من السهل جدًا أن تكون قادرًا على الوصول إلى شبكتك المنزلية من أي مكان خارج منزلك باستخدام هاتفك الذكي ، على سبيل المثال. على سبيل المثال ، لتشغيل أجهزة إنترنت الأشياء ، اعرض الصور من كاميرا IP أو التحايل على الكتل الإقليمية. من خلال إعداد خادم VPN ، فأنت بأمان على شبكتك المنزلية في إجراء واحد. عادةً ما يكون NAS قويًا بدرجة كافية لاستخدامه كخادم VPN ، خاصة إذا لم تكن بحاجة إلى أعلى سرعة. نوضح لك في هذه المقالة كيفية إعداده واستخدامه مع الهاتف الذكي.
إذا كان لديك جميع أنواع التطبيقات الجميلة التي تعمل في المنزل ، فعاجلاً أم آجلاً ، سترغب أيضًا في الوصول إليها من هاتفك الذكي أو جهازك اللوحي أو الكمبيوتر المحمول أثناء تنقلك على الطريق. فكر ، على سبيل المثال ، في التشغيل الآلي للمنزل باستخدام Home Assistant أو Domoticz ، أو تدفق الوسائط باستخدام Plex أو Emby ، أو استخدام خوادم التنزيل أو الوصول ببساطة إلى الملفات الشخصية. يمكنك ترتيب ذلك لكل تطبيق ، غالبًا عن طريق إعادة توجيه عدد قليل من المنافذ ، لكن هذه الأبواب الخلفية لا تخلو من المخاطر. على سبيل المثال ، تحتوي العديد من التطبيقات على نقاط ضعف أو لا تستخدم اتصالات مشفرة.
يمكنك حل مثل هذه المشكلات باتصال VPN واحد آمن جيدًا. يوفر اتصال VPN في الواقع طبقة إضافية من الحماية علاوة على أمان التطبيقات نفسها. يمكنك أيضًا استخدام جميع التطبيقات على الفور كما اعتدت على ذلك في المنزل ودون تعديل تكوينها. ينطبق هذا أيضًا على التطبيقات التي لا يجب عليك عادةً استخدامها عبر الإنترنت ، مثل الوصول إلى ملفات الشبكة (انظر المربع "الوصول إلى الملفات عبر الإنترنت"). سنوضح لك كيفية تحقيق ذلك باستخدام خادم VPN على Synology أو QNAP NAS.
الوصول إلى الملفات عبر الإنترنت
قد يكون NAS الخاص بك هو نقطة التخزين المركزية في شبكتك. يستخدم بروتوكول smb للوصول إلى الملفات من جهاز كمبيوتر يعمل بنظام Windows. خاصة أن الإصدار الأول (smb 1.0) غير آمن للغاية. على سبيل المثال ، كانت إحدى الثغرات الأمنية هي السبب الجذري لهجوم كبير قام به WannaCry ransomware. في نظام التشغيل Windows 10 ، تم تعطيله الآن افتراضيًا ويقوم العديد من مقدمي الخدمة بحظر منفذ tcp 445 المستخدم لحركة مرور البيانات الصغيرة والمتوسطة.يجب أن تكون قادرة على استخدام اتصال بالإنترنت.
تقوم Microsoft نفسها بذلك أيضًا للمجلدات المشتركة لخدمة Azure Files. ومع ذلك ، فهو أمر غير معتاد ولا نوصي به. هذه ليست مجرد مسألة ثقة. تعمل العديد من الشبكات على تشغيل أجهزة قديمة ومعرضة للخطر. حتى في Synology NAS الأخير ، يبدو أن smb 3.0 معطل بشكل افتراضي. يمكن أن يزعجك أيضًا حظر المنفذ مع مزودي الخدمة مثل Ziggo. علاوة على ذلك ، غالبًا ما يكون الأداء عبر اتصالات الإنترنت مخيباً للآمال. قبل كل شيء ، لا تزال عرضة لنقاط الضعف ، بينما لا يزال الأمر يتعلق بأهم بياناتك. للوصول إلى ملفاتك في الشبكة ، نوصي باتصال VPN أو بدائل مثل التخزين السحابي.
