Synology DiskStation – VPN Server einrichten – Tutorial

Mit einer Synology DiskStation kann man auch einen VPN-Server betreiben. Ich erkläre euch in diesem Tutorial, wie man den VPN-Server einrichtet und wie man die Clients mit dem Server verbindet.

Für dieses Tutorial habe ich meine DS212j mit DSM 6.0 verwendet.

Das Tutorial ist in zwei Teile aufgeteilt. Auf dieser Seite ist erklärt, wie man den Server einrichtet. Die Anleitung, wie man die Clients mit dem Server verbindet, befindet sich hier: iOS, Android, Windows mit VPN-Server Verbinden – Tutorial

 

 

Paket installieren

Der VPN-Server ist nicht standardmäßig installiert. Man muss also zuerst das VPN Server Paket installieren. Dazu öffnet man das Paket-Zentrum und sucht dort nach „VPN“. Alternativ findet man den VPN-Server im Paket-Zentrum auch im Bereich „Dienstprogramme“.

Nachdem das Paket installiert wurde, findet man den VPN Server im Hauptmenü.

 

 

PPTP, OpenVPN und L2TP/IPSec

Als nächstes öffnen wir den VPN-Server. Es gibt nun drei verschiedene Arten von VPN-Verbindungen, die man einrichten kann.

Diese verschiedenen Verbindungsarten sind unterschiedlich sicher. PPTP ist von den Möglichkeiten das unsicherste, L2TP/IPSec und OpenVPN sind sicherer. Allerdings benötigt die bessere Verschlüsselung auch mehr Rechenleistung und kann deshalb etwas langsamer sein.

Der Unterschied zwischen L2TP/IPSec und OpenVPN ist, dass OpenVPN etwas schneller ist, aber die Einrichtung von OpenVPN auf iOS und Android Geräten nur mit einer zusätzlichen App funktioniert.

Ich erkläre in diesem Tutorial das Einrichten von allen drei Verbindungsarten.

 

 

OpenVPN Server einrichten

Um einen OpenVPN-Server einzurichten, wählt man „OpenVPN“ aus und klickt dort auf „OpenVPN-Server aktivieren“. Danach kann man eine dynamische IP-Adresse eingeben. Das ist die Adresse, die der Server im virtuellen Netzwerk an die Clients verteilt. Die Adresse muss sich von der im lokalen Netz genutzten Adresse unterscheiden.

Als nächstes kann man die maximale Anzahl an Verbindungen und den Port einstellen. Ich habe diese Einstellungen nicht verändert. Den Port muss man ändern, wenn dieser bereits von einem anderen Dienst verwendet wird.

Die Option „Komprimierung auf der VPN-Verknüpfung verwenden“ aktiviert die Komprimierung der Übertragung. Das sorgt dafür, dass die Daten schneller übertragen werden, allerdings werden dafür mehr Systemressourcen verwendet. Eine Komprimierung ist hilfreich, wenn man eine langsame Upload-Geschwindigkeit hat, oder der Empfänger das mobile Netz verwendet.

Der Zugriff auf das Server LAN erlaubt den VPN-Nutzern, auf andere Geräte im Netzwerk des Servers zuzugreifen.

Wenn man IPv6 verwenden möchte, kann man das aktivieren. Man muss allerdings vorher in der Systemsteuerung unter Netzwerk > Netzwerkschnittstelle ein Präfix abrufen.

Wenn man auf „Übernehmen“ klickt, werden die Einstellungen übernommen und der VPN-Server ist aktiviert.

 

Nachdem man die Einstellungen festgelegt hat, klickt man auf „Konfigurationsdateien exportieren“. Es wird eine ZIP-Datei heruntergeladen. In dieser ZIP-Datei befinden sich verschiedene Dateien. Wir benötigen nur die „VPNConfig.ovpn“, die wir nun aus der ZIP-Datei entpacken.

Die Konfigurationsdatei muss angepasst werden. Dazu öffnet man die Datei mit einem Editor. In Zeile 4 findet man den Text „YOUR_SERVER_IP“, welchen man durch die IP-Adresse des Servers ersetzt. Wenn man von einem anderen Netzwerk auf den Server zugreifen möchte, muss man die externe IP-Adresse verwenden. Man kann auch die Domain der DiskStation eingeben.

Wenn man die IP-Adresse des DNS-Servers verändern möchte, ersetzt man in Zeile 25 den Text „DNS_IP_ADDRESS“ durch die IP-Adresse des DNS-Servers. Außerdem muss man das Zeichen „#“ am Anfang der Zeile entfernen. Wenn man die Zeile nicht verändert, wird der DNS-Server von den Clients verwendet, der auch von dem VPN-Server verwendet wird. Wenn man die Zeile kopiert, kann man damit einen zweiten DNS-Server angeben.

 

 

PPTP-Server einrichten

Um einen PPTP-Server einzurichten, wählt man „PPTP“ aus und klickt dort auf „PPTP VPN-Server aktivieren“. Danach kann man eine Dynamische IP-Adresse eingeben. Das ist die Adresse, die der Server im virtuellen Netzwerk an die Clients verteilt. Die Adresse muss sich von der im lokalen Netz genutzten Adresse unterscheiden.

Als nächstes kann man die maximale Anzahl an Verbindungen einstellen.

Nun kann man die Art der Identitätsprüfung auswählen. Verfügbar sind PAP und MS-CHAP v2. Ich empfehle sehr, dort MS-CHAP v2 auszuwählen. Mit PAP werden die Passwörter unverschlüsselt übertragen, was sehr unsicher ist. Aber auch bei MS-CHAP v2 muss man noch die Verschlüsselung einstellen. Man besten wählt man dort „Require MPPE“ aus, damit eine Verbindung nur mit Verschlüsselung möglich ist.

