Synology: Sicheres VPN mit L2TP/IPSEC

Deine Synology DiskStation bietet dir drei verschiedene Möglichkeiten, einen Tunnel von unterwegs aus zu deinem NAS herzustellen. Per VPN (Virtual Private Network) bist du mit nahezu jedem Endgerät in der Lage, von überall auf der Welt auf deine Daten zuzugreifen und diverse andere Dienste zu nutzen. Während du PPTP aufgrund nicht mehr zeitgemäßer Sicherheitsstandards meiden solltest, hast du noch die Wahl zwischen OpenVPN und L2TP/IPSec. Ersteres benötigt jedoch in vielen Fällen eigene Software, um eine Verbindung herstellen zu können. L2TP/IPSec unterstützen die meisten Betriebssysteme standardmäßig, sodass du hier einfach und schnell eine funktionierende und vor allem sichere Verbindung herstellen kannst. Wir zeigen dir, was du beachten musst und wie du dein VPN über L2TP/IPSec einrichtest.

VPN auf der DiskStation

Zuerst ist es notwendig, dass du den VPN Server über das Paket-Zentrum installierst. Erst dann ist deine DiskStation in der Lage, VPN-Verbindungen aus den Weiten des Internets anzunehmen.

Voraussetzung hierfür ist, dass du auf deinem Router eine entsprechende Portweiterleitung eingerichtet und die jeweiligen VPN-Typen in der Firewall deines NAS freigegeben hast – sofern du diese nutzt. Ebenfalls benötigst du entweder einen registrierten Hostnamen beim Synology-eigenen DynDNS-Dienst oder eine richtige Domain.

Rufe den VPN-Server auf und wechsle in den Bereich „Privileg“. Hier kannst du festlegen, welche Benutzer die jeweiligen Dienste nutzen dürfen. Setze bei den gewünschten Benutzernamen einen Haken in der Spalte L2TP/IPSec und klicke auf den Speichern-Button.

In der linken Spalte siehst du die drei möglichen Verbindungsarten. PPTP (Point-to-Point Tunneling Protocol) ist heute nicht mehr als sicher eingestuft und die dort genutzte Verschlüsselung gilt bereits seit 2012 als geknackt. Übrig bleiben OpenVPN, das einen eigenständigen Clienten auf dem Rechner benötigt, oder L2TP/IPSec. Letzteres lässt sich bei den meisten Betriebssystemen bereits out of the box realisieren.

L2TP/IPSec für jedermann

Das L2TP (Layer 2 Tunneling Protocol) stellt eine Erweiterung des veralteten PPTP-Modells dar. Zwar unterstützt auch dieses keine eigenen Verschlüsselungsverfahren, es lässt sich aber mit IPSec kombinieren, sodass dir die Vorteile beider Welten offenstehen. Eine unkomplizierte Einrichtung und trotzdem eine, je nach Passwortstärke, sichere Verbindung.

Wechsle nun in den Bereich „L2TP/IPSec“ und aktiviere den Server mit einem Haken bei „L2TP/IPSec VPN-Server aktivieren“.

Die bereits vorgeschlagene dynamische IP-Adresse kannst du entweder gleich so übernehmen, oder du vergibst eine eigene. Bedenke, dass du für die VPN-Verbindung einen vom lokalen Netzwerk abweichenden Adressbereich benötigst. Du kannst hier außerdem die maximale Anzahl von Verbindungen festlegen, welche bei den meisten Consumer- und semiprofessionellen Synology-Geräten auf 10 beschränkt ist. Dieser Wert ist unabhängig von den anderen VPN-Servern, sodass du in diesem Fall bis zu 30 VPN-Benutzer gleichzeitig bedienen kannst. Bei der Identitätsprüfung solltest du unbedingt auf MS-CHAP v2 setzen, da ansonsten die Zugangsdaten unverschlüsselt übertragen werden. Ein Haken beim Kernelmodus kann ebenfalls nicht schaden, da dieser die Übertragungsrate steigern kann.

Sicherheit vor Bequemlichkeit

Jetzt geht es an den Authentifizierungs-Schlüssel. Hier kannst du einen zufallsgenerierten, bis zu 64-stelligen Schlüssel eingeben, der aus Groß- und Kleinbuchstaben sowie Ziffern besteht. Beim Verbinden mit dem VPN benötigst du diesen ebenfalls. Natürlich erscheint es mühsam, eine 64-stellige Buchstaben-Zahlenkombination am Handy einzutippen, aber dadurch erkaufst du dir auch ein wenig Sicherheit. Den SHA-256-kompatiblen Modus benötigst du nur bei älteren Clients, welche ansonsten nicht kompatibel wären.

Ein Klick auf den Übernehmen-Button startet den Server und fragt dich bei aktiver Firewall außerdem, ob du im selben Zug die Ports freigeben möchtest. Beantworte das Popup mit „Ja“, so sparst du dir später die mühsame manuelle Freigabe der Ports. Am Router musst du dennoch selbst eine Portweiterleitung für die Ports 500, 1701 sowie 4500 auf deine DiskStation einrichten. Stelle zudem sicher, dass jegliche VPN-Dienste auf dem Router selbst deaktiviert sind, um Konflikte zu vermeiden.

Eine Verbindung herstellen

Jetzt, wo dein NAS fertig konfiguriert ist, geht es an die Einrichtung deines Betriebssystems. Wir orientieren uns hier am aktuellen Build von Windows 10 (2004) und beginnen die Einrichtung, indem wir im Startmenü den Suchbegriff „vpn-einstellungen“ eingeben und gleich den ersten Vorschlag öffnen.