01 لماذا الأنف؟
قد يكون لديك بالفعل بعض الأجهزة في شبكتك التي يمكنك استخدامها كخادم VPN ، مثل جهاز التوجيه. يجب ألا تتوقع المعجزات من حيث الأداء ولا يتم دعم OpenVPN دائمًا. يعد الخادم الخاص بك خيارًا رائعًا ، لكن هذا ليس في متناول الجميع. إذا كان لديك NAS ، فهذا أيضًا خيار ، مع قوة معالجة إضافية والكثير من سهولة الاستخدام. يدعم كل من Synology و QNAP الإعداد كخادم VPN افتراضيًا مع تكوين سهل نسبيًا. إذا كان لديك طراز به معالج يدعم مجموعة تعليمات AES-NI ، فستستفيد من الأداء العالي بشكل ملحوظ.
يمكنك أيضًا التأثير على الأداء باستخدام خوارزمية التشفير وحجم المفتاح. في هذه الدورة التدريبية الأساسية ، نختار حل وسط آمن ، يكفي لعدد قليل من الاتصالات. قد تكون السرعات القصوى الحقيقية بعيدة المنال ، لكن هذه ليست مشكلة بالنسبة لمعظم التطبيقات ، وهناك دائمًا عوامل مقيدة أخرى ، مثل اتصالك بالإنترنت.
02 قم بتثبيت التطبيق
يدعم خادم VPN الخاص بـ Synology PPTP و OpenVPN و L2TP / IPSec. فقط الأخيران مثيران للاهتمام. يمكنك إعداد كليهما اختياريًا ، ولكن في هذه الدورة التدريبية الأساسية ، نقتصر على OpenVPN. إنه يوفر أداءً جيدًا وأمانًا جيدًا ، مع قدر كبير من الحرية في التكوين. لتثبيته انتقل إلى مركز التعبئة والتغليف. بحث خادم VPN وتثبيت التطبيق. في QNAP تفتح مركز التطبيقات ويبحث عنك خدمة QVPN في القسم خدمات. بالإضافة إلى البروتوكولات المذكورة أعلاه ، يدعم هذا التطبيق أيضًا بروتوكول QBelt الذي طوره QNAP نفسه. يمكنك أيضًا استخدام تطبيق QNAP كعميل VPN عن طريق إضافة ملفات تعريف ، في حالة احتياج NAS إلى استخدام خادم VPN خارجي. هذا ممكن أيضًا في Synology ، ستجد الخيار أسفل شبكة الاتصال في ال لوحة التحكم.
03 التكوين في Synology
افتح خادم VPN واضغط تحت العنوان إعداد خادم VPN تشغيل OpenVPN. ضع علامة في تفعيل خادم OpenVPN. اضبط التكوين وفقًا لتفضيلاتك ، مثل البروتوكول (udp أو tcp) والمنفذ والتشفير (انظر مربع "البروتوكول والمنفذ والتشفير لـ OpenVPN"). يُقترح خيار آمن: AES-CBC بمفتاح 256 بت و SHA512 للمصادقة. كن حذرًا ، لأن هناك أيضًا خيارات غير آمنة في القائمة. مع الخيار السماح للعملاء بالوصول إلى خادم الشبكة المحلية تأكد من أنه يمكنك أيضًا الوصول إلى الأجهزة الأخرى الموجودة على نفس الشبكة مثل NAS من اتصال VPN الخاص بك. إذا فشلت في القيام بذلك ، فستتمكن فقط من استخدام NAS والتطبيقات الموجودة على هذا الجهاز ، والتي قد تكون كافية في بعض الأحيان.
الخيار قم بتمكين الضغط على ارتباط VPN نحن نفضل إيقاف تشغيله. القيمة المضافة محدودة ولا تخلو من المخاطر بسبب بعض نقاط الضعف. انقر أخيرا للتقديم تليها تكوين التصدير لاسترداد الحزمة المضغوطة التي ستقوم من خلالها بإعداد الاتصال لاحقًا. ضمن نظرة عامة ، سترى أن OpenVPN ممكّن. هل تستخدم جدار الحماية على NAS الخاص بك؟ ثم اذهب الى لوحة التحكم / الأمن / جدار الحماية وأضف قاعدة تسمح بحركة المرور لخادم vpn.
