NAS: Instalujeme a konfigurujeme VPN
3.6.2013, Radan Tuhý, návod
Jakmile si zvykneme na pohodlí, které domácí NAS přináší, dříve či později nastane chvíle, kdy se nám bude hodit přistupovat k našim domácím datům z jiné lokace. Bezpečný způsob, jak toho dosáhnout, je instalace a konfigurace VPN přímo na NASu.
Kapitoly článku:
- Úvod, teoretický základ
- Instalace a konfigurace VPN serveru
- Nastavení firewallu a routeru
- Vytváříme připojení k VPN, závěr
Prvním krokem je konfigurace firewallu, který musí mít povoleny porty, které jsme zmiňovali v předchozí kapitole. Pokud jsme doteď z jakéhokoli důvodu porty nepovolili (případně jsme firewall nainstalovali až dodatečně), je potřeba učinit tak nyní.
Firewall nalezneme v ovládacím panelu (Control Panel), kde je ikonka Firewall and QoS. Na tuto ikonku klikneme. Zobrazí se nám obvykle prázdná tabulka, kde je potřeba definovat nové pravidlo. Toho dosáhneme kliknutím na tlačítko Create.
V nově otevřeném okně v sekci Ports vybereme možnost Select from a list of bulit-in applications a klikneme na tlačítko Select. Tam povolíme odpovídající porty (v seznamu nalezneme jak PPTP, tak OpenVPN). Pak vše potvrdíme pomocí OK a nakonec uložíme konfiguraci firewallu pomocí tlačítka Save.
V tento okamžik máme náš NAS kompletně nastavený a připravený ke vzdálenému připojení pomocí VPN. Pokud bychom měli NAS zapojený přímo do internetu, nejspíš by nebylo nic dalšího potřeba. Jelikož tomu tak ale obvykle nebývá a často bývá NAS zapojen v lokální domácí síti (typicky za routerem), bude potřeba ještě zkontrolovat, zda je router správně nakonfigurován.
Na začátek bychom rádi poukázali na skutečnost, že routerů je veliké množství. Rozhraní jednotlivých firmwarů se proto bude poměrně zásadně lišit. Pokud byste nemohli ve vašem rozhraní routeru najít tu správnou volbu, nezbude nic jiného, než si vzít k ruce manuál (popřípadě jej najít na internetu dle konkrétního modelu).
Pro naše účely jsme použili router TP-LINK TL-WR1043ND s nainstalovaným alternativním firmware DD-WRT. Pokud máte na jakémkoli routeru nainstalován právě tento firmware, bude možné následující postup s největší pravděpodobností použít.
Nejprve si tedy otevřeme adresu webového rozhraní, kde se přihlásíme pomocí administrátorského účtu. Následně přejdeme do sekce zabezpečení, kde je obvykle záložka VPN Passthrough. V ní se ujistíme, že je povoleno PPTP Passthrough (eventuálně také další podobné možnosti dle typu konfigurovaného VPN připojení).
Druhou částí je nasměrování odpovídajících portů na správnou IP adresu. Pokud se budeme k našemu NASu připojovat z internetu, budeme zadávat jako adresu serveru naši veřejnou IP adresu (ta je k úspěšnému navázání spojení potřeba), ovšem již nemůžeme zadat lokální IP adresu našeho NASu. Proto je nutné toto přesměrování portů provést.
V případě DD-WRT je sekce umístěna v záložce NAT / QoS, kde se nachází tabulka pojmenovaná Port Forward. Do ní zadáme odpovídající porty a IP adresy. Výsledek by mohl vypadat například tímto způsobem.
Nastavení uložíme a v případě nutnosti restartujeme router, abychom se ujistili, že je vše úspěšně aplikováno.
Pro úplnost bychom rádi poukázali na fakt, že není nutné přesměrovat oba porty. Záleží na tom, zda budeme využívat OpenVPN, nebo PPTP. Pokud tedy například plánujete implementovat pouze OpenVPN (důrazně doporučeno), není nutné přesměrovávat port 1723, ale stačí přesměrovat jen port 1194.
Pro využití OpenVPN nahrává ještě druhá skutečnost, kterou je (kromě prolomeného šifrování) také blokace potencionálně nebezpečného portu 1723 některými poskytovateli internetu. To by v praxi znamenalo nemožnost se k VPN připojit pomocí PPTP, a to i za předpokladu, že budete mít vše nakonfigurováno správně.
