这个可能有多种情况导致
首先考虑是不是有网也就是进户线是不是有网络信号
如果没有就叫给你装网线宽带的人来修
如果有就检查路由器(恢复出厂设置一次)
恢复出厂设置后就进行一些普通设置 如果有引导就按照引导来
实在不行就找专人来设置我们在群晖nas里安装 Server 套件可以把我们的群晖nas变成一个服务器,我们可以安全的在远端存取Synology NAS 局域网内分享的资源,群晖的 server整合了常用的通讯协定: PPTP、Open 、 L2TP/IPSec,当我们启用了nas的服务,会影响系统的网络性能。
我们先来了解一下三种协议:
PPTP
PPTP (Point-to-Point Tunneling Protocol,点对点信道协议) 是常用的 解决方案,且大多数的客户端 (包含 Windows、Mac、Linux 及行动装置) 皆支持。
若要启动 PPTP 服务器:
1、开启 Server 并前往左侧面板的 PPTP。
2、勾选启动 PPTP 服务器。
3、在动态 IP 地址字段输入 服务器的虚拟 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。
4、设定最大联机数量来限制 联机的共同联机数量。
5、设定同一账号最多联机数量来限制使用同一个账号所进行 联机的共同联机数量。
6、从认证下拉式选单中选择下列任一项目来认证 客户端:
PAP:认证过程中,将不加密 客户端的密码。
MS-CHAP v2:认证过程中,将使用 Microsoft CHAP version 2 加密 客户端的密码。
7、若您选择 MS-CHAP v2 验证,请从加密下拉式选单中选择下列任一项目来加密 联机:
No MPPE: 联机不会受到加密机制保护。
Optional MPPE:客户端设定将决定 联机会 / 不会受到 40-bit 或 128-bit 加密机制保护。
Require MPPE:客户端设定将决定 联机会受到 40-bit 或 128-bit 加密机制保护。
8、设定 MTU (最大传输单元) 来限制 网络传输的数据封包大小。
9、勾选手动设定 DNS 并指派 DNS 服务器的 IP 地址来发送给 PPTP 客户端。若停用此选项,则会将 Synology NAS 目前所使用的 DNS 服务器发送给客户端。
10、单击套用来让变更生效。
注意:
联机至 时, 客户端的验证及加密设定必须与 Server 上的相同,否则客户端将无法成功联机。
为兼容于运行在 Windows、Mac OS、iOS 与 Android 系统的大部分 PPTP 客户端,预设的 MTU 值为 1400。若您的网络环境较为复杂,可能需要设定一个较小的 MTU 值。若您经常收到逾时讯息或联机不稳定,请降低 MTU 值。
请检查 Synology NAS 与路由器上的端口转送规则与防火墙设定,确认 TCP 1723 端口已开启。
部分路由器内建 PPTP 服务,因此可能已占用 1723 端口。您需先透过路由器的管理接口关闭其内建的 PPTP 服务,才能确保 Server 上的 PPTP 服务可以正常运作。此外,部分旧式路由器可能会封锁 GRE 协议 (IP 协议 47),造成 联机失败;建议使用支持 pass-through 联机的路由器。
Open
Open 是开放原始码的 服务解决方案,会以 SSL / TLS 加密机制保护 联机。
若要启动 Open 服务器:
1、开启 Server,前往左侧面板的 Open。
2、勾选启动 Open 服务器。
3、在动态 IP 地址字段输入 服务器的虚拟内部 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。
4、设定最大联机数量来限制 联机的共同联机数量。
