Tag Archives: VPN

什麼是 SPI 防火牆?

Leave a reply

Synology Router Manager

什麼是 SPI 防火牆?

SRM 內建 SPI (狀態封包檢查) 防火牆,此為進階的安全性機制,負責檢查封包並追蹤紀錄網路連線的狀態。SPI 防火牆在 SRM 中為永久開啟,具有下列主要優點:

  • 追蹤紀錄不同網路連線 (例如 TCP 及 UDP) 的狀態
  • 深入檢查封包狀態 (例如封包來源、目的地及更多資訊)
  • 依據連線狀態,提供更佳的動態保護機制,免於惡意封包威脅。

如何新增防火牆規則以允許或拒絕 IP 位址存取 SRM 或區域網路?

Leave a reply

如何新增防火牆規則以允許或拒絕 IP 位址存取 SRM 或區域網路?

目的

本文章說明如何在您的 SRM 上新增防火牆規則以允許或拒絕特定 IP 位址存取某些網路連接埠,防止未經授權的登入並控制服務存取。

解決方法

僅允許特定 IP 位址存取 SRM 或區域網路

    1. 前往網路中心 > 安全性 > 防火牆 > 新增並依照此文章的步驟新增防火牆規則。
    2. 若只要允許特定 IP 位址 (例如:來自澳洲的 IP 位址) 存取您的 SRM 或區域網路 (例如:192.168.xxx.xxx) 但拒絕其他 IP 位址進行存取,請新增一個防火牆規則並在編輯防火牆規則 > 操作選擇允許1
    3. 依需求調整預設規則:2
      • 如果 WAN 至 SRM 的 IPv4 流量無對應規則:允許 / 拒絕 IPv4 傳入流量存取 SRM。
      • 如果 WAN 至區域網路的 IPv4 流量無對應規則:允許 / 拒絕 IPv4 傳入流量存取 Synology Router 的用戶端裝置。
      • 如果 WAN 至 SRM 的 IPv6 流量無對應規則:允許 / 拒絕 IPv6 傳入流量存取 SRM。
      • 如果 WAN 至區域網路的 IPv6 流量無對應規則:允許 / 拒絕 IPv6 傳入流量存取 Synology Router 的用戶端裝置。

僅拒絕特定 IP 位址存取 SRM 或區域網路

    1. 前往網路中心 > 安全性 > 防火牆 > 新增並依照此文章的步驟新增防火牆規則。
    2. 若只要拒絕特定 IP 位址 (例如:來自澳洲的 IP 位址) 存取您的 SRM 或區域網路 (例如:192.168.xxx.xxx) 但允許其他 IP 位址進行存取,請新增一個防火牆規則並在編輯防火牆規則 > 操作選擇拒絕1
    3. 依需求調整預設規則:2
      • 如果 WAN 至 SRM 的 IPv4 流量無對應規則:允許 / 拒絕 IPv4 傳入流量存取 SRM。
      • 如果 WAN 至區域網路的 IPv4 流量無對應規則:允許 / 拒絕 IPv4 傳入流量存取 Synology Router 的用戶端裝置。
      • 如果 WAN 至 SRM 的 IPv6 流量無對應規則:允許 / 拒絕 IPv6 傳入流量存取 SRM。
      • 如果 WAN 至區域網路的 IPv6 流量無對應規則:允許 / 拒絕 IPv6 傳入流量存取 Synology Router 的用戶端裝置。

注意事項:

  1. 控制台 > 系統 > SRM 設定勾選允許網際網路連線存取 SRM 核取方塊即可透過 HTTP / HTTPS 連接埠自網際網路存取 SRM。若不要允許此操作,請取消勾選此核取方塊。
  2. WAN 至 SRM 與 WAN 至區域網路的流量規則預設為拒絕以提升網路安全並防止所有外部裝置存取您的 SRM 或區域網路。
  3. 新增防火牆規則時,您必須使用防火牆規則欲允許的 IP 位址登入 SRM。請勿透過 QuickConnect 登入 SRM。
  4. 若使用 QuickConnect 登入 SRM 服務,QuickConnect 的機制可能會防止防火牆過濾流量。請在 SRM 上停用 QuickConnect 服務以避免此問題。
  5. 防火牆規則在清單上的順序越前面,優先權越高。
  6. 防火牆規則無法阻擋來自區域網路的流量。

如何新增防火牆規則以允許或拒絕 IP 位址存取 DSM?

