NAS: Instalujeme a konfigurujeme VPN
3.6.2013, Radan Tuhý, návod
Jakmile si zvykneme na pohodlí, které domácí NAS přináší, dříve či později nastane chvíle, kdy se nám bude hodit přistupovat k našim domácím datům z jiné lokace. Bezpečný způsob, jak toho dosáhnout, je instalace a konfigurace VPN přímo na NASu.
Kapitoly článku:
- Úvod, teoretický základ
- Instalace a konfigurace VPN serveru
- Nastavení firewallu a routeru
- Vytváříme připojení k VPN, závěr
Pořízením domácího NASu se nám otevírá nová brána možností, ke kterým můžeme NAS využít. Kromě například vlastního multihostingu je k dispozici poměrně propracovaný systém pro práci s daty a jejich sdílení, a to navíc s možností instalace a konfigurace adresářového serveru. To vše nám umožňuje pohodlnou a téměř profesionální práci s našimi daty, akorát s jednou malou podmínkou - musíme se nacházet v naší domácí síti. Nebo ne?
Nemusí to být tak úplně pravda. Existuje způsob, díky kterému získáme možnost připojit se do naší lokální sítě odkudkoli z internetu a budeme mít prakticky tytéž možnosti, jako kdybychom byli v daný okamžik doma, tedy v rámci naší lokální sítě. Jediným limitem bude rychlost internetového připojení. Pokud se ptáte, jak toho dosáhnout, tak odpovědí na tuto otázku je instalace a konfigurace VPN, čemuž se budeme věnovat v našem dnešním článku.
Schéma připojení prostřednictvím VPN (obrázek pochází z webových stránek Synology)
Nejprve ale trocha teorie. Co je to vlastně VPN, jaké všeobecně nabízí možnosti, jakým způsobem funguje a co nám přináší za výhody oproti ostatním možnostem přístupu k datům (kupříkladu FTP)? Na tyto otázky se pokusíme odpovědět v této první kapitole.
VPN je Virtuální privátní síť, přičemž samotná zkratka vznikla z anglického Virtual Private Network. Tato síť pak všeobecně slouží jako prostředek, pomocí kterého lze propojit několik počítačů prostřednictvím veřejné (tedy "nedůvěryhodné") sítě, což v praxi znamená pomocí internetu. Díky vytvoření virtuální privátní sítě lze pak dosáhnout stavu, kdy spolu budou moci takto propojené počítače komunikovat stejným způsobem, jako kdyby byly propojeny v rámci jedné uzavřené (tedy důvěryhodné) sítě.
V praxi to vlastně znamená skutečnost, že takovou virtuální (uzavřenou) síť vytvoříme, takže po připojení k VPN je náš počítač připojen jak do sítě internet, tak přes dodatečný virtuální síťový interface do této uzavřené sítě. Z toho pak plyne i chování všech připojených síťových zařízení, které se tváří v rámci VPN jako lokální, proto je možné využívat všechny služby, na které jsme v rámci lokální sítě zvyklí.
V okamžiku navazování spojení je ověřována totožnost obou stran pomocí digitálních certifikátů. Následně dojde k autentizaci, přičemž veškerá síťová komunikace v rámci takto vytvořeného spojení je šifrovaná. To je hlavní důvod, proč je takovéto spojení možné považovat za bezpečné, ačkoli se fakticky odehrává v rámci sítě internet.
Příklad nasazení VPN ve firmě (zdroj: Wikimedia Commons)
Díky tomu je připojení pomocí VPN hojně využíváno zejména v korporátní sféře, jelikož se jedná o bezpečný způsob, jak se připojit například z domova do vnitropodnikové sítě a přistupovat k lokálním serverům (typicky se jedná o fileserver, poštovní server, databáze, účetnictví, apod.) a dalším klientským stanicím.