5、设定同一账号最多联机数量来限制使用同一个账号进行 联机的共同联机数量。
6、为 Open 数据传输设定端口与通讯协议。您可以决定要将何种协议的数据封包透过 转送至 Synology NAS 的哪个端口。默认值为 UDP 端口 1194
注意: 为确保 Synology NAS 上的服务可以正常运作,请避免将同样的一组端口与通讯协议指派给其他 Synology 服务。请参阅此篇应用教学以了解更多信息。
7、在加密下拉式选单中择一,以加密 信道中的数据封包。
8、在验证下拉式选单中择一,以验证 客户端。
9、若要在传输数据时压缩数据,请勾选启动 压缩联机。此选项可提升传输速度,但可能会消耗较多系统资源。
10、勾选允许客户端存取服务器的局域网络来让客户端存取服务器的局域网络。
11、勾选启动 IPv6 服务器模式来启动 Open 服务器,以传送 IPv6 地址。您必须先在控制面板 > 网络 > 网络接口中,透过 6in4/6to4/DHCP-PD 取得 Prefix,并在此页面中选择该 Prefix。
12、单击套用来让变更生效。
注意:
Server 不支持站台对站台的桥接模式。
请检查 Synology NAS 与路由器上的端口转送规则与防火墙设定,确认 UDP 1194 端口已开启。
在 Windows Vista 或 Windows 7 上执行 Open GUI 时,请注意,UAC (用户帐户控制) 预设为开启。此设定开启时,需使用以系统管理员身份执行选项来透过 Open GUI 进行联机。
在 Windows 上透过 Open GUI 启动 IPv6 服务器模式时,请注意以下事项:
所使用的接口名称不可包含空格,例如:LAN 1 须变更为 LAN1。
重新导向网关 (redirect-gateway) 选项须由客户端于 openo 档案中设定。若您不想设定此选项,应手动设定 接口的 DNS。您可以使用 Google IPv6 DNS:2001:4860:4860::8888。
若要汇出配置文件:
单击汇出配置文件。Open 让 服务器可颁发证书供客户端使用。所汇出的档案为 zip 压缩文件,其中包含 cacrt ( 服务器的凭证档案)、openo (客户端使用的配置文件案),以及 READMEtxt (客户端如何设定 Open 联机的简易说明)。
注意:
每次启动 Server 时,便会自动复制、使用显示于控制面板 > 安全性 > 凭证之凭证。若您需使用第三方凭证,请到控制台 > 安全性 > 凭证 > 新增来汇入凭证,并重新启动 Server。
每次修改凭证文件 (显示于控制面板 > 安全性 > 凭证) 后, Server 将会自动重新启动。
L2TP/IPSec
L2TP (Layer 2 Tunneling Protocol) over IPSec 提供更安全的虚拟私有网络,且大多数的客户端 (如 Windows、Mac、Linux 及行动装置) 皆支持。
若要启动 L2TP/IPSec 服务器:
1、开启 Server 并前往左侧面板的 L2TP/IPSec。
2、勾选启动 L2TP/IPSec 服务器。
3、在动态 IP 地址字段输入 服务器的虚拟 IP 地址。请参阅下方的关于动态 IP 地址来了解更多信息。
4、设定最大联机数量来限制 联机的共同联机数量。
5、设定同一账号最多联机数量来限制使用同一个账号进行 联机的共同联机数量。
6、从认证下拉式选单中选择下列任一项目来认证 客户端:
PAP:认证过程中,将不加密 客户端的密码。
MS-CHAP v2:认证过程中,将使用 Microsoft CHAP version 2 加密 客户端的密码。
7、设定 MTU (最大传输单元) 来限制 网络传输的数据封包大小。
