Betriebssysteme, Programme & Web

Synology: Sicheres VPN mit L2TP/IPSEC

Deine Synology DiskStation bietet dir drei verschiedene Möglichkeiten, einen Tunnel von unterwegs aus zu deinem NAS herzustellen. Per VPN (Virtual Private Network) bist du mit nahezu jedem Endgerät in der Lage, von überall auf der Welt auf deine Daten zuzugreifen und diverse andere Dienste zu nutzen. Während du PPTP aufgrund nicht mehr zeitgemäßer Sicherheitsstandards meiden solltest, hast du noch die Wahl zwischen OpenVPN und L2TP/IPSec. Ersteres benötigt jedoch in vielen Fällen eigene Software, um eine Verbindung herstellen zu können. L2TP/IPSec unterstützen die meisten Betriebssysteme standardmäßig, sodass du hier einfach und schnell eine funktionierende und vor allem sichere Verbindung herstellen kannst. Wir zeigen dir, was du beachten musst und wie du dein VPN über L2TP/IPSec einrichtest.

VPN auf der DiskStation

Zuerst ist es notwendig, dass du den VPN Server über das Paket-Zentrum installierst. Erst dann ist deine DiskStation in der Lage, VPN-Verbindungen aus den Weiten des Internets anzunehmen.

Voraussetzung hierfür ist, dass du auf deinem Router eine entsprechende Portweiterleitung eingerichtet und die jeweiligen VPN-Typen in der Firewall deines NAS freigegeben hast – sofern du diese nutzt. Ebenfalls benötigst du entweder einen registrierten Hostnamen beim Synology-eigenen DynDNS-Dienst oder eine richtige Domain.

Rufe den VPN-Server auf und wechsle in den Bereich „Privileg“. Hier kannst du festlegen, welche Benutzer die jeweiligen Dienste nutzen dürfen. Setze bei den gewünschten Benutzernamen einen Haken in der Spalte L2TP/IPSec und klicke auf den Speichern-Button.

In der linken Spalte siehst du die drei möglichen Verbindungsarten. PPTP (Point-to-Point Tunneling Protocol) ist heute nicht mehr als sicher eingestuft und die dort genutzte Verschlüsselung gilt bereits seit 2012 als geknackt. Übrig bleiben OpenVPN, das einen eigenständigen Clienten auf dem Rechner benötigt, oder L2TP/IPSec. Letzteres lässt sich bei den meisten Betriebssystemen bereits out of the box realisieren.

L2TP/IPSec für jedermann

Das L2TP (Layer 2 Tunneling Protocol) stellt eine Erweiterung des veralteten PPTP-Modells dar. Zwar unterstützt auch dieses keine eigenen Verschlüsselungsverfahren, es lässt sich aber mit IPSec kombinieren, sodass dir die Vorteile beider Welten offenstehen. Eine unkomplizierte Einrichtung und trotzdem eine, je nach Passwortstärke, sichere Verbindung.

Wechsle nun in den Bereich „L2TP/IPSec“ und aktiviere den Server mit einem Haken bei „L2TP/IPSec VPN-Server aktivieren“.

Die bereits vorgeschlagene dynamische IP-Adresse kannst du entweder gleich so übernehmen, oder du vergibst eine eigene. Bedenke, dass du für die VPN-Verbindung einen vom lokalen Netzwerk abweichenden Adressbereich benötigst. Du kannst hier außerdem die maximale Anzahl von Verbindungen festlegen, welche bei den meisten Consumer- und semiprofessionellen Synology-Geräten auf 10 beschränkt ist. Dieser Wert ist unabhängig von den anderen VPN-Servern, sodass du in diesem Fall bis zu 30 VPN-Benutzer gleichzeitig bedienen kannst. Bei der Identitätsprüfung solltest du unbedingt auf MS-CHAP v2 setzen, da ansonsten die Zugangsdaten unverschlüsselt übertragen werden. Ein Haken beim Kernelmodus kann ebenfalls nicht schaden, da dieser die Übertragungsrate steigern kann.

