Nach einer gewissen Eingewöhnungsphase wird dir wahrscheinlich bereits aufgefallen sein, dass dein NAS weit mehr als nur ein simpler Netzwerkspeicher ist, sondern viele weitere Dienste aktiv sind. Einige davon sind über das Internet erreichbar, sodass du komfortabel zahlreiche Funktionen beispielsweise auf deinem Smartphone oder auch deinem Windows- oder Mac-OS-Notebook nutzen kannst.
Das kann aber ein Sicherheitsrisiko darstellen, da zumindest jeder von außen an die virtuelle Tür klopfen kann. Und ab hier ist es nur noch eine Frage der Zeit, bis jemand deine Zugangsdaten herausfindet. Nicht zu vergessen, dass auch zwischen Quell- und Zielverbindung ein Übeltäter stecken kann, der als sogenannter Man-in-the-Middle einfach mitlauscht. Mit einem abgesicherten VPN kannst du diesem Treiben effizient einen Riegel vorschieben und dabei noch ganz andere Vorteile genießen. Wir zeigen dir, wie du ein VPN auf deinem QNAP-NAS einrichtest und was du dabei konkret beachten musst.
Am Anfang war der VPN-Server
Bevor du auch nur an irgendeine Verbindungsart denkst, ist es notwendig, dass du den VPN-Server über das App Center auf deinem QNAP-NAS installierst. Öffne das App Center, klicke auf den Reiter „Alle Apps“ und scrolle nach unten, bis du den „QVPN Service“ entdeckst. Klicke bei diesem auf den Installieren-Button. Sollten bei dir keine Apps aufscheinen, klicke in der Menüleiste auf den Aktualisieren-Button und die Liste der Anwendungen wird neu geladen.
Sobald die App installiert ist, klicke auf „Öffnen“, sodass du kurz darauf im QVPN-Serviceinterface landest. An dieser Stelle kannst du alle aktiven Server, Benutzer und Netzwerkadapter im Blick behalten und natürlich den Dienst nach deinen Anforderungen konfigurieren.
QNAP bietet dir vier verschiedene VPN-Server, von denen aber in erster Linie nur QBelt und OpenVPN zeitgemäß und umfangreich konfigurierbar sind. PPTP stellt einen mittlerweile veralteten Standard dar und mit L2TP/IPSec erreichst du zwar ein gewisses Maß an Verbindungssicherheit und kannst sogar ohne jeglichen VPN-Client direkt vom Betriebssystem aus verbinden, aber es fehlen zahlreiche Einstellungsmöglichkeiten.
Aus der QNAP-Softwareküche: QBelt VPN
Beginnen wir unsere Tour also mit dem QNAP-eigenen QBelt. Wähle in der linken Menüleiste den Punkt „QBelt“ und setze einen Haken bei „QBelt-Server aktivieren“. Du kannst im Anschluss einen eigenen IP-Adressbereich vergeben, solltest du das für notwendig halten. Ansonsten belasse die Einstellung bei 10.6.0.2 bis 10.6.0.254. Die Adressen spielen im VPN eine eher untergeordnete Rolle, da du wahrscheinlich eher mit Netzlaufwerken sowie direkten Rechnernamen arbeiten wirst.
Eine größere Rolle spielt der Server-Port. Dieser muss nämlich zuerst auf deinem Router freigegeben und an dein QNAP-NAS im lokalen Netzwerk weitergeleitet werden – im Rahmen eines sogenannten Port Forwardings. Wie das genau funktioniert, erfährst du beispielsweise in diesem Tutorial. Ist der gewählte Port von außen erreichbar, geht es weiter.
Lege einen sogenannten Preshared-Key fest, also am besten eine zufallsgenerierte Zeichenfolge, mit der sich die VPN-Nutzer an deinem Server authentifizieren können. Zudem lässt sich die maximale Anzahl gleichzeitig verbundener Nutzer festlegen. Diesen Wert kannst du bis auf 100 erhöhen, wenn du tatsächlich mit so vielen Usern rechnest und deiner Internetanbindung diesen Traffic zutraust.
Solltest du mehrere Netzwerkadapter in deinem QNAP-NAS verbaut haben, kannst du wählen, über welchen die VPN-Verbindung laufen soll. Das kann vor allem dann Vorteile bringen, wenn du per VPN auf ein ganz bestimmtes Netzwerksegment zugreifen möchtest – zum Beispiel, wenn nur ausgewählte Rechner und Drucker an einem Switch angeschlossen sind und auf andere Geräte kein Zugriff erfolgen soll.