8、勾选手动设定 DNS 并指派 DNS 服务器的 IP 地址来发送给 L2TP/IPSec 客户端。若停用此选项,则会将 Synology NAS 目前所使用的 DNS 服务器发送给客户端。
9、若要发挥 最大效能,选取执行核心 (kernel) 模式。
10、输入并确认预先共享密钥。您应将此密钥提供给 L2TP/IPSec 使用者以验证联机。
11、勾选启动 SHA2-256 兼容模式 (96 bit),以让特定客户端 (非 RFC 标准) 可以使用 L2TP/IPSec 联机。
12、单击套用来让变更生效。
注意:
联机至 时, 客户端的验证及加密设定必须与 Server 上的设定相同,否则客户端将无法成功进行联机。
为兼容于运行在 Windows、Mac OS、iOS 与 Android 系统的大部分 L2TP/IPSec 客户端,预设的 MTU 值为 1400。若您的网络环境较为复杂,可能需要设定一个较小的 MTU 值。若您经常收到逾时讯息或联机不稳定,请降低 MTU 值。
请检查 Synology NAS 与路由器上的端口转送规则与防火墙设定,以确认 UDP 1701、500、4500 端口已开启。
部分路由器内建 L2TP 或 IPSec 服务,因此可能已占用 1701、500 或 4500 端口。您需先透过路由器的管理接口关闭其内建的 L2TP 或 IPsec 服务,才能确保 Server 上的 L2TP/IPsec 服务可以正常运作。建议使用支持 pass-through 联机的路由器。
关于动态 IP 地址
Server 会依据您在动态 IP 地址中输入的数字,从虚拟 IP 地址范围中选择一个 IP 地址来分配给 客户端使用。例如:若 服务器的动态 IP 地址设定为「10000」,则 PPTP 客户端的虚拟 IP 地址范围为「10001」至「1000[最大联机数量]」;Open 客户端的虚拟 IP 地址范围则为「10002」至「1000255」。
重要事项: 指定 服务器的动态 IP 地址之前,请注意:
1、 服务器可使用的动态 IP 地址必须为下列其一:
从「10000」至「102552550」
从「1721600」至「172312550」
从「19216800」至「1921682550」
2、您指定的 服务器动态 IP 地址以及指派给 客户端的虚拟 IP 地址,皆不能与局域网络中任一已使用的 IP 地址冲突。
关于客户端进行 联机时使用的网关设定
使用 联机至 Synology NAS 的局域网络之,客户端可能需要为 联机变更网关设定;否则,在 联机建立之后,它们可能会无法联机至因特网。在公共网络设施上使用 Tunneling、加密、解密等技术实现私有网络的连接,各个私有连接在公共网络上与其它的私有网络之间相互不可见,这就是 。
也就是说只要满足这样条件的网络我们都将其称之为 虚拟私有网络:
使用共享的公共环境,也就通过公网服务实现各个私有网络的连接;
不同的私有网络间相互不可见的。
(Virtual Private Network),虚拟的私有网络,所谓的虚拟表示的这是一个逻辑上的专用线路来连接远在各个不同地方的私有网络,这里的私有网络便是对外所不公开的、自己使用的局域网。
使用 是因为随着公司业务的扩展在距离很远的地方有不同的分布,但是又需要使他们能够访问私有的数据、资源等等,通过公网访问太不安全,通过专线访问成本太高,所以有了 。可以使用低廉的公网价格享受类似于专线的服务,并且数据经过加密非常的安全。
像我们上节实验所提到的 Frame Relay 帧中继技术所提供的 PVC 永久的虚拟电路与 是有差异的,同时 与 Frame Relay 的性能上还是有很大的差距,我们可以通过 这样一篇文章 来看看他们之间的对比。
相对于帧中继来说 更加的安全、灵活。
在接触到一个新的事物时我们首先会关心:
这个东西是什么?
这个东西用于何处?
这个东西怎么用?