Leave a reply

如何新增防火牆規則以允許或拒絕 IP 位址存取 DSM?

目的

在您的 DSM 上新增防火牆規則以允許或拒絕特定 IP 位址存取某些網路連接埠,防止未經授權的登入並控制服務存取。

解決方法

僅允許特定 IP 位址存取 DSM

  1. 前往控制台 > 安全性 > 防火牆並依照此文章的步驟啟動及新增防火牆規則。1
  2. 若只要允許特定 IP 位址 (例如:192.168.50.xxx 與 192.168.50.xxx) 存取您的 DSM 但拒絕其他 IP 位址進行存取,請新增兩個防火牆規則。

僅拒絕特定 IP 位址存取 DSM

  1. 前往控制台 > 安全性 > 防火牆並依照此文章的步驟啟動及新增防火牆規則。1
  2. 若只要拒絕特定 IP 位址 (例如:192.168.50.xxx 與 192.168.50.xxx) 存取您的 DSM 但允許其他 IP 位址進行存取,請新增兩個防火牆規則。

注意事項:

  1. 新增防火牆規則時,您必須使用防火牆規則欲允許的 IP 位址登入 DSM。請勿透過 QuickConnect 登入 DSM。
  2. DSM 防火牆僅能過濾傳入流量但無法過濾傳出流量。
  3. DSM 防火牆不支援 MAC 位址篩選功能。
  4. 若使用 QuickConnect 登入 DSM 服務,QuickConnect 的機制可能會防止防火牆過濾流量。請在 DSM 上停用 QuickConnect 服務以避免此問題。
  5. 防火牆規則在清單上的順序越前面,優先權越高。
  6. 若多個網路連接埠連接至同一個子網路,防火牆規則可能無法正常運作。
  7. 若使用 Link Aggregation 合併多個 LAN 埠,防火牆只會套用第一個網路介面的規則。
  8. 若 Synology NAS 欲透過 PPPoE 連線至網際網路,必須在相對應的 PPPoE 介面上設定相關的防火牆規則。

為什麼上傳 / 下載速度緩慢?

Leave a reply

Synology Router Manager

為什麼上傳 / 下載速度緩慢?

  • 如果已啟動流量控制,網路速度提昇功能將被停用,一般傳輸速度可能因此變慢。若要停用流量控制,請前往網路中心 > 流量控制 > 進階 > 設定
  • 請確認裝置的自訂速度設定是否已被修改。請前往網路中心 > 流量控制 > 一般 > 自訂速度來進行檢查。
  • 如果已建立大量的防火牆或連接埠轉送規則,Wi-Fi 傳輸可能因為變得緩慢。若要移除防火牆規則,請前往網路中心 > 安全性 > 防火牆。若要移除連接埠轉送規則,請前往網路中心 > 網際網路 > 連接埠轉送

如何透過 Mac 連線至 VPN Plus Server?

Leave a reply

如何透過 Mac 連線至 VPN Plus Server?

目的

本文將說明如何使用 Mac 電腦來連線至 VPN Plus Server,並將以 macOS 10.15.7 為例。若要了解如何連線至 Synology NAS 的 VPN Server,請參閱此文章

內容

解決方法

開始前的準備

  1. 在 Synology Router 上安裝 VPN Plus Server,並依照您的需求設定下列服務:
  2. 確認 Synology Router 可正常連線至網際網路。必要時,請設定連接埠轉送規則 (請參閱此文章)。