Weiter unten im Fenster kannst du direkt die dafür notwendige QVPN-App für diverse Systeme herunterladen. Klicke auf den Übernehmen-Button, um deine Einstellungen zu speichern und installiere im Anschluss daran die jeweilige App auf den gewünschten Endgeräten.
Mit dem QBelt VPN verbinden
Sobald die App installiert ist, öffne diese auf deinem Rechner oder Smartphone. In unserem Tutorial gehen wir von einer Installation in Windows 10 aus. Den Schnelleinstieg kannst du per Button überspringen. Jetzt gilt es, die Region festzulegen – du hast die Wahl zwischen „Global“ und „China“. Das hat weniger mit Performance und Latenz zu tun, sondern mehr mit den Regularien chinesischer Domains. Bestätige mit dem OK-Button und schon erscheint die App beziehungsweise der nächste Assistent.
Wähle den Punkt „Manuell hinzufügen“. Solltest du noch keinen sogenannten TAP-Adapter (ein virtueller Netzwerkadapter, den du für das VPN benötigst) installiert haben, klicke im folgenden Hinweisfenster auf „Install TAP-Windows adapter“. Bestätige die Sicherheitswarnung mit „Installieren“ und betätige den OK-Button. Jetzt kannst du die Zugangsdaten für dein QNAP-NAS eingeben und weitere Einstellungen vornehmen.
Klicke zuallererst auf den Punkt „NAS“, da du dich ja mit deinem Netzwerkspeicher verbinden möchtest. Vergib einen Namen für das Profil, das du gerade erstellst und tippe deinen (oder den jeweiligen) Benutzernamen und Passwort für den Account auf dem NAS ein. Als Nächstes benötigst du entweder deine öffentliche IP-Adresse, deine (DynDNS-) Domain oder den myQNAPcloud-Namen. Letztere beide musst du vorher konfigurieren, sodass eine fixe IP-Adresse erst mal ausreicht. Sollte dein Provider diese nicht zur Verfügung stellen, musst du ohnehin zu Option 2 oder 3 greifen.
Die App ermöglicht dir neben der Verbindung mit QBelt, auch weitere VPN-Typen zu nutzen, wie etwa OpenVPN oder L2TP. Doch mehr dazu später. Klicke auf Speichern, sodass das Eingabefeld für den Pre-Shared Key aufscheint, in welchem du die zuvor festgelegte Zeichenfolge eingibst. Ebenso benötigst du noch den Port (443), bevor du noch mal auf „Speichern“ klickst.
Jetzt scheint die soeben eingerichtete Verbindung in der App auf. Um die Verbindung mit deinem VPN herzustellen, musst du nur noch auf das Verbinden-Icon (mit den zwei Steckern) klicken. Nach wenigen Sekunden bist du in deinem lokalen Netzwerk und kannst auf alle erlaubten Geräte zugreifen.
PPTP: Mit Sicherheit unsicher
Im Jahr 2021 ist es mehr als verwunderlich, dass ein bereits 2012 geknacktes Übertragungsprotokoll immer noch in zahlreichen Systemen zur Verfügung steht. Es genügt bereits, wenn jemand einen Anmeldevorgang protokolliert. Folgend werden anschließend per Brute-Force-Attacke die für die Authentifizierung notwendigen Hash-Werte durchprobiert, was häufig nur wenige Stunden dauern kann. Wir raten dir deshalb von PPTP ab, obwohl es sowohl bei deinem QNAP-NAS als auch in beinahe jedem Betriebssystem fest implementiert ist und du dir diverse Third-Party-Apps sparen würdest.
Vertrauenswürdiger Open Source Server: OpenVPN
Um Welten besser sieht eine VPN-Lösung mit OpenVPN aus. Hier kannst du neben einer verschlüsselten Verbindung sogar Zertifikate nutzen. Letztere bieten dir den Vorteil, dass der darin enthaltene Schlüssel aufwendiger zu knacken ist als beispielsweise ein Kennwort oder der Pre-Shared-Key bei QBelt. Möchtest du einem bestimmten Benutzer den Zugriff verweigern, kannst du einfach das Zertifikat verweigern, ohne auf allen anderen Clients das Passwort ändern zu müssen.
So viel zur Theorie. In der Praxis benötigst du, wie bei allen Serverdiensten eine Portweiterleitung von deinem Router an dein QNAP-NAS. Dadurch landen spezifische Anfragen (etwa für das VPN) direkt dort, wo sie hingehören – nämlich auf den VPN-Server des NAS. Mehr zum sogenannten Port Forwarding erfährst du in diesem Tutorial.
