Du bist unterwegs und möchtest von deinem Notebook auf das Heimnetzwerk zugreifen? Oder einfach nur einen Rechner über das Internet mit deinem NAS verbinden? Wir zeigen dir in unserem Tutorial, wie du per OpenVPN eine sichere Verbindung zu deiner Synology Disk Station und das Netzwerk dahinter herstellst.
VPN auf der Disk Station vorbereiten und einrichten
Damit es losgehen kann, meldest du dich als allererstes auf dem NAS per Webinterface an und navigierst zum Paket-Manager auf deiner Synology Disk Station. Dort angekommen, installierst du unter dem Reiter „Alle Pakete“ den VPN-Server.
Wähle nach der Installation den VPN-Server im Hauptmenü aus oder starte ihn direkt über den Button. Es öffnet sich das Konfigurationsfenster des Servers, in welchem du neben OpenVPN auch PPTP (bereits ein sehr veralteter Standard) oder L2TP/IPSec-Verbindungen einrichten kannst. Wähle hier den Punkt OpenVPN.
Im folgenden Fenster kannst du nun diverse Einstellungen für deinen VPN-Server festlegen. Aktiviere den Dienst, indem du ein Häkchen bei „OpenVPN-Server aktivieren“ setzt. Danach stehen dir weitere Optionen zur Auswahl.
Dynamische IP-Adresse
Da die Disk Station jedem verbundenen Rechner eine IP-Adresse für das VPN zuweist, ist es notwendig, dass du eine passende dynamische IP-Adresse festlegst. Wähle hier auf keinen Fall den Adressbereich, welcher deinem Rechner vom Router zugewiesen wird. Herausfinden kannst du die Adressen per Eingabeaufforderung am jeweiligen Rechner. Diese aktivierst du mit der Tastenkombination WINDOWS+R, wobei du im aufklappenden Fenster den Befehl cmd eingibst und per Eingabetaste bestätigst. Der Befehl ipconfig, wieder mit der Eingabetaste bestätigt, spuckt dir alle vorhandenen Netzwerkadapter sowie deren IPv4-Adressen in einer Listenansicht aus.
Sieh dir die IPv4-Adressen durch und achte darauf, dass du im DHCP-Server deiner Synology einen anderen Adressbereich als die bereits vergebenen nutzt. In unserem Fall stellt der Router die Adresse 192.168.0.107 zur Verfügung, wodurch der gesamte Adressbereich von 192.168.0.1 bis 192.168.0.254 für das lokale Netzwerk reserviert ist. Verwende in diesem Szenario zum Beispiel den Adressbereich 192.168.1.XXX – die letzte Stelle ist ohnehin vom NAS vergeben und nicht durch den Nutzer änderbar.
Anzahl der Verbindungen
Die maximale Anzahl von Verbindungen hängt von der Leistung deiner Disk Station ab, muss aber nicht zwingend exorbitant hoch gewählt werden, wenn nur wenige Clients eine Verbindung herstellen. Mit der Zahl der offenen Verbindungen steigt proportional die notwendige Rechenleistung für die Verschlüsselung. Wir verwenden hier 10 Verbindungen als Maximalwert, mit 3 möglichen Verbindungen pro Benutzerkonto.
Port und Protokoll
Diese beiden sind ebenfalls wichtige Parameter, sollten aber nur in besonderen Fällen geändert werden. Für OpenVPN ist 1194 der Standard-Port. Diesen musst du für eine reibungslose Funktion des VPN an deinem Router freigeben und an die IP-Adresse deines Synology NAS leiten. Du findest diese im Browser über find.synology.com, beziehungsweise einfach über die Weboberfläche – ohne http:// und dem Port :5000. Melde dich bei deinem Router an und richte die Weiterleitung (im Zweifelsfall musst du dich einmal durch die Menüs des Geräts durchklicken oder im Handbuch nachschlagen) auf den UDP-Port 1194 und die IP-Adresse deiner Disk Station ein.
Ein einfacherer aber fehleranfälligerer Weg wäre die Nutzung des EZ-Internet-Assistenten im Hauptmenü des NAS. Hier kannst du, ein kompatibles Modell vorausgesetzt, deinen Router automatisch für ausgewählte Dienste konfigurieren lassen und die Synology erledigt die Portfreigaben für dich.
Weitere Einstellungen
Nun geht es an die Verschlüsselung und Authentifizierung. Die bereits voreingestellte AES-256-CBC ist in der Regel keine schlechte Wahl, gilt mit 256bit Schlüssellänge als sicher und ist dank weitverbreitetem Standard und optimaler Implementierung in Sachen Geschwindigkeit und Kompatibilität weit vorne. Exotischere Verfahren wie Cast oder RC werden von einer weniger breiten Masse genutzt, wodurch Fehler im Algorithmus oder bei der Einbindung ins System langsamer bekannt werden. SHA-512 als Authentifizierung ist hier ebenfalls bereits eine in den meisten Fällen optimale Wahl.
Je nach Geschwindigkeit deiner Internetanbindung kannst du von einer Datenkomprimierung profitieren. Diese beansprucht zwar etwas Rechenleistung, du erreichst im Gegenzug aber etwas höhere Transferraten. Möchtest du dem verbundenen Client nicht nur die Disk Station, sondern das gesamte lokale Netzwerk dahinter zur Verfügung stellen, aktiviere die Option „Clients den Server-LAN-Zugriff erlauben“. Ein Klick auf den Übernehmen-Button startet den Server und aktiviert den Button „Konfigurationsdateien exportieren“. Klicke auf diesen, sodass du die für OpenVPN notwendige Konfigurationsdatei erhältst.
