การใช้งาน VPN Server สำหรับ Synology NAS

VPN (Virtual Private Network)  เป็นเครือข่ายเสมือนส่วนตัว ที่ทำงานบนเครือข่ายสาธารณะอย่างอินเตอร์เน็ต หรือสามารถใช้งานบนเครือข่ายขององค์กรก็ได้ โดยจะมีการเข้ารหัสในการรับส่งข้อมูล เพื่อให้ข้อมูลมีความปลอดภัยมากขึ้น

ปกติการนำ VPN มาใช้กับองค์กรเพื่อการรับส่งข้อมูลระหว่างสาขา  หรือ เชื่อมต่อจากอุปกรณ์เคลื่อนที่ของพนักงานที่ทำงานภาคสนาม (Work From Anywhere) หรือทำงานจากที่บ้าน (Work From Home)  ลูกค้า หรือ บริษัทคู่ค้าให้เข้าถึงข้อมูลที่กำหนดไว้ 

เนื่องจากเป็นการทำงานผ่านอินเตอร์เน็ต  การกำหนดหรือสร้างความปลอดภัยของข้อมูลจึงมีความสำคัญอย่างมาก การทำงานของ VPN จึงมีการส่งข้อมูลเป็นแพ็กเก็ต และมีการเข้ารหัสข้อมูล (Data Encryption) ก่อนการส่งข้อมูล แล้วจึงส่งข้อมูลผ่านอุโมงค์ (Tunneling) ซึ่งจะถูกสร้างขึ้นจากจุดต้นทางไปถึงปลายทางระหว่าง เพื่อให้เกิดความความปลอดภัยจากการดักจับข้อมูลระหว่างทางจากผู้ไม่หวังดี ไม่สามารถอ่านข้อมูลได้ จะมีเพียงผู้รับปลายทางเท่านั้นที่สามารถถอดรหัสข้อมูลและนำข้อมูลไปใช้ได้

Synology NAS สามารถประยุกต์ใช้งาน VPN ในองค์กรซึ่งจะช่วยให้การทำงานสะดวกขึ้น ทั้งการเชื่อมต่อระหว่างสาขาหรือพนักงานที่ทำงานภายนอกบริษัท โดยยังให้ความปลอดภัยในการรับส่งข้อมูลของบริษัทไม่ต่างจากการทำงานที่ออฟฟิศเลย โดยเราสามารถเปิดการใช้งาน VPN ตามขั้นตอนดังนี้

1) ติดตั้งแอพพลิเคชั่น VPN Server ที่อยู่ใน Package Center โดยการกด Install แล้วรอสักครู่

2) เปิดแอพพลิเคชั่น VPN Server จะปรากฏโปรโตคอลที่ใช้ในการเชื่อมต่อ ให้เลือกใช้งาน 3 วิธี

2.1 PPTP (Point-to-Point Tunneling Protocol)  เป็นโปรโตคอลที่เก่าแก่ที่สุดที่มีการใช้งานอยู่ โดยได้รับการพัฒนาโดย Microsoft ดังนั้นจึงมี VPN Client ติดตั้งอยู่ใน Windows อยู่แล้ว จึงทำให้ PPTP เป็นวิธีที่ง่ายที่สุดในการติดตั้งและเร็วที่สุด  

อย่างไรก็ตาม PPTP เป็นโปรโตคอลที่เก่ามากแล้ว อาจมีความเสี่ยงด้านความปลอดภัย และ ยังพบว่ามีการถูกเจาะระบบรักษาความปลอดภัยได้ในหลายครั้ง เราจึงไม่แนะนำให้ใช้ PPTP สำหรับธุรกิจ คงใช้งานได้ในระดับบุคคล หรือ ใช้ทดสอบเรียนรู้การใช้งาน VPN ขั้นต้นเพื่อสร้างความเข้าใจ ก่อนไปใช้งาน VPN โปรโตคอลที่มีความปลอดภัยในระดับสูงต่อไป

วิธีเปิดการใช้งาน PPTP :

- เมนูซ้ายมือของแอพพลิเคชั่น VPN Server ให้เลือกแท็บ PPTP แล้วติ๊ก Enable PPTP VPN Server ค่าต่างๆที่ปรากฏสามารถเปลี่ยนแปลงหรือกำหนดใหม่ได้ แต่สำหรับมือใหม่ แนะนำให้ใช้ค่าที่ระบบกำหนดมาให้ เพื่อความสะดวกและราบรื่นในการใช้งาน เมื่อกด Apply ก็เป็นอันเสร็จสิ้น  แต่จะมีข้อความแจ้งเตือนถึงความปลอดภัยในการใช้งาน ก็ให้กดยืนยันเพื่อใช้งานต่อไป

- เมื่อเปิดการใช้งาน PPTP แล้ว การจะเข้าถึง Synology NAS จากเครือข่ายอินเตอร์เน็ต ต้องมีการฟอร์เวิร์ดพอร์ต TCP 1723 ที่ PPTP ใช้ในการเชื่อมต่อ โดยที่เข้าไปกำหนดค่า NAT ในเร้าเตอร์เพื่อให้ชี้ พอร์ต 1723ไปยังไอพีแอดเดรสของ Synology NAS