Sicherheit vor Bequemlichkeit

Jetzt geht es an den Authentifizierungs-Schlüssel. Hier kannst du einen zufallsgenerierten, bis zu 64-stelligen Schlüssel eingeben, der aus Groß- und Kleinbuchstaben sowie Ziffern besteht. Beim Verbinden mit dem VPN benötigst du diesen ebenfalls. Natürlich erscheint es mühsam, eine 64-stellige Buchstaben-Zahlenkombination am Handy einzutippen, aber dadurch erkaufst du dir auch ein wenig Sicherheit. Den SHA-256-kompatiblen Modus benötigst du nur bei älteren Clients, welche ansonsten nicht kompatibel wären.

Ein Klick auf den Übernehmen-Button startet den Server und fragt dich bei aktiver Firewall außerdem, ob du im selben Zug die Ports freigeben möchtest. Beantworte das Popup mit „Ja“, so sparst du dir später die mühsame manuelle Freigabe der Ports. Am Router musst du dennoch selbst eine Portweiterleitung für die Ports 500, 1701 sowie 4500 auf deine DiskStation einrichten. Stelle zudem sicher, dass jegliche VPN-Dienste auf dem Router selbst deaktiviert sind, um Konflikte zu vermeiden.

Eine Verbindung herstellen

Jetzt, wo dein NAS fertig konfiguriert ist, geht es an die Einrichtung deines Betriebssystems. Wir orientieren uns hier am aktuellen Build von Windows 10 (2004) und beginnen die Einrichtung, indem wir im Startmenü den Suchbegriff „vpn-einstellungen“ eingeben und gleich den ersten Vorschlag öffnen.

Ein Klick auf „VPN-Verbindung hinzufügen“ öffnet ein neues Fenster. Hier kannst du alle notwendigen Zugangsdaten eingeben. Wichtig ist, dass du im VPN-Anbieter-Feld „Windows (integriert)“ und bei VPN-Typ den Wert „L2TP/IPSec mit vorinstalliertem Schlüssel“ auswählst. Trage im Feld „Servername oder IP-Adresse“ entweder deine Synology-DynDNS-Adresse oder deine Domain ein. Anschließend kannst du noch Benutzername und Kennwort (welche deinen Zugangsdaten auf der DiskStation entsprechen) festlegen, sodass du nicht jedes Mal erneut danach gefragt wirst. Setze hierfür etwas weiter unten einen Haken. Per Speichern-Button gelangst du wieder in die VPN-Einstellungen, mit dem Unterschied, dass nun deine Verbindung aufscheint. Du kannst diese direkt auswählen und auf „Verbinden“ klicken. Sind alle Daten korrekt, stellt dein Rechner einen Tunnel zu deinem Synology NAS her.

L2TP/IPSec oder lieber OpenVPN?

Mehrere mögliche Optionen stellen dich vor die Wahl: Das Windows-eigene VPN nutzen per L2TP/IPSec oder auf einen Open-Source-Anbieter setzen? Klar bringt dir eine bereits ins Betriebssystem integrierte Lösung mehrere Vorteile. Sie ist einfach realisiert, lässt sich auch von Laien einrichten und bietet dafür relativ passable Sicherheit. Trotzdem bietet OpenVPN einen größeren Funktionsumfang. Das Open-Source-Protokoll ermöglicht nicht nur die Nutzung von Zertifikaten statt Kennwörtern, du kannst damit sogar auf das Netzwerk hinter der DiskStation zugreifen, sofern du den Haken setzt. Mit dem passenden Clienten kannst du sogar bereits beim Systemstart eine Verbindung zu deinem NAS herstellen, sodass du dich um nichts weiter sorgen musst. Einzig die Einrichtung ist etwas komplizierter, da Zertifikate erstellt, exportiert und in der installierten Software importiert werden müssen. Dafür erhältst du mit OpenVPN gewissermaßen die Rundum-Sorglos-Lösung, verglichen mit der relativ dürftigen Implementierung von L2TP/IPSec in Windows 10.

Was denkst du über das Thema? Hier geht es zu den Kommentaren!

Simon Lüthje

Ich bin der Gründer dieses Blogs und interessiere mich für alles was mit Technik zu tun hat, bin jedoch auch dem Zocken nicht abgeneigt. Geboren wurde ich in Hamburg, wohne nun jedoch in Berlin.

Ähnliche Artikel

Schaltfläche "Zurück zum Anfang"