如何使用 WireGuard VPN 以減少曝露至網際網路的 NAS 服務數量?
最後修訂日期:
2023-05-19
適用產品
VPN、QVPN
總覽
為提高 NAS 的安全性,最好盡可能減少曝露在網路的服務。例如,您可能希望 NAS 具備以下功能:
- 允許在網頁瀏覽器存取 QTS (必須轉送預設連接埠:8080、443)。
- 透過 SMB 通訊協定使用 Windows 檔案總管下載檔案 (必須轉送預設連接埠:137、138、139、445)
- 使用 FTP 傳輸檔案 (必須轉送預設連接埠:20,21)
在本地使用這些功能時,幾乎沒有問題,因為您通常可以信任在封閉區域網路的裝置。但是,當這些功能曝露在網路時,除非您是設定網路安全性的專家,否則您的網路與裝置可能面臨風險。
在使用 VPN 服務時,可以將這些服務整合為少量 (有時只需一個) 必須轉送的連接埠。在此範例中 (WireGuard),VPN 只需要一個連接埠 (預設埠:51280)。
程序
請按照這些步驟來設定 QNAP NAS 的 WireGuard VPN 伺服器。
- 在 NAS 安裝 QVPN VPN 伺服器。
- 在 QNAP NAS 設定 WireGuard VPN 伺服器。
- 記下監聽服務連接埠 (預設:51820)。
- 為 NAS 使用者配置足夠的 VPN 權限。
- 設定 Qufirewall 規則以允許 VPN 連線。
- 設定 WireGuard VPN 用戶端並驗證 VPN 連線是否可以在區域網路建立。
- 在 NAT 路由器設定連接埠轉送。備註如需執行這些步驟的詳細資訊,請參閱路由器的使用手冊或聯絡裝置製造商。
- 登入您的 NAT 路由器。
- 找到連接埠轉送/虛擬伺服器的設定
- 在設定輸入 NAS IP、埠號、通訊協定 (例如:預設的 WireGuard VPN 伺服器為 192.168.1.2、51820、UDP)。
- 套用設定。
- 設定 WireGuard VPN 用戶端以建立 VPN 連線。