Způsobů realizace Virtuální privátní sítě je více, proto zde momentálně zmíníme dvě konkrétní možnosti, které jsou v současné době podporovány v rámci NASu Synology DS413, který využíváme v našem seriálu o NASech za účelem testování popisovaných vlastností a možností.
Prvním podporovaným způsobem realizace VPN (v rámci NASu od Synology) je PPTP, neboli Point-to-Point Tunneling Protocol. Jedná se celkem oblíbený protokol, jelikož je jeho konfigurace poměrně nenáročná a jednalo se navíc o první protokol, který byl podporován Vytáčeným připojením sítě (Dial-Up Networking) operačními systémy společnosti Microsoft.
Tento protokol je v současné době plně podporován také v linuxových distribucích, a to konkrétně od verze kernelu 2.6.14. Totéž platí také o systému Mac OS X.
Drobnou nevýhodou je skutečnost, že spojení PPTP jsou ověřována pomocí metod MSCHAP-v2, což vzhledem k prolomení MS-CHAPv2 v červenci 2012 znamená, že není PPTP VPN možné považovat za bezpečné řešení. V našem článku si jeho konfiguraci na NASu sice ukážeme, ale určitě bychom doporučili zvolit druhou možnost, která se nám nabízí, tedy OpenVPN.
Druhou možností je tedy OpenVPN, což je navíc volně dostupný software (včetně zdrojového kódu), proto je jeho podpora všeobecně lépe realizovatelná. OpenVPN umí vytvořit šifrovaný tunel za použití architektury klient-server, navíc umožňuje realizovat přímé spojení mezi stanicemi za NATem (bez nutnosti NAT jakýmkoli způsobem konfigurovat).
Realizované spojení je v tomto případě možné ověřit několika způsoby. První možností je sdílený klíč (z anglického pre-shared key), další variantou je digitální certifikát, no a nakonec máme k dispozici uživatelské jméno a heslo. OpenVPN využívá port 1194, který je oficiálně přidělený a navíc v novějších verzích využit jako implicitní. Obvykle je komunikace realizována pomocí protokolu UDP, ale je možné použít také TCP.
Na rozdíl od PPTP je tento způsob realizace VPN považován za bezpečný, proto jej rozhodně doporučujeme využít.
Nyní máme za sebou krátký teoretický základ, proto můžeme plynule přejít na samotnou praktickou část, kterou je instalace VPN na NASu a jeho následná konfigurace. Tomu jsou věnovány další kapitoly tohoto článku.
Nemusí to být tak úplně pravda. Existuje způsob, díky kterému získáme možnost připojit se do naší lokální sítě odkudkoli z internetu a budeme mít prakticky tytéž možnosti, jako kdybychom byli v daný okamžik doma, tedy v rámci naší lokální sítě. Jediným limitem bude rychlost internetového připojení. Pokud se ptáte, jak toho dosáhnout, tak odpovědí na tuto otázku je instalace a konfigurace VPN, čemuž se budeme věnovat v našem dnešním článku.
Schéma připojení prostřednictvím VPN (obrázek pochází z webových stránek Synology)
Nejprve ale trocha teorie. Co je to vlastně VPN, jaké všeobecně nabízí možnosti, jakým způsobem funguje a co nám přináší za výhody oproti ostatním možnostem přístupu k datům (kupříkladu FTP)? Na tyto otázky se pokusíme odpovědět v této první kapitole.
Co je to VPN
VPN je Virtuální privátní síť, přičemž samotná zkratka vznikla z anglického Virtual Private Network. Tato síť pak všeobecně slouží jako prostředek, pomocí kterého lze propojit několik počítačů prostřednictvím veřejné (tedy "nedůvěryhodné") sítě, což v praxi znamená pomocí internetu. Díky vytvoření virtuální privátní sítě lze pak dosáhnout stavu, kdy spolu budou moci takto propojené počítače komunikovat stejným způsobem, jako kdyby byly propojeny v rámci jedné uzavřené (tedy důvěryhodné) sítě.
