A titkosított adatkapcsolat nemcsak akkor jön jól, ha olyan országba látogatunk, ahol kisebb-nagyobb mértékben cenzúrázzák a netet (vége a világnak, ha nem tudjuk Facebookra feltenni a kínai kaland legújabb fejleményeit), hanem akkor is, ha bármilyen eszközzel gyakran kapcsolódunk szállodai vagy nyilvános WiFi hálózatra. Ha VPN-kapcsolatot létesítünk az otthoni routerrel, akkor egy titkosított csatorna jön létre az eszközök között, amelynek köszönhetően távolról is éppen úgy használhatjuk az internetet, mintha csak az otthoni hálózatra csatlakoznánk.
A VPN-kapcsolathoz szükség van egy szerverre és egy kliensre; a kliens értelemszerűen a telefonunk vagy a notebook lesz. Szerverként több dolog is használható: a számítógépre feltelepíthetünk például VPN-szerer alkalmazást, de sok NAS vagy megfelelő szoftverrel a Raspberry Pi is alkalmas arra, hogy kezelje a VPN-kapcsolatokat. A Synology routere ezekhez a kütyükhöz képest annyiban nyújt jobb megoldást, hogy a VPN-hez nem kell rajta kívül másik kütyüt is folyamatosan bekapcsolva hagyni.
Mire lesz szükségünk?
Egy Synology routerre és nagyjából 10 percnyi időre, amíg a szükséges beállításokat elvégezzük. Mielőtt nekifognánk, érdemes azt is ellenőrizni, hogy a router a legfrissebb operációs rendszert használja-e vagy sem. Ha nem, akkor először frissítsünk! Mindezeken kívül kelleni fog még egy DDNS-cím is, hiszen a kapcsolódó eszközöknek mindig tudnia kell, hogy a routert milyen címen érhetik el.
DDNS-szolgáltatás beállítása
Kezdjük a sort visszafelé; a Synology saját DDNS-szolgáltatást üzemeltet, így nem kell másik szolgáltatóhoz fordulni. Ha még nem tettük volna, hozzunk létre egy Synology felhasználói fiókot – ezt megtehetjük akár böngészőből is. Ha megvagyunk, akkor a router kezelőfelületén a Hálózati központra, azon belül pedig a QuickConnect & DDNS fülre kell kattintani.
Adjuk meg a regisztráció során használt belépési adatokat, majd engedélyezzük a QuickConnect szolgáltatást. Válasszunk egy egyedi azonosítót. Ha megvagyunk, akkor a router a továbbiakban elérhető az azonosito.synology.me címen keresztül, nem kell többé a szolgáltatók dinamikusan kiosztott IP-címeivel bajlódni.
VPN Server Plus
A Synology routere alapból nem tud VPN-kiszolgálóként működni, viszont a Csomagkezelési központon keresztül villámgyorsan telepíthető a VPN Plus Server csomag; töltsük le, telepítsük és indítsuk is el a programot. A konfigurációs ablakban rögtön látszik, hogy többféle VPN-szervert is beüzemelhetünk. A klasszikus megoldások mellé a Synology is odatette a sajátját, aminek megvan az az előnye, hogy saját kliens is jár hozzá, így a VPN-kapcsolatot pár kattintással konfigurálhatjuk.
Nézzük is, hogyan! Az SSL VPN-re lesz szükségünk, engedélyezzük ezt a szolgáltatást. Az alapbeállítások megfelelőek, és mivel a router maga felel azért is, hogy az internetről érkező forgalmat menedzselje, a port átirányításával sem kell foglalkozni. Telefonon (vagy notebookon) a Synology VPN Plus alkalmazást kell telepíteni, amelyet pillanatok alatt beállíthatunk: mindössze a DDNS-címre és a router belépési adataira van szükség.
Ez tényleg jól hangzik, a Synology VPN-nek viszont van egy hátránya is: a routerhez csak egyetlen licenc jár, vagyis egyszerre csak egy aktív felhasználói fiókunk lehet. (A többszöri belépés megengedett, de ez akkor sem optimális megoldás.)
