VPN Server einrichten
Wählen Sie unter Einstellungen im linken Fenster die folgenden Arten von VPN-Servern aus, um den VPN-Dienst auf der DiskStation zu aktivieren.
Hinweis:
- Das Aktivieren des VPN Dienstes beeinträchtigt die Netzwerkleistung des Systems.
PPTP
PPTP (Point-to-Point Tunneling Protocol) ist eine häufig genutzte VPN-Lösung, welche von den meisten Clients (einschließlich Windows, Mac, Linux und Mobilgeräte) unterstützt wird. Weitere Informationen über PPTP finden Sie hier.
So aktivieren Sie den PPTP VPN-Server:
- Markieren Sie PPTP VPN-Server aktivieren.
- Geben Sie in die Felder Dynamische IP-Adresse eine virtuelle IP-Adresse des VPN-Servers ein. Weitere Informationen finden Sie unter Details der dynamischen IP-Adresse weiter unten.
- Stellen Sie die Max. Anzahl von Verbindungen ein, um die Anzahl von gleichzeitigen VPN-Verbindungen zu beschränken.
- Wählen Sie eine der folgenden Optionen im Drop-Down-Menü Authentifizierung, um VPN-Clients zu authentifizieren:
- PAP: Die Kennwörter von VPN-Clients werden während der Authentifizierung nicht verschlüsselt.
- MS-CHAP v2: Die Kennwörter von VPN-Clients werden während der Authentifizierung mit Microsoft CHAP Version 2 verschlüsselt.
- Wenn Sie für die Authentifizierung MS-CHAP v2 verwenden, wählen Sie eine der folgenden Optionen im Drop-Down-Menü Verschlüsselung aus, um die VPN-Verbindung zu verschlüsseln:
- Keine: Die VPN-Verbindung wird nicht durch den Verschlüsselungsmechanismus geschützt.
- MPPE (40/128 Bit) erforderlich: Die VPN-Verbindung wird mit einem 40-Bit oder 128-Bit Verschlüsselungsmechanismus geschützt, je nach Einstellung des Clients.
- Maximale MPPE (128 Bit): Die VPN-Verbindung wird mit einem 128-Bit-Verschlüsselungsmechanismus geschützt, welcher die höchste Sicherheitsstufe bietet.
- Stellen Sie MTU (Maximum Transmit Unit) ein, um die Datenpaketgröße durch das VPN-Netzwerk zu beschränken.
- Markieren Sie Manuelle DNS verwenden und geben Sie eine DNS-Server-IP ein, um DNS zu PPTP-Clients zu puschen. Ansonsten wird die Einstellung die gezeigte DNS-Einstellung der DiskStation sein.
- Klicken Sie auf OK.
Hinweis:
- Die Art der Authentifizierung und Verschlüsselung der VPN-Clients muss mit den Einstellungen im VPN-Server übereinstimmen.
- Für die Anwendung auf den meisten PPTP-Clients z. B. Windows, Mac OS, Mac iOS und Android-Betriebssystemen ist die Standard-MTU auf 1400 eingestellt. Für kompliziertere Netzwerkumgebungen könnte eine kleinere MTU erforderlich sein. Versuchen Sie, die MTU-Größe zu verringern, wenn häufig Timeout-Fehlermeldungen auftreten oder die Verbindungen nicht stabil sind.
- Prüfen Sie die Einstellungen für Portweiterleitung und Firewall auf Ihrer DiskStation und dem Router, um sicher zu stellen, dass TCP Port 1723 geöffnet ist.
- Der PPTP-VPN-Dienst ist in bestimmten Routern integriert. Der Port 1723 ist daher belegt. Deaktivieren Sie den integrierten PPTP-VPN-Dienst über die Verwaltungsoberfläche des Routers, damit PPTP des VPN-Servers funktioniert. Darüber hinaus können bestimmte ältere Router das GRE-Protokoll (IP-Protokoll 47) blockieren, wodurch die VPN-Verbindung fehlschlägt. Es ist empfehlenswert, einen Router zu verwenden, welcher VPN-Durchgangsverbindungen unterstützt.
OpenVPN
OpenVPN ist eine Open-Source-Lösung für die Implementierung des VPN-Dienstes. Es schützt die VPN-Verbindung mit dem Verschlüsselungsmechanismus SSL/TLS. Weitere Informationen über OpenVPN finden Sie hier.
So aktivieren Sie den OpenVPN-VPN-Server:
- Markieren Sie OpenVPN-Server aktivieren.
- Geben Sie in die Felder Dynamische IP-Adresse eine virtuelle interne IP-Adresse des VPN-Servers ein. Weitere Informationen finden Sie unter Details der dynamischen IP-Adresse weiter unten.
- Stellen Sie die Max. Anzahl von Verbindungen ein, um die Anzahl von gleichzeitigen VPN-Verbindungen zu beschränken.
- Markieren Sie Komprimierung auf der VPN-Verknüpfung verwenden, wenn Sie Daten während der Übertragung komprimieren möchten.
- Klicken Sie auf OK.
Hinweis:
- VPN-Server unterstützt den Bridge-Modus für Site-to-Site-Verbindungen nicht.
- Prüfen Sie die Einstellungen für Portweiterleitung und Firewall auf Ihrer DiskStation und dem Router, um sicher zu stellen, dass UDP-Port 1194 geöffnet ist.