設定 Synology SSL VPN 連線

  1. 前往 SRM VPN Plus Server > Synology VPN > SSL VPN
  2. 按一下 URL 以存取 VPN Plus 網頁入口。
  3. 以 SRM 帳號密碼來登入。
  4. 按一下左側面板上的 SSL VPN
  5. 按一下下載,即可安裝 Synology SSL VPN Client 至本機電腦。
  6. 依照精靈指示來完成安裝。
  7. 當 SSL VPN 用戶端軟體開始執行時,將自動重新整理網頁。
  8. 若您是第一次在此電腦上登入 VPN Plus 網路入口,您將需要設定一組至少八個字元的 PIN 碼。此機制可避免未經授權而登入惡意的 VPN 伺服器。1
  9. 按一下連線,即可透過 Synology SSL VPN 連線。
  10. 此時,本機電腦的所有連線皆會透過 Synology SSL VPN 進行連線。若要停止使用此 VPN 服務,在 VPN Plus 網路入口按一下中斷連線

設定 WebVPN 連線

  1. 前往 SRM VPN Plus Server > Synology VPN > WebVPN
  2. 按一下 URL 以存取 VPN Plus 網頁入口。
  3. 以 SRM 帳號密碼來登入。
  4. 按一下左側面板的 WebVPN
  5. 輸入一個網站的 URL,並按一下連線
  6. 現在您可以透過 WebVPN 存取該網站。

設定 L2TP / IPSec VPN 連線

  1. 前往 Apple 選單 > 系統偏好設定 > 網路
  2. 按一下左下角的加號圖示來建立新連線。
  3. 按照下方設定,並按一下建立
    • 介面:從下拉式選單選擇 VPN
    • VPN 類型:從下拉式選單選擇 IPSec 的 L2TP
    • 服務名稱:為此 VPN 連線命名。
  4. 伺服器位址欄位輸入 Synology Router 的 IP 位址,並在帳號名稱欄位輸入可用的 SRM 使用者帳號。
  5. 按一下認證設定,並輸入以下資訊:
    • 密碼:輸入前項 SRM 使用者帳號的密碼。
    • 共享的密鑰:輸入於 VPN Plus Server 內設定的預先共同金鑰 (請前往 SRM VPN Plus Server > 通用 VPN 協定 > L2TP 查看)。
  6. 按一下連線以建立 VPN 連線。

設定 OpenVPN 連線

  1. 前往 SRM VPN Plus Server > 通用 VPN 協定 > OpenVPN,按一下匯出設定檔。將匯出的檔案解壓縮,其中應包含 ca.crtopenvpn.ovpnREADME.txt 檔案。
  2. 下載 Tunnelblick (適用於 macOS 的 OpenVPN 用戶端軟體)。
  3. 開啟 Tunnelblick 的安裝檔。
  4. 輸入使用者名稱密碼,並按一下
  5. 按一下我有設定檔
  6. 使用文字編輯開啟匯出的檔案 openvpn.ovpn,並以 Synology Router 的外部 IP 位址取代文件中的 YOUR_SERVER_IP。若您希望所有流量皆透過 VPN 傳輸,刪除 #redirect-gateway def1 中的 #。編輯完成後儲存檔案。
  7. 將編輯的 openvpn.ovpn 檔案拖拉至選單列的 Tunnelblick 圖示上。
  8. 選擇是否要在所有用戶上安裝設定檔。
  9. 按一下 Tunnelblick 圖示並選擇連接 VPNConfig
  10. 輸入 SRM 的帳號密碼並按一下確定來建立連線。
  11. 選擇 VPN 詳情來檢查連線狀態。您可以在此按一下中斷連接來中斷連線

Synology SSL VPN 專用 PIN 碼的注意事項:

  1. 此 PIN 碼由使用者建立,不是 Wi-Fi 專用或是 Synology Router 機身後方的 PIN 碼。
  2. 設定過 PIN 碼後,當您在相同電腦上首次嘗試登入另一台 SSL VPN 伺服器,您將需要再次輸入該 PIN 碼。
  3. PIN 碼設定後即無法變更。若您忘記 PIN 碼或想要將其變更,您必須先解除安裝 Synology SSL VPN Client,接著再重新安裝一次。