OpenVPN 架設：使用 Synology NAS（一） - 出差

各位先進好：

　　日前因即將被抓去蘇州太倉出差，為了這一個月的幸福著想，
在版上詢問關於行動網路的問題，深深地感受到 WICer 們的善意，
於是藉著有版友詢問關於 OpenVPN 架設細節，將整個架設過程記錄
下來，並分享給有需要的版友，望能有所幫助。

　　以自行架設 VPN 的方式而言，使用具有 PPTP 功能的分享器是
最為簡單輕鬆的方式，然而也容易被偉大的高牆攔下來，於是我選擇
Synology DS-112+ 這台 NAS 並開啟 OpenVPN 功能，再修改連接埠
為 HTTPS（443），藉以降低因 Firewall 阻攔非常用連接埠造成翻牆
失敗的機率。

Blog 連結：http://ppt.cc/0VCA

＊架設資訊＊

硬體：Synology DS-112+ 1Bay NAS（使用 WD Red 2TB NAS HD）
軟體：OpenVPN 2.3.2 Windows Installer 64Bits http://ppt.cc/9nB8
OpenVPN for Android - Google Play http://ppt.cc/tz8j

網路：HiNet 100M/20M
ZyXEL ZyWALL USG 50-H

＊架設步驟＊

一、安裝 Synology DS-112+

　　這部分可以參照原廠的使用手冊進行安裝，將硬碟裝進 NAS
後開機，連線後進行 DSM 系統的安裝與設定即可，網路上亦有
許多關於 Synology NAS 的相關安裝文章可參考。

二、安裝 VPN Server

在 DSM 系統中開啟「套件中心」找到「VPN Server」並安裝
，完成後即可在左上角的快速選單找到 VPN Server。

「套件中心：VPN Server」
http://i.imgur.com/wgIXulG.png

「快速選單：VPN Server」
http://i.imgur.com/30dkCSL.png

三、設定並開啟 OpenVPN

一般在 Synology NAS 安裝 DSM 過程，就可以先行建立一組
使用者帳號並開啟相對應的個人資料夾與權限，那麼啟動 VPN 時
即可在「權限」看到剛剛所設定的帳號，勾選 OpenVPN 並儲存，
賦予這組帳號使用權限。

「VPN Server：權限賦予」
http://i.imgur.com/oOIZyC3.png

在「OpenVPN」項目中勾選「啟動 OpenVPN 伺服器」，並可以
指定登入者的網段、最大的連線數、是否啟用資料傳輸使用壓縮等
，而請注意在動態 IP 位址的設定上，只能允許下面三組型態：

10.0.0.0 - 10.255.255.0
172.16.0.0 - 172.31.255.0
192.168.0.0 - 192.168.255.0

設定完成按下「套用」，並按下「匯出設定檔」並將該檔案存
放於本機電腦中，以待後續進行編輯與修改設定。

「VPN Server：啟用並設定」
http://i.imgur.com/tc2wWp7.png

四、下載並安裝 OpenVPN GUI（http://ppt.cc/9nB8）

連線至 OpenVPN GUI 下載頁面，依 32 或 64 位元系統下載
相對應的安裝程式，安裝過程挺簡單的，安裝完成後桌面上會出現
一個 OpenVPN GUI 的圖示。

「下載 OpenVPN GUI」
http://i.imgur.com/m3MFjWA.png

如果是 Windows 7 以上的作業系統，那麼可以在 OpenVPN GUI
圖示上按右鍵選內容，於相容性的分頁勾選「以系統管理員....」

「OpenVPN GUI 相容性設定」
http://i.imgur.com/yenJjYA.png

五、啟用並設定 DDNS

因 VPN 連線需設定一個固定的連線位置，但若本身網路是以
PPPoE 方式連線的話，會因為動態 IP 的關係而無法固定，故可以
透過 DDNS 的方式來進行連線。