V praxi to vlastně znamená skutečnost, že takovou virtuální (uzavřenou) síť vytvoříme, takže po připojení k VPN je náš počítač připojen jak do sítě internet, tak přes dodatečný virtuální síťový interface do této uzavřené sítě. Z toho pak plyne i chování všech připojených síťových zařízení, které se tváří v rámci VPN jako lokální, proto je možné využívat všechny služby, na které jsme v rámci lokální sítě zvyklí.
VPN a zabezpečení
V okamžiku navazování spojení je ověřována totožnost obou stran pomocí digitálních certifikátů. Následně dojde k autentizaci, přičemž veškerá síťová komunikace v rámci takto vytvořeného spojení je šifrovaná. To je hlavní důvod, proč je takovéto spojení možné považovat za bezpečné, ačkoli se fakticky odehrává v rámci sítě internet.
Příklad nasazení VPN ve firmě (zdroj: Wikimedia Commons)
Díky tomu je připojení pomocí VPN hojně využíváno zejména v korporátní sféře, jelikož se jedná o bezpečný způsob, jak se připojit například z domova do vnitropodnikové sítě a přistupovat k lokálním serverům (typicky se jedná o fileserver, poštovní server, databáze, účetnictví, apod.) a dalším klientským stanicím.
Způsobů realizace Virtuální privátní sítě je více, proto zde momentálně zmíníme dvě konkrétní možnosti, které jsou v současné době podporovány v rámci NASu Synology DS413, který využíváme v našem seriálu o NASech za účelem testování popisovaných vlastností a možností.
PPTP versus OpenVPN
Prvním podporovaným způsobem realizace VPN (v rámci NASu od Synology) je PPTP, neboli Point-to-Point Tunneling Protocol. Jedná se celkem oblíbený protokol, jelikož je jeho konfigurace poměrně nenáročná a jednalo se navíc o první protokol, který byl podporován Vytáčeným připojením sítě (Dial-Up Networking) operačními systémy společnosti Microsoft.
Tento protokol je v současné době plně podporován také v linuxových distribucích, a to konkrétně od verze kernelu 2.6.14. Totéž platí také o systému Mac OS X.
Drobnou nevýhodou je skutečnost, že spojení PPTP jsou ověřována pomocí metod MSCHAP-v2, což vzhledem k prolomení MS-CHAPv2 v červenci 2012 znamená, že není PPTP VPN možné považovat za bezpečné řešení. V našem článku si jeho konfiguraci na NASu sice ukážeme, ale určitě bychom doporučili zvolit druhou možnost, která se nám nabízí, tedy OpenVPN.
Druhou možností je tedy OpenVPN, což je navíc volně dostupný software (včetně zdrojového kódu), proto je jeho podpora všeobecně lépe realizovatelná. OpenVPN umí vytvořit šifrovaný tunel za použití architektury klient-server, navíc umožňuje realizovat přímé spojení mezi stanicemi za NATem (bez nutnosti NAT jakýmkoli způsobem konfigurovat).
Realizované spojení je v tomto případě možné ověřit několika způsoby. První možností je sdílený klíč (z anglického pre-shared key), další variantou je digitální certifikát, no a nakonec máme k dispozici uživatelské jméno a heslo. OpenVPN využívá port 1194, který je oficiálně přidělený a navíc v novějších verzích využit jako implicitní. Obvykle je komunikace realizována pomocí protokolu UDP, ale je možné použít také TCP.
Na rozdíl od PPTP je tento způsob realizace VPN považován za bezpečný, proto jej rozhodně doporučujeme využít.
Instalujeme VPN
Nyní máme za sebou krátký teoretický základ, proto můžeme plynule přejít na samotnou praktickou část, kterou je instalace VPN na NASu a jeho následná konfigurace. Tomu jsou věnovány další kapitoly tohoto článku.