Synology-NAS als VPN-server: zo pak je het aan
Dat de nas-systemen van Synology veelzijdig zijn hebben we al vaker laten zien. Via los te installeren apps is eenvoudig functionaliteit naar wens toe te voegen, bijvoorbeeld een vpn-server. Wij laten je zien hoe je dat aanpakt.
Voordat je verder leest, is het wellicht handig om dit over Synology te weten. Dan heb je alles bijelkaar.
Wat is VPN? Met een VPN kun je anoniem surven, maar dat is niet alles.
Hier vind je een allesomvattende uitleg over een Virtual Private Network (VPN).
Goed, VPN ofwel virtual private network maakt het mogelijk om extern via de cloud contact te maken met het bedrijfsnetwerk. Grote bedrijven hebben hiervoor speciaal geconfigureerde servers draaien, maar voor een klein bedrijfje loont dat de moeite veelal niet.
Precies voor dat soort gevallen biedt Synology met haar nassen draaiend op DiskStation Manager – een Linux-derivaat – uitkomst. In het Package Center (te vinden na een klik op de startknop helemaal linksboven op het DS-bureaublad ) tref je onder de categorie Hulpprogramma’s de app VPN Server aan. Installeer deze met de daarvoor bedoelde knop.
- Is dit onderdeel eenmaal actief, dan vind je het terug in het menu Start.
- Klik hier op VPN Server.
L2TP/IPSec
De VPN-server biedt drie VPN-protocollen:
- PPTP
- OpenVPN
- L2TP/IPSec
Het oudste en minstbeveiligde protocol is PPTP en dit dien je dan ook eigenlijk te vermijden. Het is alleen interessant als je even snel zonder gedoe een vpn-servertje wilt opzetten waar eigenlijk echt elk apparaat mee overweg kan. Laat PPTP links liggen wanneer je een serieuze, veilige en vooral permanent beschikbare vpn-server wilt draaien.
En de mooiste is...
De mooiste en meest veilige (en bovendien ook meest vrij configureerbare) optie is OpenVPN, maar het nadeel hiervan is dat lang niet alle mobiele apparaten er mee overweg kunnen. L2TP/IPSec is een mooie middenweg. Enerzijds biedt het een stevige AES256-encryptie, terwijl anderzijds configureren best meevalt. Schakel de overige twee protocollen dan ook uit (voor zover ze waren ingeschakeld) en concentreer je op L2TP/IPSec.
Dubbele login
- klik op L2TP/IPSec
- schakel deze middels het daarvoor bedoelde selectievakje in
Voor verificatie is er de keuze uit twee opties:
- het erg onveilige PAP (wachtwoorden worden geheel onversleuteld verzonden)
- het iets veiliger MS Chap v2 dat inmiddels ook kraakbaar blijkt
Toch is er zelfs dan nog geen man overboord, want naast de vooraf gedeelde sleutel (kies deze zo lang en gecompliceerd mogelijk) heb je ook de logingegevens van de Synology nodig om de uiteindelijke verbinding tot stand te brengen. Ofwel: een dubbele beveiliging die voor de meeste dagelijkse toepassingen voldoende is.
Gaan er heel gevoelige gegevens via vpn lopen, dan is eigenlijk de enige oplossing OpenVPN, maar dat laten we nu even links liggen vanwege de al genoemde incompatibiliteit met mobiele apparatuur. Het dynamisch IP-adres is standaard ingesteld op 10.2.0.0 en mag je wat ons betreft netjes zo laten. Als straks alles naar behoren draait vind je hier je Synology op terug in de netwerkomgeving na een geslaagde vpn-koppeling.
-
Klik op Toepassen om de instellingen door te voeren.
VPN instellen met L2TP/IPSec
Als je eenmaal weet wat VPN is, valt de configuratie van de vpn-server eigenlijk reuze mee.
Rechten
Het waarschuwingsvenster dat nu verschijnt meldt dat je in de Synology firewall een aantal poorten open moet zetten. Dat zijn poortnummers:
- 1701
- 500
- 4500
Dat gaan we zo doen.
