol) thông qua IPSec cung cấp những mạng riêng ảo với mức độ bảo mật được gia tăng và hỗ trợ hầu hết các clients phổ biến chạy Windows, Mac, Linux, và cả các thiết bị di động

Ghi chú: Để sử dụng L2TP/IPSec, DiskStation của bạn phải chạy DSM 4.3 trở lên.
  1. Chọn L2TP/IPSec trong phần Settings ở panel trái.huong_dan_cau_hinh_nas_synology_lam_vpn_server_khue_tu_giai_phap_nas
  2. Tick chọn Enable L2TP/IPSec VPN server.huong_dan_cau_hinh_nas_synology_lam_vpn_server_khue_tu_giai_phap_nas
  3. Bây giờ bạn sẽ cấu hình các tùy chọn nâng cao bên dưới theo nhu cầu của bạn.
    • Dynamic IP address: Bạn điền địa chỉ mạng ở đây. Enter a network address here. VPN Server sẽ gán các địa chỉ IP ảo cho các VPN clients theo thông tin địa chỉ IP mà bạn điền ở đây. Ví dụ, nếu bạn điền "10.0.0.0," thì địa chỉ IP ảo được gán cho các VPN clients sẽ có dải IP từ "10.0.0.1" đến "10.0.0.[Maximum connection number]" cho L2TP.
    • Maximum connection number: chỉ định số lượng kết nối tối đa đồng thời cho các kết nối VPN.
    • Authentication: lựa chọn một trong các tùy chọn sau:
      • PAP: phương thức xác thực này không mã hóa mật khẩu của VPN clients trong quá trình xác thực.
      • MS-CHAP v2: phương thức xác thực này sẽ thực hiện mã hóa mật khẩu của các VPN clients trong quá trình xác thực bằng cách sử dụng Microsoft CHAP version 2.
    • Use manual DNS: chỉ định địa chỉ IP của DNS server chủ động cho các VPN clients. Nếu tùy chọn này bị disabled, DNS server của DiskStation sẽ được gán cho các clients.
    • IKE authentication: Điền và xác nhận một (khóa chia sẻ) pre-shared key. Khóa bí mật này sẽ được trao cho ngường dùng VPN để xác thực khi thực hiện kết nối. 
    huong_dan_cau_hinh_nas_synology_lam_vpn_server_khue_tu_giai_phap_nas
  4. Click Apply.
Ghi chú:
  • Khi kết nối tới VPN, các thiết lập về xác thực và mã hóa của VPN clients phải giống với thiết lập trên VPN Server, nếu khác, clients sẽ không thể kết nối thành công tới server.
  • Để tương thích với các L2TP/IPSec phổ biến chạy Windows, Mac OS, Mac iOS, và thiết bị Android, giá trị mặc định của MTU được thiết lập là 1400. Đối với các môi trường mạng hay các trường hợp phức tạp hơn, bạn cần thiết lập giá trị MTU nhỏ hơn. Nếu bạn gặp những tình huống khó khăn mà chưa có kinh nghiệm hay kết nối bị time out, bạn có thể thử giảm giá trị MTU xuống và thử lại. 
  • Nhớ kiểm tra cấu hình forwarding và thiết lập firewall trên DiskStation và router để chắc chắn UDP port 1701, 500, và 4500 được mở. (kiểm tra mở port tại link này).
  • Dịch vụ L2TP hoặc IPSec VPN có thể được tích hợp sẵn trên một vài router, nên có thể port 1701, 500 hoặc 4500 đã bị chiếm. Do đó, để đảm bảo VPN Server hoạt động trơn tru, bạn nên kiểm tra và disable dịch vụ PPTP VPN trên router đang sử dụng. Ngoài ra, một vài router đời cũ cũng khóa giao thức GRE(IP protocol 47), sẽ làm kết nối VPN bị thất bại. Chúng tôi khuyến cáo bạn sử dụng một router có hỗ trợ VPN pass-through.

4. Kiểm tra kết nối

Sau khi đã cấu hình xong VPN server, việc tiếp theo là chúng ta cần đảm bảo nó đã hoạt động trơn tru. Trong phần này, chúng ta sẽ kiểm tra kết nối L2TP/IPSec  sử dụng các thiết bị như máy tính hay thiết bị di động trong mạng nội bộ. 

  1. Nếu L2TP/IPSec đã được mở, trạng tháng của giao thức sẽ thể hiện là Enabled. Xem hình bên dưới.huong_dan_cau_hinh_nas_synology_lam_vpn_server_khue_tu_giai_phap_nas
  2. Bây giờ bạn vào phần Privilege để đảm bảo các DSM users đã được cấp quyền để kết nối tới VPN Server. huong_dan_cau_hinh_nas_synology_lam_vpn_server_khue_tu_giai_phap_nas
  3. Thử kết nối  tới VPN Server với thiết bị khác. Trong ví dụ này, chúng ta sẽ sử dụng một Smartphone chạy Android. Một VPN profile có thể được tạo ra và được quản lý trong phần Settings > Wireless & networks > VPN. Cần nhớ là bạn phải điền đúng giao thức, địa chỉ server, và khóa chia sẻ.huong_dan_cau_hinh_nas_synology_lam_vpn_server_khue_tu_giai_phap_nas
  4. Sau khi tạo profile, chúng ta sẽ kết nối tới VPN Server bằng cách sử dụng DSM username và password.huong_dan_cau_hinh_nas_synology_lam_vpn_server_khue_tu_giai_phap_nas
  5. Nếu tất cả các thiết lập và thông tin đăng nhập đã chính xác, thông tin user đã kết nối thành công sẽ được xuất hiện ở phần VPN Server > Connection List.huong_dan_cau_hinh_nas_synology_lam_vpn_server_khue_tu_giai_phap_nas