OpenVPN
Ha több felhasználót szeretnénk menedzselni, viszont nem akarunk újabb licenceket vásárolni, akkor valamelyik sztenderd VPN-t tudjuk hadrendbe állítani. SSTP, L2TP, PPTP és OpenVPN kiszolgálók közül választhatunk, a továbbiakban az OpenVPN-t fogjuk bemutatni. Engedélyezzük a szervert, és nézzük át a beállításokat. Az alapértékek itt is megfelelőek, az egyidejű fiókok számát viszont érdemes legalább 10-re emelni. Nyomjunk az Alkalmaz gombra a beállítások érvényesítéséhez. Maradjunk még ugyanennél az ablaknál; találunk itt egy Konfiguráció exportálása gombot. Kattintsunk rá, és töltsük le a konfigurációs fájlt.
Ez egy zip fájl, amelyben egy txt és egy ovpn állomány található, nekünk ez utóbbira lesz szükségünk ahhoz, hogy az OpenVPN kliens csatlakozni tudjon a routerhez. Viszont a fájl még nem használatra kész! Nyissuk meg egy szövegszerkesztővel (Notepad vagy Notepad++, például), mert két sort is módosítani kell benne.
Először is meg kell adni az az elérési útvonalat, amelyen keresztül a kliensek csatlakozni tudnak a routerhez. A
remote YOUR_SERVER_IP 1194
sort módosítsuk úgy, hogy a YOUR_SERVER_IP helyére beírjuk a DDNS-címünket; szerkesztés után tehát valami ilyesmit kell, hogy kapjunk:
remote azonosito.synology.me 1194
A második változtatás már egyszerűbb, és az alábbi sort érinti:
#redirect-gateway def1
Itt nincs sok teendőnk, csak annyi, hogy a # jelet eltávolítjuk a sor elejéről. Ezzel arra utasítjuk a klienst, hogy az összes hálózati forgalmat, beleértve az internetes forgalmat is, a VPN-szerveren keresztül bonyolítsa le. Ha a cél nem az, hogy a vállalati munkakörnyezethez kapcsolódjunk távolról, hanem nyílt WiFi hálózaton szeretnénk biztonságosan netezni, vagy olyan szolgáltatást akarunk használni, ami egy adott régióban nem elérhető, akkor az átirányításra mindenképpen szükség van.
A szerkesztett ovpn fájlt másoljuk át a kliens gépre – mondjuk egy androidos okostelefonra. Töltsük le és indítsuk el az OpenVPN-klienst a mobilon. Nyissuk meg a menüt (jobb felső sarok) és válasszuk az Import menüpontot, majd az Import Profile from SD Card opciót. Keressük meg az imént felmásolt ovpn-fájlt, és válasszuk ki (Select). Adjuk meg azt a felhasználói név/jelszó párost, amivel csatlakozni szeretnénk, majd nyomjunk a Connectre a csatlakozás felépítéséhez.
Egy figyelmeztetést még kapunk, mivel kliens-oldali tanúsítványt a Synology routere nem gyárt le; kattintsunk a Continue-ra a folytatáshoz (ez a figyelmeztetés a második csatlakozásnál már nem jelenik meg). A sikeres kapcsolódást az állapotsávban megjelenő ikon zöld színnel jelzi.
Tipp: a VPN-kapcsolathoz az admin fiókot semmiképpen sem ajánlott használni. Kattinstunk a VPN Plus Server ablakában az Engedély fülre, és hozzunk létre egy új fiókot, amelyet csak a VPN-hez fogunk használni.
Tipp: a csatlakozó felhasználók listáját a Kapcsolat fülön nézhetjük meg, itt a felhasználói név mellett az is látszik, hogy milyen VPN-szerverhez kapcsolódik a kliens, mióta aktív a kapcsolat és mennyi a forgalmazott adatok mennyisége.