侧边栏壁纸
博主头像
是羊刀仙啊博主等级

闲不下来!

  • 累计撰写 84 篇文章
  • 累计创建 31 个标签
  • 累计收到 1 条评论

目 录CONTENT

文章目录

打造固若金汤的NAS内网防线,防御再升级!

羊刀仙
2024-08-29 / 0 评论 / 0 点赞 / 97 阅读 / 6307 字
温馨提示:
本文最后更新于 2024-08-29,若内容或图片失效,请留言反馈。部分素材来自网络,若不小心影响到您的利益,请联系我们删除。

大家好,我是羊刀仙。

本期带来的是威联通NAS相关教程:利用下图的官方软件隐藏应用,建立一个需要强加密的外网访问方式,让内网的应用/设备变得更加安全。

软件界面-vggu.png
本文并非内网穿透,公网IP为硬性需求,需要一定的基础知识,不过跟着步骤来应该问题不大。

由于众所周知的原因,相关内容尽可能在图中标注,尽量减少文字内容。

简单介绍

VPN(虚拟专用网络)实际上相当于建立了一个虚拟的局域网,允许经过验证的客户端加入该虚拟网络。通过合理的路由策略,VPN 可以实现异地甚至跨国的虚拟局域网组建,从而扩展了传统局域网的物理边界。

在一些应用场景中,例如公司内部的某些服务只能通过内网访问,而用户身处外部网络,这时就需要通过 VPN 连接的方式。用户首先需要通过 VPN 进行身份认证,一旦认证通过,便可以加入该虚拟局域网,访问受保护的内部资源和服务。

通过这种模式,可以实现安全的远程访问,确保数据在传输过程中的保密性和完整性。以下是这种机制的简要原理示意图。

VPN原理图 拷贝.png

打开应用,可以看到以下界面。

软件纵览 拷贝.png

上面这一堆服务器类型,挑四个比较常用好用的介绍,大家若感兴趣可以看看了解:

QBelt:QBelt 是 QNAP 提供的专有 VPN 协议,结合了 DTLS 和 AES-256 加密技术,提供了一种高度安全的通信方式。对于普通用户来说,QBelt 是一种“开箱即用”的解决方案,只需按照相关配置即可快速建立连接。此外,还支持通过 QNAP 帐号直接导入配置文件,进一步简化了配置过程。

PPTP:不推荐使用 PPTP 协议,并且不建议在公共网络中使用或授予权限。由于其已知的安全漏洞,PPTP 在互联网环境下并不安全,因此本文不再详细介绍。

L2TP/IPSec(PSK):L2TP/IPSec 是一种无需额外安装软件的 VPN 协议,广泛支持于各大主流操作系统,包括 Windows、iOS、Android 等。然而,由于家庭宽带通常无法提供固定的公网 IP,因此 L2TP/IPSec 更适用于具有固定公网 IP 的企业环境,通过建立加密隧道来实现总公司与分支机构之间的互联互通。在局域网内的应用场景中,该协议也具有一定的便捷性。

OpenVPN:OpenVPN 是一种高度可靠的 VPN 协议,适用于多种场景,但在原始数据传输速度上可能不如 WireGuard 高效。其客户端界面为英文,对国内用户来说不算友好。尽管基本配置相对简单,但若需要进行复杂的定制配置,操作起来会比较困难。

WireGuard:作为一个内核空间 VPN 协议,直接在操作系统内核中运行,以实现更高的性能。WireGuard 不支持用户管理功能,但凭借其基于 UDP 的通信方式和多种先进加密工具,提供了一个高度安全的 VPN 隧道。其握手速度极快,灵活性也很高,适用于需要高效连接的场景。然而,WireGuard 的配置过程相对较复杂,对专业知识要求较高。

组建流程

以上文提到的四种方式进行演示,使用威联通xxx.mycloudnas.com域名,各位也可以选择使用私有域名。

首先打开威联通的myQNAPcloud云服务,启用My DDNS。如下图所示,威联通自带的DDNS服务已经成功将域名xxx.mycloudnas.com解析到公网IP上。

开启myddns.png

这里另外提前说明,在我们配置完毕VPN服务器后,需要打开自动路由器配置(UPnP),将相关的服务勾选上才能生效。如果你的路由器不支持该功能,则需要手动对端口进行转发,请注意对应的转发协议。