Mit dem Wert „MTU“ kann man die maximale Größe der Datenpakete festlegen. Den Standardwert sollte man nicht verändern, weil 1400 die beste Kompatibilität bietet.

Standardmäßig wird der DNS Server von den Clients verwendet, der auch von dem VPN-Server verwendet wird. Man kann aber auch einen anderen DNS Server für die Clients festlegen.

Wenn man auf „Übernehmen“ klickt, werden die Einstellungen übernommen und der VPN-Server ist aktiviert.

 

 

L2TP/IPSec Server einrichten

Um einen L2TP/IPSec-Server einzurichten, wählt man „L2TP/IPSec“ aus und klickt dort auf „L2TP/IPSec VPN-Server aktivieren“. Danach kann man eine Dynamische IP-Adresse eingeben. Das ist die Adresse, die der Server im virtuellen Netzwerk an die Clients verteilt. Die Adresse muss sich von der im lokalen Netz genutzten Adresse unterscheiden.

Als nächstes kann man die maximale Anzahl an Verbindungen einstellen.

Nun kann man die Art der Identitätsprüfung auswählen. Verfügbar sind PAP und MS-CHAP v2. Ich empfehle sehr, dort MS-CHAP v2 auszuwählen. Mit PAP werden die Passwörter unverschlüsselt übertragen, was sehr unsicher ist.

Mit dem Wert „MTU“ kann man die maximale Größe der Datenpakete festlegen. Den Standardwert sollte man nicht verändern, weil 1400 die beste Kompatibilität bietet.

Der vorinstallierte Schlüssel wird von den Benutzern verwendet, um die Verbindung zu authentifizieren. Man kann einen beliebigen Schlüssel eingeben. Dieser sollte allerdings wie jedes Passwort lang und komplex sein.

Wenn man auf „Übernehmen“ klickt, werden die Einstellungen übernommen und der VPN-Server ist aktiviert.

 

 

Port freigeben

Um auf den VPN-Server zugreifen zu können, muss man den Zugriff auf den Port erlauben. PPTP verwendet den Port 1723 TCP, OpenVPN verwendet 1194 UDP und L2TP/IPSec verwendet die Ports 1701, 500 und 4500 UDP.

Die Ports der verwendeten Verbindung muss man in der Firewall von der DiskStation freigeben. Dazu öffnet man die Systemsteuerung und klickt dort auf „Sicherheit“. Dort wechselt man in den Tab „Firewall“. Im Bereich „Firewall-Profil“ wählt man das aktive Profil aus und klickt auf „Regeln Bearbeiten“. Als nächstes klickt man oben auf „Erstellen“.

Im Bereich „Ports“ klickt man auf „Wählen Sie aus der Liste der eingebauten Anwendungen aus“ und klickt dann auf „Auswählen“. Es öffnet sich eine Liste mit vielen Anwendungen. In dieser Liste setzt man jetzt ein Häkchen bei den benötigten Ports. Die Ports sind in der Spalte „Anwendungen“ als „VPN Server“ bezeichnet. In der Spalte „Protokolle“ steht, für welche Verbindungsart der Port gebraucht wird. Man sollte nur die Ports auswählen, die benötigt werden. Wenn man die Ports ausgewählt hat, klickt man auf „OK“.

Wenn man möchte, kann man den Port nur für eine bestimmte IP-Adresse oder für bestimmte Regionen freigeben. Mit einem Klick auf „OK“ wird die Regel erstellt. Nun klickt man erneut auf „OK“, um die Änderungen zu speichern.

Wenn man den VPN-Server von außen erreichen möchte, muss man die benötigten Ports auch im Router freigeben. Das funktioniert bei jedem Router anders, deshalb kann ich das hier nicht erklären. Eine Anleitung dazu findet man im Handbuch des Routers oder im Internet.

 

 

Sicherheit verbessern

Um die Sicherheit des VPN-Servers zu verbessern, sollte man eine Verbindung nur für Nutzer zulassen, die diese benötigen. Dazu klickt man in den Einstellungen des VPN-Servers auf „Privileg“ und sperrt dort nicht benötigte Verbindungen. Mit einem Klick auf „Speichern“ kann man die Einstellungen übernehmen.

Eine weitere sehr sinnvolle Sicherheitsfunktion ist das automatische blockieren von IP-Adressen. Um diese Funktion zu aktivieren öffnet man die Systemsteuerung und klickt dort auf „Sicherheit“. Im Tab „Automatische Blockierung“ kann man die Blockierung aktivieren und anpassen. Wenn jemand in einer bestimmten Zeit einmal oder mehrmals versucht, sich mit einem falschen Passwort und/oder einem falschen Benutzernamen anzumelden, wird die IP-Adresse gesperrt. Man kann Einstellen, nach wie vielen Versuchen in welcher Zeit die Adresse blockiert werden soll.

Es ist auch möglich, die IP-Adresse nach einer bestimmten Zeit automatisch wieder freizuschalten. Ansonsten kann man mit einem Klick auf „Freigabe-/Blockierungsliste“ die blockierten IP-Adressen sehen und wieder freischalten. Man kann dort auch eine bestimmte IP-Adresse vor einer Blockierung schützen. Das sollte man mit einer IP-Adresse im lokalen Netzwerk machen. So kann man zum Beispiel die IP-Adresse des Computers freigeben, damit man nicht aus versehen den Zugriff auf den Server komplett sperrt.