上文我们便了解到 是虚拟专用网络,表示一套逻辑上建立在公网上的私有网络。而在 的发展中属 IPSec (IP Security) 使用的最为广泛,主要在于其有这样的一些特点:
私有性:IPSec 在传输数据包之前,将数据包加密,这样保证了三层及以上层次的数据得到了保护,不易被人窃取私密信息;
完整性:IPSec 在目的地要验证数据包,以此来保证数据包在传输过程中没有被修改。例如提供了 Hash 算法(单向散列算法)中 MD5、SHA1 等等,通过该算法加工后的数据会生成世界上唯一的字符串,即使内容做了一点点的修改,修改一个字节,一个字符,一个比特位重新加工出来的字符串都会与之前的不同;
防重发:通过序列号实现放置数据包被捕捉与重复数据包;
身份验证:用于判断数据是否源于正确的创建者。
这个被广泛使用、不断发展的协议适合应用于这样的一些场景:
Site-to-Site:顾名思义站点到站点间做的配置,例如成都总公司与广州子公司之间的出口路由上配置,这两个出口都是固定长期不会变化的。
End-to-End:顾名思义便是端到端之间的应用,例如我家中的 PC 上有一些私密的数据,此时我出差在外需要访问这些私密的数据,这样 PC 与 PC 之间的连接便是端到端之间的连接。
End-to-Site:顾名思义便是端到站点之间连接的应用,例如我出差在广州,此时我需要访问成都总公司服务器中的数据,该服务器放置在公司的局域网内部,此时我需要访问内网中的数据便将我的终端 PC 与内网的出口路由做链接,这样我便能访问内网中的所有资源了。
IPSec 的使用只需要在两端出口的路由上做简单的配置即可使用。并且配置好后不会有太繁重的维护任务,长期使用。
IPSec 的功能如此的强大能够为我们提供加密、认证等等的一些列功能,这显然不是一个协议所能办到的事情,所以 IPSec(Internet Protocol Security)是一个协议组或者说是协议簇,IPSec 就是这一套协议组合的名字。这个组合专门用于 IP 数据通信的安全方面,其中大致包含这样一些主要的协议:
AH(Authentication Header):网络认证头部协议,主要用于数据源验证、数据完整性校验和防报文重放功能。
ESP(Encapsulating Security Payload):封装安全有效负荷,同样是一个安全协议,与 AH 类似,但是除了 AH 拥有的功能之外还有数据包的加密功能,在 IPSec 中可以使用 AH 或者 ESP 或者两者一起使用。
IKE(Internet Key Exchange):密钥管理协议,在加密过程会涉及的共享密钥,公钥,私钥等等,所以需要一个专门管理的协议。
ISAKMP(Internet Security Association and Key Management Protocol):网络安全联盟的密钥管理协议,这是 IKE 协议中的一部分,AH 与 ESP 的使用时都需要该协议的支持
这就是 IPSec,虽然还是模模糊糊,但是至少知道我们知道了它是什么,用于哪里的。
IPSec 的整个使用过程从原始数据到加密到路由之间的发送筛选等等一系列的过程十分的复杂,此处只是简单的说明一下其运行中的过程:
IP 数据包到达了安全路由器上,路由去会根据此数据包的源 IP 地址、端口号等等的信息与设置好的 ACL 对比(ACL,Access Control List,称之为访问控制列表,就像一个安全名单一样,这样信息与该名单上的信息匹配就会做一些特殊的处理);
若是在 ACL 中安全通过了,便查看路由器中的路由表,有没有相关的目的 IP 地址信息,若是有便根据路由表的指示将其发送至本机的目的端口中去;
在端口上再次匹配 ACL,若是符合条件没有问题,便交给 IPSec 来处理;
IPSec 处理的第一步便是检查 SA 的模式
检查是 Tunel 模式
检查是 Transport 模式(因为两种模式的 IP 数据包头处理方式不同)
IPSec 处理数据,使用 AH 或者 ESP 的方式,亦或者两者同时使用,各种封装的方式。
若是使用 ESP 的方式将加上新的 IP Header,若是使用的 AH 则加上的数据包头与原理的相同。