打开upnp.png

勾选开启转发.png

接着打开应用,先在权限设置中添加用户,如下图箭头所示。

添加vpn用户.png

最后选择想要启用的服务器进行配置。

QBelt

首先要勾选启用服务,其他的说明请看下图。

qbelt配置说明.png

关于移动端APP,苹果用户需要更换地区,安卓能Google的直接去商店下载,否则点击上图底下的链接跳转,手机扫最右侧即可下载安装包。

打开手机APP,选择手动添加,填写好域名、账户名及密码等关键信息。

手动添加.png

填写完毕后进行连接,如果启用了两步验证,也会同步到这里。显示连接成功,emmm,比较奇怪的是我这台NAS明明在山东。再次查看配置文件,此时会出现端口号和共享密钥,如果后续NAS端调整,可在这里更改。

手机连接.png

用手机浏览器输入家里的内网设备地址尝试访问,都没问题。

成功访问设备.png

L2TP/IPSec

同样的先勾选启用,然后填写服务器配置,最后点击保存。

WechatIMG119.jpg

因为条件限制,仅以内网进行演示,步骤其实也差不太多。先打开Windows的设置,点击左侧的网络和Internet,进行添加。填写配置信息,参考下图,填写完了点击保存。

31DA28FC75D530056CDC52C58EA6694E.png

可以看到已经成功连通。

F9C9732C4B34CB50711A0A14A7D30C88(1).png

Open

还是先启用,并填写相关配置,如下图所示。

openvpn配置.png

下载的配置文件,先打开进行核对,修改后保存,传到电脑或手机端备用。

核对openvpn.png

打开手机端应用,操作还是十分简单的,点击BROWSER上传配置文件后,填写NAS的账户密码,如下图所示。

open手机端配置.png

点击CONTINUE,可以看到已经成功连接上。

openvpn配置2.png

外网可以通过手机访局域网内路由器。

连接状态.png

Wireguard

电脑及手机等的客户端请自行搜索下载。

NAS端启用WireGuard,生成密钥对并复制备用(私钥非常敏感不要公开),填写DNS地址,如下图所示。

wire准备.png

搞完了点击保存,先放一边,我们打开其它端的客户端进行配置。

以Window为例,安装客户端并打开,新建一个空白隧道。

BB8D90FE7DA716BBBA22D5CE0326C15E(1).png

先把以下配置复制粘贴进去,然后再修改。同时提醒为了防止格式错误,注释都删掉,每个等号两侧都有一个空格位。

[Interface]
PrivateKey =  # 客户端设备的私钥
Address = 198.18.7.2/32 # 客户端设备的IP地址,先不急填
DNS = 223.5.5.5 # 114.114.114.114等也都可选择,与NAS一致

[Peer]
PublicKey = # 服务器端的公钥
PresharedKey = # 额外的共享密钥,非必需,可使用 Openssl 随机生成一个 32 字节密码,或直接删除此行
AllowedIPs = 192.168.50.20/32 # 允许通过隧道访问的IP地址或网络范围,就是内网设备的子网范围
Endpoint = # 服务器端的外网地址和端口,例如xxx.mycloudnas.com:51820
PersistentKeepalive = 25 # 可选参数,默认25s发送一次数据包保持连接稳定

利用Mac电脑的终端工具,生成PresharedKey密码,win可以直接用Powershell

生成密码-gkkk.png

填写的格式如下图所示。

CE2A5A0C8DA3C8FBAAAE235569E13A54.png

觉得乱,可以照着下面图抄作业,我进行了标注,能对的上就行。

右下角点击添加对等,编辑对等设置,对应关系如下图。

055AB4EC7EF594A1B2725F27990F8AB9.png

检查无误后,两边都选择保存,windows端点击连接,NAS端几乎同时出现握手通知。

EA4142FA13D51C88AADCB5DBAA7B2CD2.png

测试通过隧道下载NAS上的一部电影,这几乎跟我家里宽带的上传速度一致。

379DE6B181B6859E0EB6417F49A3490E.png

PC端设置完后,可以直接右键项目,导出配置压缩文件,在手机端可以直接导入配置进行连接。我这里就偷个懒,放截图给大家看一下对应关系。

手机端.png

最后

我个人更为推荐Wireguard,不论主机还是移动端都有很强的灵活性。它足够轻量,配置也十分简单,且使用高效的加密算法,使得它在占用更少带宽的同时具备更低的延迟和更快的速度。对于家庭用户来说,这意味着在网页加载、视频流和在线游戏延迟(如果用得上的话)方面都会有更优秀的表现。

使用Wireguard,还可以将两台威联通NAS通过隧道建立虚拟专线,QVVN还可作为客户端连接,配置方式与上面说的手机电脑类似,就不做演示了。

如果需要账号类的管理功能,也许Qbelt和Open是更好的选择。大家可以挑选最顺手的那个使用,其他的建议全部关掉。

本文完。

0

评论区