Zutritt nur mit Zertifikat und fixer Internetadresse
In der nun heruntergeladenen Zip-Datei befinden sich zwei Zertifikate, eine Readme-Datei sowie die automatische Einstellungsdatei für den OpenVPN-Clienten. Speichere die vier am besten auf einem USB-Stick, da du diese gleich am Client benötigen wirst. Vorab solltest du außerdem sicherstellen, dass dein NAS von außen erreichbar ist – unter einer festen Adresse. Da die wenigsten Provider fixe IP-Adressen vergeben, kannst du ganz einfach den Synology-Dienst dafür nutzen. Auf deiner Disk Station findest du in der Systemsteuerung den Punkt „Externer Zugriff“.
Wähle hier den Serviceanbieter „Synology“ aus. Danach kannst du einen (einzigartigen) Namen für deine Disk Station vergeben. Besitzt du noch keinen Synology-Account, kannst du dies ebenfalls hier nachholen. Ist die Option „Heartbeat“ aktiviert, erhältst du außerdem eine E-Mail, falls das Gerät die Verbindung verliert. Bevor du die Einstellungen bestätigst, musst du noch die Nutzungsbedingungen und Datenschutzrichtlinien akzeptieren.
In diesem Beispiel wäre unser NAS dann über die Internetadresse test.synology.me erreichbar. Öffne nun die Datei VPNConfig.ovpn aus dem Zip-Archiv mit einem Editor deiner Wahl. Ändere in Zeile 4 den Platzhalter YOUR_SERVER_IP zu der eben erstellten Adresse. Achte auf das Leerzeichen zwischen remote und dem Port 1194. Je nachdem, ob du die Internetverbindung deines VPN-Servers oder deine eigene während der Verbindung nutzen möchtest, entferne das Raute-Zeichen (#) aus Zeile 20. Ohne Raute gilt die Einstellung als aktiv, sodass jeglicher Client-Internetverkehr über den Server geleitet wird und du nach außen hin dessen IP-Adresse und Standort nutzt. Speichere die Datei und kopiere sie auf den Rechner, an dem du das VPN nutzen möchtest.
OpenVPN am Rechner installieren
Last but not least ist es notwendig, dass du den OpenVPN Client herunterlädst und auf deinem Rechner installierst. Diesen erhältst du auf der OpenVPN-Website. Wähle etwas weiter unten auf der Seite den passenden Installer für dein Betriebssystem, lade aber nicht die Source-Dateien herunter, sondern entweder die .exe-Datei für Windows oder den .tar.xz-Tarball für Linux, Ubuntu oder ähnliches. Nutzt du einen Mac, kannst du den passenden VPN-Client ebenfalls auf openvpn.net herunterladen.
Starte das Installationsprogramm, akzeptiere die Lizenzbedingungen und wähle bei Bedarf einzelne Komponenten aus oder ab. Die Voreinstellung reicht aber für eine Verbindung zur Synology Disk Station aus und beinhaltet neben den Kernkomponenten auch die Installation als Service (Hintergrunddienst, sodass die Anwendung nicht ständig mitlaufen muss) sowie den dazugehörenden virtuellen Ethernet-Adapter, über den die Verbindung hergestellt wird. Im Punkt „Advanced“ kann die Option „Launch OpenVPN GUI on User Logon“ deaktiviert werden, ansonsten öffnet sich der Client bei jeder Windows-Anmeldung automatisch. In manchen Konstellationen kann es passieren, dass eine Windows-Treiberwarnung erscheint, in der die Installation des virtuellen Adapters bestätigt werden muss. Das .NET Framework 4.0 wird, wenn nicht vorhanden, ebenfalls gleich mit installiert.
Client einrichten und verbinden
Ist OpenVPN installiert, kannst du es über die Desktopverknüpfung starten. Die Fehlermeldung über „Keine lesbaren Konfigurations-Profile gefunden“ kannst du einfach ignorieren und mit OK absegnen – schließlich importieren wir gleich unsere Konfigurationsdatei.
Nach Programmstart erscheint im Tray ein neues Icon. Per Rechtsklick lässt sich das Kontextmenü aufrufen und die Option „Datei importieren…“ wählen. Navigiere zum Speicherort deiner VPNConfig.ovpn und wähle sie aus. Die Einstellungen werden darauf importiert. Ein Doppelklick auf das Tray-Icon öffnet OpenVPN, welches sogleich nach den Zugangsdaten für die Synology Disk Station fragt. Melde dich mit deinem Benutzernamen und Kennwort an. Möglicherweise erhältst du eine Warnung, dass das Serverzertifikat nicht verifiziert wird. Aktuell unterstützt das Synology DSM (Betriebssystem, aktuell in Version 6.2) diese Funktion jedoch nicht out-of-the-box. Zudem zwischenspeichert OpenVPN die eingegebenen Zugangsdaten im RAM, was jedoch nicht zwingend ein Sicherheitsrisiko darstellt. Solltest du trotzdem Bedenken haben, kannst du in der Datei VPNConfig.ovpn die Option auth-nocache einfach in eine leere Zeile einfügen und die Konfiguration neu importieren.
Glückwunsch, du bist nun mit deiner Synology Disk Station verbunden und kannst das NAS, sowie das dahinter vorhandene Netzwerk von überall aus erreichen. Solltest du aufgrund der nicht vorhandenen Serverzertifikatsprüfung Sicherheitsbedenken haben, hast du die Möglichkeit, dich per L2TP/IPSec zu verbinden.
8 Antworten
Neue Antworten laden...
Neues Mitglied
Administrator
Neues Mitglied
Neues Mitglied
Administrator
Beteilige dich an der Diskussion in der Basic Tutorials Community →