这边是整个发送数据包的大致过程,两种封装模式的不同导致添加的数据包头就不同,我们可以看 这样一篇文章 来了解之间具体有什么不同。
再多的理论只是也不是太明白,直接 *** 作一番便知道 IPSec 是如何实现安全通信,已经远程两个局域网络的连接。
实验目的:配置实现 IPSec
实验材料:四台路由器
实验方法:
拖动四台路由器(两台用作 PC 的充当,两台用作出口路由的充当)
配置路由器名字与连接线路
配置路由器的端口地址
配置 IPSec
验证 IPSec
1按照惯例,利用我们的终端打开 GNS3,然后拖出四台路由器,做出这样的拓扑:
2按照拓扑图上的要求配置各个端口的 IP 地址。(每个连接线上的是该连接的网段,端口旁的 1 是主机号)
由此我们便配置好了各个端口的 IP 地址,我们可以用两台 PC 去 ping 各自的网关以及直连路由上端口的 IP 地址,例如 PC1:
同时可以使用 PC2、Router1、Router2 测试。
如此我们便完成了第二个步骤。
3配置 RIP 动态路由
在配置 之前我们首先得保证整个网络都是通的,也就是说若是我本地的机器都不能上网这还说个啥的 ,数据加密呀。
配置好动态路由之后我们发现此时的网络环境已经是全网通的状态了。例如 PC1:
4此时的网络处于全网通的状态,我们便可以开始配置 IPSec 了。
上文我们提到过 IPSec 是一个协议组合,里面有很多的协议组成的,有 IKE 的密钥管理,封装方式等等,其中在两个站点建立连接的时候最重要的是两个协商
一个协商是 IKE 安全通道的建立协商
一个协商是 IPSec 安全参数的协商
在 IKE 协商协商的时候比对这样一些参数双方是否一致:
使用的加密算法
Hash 算法(单向散列算法)
DH 算法(Diffie-Hellman key exchange算法)用于密钥交换
身份认证
IKE 协商的生存时间:两个端点协商认可对方之后并不会永久生效,会有个生存时间。超时之后会再次协商''
所谓的协商就是比对双发使用的参数是否一致,而这个参数的集合叫做 IKE policy,也就是 IKE 的策略集。
在 IPSec 协商的时候也会有一些参数:
使用的加密算法
Hash 算法(单向散列算法)
使用的封装模式(AH、ESP)
使用的安全协议
IPsec 协商的生存时间:两个端点协商认可对方之后并不会永久生效,会有个生存时间。超时之后会再次协商
而 IPSec 的协商参数集合也有一个名字叫做 transfer set转换集。
了解整个建立过程之后我们便开始配置 了,通过上述讲的过程我们首先配置会配置 IKE policy 然后配置 IPSec 转换集:
如此我们便配置好了 Router1 的所有协商内容了。你可能会觉得很麻烦要配置这么多集合,为什么不配置在一次,一个 policy,一个 transfer-set,一个 crpyto map。
这也是我们之前所提到过的模块化思想,一个 policy 可用优先级来区分,这样可以设置多个 policy。这是密钥交换、设备之间的认证一部分的功能不应该与 transfer set 糅杂在一起,应为 policy 是设备间的认证,transfer 是应用于端口上,端口之间的协商。
而 crypto map 的独立是因为若是有其他的端口需要使用相同的策略可以直接重用,而不用重新在协议套,不直接使用 transfer set 是因为可能我们使用的转换集是一样的但是我们的 ACL 策略不同,我在使用的使用可以在创建一个 crypto map 使用同样的转换集,只是新建一个 ACL 来应用而已,但是没有 crypto map 我们就必须转换集与 ACL 都重新协议套了。
所以说了这么多,这些的独立就是为了重用,在修改的时候也相互独立,管理方便。
配置好了 Router1,我们便来配置其对端的 Router2,配置上基本一模一样,因为所有的参数在协商的时候都会对比,只有相同的时候才会成功,所以几乎一模一样,但是注意在配置 peer,authentication 的密钥分享地址上要写成 Router1 的 IP 地址哦,因为那才是 Router2 的对端 IP 地址嘛。
由此我们便配置好了 Router2 上的相关参数了
5将相关的 crypto map 应用在相应的端口上