Möchtest du OpenVPN nutzen, öffne auch in diesem Fall wieder QVPN Service auf deinem NAS – oder installiere die App vorher, solltest du das noch nicht erledigt haben. Klicke links in den Bereich „OpenVPN“ und setze einen Haken bei „OpenVPN-Server aktivieren“. Ähnlich wie bei QBelt kannst du auch hier den IP-Adressbereich nach Wunsch ändern sowie den Port festlegen. Ebenfalls liegt das Limit wie bei QBelt bei 100 gleichzeitigen Nutzern. Außerdem lässt sich hier die Verschlüsselung festlegen, wähle an dieser Stelle am besten die Einstellung „Hoch(AES 128-bit)“.
Möchtest du nur eine bestimmte Netzwerkkarte dem VPN zugänglich machen, kannst du das im Punkt „Netzwerkschnittstelle“ festlegen. Möchtest du, dass während der VPN-Verbindung dein Client jeglichen Internetverkehr über das Heimnetz leitet, belasse den Haken bei „Nutzen Sie diese Verbindung als Standard-Gateway für externe Geräte“. Falls nicht, entferne den Haken. Du kannst außerdem die Komprimierung aktivieren, welche zwar ein wenig Rechenleistung auf deinem NAS in Anspruch nimmt, aber die Verbindung merklich beschleunigen kann.
Klicke im Anschluss daran auf den Übernehmen-Button und auf das Kästchen „Konfigurationsdatei herunterladen“ – nicht umgekehrt. Deine Arbeit am NAS ist getan und du kannst dich dem Client widmen.
OpenVPN installieren und konfigurieren
Jetzt hast du die Wahl, entweder den VPN-Clienten aus dem Hause QNAP zu nutzen oder direkt den OpenVPN-Client herunterzuladen. Nutzt du ausschließlich OpenVPN, bist du mit Letzterem ausreichend bedient. Du benötigst dafür lediglich die soeben heruntergeladene Konfigurationsdatei und die App selbst, die du direkt beim Hersteller downloaden kannst. Entscheide dich hier besser für OpenVPN Connect, da du damit ganz einfach die Konfiguration importieren kannst, ohne großartige Einstellungen vornehmen zu müssen.
Klicke auf den orangen Download-Button, öffne die Datei und installiere den Client. Dieser öffnet sich gleich im Anschluss und überflutet dich mit den aktuellen News. Segne diese einfach mit „OK“ ab.
Richte eine neue Verbindung ein, indem du auf das Plus-Icon im rechten unteren Bereich klickst. Wähle anschließend den Reiter „File“ und ziehe die Konfigurationsdatei einfach in den Bereich mit der Wolke. Oder klicke auf den Browse-Button und navigiere dorthin.
Dem Profil kannst du noch einen aussagekräftigeren Namen geben, alle anderen Werte sind festgelegt durch das importierte Profil. Außerdem kannst du hier gleich deine Zugangsdaten zum NAS eingeben – nämlich deinen Benutzernamen sowie, wenn du auf „Save password“ klickst, auch dein Kennwort.
Klicke auf den Connect-Button. Die Meldung über das fehlende externe Zertifikat kannst du mit einem „Don’t show again for this profile“ absegnen und auf „Continue“ klicken. Das Zertifikat selbst befindet sich direkt in der Konfigurationsdatei und nicht extern. Möchtest du dieses absolut minimale Sicherheitsrisiko aus dem Weg schaffen, kannst du dich ebenso über die QVPN-App mit deinem lokalen Netzwerk verbinden.
L2TP/IPSec für maximale Kompatibilität
Du hast keine Lust oder keine Rechte, externe Software auf dem Rechner zu installieren, nur um eine VPN-Verbindung herstellen zu können? Kein Problem, mit ein paar Abstrichen in Sachen Security bringen fast alle modernen Betriebssysteme die Möglichkeit, L2TP/IPSec-Verbindungen herzustellen, mit. Natürlich müssen auch hier wieder entsprechende Ports, nämlich hier gleich drei an der Zahl (500, 1701, 4500) an dein NAS geleitet werden. Wie genau das funktioniert, erfährst du in diesem Tutorial.
Öffne oder installiere auch dafür wieder zuallererst den QVPN Service und wähle in der linken Leiste den Bereich „L2TP/IPSec (PSK)“. Aktiviere den Server mit einem Haken bei „L2TP/IPSec-VPN-Server aktivieren“, wähle nach Belieben einen IP-Adressbereich oder belasse diesen so, wie er ist und lege ein möglichst sicheres Kennwort fest – am besten 16 Zeichen lang sowie eine Kombination aus Groß-, Kleinbuchstaben und Zahlen. Erhöhe die Zahl der Clients auf deine gewünschte Anzahl und stelle sicher, dass „MS-CHAPv2“ als Authentifizierung genutzt wird. Hier kannst du ebenso einen expliziten Netzwerkadapter wählen, wenn Bedarf besteht. Speichere deine Einstellungen mit dem Übernehmen-Button.