04 التكوين في QNAP
افتح التطبيق على QNAP NAS خدمة QVPN واختر أدناه خادم VPN الخيار OpenVPN. ضع علامة في تفعيل خادم OpenVPN وضبط التكوين حسب تفضيلاتك. تمامًا كما هو الحال مع Synology ، يمكنك تعيين البروتوكول والمنفذ بحرية. بشكل افتراضي ، يتم استخدام AES للتشفير إما بمفتاح 128 بت (افتراضي) أو 256 بت. الخيار تفعيل اتصال VPN المضغوط نطفئ. ثم اضغط للتقديم. بعد ذلك ، يمكنك تنزيل ملف تعريف OpenVPN ، والذي يحتوي أيضًا على الشهادة. سنستخدم هذا تحت Android. أدناه ملخص يمكنك معرفة ما إذا كان خادم vpn يعمل مع تفاصيل أخرى مثل المستخدمين المتصلين.
البروتوكول والمنفذ والتشفير لـ OpenVPN
OpenVPN مرن في التكوين. بالنسبة للمبتدئين ، يمكن استخدام كل من udp و tcp كبروتوكولات ، مع تفضيل udp لأنه أكثر كفاءة وأسرع. تعمل الطبيعة "التنظيمية" لبروتوكول TCP ضد حركة المرور عبر نفق VPN بدلاً من التعاون معها. علاوة على ذلك ، يمكنك عمليا اختيار أي منفذ. بالنسبة لـ udp ، المنفذ الافتراضي هو 1194. لسوء الحظ ، غالبًا ما تغلق الشركات هذه وغيرها من المنافذ لحركة المرور الصادرة. ومع ذلك ، فإن حركة المرور "العادية" لموقع الويب عبر منافذ tcp 80 (http) و 443 (https) ممكنة دائمًا تقريبًا. يمكنك الاستفادة بذكاء من هذا.
إذا اخترت بروتوكول tcp مع المنفذ 443 لاتصال OpenVPN ، فيمكنك الاتصال من خلال أي جدار حماية وخادم وكيل تقريبًا ، ولكن مع فقد السرعة. إذا كانت لديك الرفاهية ، فيمكنك إعداد خادمين VPN ، أحدهما مع udp / 1194 والثاني مع tcp / 443. من حيث التشفير ، فإن AES-CBC هو الأكثر شيوعًا مع AES-GCM كبديل ناشئ. مفتاح 256 بت هو المعيار ، لكن مفتاح 128 أو 192 بت آمن أيضًا. حتى المستقبل البعيد ، سيكون من المستحيل فعليًا كسر مفتاح 128 بت (تم اختياره جيدًا). وبالتالي ، فإن المفتاح الأطول يضيف القليل من حيث الحماية ، ولكنه يكلف المزيد من قوة الحوسبة.
05 تمكين حسابات المستخدمين
مطلوب حساب مستخدم أيضًا لتسجيل الدخول إلى خادم vpn. هذا حساب مستخدم عادي على NAS مع الأذونات الصحيحة لاستخدام خادم vpn. بشكل افتراضي ، تسمح Synology لجميع المستخدمين باستخدام خادم VPN. اضبط هذا حسب تفضيلاتك عن طريق الدخول خادم VPN مقرف حقوق توجو. في QNAP تدخل خدمة QVPN مقرف إعدادات الامتياز. هنا يمكنك إضافة مستخدمي vpn المطلوبين يدويًا من المستخدمين المحليين على NAS.
06 تحرير ملف تعريف OpenVPN
يجب عليك تصفح ملف تعريف OpenVPN في محرر نصي وإجراء التعديلات عند الضرورة. في Synology تقوم باستخراج الملف المضغوط (openvpn.zip) في مجلد ثم يمكنك حفظ الملف VPNConfig.ovpn يمكن أن تفتح في محرر النصوص الخاص بك. هنا ستجد خط التحكم عن بعد 1194 وبعد ذلك بقليل النموذج الأولي udp. يشير هذا إلى رقم المنفذ (1194) والبروتوكول (udp) عند إعداد الاتصال. في مكان YOUR_SERVER_IP أدخل عنوان IP الخاص باتصالك بالإنترنت في المنزل ، باستخدام QNAP ، يتم ملء هذا بالفعل افتراضيًا.