 

- เมนูซ้ายมือของแอพพลิเคชั่น VPN Server ให้เลือกแท็บ Privilege เพื่อให้สิทธิ์ผู้ใช้งานที่สามารถเข้าถึงด้วยโปรโตคอล PPTP ได้

- สร้างโปรไฟล์การเชื่อมต่อ VPN ใน Windows โดยเข้าไปกำหนดค่าดังนี้

  ไปที่ Network & Internet setting เลือกหัวข้อ VPN และกดเลือก + Add a VPN connection

            VPN provider : เลือก Windows (built-in)

            Connection name : กำหนดชื่อการเชื่อมต่อ เพื่อความสะดวกในการเรียกใช้งาน

            Server name or address : ชื่อคลาวด์ที่เราตั้งไว้ (หากยังไม่ได้กำหนด ต้องไปกำหนดก่อน)

            VPN type : เลือก Point-to-Point Tunneling Protocol (PPTP)

            Type of sign-in info : เลือก User name and password

            User name (optional) :  เลือกผู้ใช้งานที่มีอยู่ใน User (หากยังไม่มี ให้ไปสร้างก่อน) 
            Password (optional) :

            กด Save เพื่อบันทึก  เพื่อเรียกใช้งานต่อไป

2.2 OpenVPN เป็นโปรโตคอลใหม่ และสามารถกำหนดค่าระดับสูงได้ ทำให้สามารถปรับเปลี่ยนค่าได้ ทำงานได้ดีบนพอร์ต UDP แต่ก็สามารถตั้งค่าเพื่อให้สามารถทำงานได้บนพอร์ตอื่นๆได้ ที่สำคัญ OpenVPN เป็นโอเพนซอร์ส ทำให้มีการเปิดเผยข้อมูลซอร์สโค๊ด หากมีข้อบกพร่องด้านความปลอดภัยก็จะถูกแจ้งและแก้ไขโดยเร็ว และด้วยการรองรับอัลกอริทึ่มการเข้ารหัสแบบต่างๆ ทำให้ OpenVPN ให้มีความปลอดภัยในระดับที่สูง จึงได้รับความนิยมอย่างแพร่หลายในปัจจุบัน

วิธีเปิดการใช้งาน OpenVPN :

- เมนูซ้ายมือของแอพพลิเคชั่น VPN Server ให้เลือกแท็บ OpenVPN แล้วติ๊ก Enable OpenVPN VPN Server ค่าต่างๆที่ปรากฏสามารถเปลี่ยนแปลงหรือกำหนดใหม่ได้เพื่อเพิ่มระดับรักษาความปลอดภัย แต่สำหรับมือใหม่ แนะนำให้ใช้ค่าที่ระบบกำหนดมาให้ เพื่อความสะดวกในการติดตั้งใช้งาน และปรับเปลี่ยนในภายหลัง เมื่อใช้งานจนมีความชำนาญแล้ว

- กด Export Configuration เพื่อนำไฟล์ VPNConfig.ovpn มาแก้ไขด้วย Notepad หรือโปรแกรมอื่นที่คล้ายกัน โดยให้เปลี่ยน YOUR_SERVER_IP ให้เป็น ชื่อคลาวด์ที่เราตั้งไว้ แล้วบันทึกเพื่อนำไปอิมพอร์ทในโปรแกรม OpenVPN Connect ในขั้นตอนต่อไป

- เมนูซ้ายมือของแอพพลิเคชั่น VPN Server ให้เลือกแท็บ Privilege เพื่อให้สิทธิ์ผู้ใช้งานที่สามารถเข้าถึงด้วยโปรโตคอล OpenVPN ได้

- การเปิดการใช้งาน OpenVPN เพื่อเข้าถึง Synology NAS จากเครือข่ายอินเตอร์เน็ต ต้องมีการฟอร์เวิร์ดพอร์ตเช่นเดียวกับ VPN แบบอื่นๆ โดยในกรณีของ OpenVPN เราจะใช้โปรโตคอล UDP Port 1194 โดยที่เข้าไปกำหนดค่า NAT ในเร้าเตอร์เพื่อให้ชี้ พอร์ต 1194 ไปยังไอพีแอดเดรสของ Synology NAS ตามรูป

- ดาวน์โหลดโปรแกรม OpenVPN Client จากเว็บไซต์ https://openvpn.net เพื่อติดตั้งลงในเครื่องคอมพิวเตอร์ที่จะใช้งานตามแพลตฟอร์มเช่น Windows , MacOS, Linux, Android, IOS 

เมื่อเราเปิดใช้โปรแกรม OpenVPN ครั้งแรก จะมีการถามและให้นำเข้า VPNConfig.ovpn หากเราดำเนินได้ถูกต้องจะมี โปรไฟล์ และ ที่อยู่ของโฮสต์ ปรากฏตามรูป ให้ระบุผู้ใช้งานที่มีสิทธิ์ใช้งาน OpenVPN เพื่อดำเนินการเชื่อมต่อ 