Pokud jste tedy plánovali implementaci PPTP, doporučujeme si dopředu ověřit, zda váš ISP tento port neblokuje. To platí jednak pro připojení, ke kterému je připojeny NAS, tak také pro připojení, ze kterého plánujete navazovat VPN spojení.
Konfigurace je tedy nyní hotova. Zbývá poslední krok - nastavení VPN připojení na klientské stanici. Tomuto tématu je věnována poslední kapitola našeho článku.
Firewall nalezneme v ovládacím panelu (Control Panel), kde je ikonka Firewall and QoS. Na tuto ikonku klikneme. Zobrazí se nám obvykle prázdná tabulka, kde je potřeba definovat nové pravidlo. Toho dosáhneme kliknutím na tlačítko Create.
V nově otevřeném okně v sekci Ports vybereme možnost Select from a list of bulit-in applications a klikneme na tlačítko Select. Tam povolíme odpovídající porty (v seznamu nalezneme jak PPTP, tak OpenVPN). Pak vše potvrdíme pomocí OK a nakonec uložíme konfiguraci firewallu pomocí tlačítka Save.
V tento okamžik máme náš NAS kompletně nastavený a připravený ke vzdálenému připojení pomocí VPN. Pokud bychom měli NAS zapojený přímo do internetu, nejspíš by nebylo nic dalšího potřeba. Jelikož tomu tak ale obvykle nebývá a často bývá NAS zapojen v lokální domácí síti (typicky za routerem), bude potřeba ještě zkontrolovat, zda je router správně nakonfigurován.
Konfigurace routeru
Na začátek bychom rádi poukázali na skutečnost, že routerů je veliké množství. Rozhraní jednotlivých firmwarů se proto bude poměrně zásadně lišit. Pokud byste nemohli ve vašem rozhraní routeru najít tu správnou volbu, nezbude nic jiného, než si vzít k ruce manuál (popřípadě jej najít na internetu dle konkrétního modelu).
Pro naše účely jsme použili router TP-LINK TL-WR1043ND s nainstalovaným alternativním firmware DD-WRT. Pokud máte na jakémkoli routeru nainstalován právě tento firmware, bude možné následující postup s největší pravděpodobností použít.
Nejprve si tedy otevřeme adresu webového rozhraní, kde se přihlásíme pomocí administrátorského účtu. Následně přejdeme do sekce zabezpečení, kde je obvykle záložka VPN Passthrough. V ní se ujistíme, že je povoleno PPTP Passthrough (eventuálně také další podobné možnosti dle typu konfigurovaného VPN připojení).
Druhou částí je nasměrování odpovídajících portů na správnou IP adresu. Pokud se budeme k našemu NASu připojovat z internetu, budeme zadávat jako adresu serveru naši veřejnou IP adresu (ta je k úspěšnému navázání spojení potřeba), ovšem již nemůžeme zadat lokální IP adresu našeho NASu. Proto je nutné toto přesměrování portů provést.
V případě DD-WRT je sekce umístěna v záložce NAT / QoS, kde se nachází tabulka pojmenovaná Port Forward. Do ní zadáme odpovídající porty a IP adresy. Výsledek by mohl vypadat například tímto způsobem.
Nastavení uložíme a v případě nutnosti restartujeme router, abychom se ujistili, že je vše úspěšně aplikováno.
Pár poznámek ke konfiguraci
Pro úplnost bychom rádi poukázali na fakt, že není nutné přesměrovat oba porty. Záleží na tom, zda budeme využívat OpenVPN, nebo PPTP. Pokud tedy například plánujete implementovat pouze OpenVPN (důrazně doporučeno), není nutné přesměrovávat port 1723, ale stačí přesměrovat jen port 1194.
Pro využití OpenVPN nahrává ještě druhá skutečnost, kterou je (kromě prolomeného šifrování) také blokace potencionálně nebezpečného portu 1723 některými poskytovateli internetu. To by v praxi znamenalo nemožnost se k VPN připojit pomocí PPTP, a to i za předpokladu, že budete mít vše nakonfigurováno správně.
Pokud jste tedy plánovali implementaci PPTP, doporučujeme si dopředu ověřit, zda váš ISP tento port neblokuje. To platí jednak pro připojení, ke kterému je připojeny NAS, tak také pro připojení, ze kterého plánujete navazovat VPN spojení.
Konfigurace je tedy nyní hotova. Zbývá poslední krok - nastavení VPN připojení na klientské stanici. Tomuto tématu je věnována poslední kapitola našeho článku.