So exportieren Sie die Konfigurationsdatei:
Klicken Sie auf Konfiguration exportieren. OpenVPN ermöglicht dem VPN-Server die Ausgabe eines Authentifizierungszertifikats an Clients. Bei der exportierten Datei handelt es sich um eine ZIP-Datei, welche ca.crt (Zertifikatsdatei für VPN-Server), openvpn.ovpn (Konfigurationsdatei für den Client) und README.txt (einfache Anweisungen zur Einrichtung der OpenVPN-Verbindung für den Client) enthält. Weitere Einzelheiten finden Sie im Synology VPN Benutzerhandbuch.
L2TP/IPSec
L2TP (Layer 2 Tunneling Protocol) über IPSec erstellt virtuelle private Netzwerke mit verbesserter Sicherheit und wird von den meisten Clients (z. B. Windows, Mac, Linux und Mobilgeräte) unterstützt. Weitere Informationen über L2TP finden Sie hier.
Bevor Sie beginnen:
Vergewissern Sie sich, dass auf Ihrer DiskStation DSM 4.3 oder höher ausgeführt wird, bevor Sie L2TP/IPSec verwenden.
So aktivieren Sie L2TP/IPSec-VPN-Server:
- Markieren Sie L2TP/IPSec-VPN-Server aktivieren.
- Geben Sie in das Feld Dynamische IP-Adresse eine virtuelle IP-Adresse des VPN-Servers ein. Weitere Informationen finden Sie unter Details der dynamischen IP-Adresse weiter unten.
- Stellen Sie die Max. Anzahl von Verbindungen ein, um die Anzahl von gleichzeitigen VPN-Verbindungen zu beschränken.
- Wählen Sie eine der folgenden Optionen im Drop-Down-Menü Authentifizierung, um VPN-Clients zu authentifizieren:
- PAP: Die Kennwörter von VPN-Clients werden während der Authentifizierung nicht verschlüsselt.
- MS-CHAP v2: Die Kennwörter von VPN-Clients werden während der Authentifizierung mit Microsoft CHAP Version 2 verschlüsselt.
- Stellen Sie MTU (Maximum Transmit Unit) ein, um die Datenpaketgröße durch das VPN-Netzwerk zu beschränken.
- Markieren Sie Manuelle DNS verwenden und geben Sie eine DNS-Server-IP ein, um DNS zu L2TP/IPSec-Clients zu puschen. Ansonsten wird die Einstellung die gezeigte DNS-Einstellung der DiskStation sein.
- Geben Sie einen Pre-Shared Key ein. Dieser geheime Schlüssel kann an den L2TP/IPSec-Benutzer gegeben werden, um die Verbindung zu authentifizieren.
- Klicken Sie auf OK.
Hinweis:
- Die Art der Authentifizierung und Verschlüsselung der VPN-Clients muss mit den Einstellungen im VPN-Server übereinstimmen.
- Für die Anwendung auf den meisten L2TP/IPSec-Clients z. B. Windows, Mac OS, Mac iOS und Android-Betriebssystemen ist die Standard-MTU auf 1400 eingestellt. Für kompliziertere Netzwerkumgebungen könnte eine kleinere MTU erforderlich sein. Versuchen Sie, die MTU-Größe zu verringern, wenn häufig Timeout-Fehlermeldungen auftreten oder die Verbindung nicht stabil ist.
- Prüfen Sie die Einstellungen für Portweiterleitung und Firewall auf Ihrer DiskStation und dem Router, um sicher zu stellen, dass die UDP-Ports 1701, 500 und 4500 geöffnet sind.
- Der L2TP- oder IPSec-VPN-Dienst ist in bestimmten Routern integriert. Der Port 1701, 500 oder 4500 ist daher belegt. Deaktivieren Sie den integrierten L2TP- oder IPSec-VPN-Dienst über die Verwaltungsoberfläche des Routers, damit L2TP oder IPSec des VPN-Servers funktioniert. Es ist empfehlenswert, einen Router zu verwenden, welcher VPN-Durchgangsverbindungen unterstützt.
Details der dynamischen IP-Adresse
Abhängig von der Zahl, die Sie unter Dynamische IP-Adresse eingegeben haben, trifft der VPN-Server unter einer Reihe von virtuellen IP-Adressen eine Auswahl und weist den VPN-Clients IP-Adressen zu. Wenn beispielsweise die dynamische IP-Adresse des VPN-Servers auf „10.0.0.0“ eingestellt ist, kann die virtuelle IP-Adresse eines VPN-Clients von „10.0.0.1“ bis „10.0.0.[max. Anzahl von Verbindungen]“ für PPTP und von „10.0.0.2“ bis „10.0.0.255“ für OpenVPN reichen.
Wichtig:Bevor Sie die dynamische IP-Adresse des VPN-Servers angeben, achten Sie bitte auf Folgendes:
-
Folgende dynamische IP-Adressen sind für den VPN-Server zugelassen:
-
Von „10.0.0.0“ bis „10.255.255.0“
-
Von „172.16.0.0“ bis „172.31.255.0“
-
Von „192.168.0.0“ bis „192.168.255.0“
-
Die angegebene dynamische IP-Adresse des VPN-Servers und die zugewiesenen virtuellen IP-Adressen für VPN-Clients sollten nicht mit IP-Adressen in Konflikt stehen, welche derzeit in Ihrem LAN genutzt werden.
Über die Gateway-Einstellung für die VPN-Verbindung des Clients
Bevor Sie das LAN der DiskStation über VPN verbinden, müssen die Clients möglicherweise ihre Gateway-Einstellung für die VPN-Verbindung ändern. Ansonsten sind sie evtl. nicht in der Lage, eine Verbindung zum Internet herzustellen, während die VPN-Verbindung besteht. Weitere Einzelheiten finden Sie im Synology VPN-Benutzerhandbuch.