web-dev-qa-db-ja.com

WANからホームNASに安全にアクセスする方法は?

ネットワーク上にSynology NASがあり、静的IPがあり、LANの外部からアクセスできるようにしたいと考えています。

現在、外部からアクセスしたい2つのサービスが実行されています。

  • ポートXXのプレックス
  • ポートYYのダウンロードセンター

ポートフォワードとDDNSを使用してすでに動作しています。 noipを使用して、外部IPを指すアドレスを設定し、次のようなことができるようにしました。

  • mysupernas.ddns.net:XXとPlexを取得します
  • mysupernas.ddns.net:YYおよびダウンロードセンターを取得
  • 等々...

しかし、これは非常に危険であり、リンクを知っている人は誰でもこれらのサービスに直接アクセスできました。

Open VPNを試してみると言われましたが、問題があります。どこからでもアクセスできる必要があり、管理者権限がブロックされているコンピューターを使用しているため、OpenVPNクライアントをインストールできません。

どうすればよいですか、LANに安全かつリモートでアクセスするにはどうすればよいですか?

vpnnasopenvpnsynology
2
JChris

VPNサーバーは、追加のソフトウェアなしで使用できるPPTP接続を提供することもできますが、安全性は低くなりますが、ポート転送を介して内部サービスをインターネットに直接公開するよりも優れています。

ドキュメント: https://help.synology.com/dsm/?section=VPNCenter&version=1.2&link=vpn_setup.html

  1. VPN Serverを開き、左側のパネルで[設定]> PPTPに移動します。
  2. [PPTPVPNサーバーを有効にする]にチェックマークを付けます。
  3. [動的IPアドレス]フィールドにVPNサーバーの仮想IPアドレスを指定します。詳細については、以下の動的IPアドレスについてを参照してください。
  4. 最大接続数を設定して、同時VPN接続の数を制限します。
  5. 同じアカウントでの同時VPN接続の数を制限するには、同じアカウントでの最大接続数を設定します。

  6. [認証]ドロップダウンメニューから次のいずれかを選択して、VPNクライアントを認証します。

    • PAP:VPNクライアントのパスワードは認証中に暗号化されません。
    • MS-CHAP v2:VPNクライアントのパスワードは、MicrosoftCHAPバージョン2を使用した認証中に暗号化されます。

  7. 上記の認証にMS-CHAPv2を選択した場合は、[暗号化]ドロップダウンメニューから次のいずれかを選択して、VPN接続を暗号化します。

    • MPPEなし:VPN接続は暗号化メカニズムで保護されません。
    • MPPE(40/128ビット)が必要:VPN接続は、クライアントの設定に応じて、40ビットまたは128ビットの暗号化メカニズムで保護されます。
    • 最大MPPE(128ビット):VPN接続は、最高レベルのセキュリティを提供する128ビット暗号化メカニズムで保護されます。

  8. MTU(Maximum Transmission Unit)を設定して、VPN経由で送信されるデータパケットサイズを制限します。

  9. [手動DNSを使用する]にチェックマークを付け、DNSサーバーのIPアドレスを指定してDNSをPPTPクライアントにプッシュします。このオプションを無効にすると、Synology NASが使用するDNSサーバーがクライアントにプッシュされます。
  10. 変更を有効にするには、[適用]をクリックします。

VPNに接続する場合、VPNクライアントの認証と暗号化の設定はVPNサーバーで指定された設定と同じである必要があります。そうでない場合、クライアントは正常に接続できません。

Windows、Mac OS、iOS、およびPPTPオペレーティングシステムを実行しているほとんどのAndroidクライアントと互換性を持たせるために、デフォルトのMTUは1400に設定されています。より複雑なネットワーク環境では、MTUを小さくすることができます。必須。タイムアウトエラーが発生し続ける場合、または接続が不安定になる場合は、MTUサイズを小さくしてください。

Synology NASとルーターのポート転送とファイアウォールの設定をチェックして、TCPポート1723が開いていることを確認してください。

一部のルーターにはPPTPVPNサービスが組み込まれているため、ポート1723が占有されている可能性があります。 VPN Serverが正しく機能するようにするには、ルーターの管理インターフェイスを介して組み込みのPPTP VPNサービスを無効にし、VPNServerのPPTPを機能させる必要がある場合があります。さらに、一部の古いルーターはGREプロトコル(IPプロトコル47)をブロックするため、VPN接続に障害が発生します。 VPNパススルー接続をサポートするルーターを使用することをお勧めします。

2
megamorf

  1. LAN内の一部のコンピューターにVirtualBoxをセットアップします。

  2. 最小限のDebian仮想マシン(384 MB RAM、3 GB HDDで十分)を、グラフィックス環境やサービスなしで、openssh-serverだけでインストールします。

  3. ルーターでポートリダイレクトを構成します。デフォルトの22ポート番号ではなく、高ポート、たとえば30000〜60000で構成します。このポート番号を覚えておいてください:)

  4. 管理者以外のユーザーを追加し、パスワードを頻繁に変更することを忘れないでください。

  5. オンWANコンピューターをダウンロードしてPuTTYを実行します。SSH接続トンネリングを有効にして、自宅の外部IPアドレスへの接続を構成します。

  6. WANコンピューターは、socksプロキシを使用するようにブラウザーを構成し、それをlocalhost、PuTTY設定で設定されたポートにポイントします。

  7. ブラウザのURLにローカルIPを入力します。

Synologyに直接接続する代わりに、なぜ別のDebianを使用するのですか? Synologyファームウェアは2015年のデフォルト設定の最小限のDebianよりもはるかに安全性が低いため(Synolockerを覚えていますか?)。

もちろん、前の回答のように、PPTPを使用することもできます。ただし、PPTPは、リモート側でブロックできます。たとえば、雇用主のコンピューターを使用していて、雇用主がVPNトラフィックの外部をブロックしている場合などです。ロックされていないポート番号を1つ見つけるだけでよいため、Sshの方が適しています。 (例:443)そしてあなたは自由に接続を確立することができます。

2
Tomasz Klim