跳轉到主要內容
OpenVPN Synology DSM 7 VPN Server 在 Synology NAS 上架設 OpenVPN 伺服器,讓外部裝置能安全回到內網存取資源。這份筆記以 DSM 7 的 VPN Server 套件(OpenVPN 模式)為主,從 NAS 端建置走到用戶端連線。
本文所有伺服器位址、連接埠、帳號、憑證內容都是佔位範例,請替換成自己的環境值。VPN 的 tls-auth 靜態金鑰與私鑰屬機密,絕不可公開或提交進版控,外洩等同連線可被偽冒。

概述

OpenVPN 是以 TLS 為基礎的開源 VPN,跨平台、設定彈性高。Synology 的 VPN Server 套件把伺服器端封裝成圖形介面,匯出的 .ovpn 已整合好憑證,用戶端匯入即可連線。整體分兩個角色:
  • IT 管理員:在 NAS 端建置伺服器、開帳號、設路由與對外位址、匯出設定檔。
  • 一般用戶:拿到 .ovpn 與帳號密碼,用 OpenVPN Connect 匯入連線。

NAS 端建置流程(IT 管理員)

1

安裝並啟用 VPN Server 套件

DSM「套件中心」搜尋 VPN Server 安裝後啟動,開啟左側選單的 OpenVPN,勾選「啟用 OpenVPN 伺服器」。
2

建立 VPN 專用帳號

DSM「控制台 → 使用者與群組」建立專用帳號(例如 vpnuser):
  • 設定強密碼(長度 ≥ 12,含大小寫、數字、符號)
  • 在「應用程式權限」只開必要服務(如 File Station / SMB)
不要給 VPN 帳號 admin 權限,遵循最小權限原則。
3

調整 OpenVPN 伺服器設定

在 OpenVPN 設定頁依需求調整:
設定項目建議值說明
伺服器連接埠自訂(預設 1194改成不易被掃描的非標準埠可降低風險
通訊協定UDP即時性較佳;需穿透嚴格防火牆時改 TCP
動態 IP 位址10.8.0.0(遮罩 255.255.255.0VPN 用戶端的虛擬子網
最大連線數5–20視需求調整
加密AES-256-CBC / SHA256預設值,可視需求調整
必勾:「允許用戶端存取伺服器的 LAN」「將伺服器的 LAN 路由推送給用戶端」。只需回內網存取資源時,不要勾「將所有用戶端流量導向 VPN」。
4

設定 VPN 使用權限

VPN Server 左側「權限」頁,把目標帳號的 OpenVPN 欄設為「允許」。建議在「一般設定」取消「授予 VPN 權限給新增加的本地使用者」,改由 IT 手動賦予,避免新帳號自動取得權限。
5

設定 DDNS(建議)

DSM「控制台 → 外部存取 → DDNS」新增 Synology DDNS(主機名如 your-nas.example.synology.me),NAS 會定期更新對應的外部 IP。用 DDNS 可免去 IP 變動造成設定失效。未用 Synology DDNS 時,也可改用 Cloudflare DNS A 記錄指向外部 IP 並配自動更新。
6

路由器連接埠轉發

在主路由器的「Port Forwarding / 虛擬伺服器」新增規則:
設定項目
外部埠(WAN Port)自訂(與下方一致)
內部 IPNAS 的 LAN IP(例 192.168.x.x
內部埠與 VPN Server 設定一致
協定UDP
雙 NAT 環境(電信終端設備 + 自己的 Router)須先在外層轉到內層 Router,再由內層轉到 NAS,否則外網連不進來。
7

DSM 防火牆放行(若有啟用)

DSM「控制台 → 安全性 → 防火牆」新增允許規則:來源可限公司 IP 段、連接埠填你設定的 OpenVPN 埠、動作「允許」,並把此規則排在拒絕規則之前。
8

匯出並編輯 .ovpn 設定檔

OpenVPN 頁點「匯出設定」取得 .ovpn(可能附憑證)。用文字編輯器打開,把 remote YOUR_SERVER_IP 1194 改成你的 DDNS 或外部固定 IP 與實際使用的埠:
remote your-nas.example.synology.me <your-port>
確認 ca / cert / key 憑證設定(Synology 匯出通常已整合)。存檔後連同帳號密碼提供給用戶。

用戶端連線

各平台都裝 OpenVPN Connect,匯入 .ovpn 後輸入帳號密碼即可。
  1. 安裝 OpenVPN Connect。
  2. Import Profile → Upload File 選入 .ovpn
  3. 輸入帳號密碼,按 Connect。
  4. 若提示缺憑證,確認 .ovpn 已內嵌 catls-auth 或一併匯入附帶憑證檔。
TCP 還是 UDP? 即時性優先選 UDP(無重傳、容忍少量遺失,延遲低);要穿透嚴格防火牆或要求穩定一致選 TCP(保證不遺失、按序到達,但延遲略高)。VPN 一般預設 UDP。

疑難排解

症狀可能原因排查方向
外網連不進來路由器轉發錯、雙 NAT 未逐層轉、ISP 封埠核對轉發規則、逐層 NAT、改用非標準埠或聯絡 ISP
用戶端提示缺憑證.ovpn 未內嵌或漏帶附帶憑證重新匯出含憑證的設定檔
連上但無法存取內網未推送 LAN 路由伺服器端勾「推送 LAN 路由」「允許存取 LAN」
DDNS 沒更新DDNS 服務未啟用或外部 IP 變動檢查 DSM DDNS 狀態、必要時手動更新

維運建議

  • VPN 帳號由 IT 手動賦權,離職或專案結束即停權。
  • 定期檢視 VPN Server 連線記錄,留意異常來源與時間。
  • 伺服器埠避開預設值,搭配 DSM 防火牆限制來源網段。
  • 機密(私鑰、tls-auth 金鑰、帳號密碼)只透過安全管道交付,絕不進版控或公開頻道。

相關連結

本頁是私人組織 repo issp-mes-lab/labvpn 的公開精簡版,已移除實驗室內部位址、連接埠、帳號與憑證等敏感資訊。原始 repo 為私有,需組織權限方可存取。