VPN über L2TP/IPSec einrichten
Ist dein Server aktiv, geht es an die Einrichtung des Clients. Du benötigst dafür ausschließlich Windows-Bordmittel sowie einen kleinen Hack in der Registry. Letzteres ist einfacher, als du jetzt vielleicht denken magst.
Suche im Startmenü oder der Windows-Suche nach „VPN“ oder klicke im Startmenü auf das Zahnrad-Icon, öffne damit die Systemsteuerung und navigiere dort über „Netzwerk und Internet“ zum Bereich „VPN“.
Klicke auf den Punkt „VPN-Verbindung hinzufügen“ und gib im folgenden Konfigurationsfenster der Verbindung einen Namen.
Zudem benötigst du entweder die (fixe) IP-Adresse oder den (DynDNS) Servernamen beziehungsweise die Webadresse deines NAS. Die myQNAPcloud-Adresse funktioniert hier ebenfalls, sodass du umständliche Registrierungen bei zahlungspflichtigen DNS-Dienstleistern elegant umgehen kannst.
Wähle darüber hinaus im Feld „VPN-Anbieter“ den „Windows (integriert)“ sowie bei VPN-Typ „L2TP/IPsec mit vorinstalliertem Schlüssel“. Zertifikatsbasierende Verbindungen unterstützt der QNAP-VPN-Server aktuell nicht out of the box. Diese benötigst du als Privatnutzer aber auch nicht unbedingt. Gib das zuvor festgelegte Kennwort im Feld „Vorinstallierter Schlüssel“ ein und fülle das Konfigurationsfenster am besten gleich noch mit deinen Zugangsdaten zum NAS und setze einen Haken bei „Anmeldeinformationen speichern“. Klicke anschließend auf „Speichern“. Das war der einfache Part.
Verbindung über L2TP/IPSec herstellen
Im Idealfall klickst du einfach deine soeben erstellte Verbindung an und betätigst den Verbinden-Button.
Dieser Idealfall tritt aber nur dann ein, wenn sich dein Rechner nicht hinter einem Router befindet – also relativ selten. Es gilt, die Clientverbindungsregeln per Registrierungseditor zu ändern, sodass auch über ein sogenanntes NAT (Network Address Translation) eine Verbindung hergestellt werden kann.
Öffne den Registrierungseditor, indem du im Startmenü oder der Windows-Suche danach suchst. Navigiere zu folgendem Eintrag:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Du kannst alternativ auch einfach den Pfad hier kopieren und in die Adresszeile des Registrierungseditors einfügen sowie mit der Eingabetaste bestätigen.
Rechtsklicke im rechten Bereich des Editors, sodass sich das Kontextmenü öffnet. Wähle Neu -> DWORD-Wert (32-bit). Nenne diesen wie folgend:
AssumeUDPEncapsulationContextOnSendRule
Doppelklicke anschließend auf den neu erstellten Eintrag und gib diesem den Wert 2. Die 2 impliziert, dass sich sowohl der VPN-Server als auch der Client hinter einem Router befinden. Eine 1 beschreibt den Fall, in welchem nur der Server hinter einem Router steckt, nicht aber der Client. Das stellt jedoch einen seltenen Sonderfall dar. Die Standardeinstellung wäre 0, in welcher Windows annimmt, dass weder Client noch Server hinter einem Router stehen.
Bestätige deine Eingabe mit „OK“ und starte deinen Rechner neu. Anschließend solltest du dich fehlerfrei mit dem VPN-Server verbinden können.
Verbindung von QNAP zu QNAP
Nicht immer müssen Endgeräte sich zu Servern verbinden. Du kannst auch zwei oder mehrere NAS miteinander per VPN verbinden. Diese Tatsache kannst du dir etwa bei Site-to-Site-Backups zunutze machen. Beginne wie immer im QVPN Service und klicke in der linken Leiste auf „VPN-Verbindungsprofile“ im Abschnitt „VPN-Client“. Betätige oben den Hinzufügen-Button und wähle einen VPN-Typ aus, den du zuvor auf dem anderen NAS konfiguriert haben solltest.
Gib anschließend die entsprechenden Verbindungsdaten ein oder nutze die Konfigurationsdatei. Vervollständige die offenen Felder mit deinen Zugangsdaten und einem Profilnamen. Klicke auf den Erstellen-Button und die VPN-Verbindung erscheint in der Liste „Weitere VPN-Verbindungsprofile“ auf.
No replies yet
Neue Antworten laden...
Neues Mitglied
Beteilige dich an der Diskussion in der Basic Tutorials Community →