而 Synology 也貼心的提供其設備使用者免費註冊，於是在
「控制台」開啟「DDNS」並新增後按下「立即註冊」，選擇「新增
Synology 帳號並註冊新的伺服器名稱」填入相關資訊即可。

「新增並註冊 Synology DDNS」
http://i.imgur.com/cHyZPp7.png

註冊完成後回到上一頁，將剛剛申請的相關資料，如主機名稱
等輸入完成，使用「測試連線」即可確認是否完成 DDNS 的連結，
一般新申請需要稍等一小段時間。

「輸入資料並測試 DDNS 狀態」
http://i.imgur.com/MCx7FUN.png

六、編輯 openvpn.ovpn 設定檔

「openvpn.zip 內容」
http://i.imgur.com/hAUxzxN.png

ca.crt：安全憑證檔案。
openvpn.ovpn：OpenVPN 設定檔
README.txt：安裝說明檔

將稍才所下載的 openvpn.zip 解壓縮後，會有上述三個檔案，
以筆記本開啟 openvpn.ovpn 可進行編輯，設定方式並不會太難，
共計需修改的位置有三大區塊。

1.找到 remote YOUR_SERVER_IP 1194
2.修改如 remote testvpn.synology.me 443
3.找到 #redirect-gateway 並將 # 刪除
4.找到 #dhcp-option DNS DNS_IP_ADDRESS
5.修改如 dhcp-option DNS 8.8.8.8（Google 的 DNS）
（HiNet 的 DNS 為 168.95.192.1）
6.找到 proto udp 並在最前方以 # 註解
7.新增 proto tcp-client
8.存檔

「編輯並修改 openvpn.ovpn」
http://i.imgur.com/ktwELs8.png

將修改完的 openvpn.ovpn 及 ca.crt 兩檔案複製到 OpenVPN
的安裝資料夾如：C:\Program Files\OpenVPN\config\ 底下。

「安裝設定檔」
http://i.imgur.com/6gqAPoH.png

七、修改伺服器設定

此處修改方式需要運用一些 Linux 的指令，但按照步驟操作
並不會太困難，先於 DSM 系統「控制台」開啟「終端機」，勾選
「啟動 Telnet 功能」。

使用 Windows 的 Telnet 或者 PCMan 等軟體與 NAS 連線，
並使用「root」登入，密碼則與安裝 NAS 時 admin 的密碼相同。

1.輸入 cd /usr/syno/etc/packages/VPNCenter/openvpn/
（伺服器端設定檔所在的位置）
2.輸入 cp openvpn.conf openvpn.conf.org
（備份舊的設定檔）
3.輸入 vi openvpn.conf
（以 vi 編輯器編輯設定檔）
4.按下 Page Down 並以方向鍵移至檔案末端
5.按下 i 切換為編輯模式
6.新增 port 443 與 proto tcp-server 兩行
7.按下 ESC 並輸入 :wq 儲存並離開
8.輸入 chmod u-w openvpn.conf
（設定為唯讀，避免 VPN Server 更新後被修改）
9.輸入 exit 結束連線

「修改伺服器設定檔」
http://i.imgur.com/CsHJzb8.png
http://i.imgur.com/hAoKmqP.png

八、實際測試 OpenVPN 連線

執行 OpenVPN GUI 並輸入使用者帳號及密碼，測試連線是否
正常，可以嘗試開啟網頁，或者 Google 搜尋一下 showmyip 查
一下你的 IP 位址是否為透過 VPN 連線。

原則上連線記錄出現 Initalization Sequence Completed
代表連線至 VPN Server 是正常的。

「執行 OpenVPN GUI 實際連線」
http://i.imgur.com/wZ49R4k.png
http://i.imgur.com/Yf3zfOE.png


＊寫於文末＊

沒想到原本以為挺簡單的說明步驟可以老半天還沒寫到手機的
連線部分，下一次的步驟分享會以 Android 系統連線來說明，希望
能在明天上飛機前搞定這樣，應該不會又颱風延期吧？！哈哈。

有任何問題歡迎站內信與小弟互相討論，謝謝各位。


--