Ein Klick auf „VPN-Verbindung hinzufügen“ öffnet ein neues Fenster. Hier kannst du alle notwendigen Zugangsdaten eingeben. Wichtig ist, dass du im VPN-Anbieter-Feld „Windows (integriert)“ und bei VPN-Typ den Wert „L2TP/IPSec mit vorinstalliertem Schlüssel“ auswählst. Trage im Feld „Servername oder IP-Adresse“ entweder deine Synology-DynDNS-Adresse oder deine Domain ein. Alternativ kannst du dir eine eigene (wahlweise kostenlose) dynamische Domain über einen Anbieter einrichten – wie das geht, zeigen wir dir im folgenden Absatz. Anschließend kannst du noch Benutzername und Kennwort (welche deinen Zugangsdaten auf der DiskStation entsprechen) festlegen, sodass du nicht jedes Mal erneut danach gefragt wirst. Setze hierfür etwas weiter unten einen Haken. Per Speichern-Button gelangst du wieder in die VPN-Einstellungen, mit dem Unterschied, dass nun deine Verbindung aufscheint. Du kannst diese direkt auswählen und auf „Verbinden“ klicken. Sind alle Daten korrekt, stellt dein Rechner einen Tunnel zu deinem Synology NAS her.

Dynamische IP-Adresse mit DynDNS oder NoIP

Für den Fall, dass du keine Synology-DynDNS-Adresse nutzt oder nutzen möchtest, bieten eine Reihe verschiedener Online-Dienste ebenso diesen Service an. Zum Beispiel kannst du über das mittlerweile kostenpflichtige (55$/Jahr) DynDNS eine Domain registrieren, welche dann automatisch auf deine IP-Adresse weitergeleitet wird. Das kann auch gerne eine dynamische IP sein, welche täglich neu vergeben wird. Der Dienst aktualisiert diese, sobald sie sich ändert. Die kostenfreie Option bekommst du bei No-IP. Die Auswahl an Domains ist zwar hier etwas eingeschränkt, aber im Endeffekt geht es ja nur darum, dass du dich komfortabel mit dem VPN verbinden kannst. Eine Webseite wirst du auf dieser Adresse vermutlich ohnehin nicht hosten. Wir widmen uns in diesem Tutorial dem kostenlosen Service No-IP.

Scrolle auf der Webseite nach unten und gib im Feld „Hostname“ deinen gewünschten Domainnamen ein. Wähle im zweiten Dropdown-Feld die Domain-Endung und klicke anschließend auf den „Sign Up“-Button. Fülle das folgende Formular mit deinen Daten, akzeptiere die Bestimmungen und klicke auf „Free Sign Up“. Prüfe deine E-Mail-Adresse und klicke in der Mail von No-IP auf den Bestätigungslink (Confirm Account).

Ist dein No-IP-Account aktiv, wechsle zum Web-Interface deines NAS. Öffne die Systemsteuerung, klicke auf den Reiter „Externer Zugriff“ und im Bereich „DDNS“ auf den Hinzufügen-Button. Aktiviere „DDNS-Unterstützung aktivieren“ und trage anschließend auch hier deine Zugangsdaten, die du vorhin festgelegt hast, ein. Teste die Verbindung über den entsprechenden Button und speichere mit „OK“. Ab jetzt ist deine DiskStation über die No-IP-Adresse erreichbar.

Das LAN hinter dem VPN-Server

Es gibt Anwendungsfälle, bei denen nicht nur ein Zugriff auf den Server erfolgen soll, sondern ebenfalls ein Zugriff auf die Clients im lokalen Netz hinter dem VPN erforderlich ist. Auf diese Weise kannst du zum Beispiel dein gesamtes LAN von unterwegs fernwarten oder Druckaufträge an deinen Netzwerkdrucker senden. Wird eine Verbindung von deinem Rechner zur DiskStation hergestellt, werden Netzwerkpakete automatisch direkt ins Zielnetz geroutet. Du siehst zwar die verbundenen Rechner nicht in deiner Windows-Netzwerkumgebung, da dies vom Protokoll nicht unterstützt wird und, wenn über Umwege trotzdem aktiviert, für einen massiven Trafficanstieg sorgen würde. Über die IP-Adresse des jeweiligen Geräts sind diese jedoch problemlos erreichbar. Das gilt ebenso für Netzlaufwerke oder Web-Interfaces im Browser.

L2TP/IPSec oder lieber OpenVPN?

Mehrere mögliche Optionen stellen dich vor die Wahl: Das Windows-eigene VPN nutzen per L2TP/IPSec oder auf einen Open-Source-Anbieter setzen? Klar bringt dir eine bereits ins Betriebssystem integrierte Lösung mehrere Vorteile. Sie ist einfach realisiert, lässt sich auch von Laien einrichten und bietet dafür relativ passable Sicherheit. Trotzdem bietet OpenVPN einen größeren Funktionsumfang. Das Open-Source-Protokoll ermöglicht nicht nur die Nutzung von Zertifikaten statt Kennwörtern, du kannst damit sogar ohne komplizierte statische Routen auf das Netzwerk hinter der DiskStation zugreifen, sofern du den Haken setzt. Mit dem passenden Clienten kannst du sogar bereits beim Systemstart eine Verbindung zu deinem NAS herstellen, sodass du dich um nichts weiter sorgen musst. Einzig die Einrichtung ist etwas komplizierter, da Zertifikate erstellt, exportiert und in der installierten Software importiert werden müssen. Dafür erhältst du mit OpenVPN gewissermaßen die Rundum-Sorglos-Lösung, verglichen mit der relativ dürftigen Implementierung von L2TP/IPSec in Windows 10.