 

- หากปรากฏการแจ้งเตือน Missing external certificate หากเราไม่มีไฟล์นี้ก็ไม่เป็นไร เราสามารถกดปุ่ม Continue เพื่อดำเนินการเชื่อมต่อไปได้เลย

 

2.3 L2TP/IPSec (Layer 2 Tunneling Protocol/Internet Protocol security) เป็นเหมือนโปรโตคอลอัพเกรดจาก PPTP แต่เนื่องจาก L2TP ไม่ได้มีการเข้ารหัสที่เข้มงวดนัก จึงต้องมีการใช้งานร่วมกับ IPsec

โปรโตคอล L2TP/IPSec มักจะมีปัญหากับไฟร์วอลล์ โดยเฉพาะเมื่อต้องมีการใช้งานผ่าน NAT ที่เร้าเตอร์ เนื่องจากอาจถูกบล็อกโดยไฟร์วอลล์ ในระบบปฏิบัติการ Windows 10 หากจะใช้งานโปรโตคอลนี้ จึงต้องแก้ไข Registry เพื่อปรับแต่งไฟร์วอลล์ด้วย ไม่เหมาะกับผู้ที่ไม่ชำนาญระบบความปลอดภัย จึงขอแนะนำให้ใช้ OpenVPN ที่ได้รับความนิยมและใช้งานกันอย่างแพร่หลายมากกว่า

แต่สำหรับผู้ที่ต้องการศึกษาและลองใช้โปรโตคอล L2TP/IPSec สามารถดำเนินการได้ตามขั้นตอนนี้

- เมนูซ้ายมือของแอพพลิเคชั่น VPN Server ให้เลือกแท็บ L2TP/IPSec แล้วติ๊ก Enable L2TP/IPSec VPN Server ค่าต่างๆที่ปรากฏสามารถเปลี่ยนแปลงหรือกำหนดใหม่ได้ แต่สำหรับมือใหม่ แนะนำให้ใช้ค่าที่ระบบกำหนดมาให้ เพื่อความสะดวกและราบรื่นในการใช้งาน จุดสำคัญจะอยู่ที่ Pre-shared key เป็นการเข้ารหัสก่อนการส่งข้อมูล ควรตั้งให้มีความยากในการถอดรหัสเช่น อักษรเล็ก-ใหญ่และตัวเลขผสมกัน  จากนั้นกด Apply เพื่อดำเนินการต่อไป

- เมื่อเปิดการใช้งาน L2TP/IPSec จะต้องมีการฟอร์เวิร์ดพอร์ต UDP 500, 1701, 4500 ที่ใช้ในการเชื่อมต่อ โดยที่เข้าไปกำหนดค่า NAT ในเร้าเตอร์เพื่อให้ชี้พอร์ตเหล่านี้ไปยังไอพีแอดเดรสของ Synology NAS และต้องตรวจสอบด้วยว่าไม่ได้ถูกบล๊อกด้วยไฟร์วอลล์ในระบบ

- สำหรับผู้ใช้งานระบบปฏิบัติการ Windows 10 ต้องแก้ไข Registry ด้วย โดยการค้นหา
            HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

            เพิ่มค่า DWORD (32-bit) เข้าไป

            พิมพ์ AssumeUDPEncapsulationContextOnSendRule และ แก้พารามิเตอร์เป็น 2 แล้วกด OK

            (รายละเอียดของพารามิเตอร์ ดูเพิ่มเติมได้ที่ (Configure a L2TP/IPsec server behind a NAT)

             

- เมนูซ้ายมือของแอพพลิเคชั่น VPN Server ให้เลือกแท็บ Privilege เพื่อให้สิทธิ์ผู้ใช้งานที่สามารถเข้าถึงด้วยโปรโตคอล L2TP/IPSec ได้

- สร้างโปรไฟล์การเชื่อมต่อ VPN ใน Windows โดยเข้าไปกำหนดค่าดังนี้

  ไปที่ Network & Internet setting เลือกหัวข้อ VPN และกดเลือก + Add a VPN connection

            VPN provider : เลือก Windows (built-in)

            Connection name : กำหนดชื่อการเชื่อมต่อ เพื่อความสะดวกในการเรียกใช้งาน

            Server name or address : ชื่อคลาวด์ที่เราตั้งไว้ (หากยังไม่ได้กำหนด ต้องไปกำหนดก่อน)

            VPN type : เลือก L2TP/IPSec with pre-shared key

            Pre-shared key : ใส่รหัสที่เราตั้งไว้ในขั้นตอนเปิดใช้งาน L2TP/IPSec

            Type of sign-in info : เลือก User name and password

            User name (optional) :  เลือกผู้ใช้งานที่มีอยู่ใน User (หากยังไม่มี ให้ไปสร้างก่อน) 
            Password (optional) :

            กด Save เพื่อบันทึก  เพื่อเรียกใช้งานต่อไป