6由此我们便完成了所有关于协商相关的配置,我们便来验证我们的配置是否成功。
此时我们再次使用 PC1 去 ping PC2。再次之前我们先打开 Router1 与 Router2 之间链路上 wireshark 的监听,我们可以看到有这样的数据包出现:
我们捕获到了 isakmp 相关的数据包,说明 Router 之间使用该协议相互通信,当然这并不能说明什么,我们只用这样的命令来查看 session,只要发起过回话就会有 session 的记录:
同时我们还可以使用这个命令查看 sa 的状态:
这些都足以证明我们此时使用的 Tunnel 的加密隧道在通信中。
相关的调试命令有这样一些,在这里就不逐一的为大家展示了,大家可以仔细观察相关的信息:
debug 的使用开启之后不会立即有信息出来,只有在相互通信时才有相关的信息蹦出来。IPSec协议是一个协议套件,为IP数据包中封装的所有上层数据提供透明的安全保护,无需修改上层协议。IPSec的目的是在因特网协议栈中的IP层提供安全业务。它使系统能按需选择安全协议,决定服务所使用的算法及放置需求服务所需密钥到相应位置。网络通信易于受到各种攻击, IPSec旨在为端系统提供相互身份验证的方法,保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径以及传输中的数据不被窃取和攻击。
IPSec依靠密码技术保护各种环境中的通信,包括在专用网中计算机之间的通信链路,公司站点之间的链路,以及拨号用户和公司LAN之间的链路。IPSec也用于贸易伙伴之间(外联网连接)和电子商务应用。
IPSec是一个为IPv4和IPv6设计的“隧道协议”。隧道是在一对主机、一对安全网关(通常是防火墙),或一个安全网关和一个主机之间的“路径”。可以建立一个隧道,运载所有的通信量,或在相同端点之间建立多个隧道,支持不同的TCP业务。
IPSec的一个重要特征是它能提供跨越IP网络的端到端安全。低层安全协议只能提供单一链路的保护。但是应该把IPSec和上层会话协议,例如SSL(安全套接层),区分开。SSL已经成为Web服务器和客户机之间安全通信的支柱。SSL仍然是小量用户交易(例如从Amazoncom买一本书)的首选方法。但是SSL仅确保了会话安全,而非像IPSec那样保护主机之间的IP连接。
IPSec有多种模式和业务,如下所述:
数据来源验证 分组的头部已经签了名(通过一个散列算法来进行),因此接收者可以相信分组是可信的。
无连接完整性 签名过程可以向接收者确保数据分组在传输过程中没有被更改。
机密性 全部或部分分组可以用加密来隐藏他们的内容。加密隐藏了传输过程中原始分组的IP头,因此外部分组需要有一个可以被中间转发系统读取的头部。
重放保护 通过保护/隐藏重要分组信息,IPSec防止某人获取分组,并在以后重放它们, 从而进入系统。
密钥管理 IPSec使用IKE (因特网密钥交换)管理各方面之间安全密钥的交换。IKE是一个混合协议,它实际上使用到了ISAKMP协议(Internet 安全关联和密钥管理协议)、Oakley协议(密钥确定协议)和描述支持匿名和快速密钥刷新的密钥交换的SKEME协议。IKE除了实现通信双方的密钥材料交换,还使用ISAKMP实现IPSec的安全关联。
这些目标是通过使用两大传输安全协议,头部认证(AH) 和封装安全负载 (ESP),以及密钥管理程序和协议的使用来完成的。所需的 IPsec 协议集内容及其使用的方式是由用户、应用程序、和/或站点、组织对安全和系统的需求来决定。AH和ESP安全报头都可以单独使用,但是为了确保安全性,它们通常一起使用。当把加密和验证结合起来,就可以在主机之间传输具有验证和机密性的IP包。一般通过捆绑传输和隧道传输来实现两者的结合。
IPSec出现得较晚。部分原因是它最初是为IPV6设计的,而IPv6的发布日期被改动了许多次。供应商产品之间的互用性也有问题。加密是处理器密集型的,在某些环境下可能不被支持。但是像Intel这样的供应商已经开发了安全适配器,通过卸载加密加速IPSec的处理。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)