هل لا تتلقى عنوان IP ثابتًا من مزود الإنترنت الخاص بك للاتصال بالإنترنت في المنزل ، ولكنك تتلقى عنوان IP ديناميكيًا وبالتالي متنوعًا؟ إذن ، تعد خدمة DNS الديناميكية (ddns) بديلاً جيدًا. يمكنك ببساطة إعداده على جهاز NAS الخاص بك (انظر المربع "Dynamic dns service on your nas") ثم أدخل العنوان بدلاً من عنوان IP في ملف التعريف (لا يحدث هذا تلقائيًا). باستخدام Synology ، يكون نظام أسماء النطاقات الديناميكي مفيدًا جدًا ، لأنه يمكنك بعد ذلك استخدام شهادة الخادم التي تم إنشاؤها لإعداد الاتصال ، لحل مشكلة الشهادة.
خدمة نظام أسماء النطاقات الديناميكية على ناس
باستخدام خدمة DNS الديناميكية (ddns) ، يتم الاحتفاظ بعنوان IP الخاص بك وتمريره إلى خادم خارجي ، مما يضمن ارتباط اسم المضيف المختار دائمًا بعنوان IP الصحيح. يمكنك فقط تشغيل هذا على ناسك. في Synology ستجده تحت لوحة التحكم / الوصول عن بعد. الأسهل هو اختيار Synology كمزود خدمة (مجاني) مع اسم مضيف واسم نطاق متاحين (نختار 154.synology.me) ، طالما أن المجموعة متوفرة. اختياريًا ، يمكنك أيضًا إعداد مزود DNS مخصص. في QNAP تذهب إلى لوحة التحكم / الشبكة والتبديل الظاهري. تحت العنوان الوصول إلى الخدمات هل تجد الخيار دنس. يمكنك إعداد مزود ddns مخصص ، وكذلك تكوين واستخدام خدمة myQNAPcloud الخاصة بـ QNAP نفسها. يرشدك المعالج خلال الإعدادات. في النهاية يمكنك اختيار الخدمات التي يجب إعدادها. لأسباب أمنية يمكنك تقييد ذلك فقط دنس لإختيار.
07 إضافة شهادات
باستخدام QNAP ، تعتمد المصادقة عند تسجيل الدخول إلى خادم VPN على اسم المستخدم وكلمة المرور فقط. مع Synology ، تحتاج أيضًا إلى شهادتي عميل لمنع أخطاء الاتصال ، والتي تعد بالطبع أكثر أمانًا أيضًا. يمكنك إضافتها يدويًا في التطبيق ، ولكن أيضًا (كما نفعل هنا) قم بتضمينها في ملف تعريف OpenVPN. نستخدم شهادة ddns (في مثالنا تنتمي إلى 154.synology.me) للشهادتين. اذهب إلى لوحة التحكم / الأمن. انقر على تهيئة وتأكد من تحديد هذه الشهادة في الخلف خادم VPN. أغلق النافذة بامتداد يلغي. انقر بزر الماوس الأيمن على الشهادة واختر شهادة التصدير.
استخراج ملف مضغوط. افتح ملف تعريف OpenVPN في محرر نصي. في الجزء السفلي ترى كتلةبمحتويات تقريبا CRT. أدناه تضيف كتلة التي تدخل فيها محتويات cert.pem مجموعات. ثم أضف كتلة أخرى بمحتويات privkey.pem. باستخدام ملف التعريف هذا ، يمكنك إعداد اتصال بالاشتراك مع حساب المستخدم على NAS الخاص بك.
