Data也移民！人在英國開箱DS1621+（二） VPN + pfsense全Wi-Fi “翻牆”篇

上一期我們開箱過Synology NAS，那我們今天再來說一下除了 資料儲存 之外，到底一個NAS對於我們這一種移民來說，還有什麼玩法呢？

對於移民到外國的人來說，或多或少肯定有在用一些網上的服務，比如網上銀行，網絡串流平台 之類的。而且對於日漸向大陸看齊的香港， 未雨綢繆是必須的。

在我們設定VPN之前，如果我們在外國想看一些只有香港才能看的節目，是這樣的：

早前香港有報導說

有見及此，今天我們就看一下VPN怎麼可以讓人在英國也可以看的到香港的電視台網站來做例子吧！

VPN的全名是 Virtual Private Network， 顧名思義就是用來建設一個私人網絡，可以把在外國的你，帶回到家鄉！為了看電視，我們來Setup VPN吧！

我來英國之前，我在香港就有一台NAS，是Synology的DS720+，目前放在我妹妹的家。在英國這邊，我想在家設一個Wi-Fi是連回香港的。

第一步，我們首先用上次介紹過的QuickConnect先登入香港NAS的DSM。


之後，我們可以先建立一個DDNS，Synology有附送免費的DDNS我們可以用！

Control Panel > External Access > DDNS > Add



在這邊有兩個地方面要留意
1. Service Provider 要選Synology
2. Host name 可以選一個自由喜歡的，完全沒所謂



現在你的NAS已經有一個網址了！下一步，我們要安裝&設定OpenVPN

我們先去Package Centre > 搜尋VPN





暫時先不用設定Firewall，先按取消。

Synology 的VPN Server套件有三個VPN可以選
1. PPTP
2. L2TP
3. OpenVPN – 我們今天會選這個。

我在這邊也要吐嘈一下，PPTP & L2TP在2022年已經沒有什麼人用來當VPN了。OpenVPN可以但Performance比較慢。在Synology的Router SRM裡VPN套件明明已經有其他VPN的選擇了，希望Synology的Product Manager可以看到，快點更新一下NAS的VPN套件，很多人都在等官方支援的WireGuard / SSL VPN。




按照上面設好之後，按Apply，之後再按Export Configuration，一個檔案會下載到你的電腦裡。



我們用Notepad打開這個檔案，會看到這樣，不用緊張，是正常的！



我們需要改一點資料

1. remote YOUR_SERVER_IP 1194 > 把YOUR_SERVER_IP改成我們剛剛建立的DDNS
e.g. remote hello.synology.me 1194
2. 把#redirect-gateway def1的# 刪了
e.g. redirect-gateway def1
3. 把#dhcp-option DNS DNS_IP_ADDRESS的# 刪了，把DNS_IP_ADDRESS改成8.8.8.8
e.g. dhcp-option DNS 8.8.8.8

改好之後Save！我們OpenVPN的設定檔就做好了！

在連接VPN之前，我們有兩個Firewall要設定。一個是NAS的，一個是Router的。










這裡請各位朋友一定一定一定要小心，重要的東西要講三次
不要把自由擋在防火牆外面！
不要把自由擋在防火牆外面！
不要把自由擋在防火牆外面！

因為我完全是家裡在用，所以我就把我家幾個VLAN的網域都先加進去了。

Router 那邊要把剛剛OpenVPN用到的端口port forwarding到NAS那邊。因為我香港家裡用的是Unifi的Dream Machine，所以我就用它來示範吧，但別的品牌都是一差不多的。



當我們把port forwarding設好之後，香港NAS這邊就完全設好了！

那我們來設一下英國這邊吧！因為我們想要整個Wi-Fi都可以連回去香港，所以我們會首先在Router這邊做設定。我目前在英國用的是Pfsense的Firewall＋Router，就是一般人說的軟路由吧。

首先，我們先上Pfsense的admin portal > VPN > OpenVPN



Client > Add New







按這個設定設好之後，我們的Router就連回去香港的OpenVPN了。之後只要把Wi-Fi裡所有的流量都通過我們剛剛設的OpenVPN就完成了。







我在pfsense設了一個VLAN，一個IP Alias Group & 兩個Wi-Fi VLAN防火牆規則：
1. 建了一個叫VLAN28_HK的WI-FI VLAN，tag 28
2. 把所有英國家裡的IP range設成一個叫Local_IP的IP Alias Group
3. 容許所有 non-Local_IP 的流量通過剛剛設好OpenVPN的Gateway
4. 容許其他的流量通過

最後，我們只要建立一個有這國VLAN 我Wi-Fi就搞定了！





這樣我們就設好了一個叫LWF – HK 的Wi-Fi，而且整個Wi-Fi都連接到香港的VPN！


最最最最最後，我們來試一下吧！
普通Wi-Fi


VPN WIFI




其實一台NAS可以做的事情真的很多！這次就先講這麼多吧！下次我們再玩別的！