如何从 WAN 安全地访问家庭 NAS？

VPN 服务器还可以提供 PPTP 连接，无需额外的软件即可使用，但安全性较低，但这仍然比通过端口转发直接将内部服务暴露给互联网要好。

文档：https://help.synology.com/dsm/?section=VPNCenter&version=1.2&link=vpn_setup.html

1. 打开 VPN 服务器，然后转到左侧面板上的设置 > PPTP。

2. 勾选启用 PPTP VPN 服务器。

3. 在动态 IP 地址字段中指定 VPN 服务器的虚拟 IP 地址。请参阅下面的关于动态 IP 地址了解更多信息。

4. 设置最大连接数以限制并发 VPN 连接的数量。

5. 设置同一账户的最大连接数，以限制同一账户同时建立的 VPN 连接数。

6. 从身份验证下拉菜单中选择以下任一选项来验证 VPN 客户端：

   • PAP：VPN 客户端的密码在身份验证期间不会被加密。
   • MS-CHAP v2：VPN 客户端的密码将在身份验证期间使用 Microsoft CHAP 版本 2 进行加密。

7. 如果您在上面选择了 MS-CHAP v2 进行身份验证，请从加密下拉菜单中选择以下任意选项来加密 VPN 连接：

   • 无 MPPE：VPN 连接将不受加密机制保护。
   • 需要 MPPE（40/128 位）：VPN 连接将受到 40 位或 128 位加密机制的保护，具体取决于客户端的设置。
   • 最大 MPPE（128 位）：VPN 连接将受到 128 位加密机制保护，提供最高级别的安全性。

8. 设置 MTU（最大传输单元）以限制通过 VPN 传输的数据包大小。

9. 勾选使用手动 DNS 并指定 DNS 服务器的 IP 地址以将 DNS 推送到 PPTP 客户端。如果禁用此选项，Synology NAS 使用的 DNS 服务器将被推送到客户端。

10. 单击“应用”使更改生效。

当连接到 VPN 时，VPN 客户端的认证和加密设置必须与 VPN 服务器上指定的设置相同，否则客户端将无法成功连接。

为了与运行 Windows、Mac OS、iOS 和 Android 操作系统的大多数 PPTP 客户端兼容，默认 MTU 设置为 1400。对于更复杂的网络环境，可能需要较小的 MTU。如果您不断收到超时错误或遇到不稳定的连接，请尝试减小 MTU 大小。

请检查 Synology NAS 和路由器上的端口转发和防火墙设置，以确保 TCP 端口 1723 已打开。

部分路由器内置 PPTP VPN 服务，1723 端口可能被占用。为确保 VPN Server 正常工作，您可能需要通过路由器的管理界面禁用内置的 PPTP VPN 服务，以使 VPN Server 的 PPTP 正常工作。另外，部分老款路由器会屏蔽 GRE 协议（IP 协议 47），导致 VPN 连接失败。建议使用支持 VPN 直通连接的路由器。

1. 在局域网内的某台计算机上设置 VirtualBox。

2. 安装最小的 Debian 虚拟机（384 MB RAM，3 GB HDD 就足够了），不需要图形环境或服务，只需要 openssh-server。

3. 在路由器上配置端口重定向 - 不是默认的 22 端口号，而是某个高端口，比如说 30000-60000。记住这个端口号 :)

4. 添加非管理员用户，并记得经常更改其密码。

5. 在 WAN 计算机上下载并运行 PuTTY。通过启用 SSH 连接隧道配置与您家庭外部 IP 地址的连接。

6. 在 WAN 计算机上配置浏览器以使用 Socks 代理并将其指向本地主机，指向 PuTTY 设置中设置的端口。

7. 在浏览器的url中输入本地IP。

为什么要使用单独的 Debian 而不是直接连接到 Synology？因为 Synology 固件的安全性远不及采用 2015 年默认设置的最低限度 Debian（还记得 Synolocker 吗？）。

当然，您也可以使用 PPTP，就像上一个答案中说的那样。但是 PPTP 可能会在远程端被阻止，例如当您使用雇主的计算机并且雇主阻止外部 VPN 流量时。那么 Ssh 更好，因为您只需找到一个未锁定的端口号（例如 443），就可以自由建立连接。