08 خيارات التكوين الأخرى
يمكنك تعيين المزيد من الخيارات وفقًا لتفضيلاتك. الأول يعتمد على الغرض من الاستخدام. هل تريد فقط استخدام اتصال VPN للوصول إلى شبكتك المنزلية عن بُعد؟ في Synology عليك بعد ذلك التأكد من ذلك قبل السطر إعادة توجيه بوابة def1 في ملفك الشخصي قوس (#) بحيث يتم التعامل معها كتعليق. إذا قمت بإزالة القوس ، فستمر كل حركة المرور عبر نفق VPN ، وكذلك لمواقع الويب العادية التي تزورها ، على سبيل المثال. باستخدام QNAP ، يعد هذا إعداد خادم ، لذا فهو لا يؤثر على ملف التعريف. قمت بتعيينه خدمة QVPN مع الخيار استخدم هذا الاتصال كبوابة افتراضية للأجهزة الخارجية. إذا قمت بتشغيله ، فسوف تمر كل حركة المرور من عميل VPN عبر نفق VPN. هل تريد التحقق من ذلك؟ ثم قم بزيارة http://whatismyipaddress.com باستخدام متصفح. إذا كان عنوان IP العام الخاص بك (لاتصالك بالإنترنت) مدرجًا هنا ، فأنت تعلم أن حركة المرور تمر عبر النفق.
09 ميناء الشحن في جهاز التوجيه
في هذه الدورة التدريبية الأساسية ، قمنا بتعيين بروتوكول udp على المنفذ 1194 لخادم vpn ، وهذه أيضًا هي حركة المرور الوحيدة التي تحتاجها لإعادة التوجيه من جهاز التوجيه الخاص بك إلى ناس الخاص بك مع قاعدة إعادة توجيه المنفذ. يُنصح أولاً بإعطاء NAS عنوان IP ثابت في شبكتك. تختلف الطريقة التي تضيف بها مثل هذه القاعدة لكل جهاز توجيه. القاعدة نفسها بسيطة. تستخدم حركة المرور الواردة بروتوكول udp والمنفذ هو 1194. كوجهة تقوم بإدخال عنوان IP الخاص بشركتك والمنفذ هو 1194 الآن.
10 الوصول من الهاتف الذكي
إنها ليست سوى خطوة صغيرة لاستخدام اتصال VPN من هاتف ذكي. تأكد من أنك متصل بشبكة خارجية (مثل شبكة الهاتف المحمول) وليس على شبكة WiFi الخاصة بك ، بحيث تقوم بالفعل بإجراء اتصال من الخارج. كما هو موضح ، نستخدم تطبيق OpenVPN Connect الرسمي الذي يمكنك تنزيله من متجر Google Play Store أو iOS App Store. يمكنك توصيل هاتف ذكي يعمل بنظام Android بجهاز الكمبيوتر ، وبعد ذلك يمكنك نسخ ملف تعريف OpenVPN إلى مجلد التنزيل. ثم قم باستيراد ملف التعريف مع التطبيق عبر استيراد ملف تعريف / ملف. باستخدام iPhone ، يمكنك استخدام iTunes ، أو إرسال ملف تعريف OpenVPN بالبريد الإلكتروني إلى نفسك وفتحه في تطبيق OpenVPN.
أدخل اسم المستخدم وكلمة المرور المرتبطين بحسابك على NAS. يمكنك الآن الاتصال عن طريق النقر على ملف التعريف. بعد ذلك ، يمكنك الوصول إلى NAS والشبكة المنزلية التي يتصل بها NAS الخاص بك.
قيود عند استخدام IPv6
في هذه المقالة ، نفترض أنك تستخدم عنوان IPv4 لخادم vpn وليس ipv6. في بعض الحالات هذه مشكلة. على سبيل المثال ، لم يعد مزودو الإنترنت مثل Ziggo يمنح العملاء أحيانًا عنوان IPv4 عام. في مثل هذه الحالة ، يمكنك فقط تلقي الاتصالات الواردة إلى خادم VPN الخاص بك عبر ipv6. وهذه مشكلة أخرى إذا كنت ترغب في الاتصال بهاتفك الذكي من شبكة الهاتف المحمول ، لأن ipv6 لا يتم تقديمه إلا بشكل ضئيل على اتصالات الهاتف المحمول.