- klik voor nu op OK
- Kijk voordat je de VPN Server sluit eerst nog even onder Rechten en check wie je precies vpn-toegang wilt verlenen, wellicht wil je niet dat alle gebruikers hier gebruik van maken.
- Schakel desnoods onder Algemene instellingen ook de optie vpn-machtiging toekennen aan nieuw toegevoegde gebruikers uit om ongewenste vpn-rechten in de toekomst te voorkomen.
- Klik na het maken van eventuele wijzigingen steeds op Toepassen.
Firewall
- Sluit het venster VPN en open het Configuratiescherm van je nas (wederom via het startmenu)
- klik op Firewall en QoS
- selecteer de optie VPN Server
- klik dan op Bewerken. In het venster Firewallregels bewerken klik je op de knop Selecteren om daarna te controleren of de net genoemde poorten achter VPN Server inderdaad geopend zijn. Is dit geregeld?
- klik dan op OK in beide geopende vensters en sluit het Configuratiescherm.
De NAS fungeert nu als VPN-server.
Configureer de firewall van je Synology op de juiste manier.
Poorten forwarden
Helaas zijn we er hier nog niet mee, want zeker bij de kleinere bedrijven staat veelal een standaard kabel- of zelfs adsl-router geïnstalleerd die al even vaak behoorlijk dichtgetimmerd is. Komt nog eens bij dat het in dit soort gevallen NAT-routers betreft die van huis uit al voor de nodige problemen zorgen. Port forwarding is dan ook onvermijdelijk en een algemeen recept hiervoor bestaat niet.
Kijk eerst eens via het configuratiescherm van je router of er een optie als VPN Passthrough beschikbaar is, schakel deze sowieso in als je deze ziet.
Vervolgens moet je de genoemde poorten forwarden naar het internet ip-adres van je nas, bijvoorbeeld 192.168.1.130. In bijgaande afbeeldingen is een voorbeeld van een dergelijke configuratie in een router te zien. Is de router gekoppeld aan een kabelmodem, dan moeten hier soms (als er ook niet-uitschakelbare NAT-functionaliteit is ingebouwd) dezelfde poorten geforward worden, maar dan naar het adres van de er aan gekoppelde tweede router.
Waar het om gaat is dat uiteindelijk de poorten
- 500
- 1701
- 4500
onbelemmerde toegang tot de Synology bieden. Dit kan soms op een vervelend klusje uitdraaien, waarbij je je af en toe de haren uit het hoofd trekt, maar uiteindelijk moet het lukken.
Port forwarding is bij NAT-routers helaas onvermijdelijk.
Regedi
Blijft er nog één horde over: Windows kan van huis uit géén vpn-verbinding opzetten als de client-pc achter een NAT-router zit en (of!) de vpn-server achter een nas-router is opgesteld. Hoe je dit probleem oplost is weer een verhaal apart, maar blijkt uiteindelijk niet eens zo heel ingewikkeld.
Op https://learn.microsoft.com/nl-nl/troubleshoot/windows-server/networking/configure-l2tp-ipsec-server-behind-nat-t-device vind je een uitgebreide uitleg betreffende dit onderwerp. In eerste instantie bedoeld voor Windows Vista, maar het blijkt onder Windows 7 (en waarschijnlijk ook 8) eveneens dé oplossing te zijn. Contact leggen vanaf een iPad met de opgezette vpn-server bleek geen enkel probleem op te leveren en waarschijnlijk kan elk Linux-systeem er dan ook van huis uit direct mee overweg. Zit er geen NAT-router tussen de Synology en de cloud, dan hoef je je sowieso nergens druk over te maken, dan werkt het direct. I
In dat licht bezien is het niet eens zo’n heel gekke gedachte om je DiskStation ook meteen als router te laten fungeren en te kiezen voor het meest simpele kabel- of adsl-modem (glasvezel mag ook) zonder router-mogelijkheden.
Een algemeen recept kunnen we helaas niet bieden, maar de mogelijkheid om een vpn-server te draaien op een ‘simpele’ nas is toch wel heel erg aantrekkelijk en dus de moeite waard om eens mee te experimenteren. Zeker als klein bedrijf kun je hiermee een hoop geld en gedoe uitsparen.