VPN Server einrichten
Mit dem Paket VPN Server kann DiskStation ganz einfach in einen VPN Server verwandelt werden, damit DSM-Benutzer aus der Ferne auf Ressourcen des lokalen Netzwerks von DiskStation zugreifen und diese nutzen können. Durch die Integration von gemeinsamen VPN-Protokollen – PPTP, OpenVPN und L2TP/IPSec – bietet der VPN Server Optionen für die Einrichtung und Verwaltung von VPN-Diensten, die auf Ihre individuellen Bedürfnisse zugeschnitten sind. Um einen der folgenden VPN Servertypen zu verwenden und VPN-Dienste auf DiskStation zu aktivieren, installieren Sie VPN Server und führen Sie das Paket dann aus.

Hinweis:
- Das Aktivieren des VPN-Dienstes beeinträchtigt die Netzwerkleistung des Systems.
- Nur DSM-Benutzer, die zur Gruppe administrators gehören, können den VPN Server installieren und einrichten.
PPTP
PPTP (Point-to-Point Tunneling Protocol) ist eine häufig genutzte VPN-Lösung, welche von den meisten Clients (einschließlich Windows, Mac, Linux und Mobilgeräte) unterstützt wird. Weitere Informationen über PPTP finden Sie hier.
So aktivieren Sie den PPTP VPN Server:
- Öffnen Sie VPN Server und gehen Sie dann zu Einstellungen > PPTP im linken Bereich.
- Markieren Sie PPTP VPN Server aktivieren.

- Geben Sie in die Felder Dynamische IP-Adresse eine virtuelle IP-Adresse des VPN Servers ein. Weitere Informationen finden Sie unter Details der dynamischen IP-Adresse weiter unten.
- Stellen Sie die Max. Anzahl von Verbindungen ein, um die Anzahl von gleichzeitigen VPN-Verbindungen zu beschränken.
- Legen Sie die Maximale Anzahl von Verbindungen mit demselben Konto fest, um die Anzahl der gleichzeitigen VPN-Verbindungen mit demselben Konto zu begrenzen.
- Wählen Sie eine der folgenden Optionen im Drop-down-Menü Authentifizierung, um VPN-Clients zu authentifizieren:
- PAP: Die Passwörter von VPN-Clients werden während der Authentifizierung nicht verschlüsselt.
- MS-CHAP v2: Die Passwörter von VPN-Clients werden während der Authentifizierung mit Microsoft CHAP Version 2 verschlüsselt.
- Wenn Sie für die oben beschriebene Authentifizierung MS-CHAP v2 gewählt haben, wählen Sie eine der folgenden Optionen im Drop-down-Menü Verschlüsselung aus, um die VPN-Verbindung zu verschlüsseln:
- Kein MPPE: Die VPN-Verbindung wird nicht durch den Verschlüsselungsmechanismus geschützt.
- Erfordert MPPE (40/128 Bit): Die VPN-Verbindung wird mit einem 40-Bit- oder 128-Bit-Verschlüsselungsmechanismus geschützt, je nach Einstellungen des Clients.
- Maximale MPPE (128 Bit): Die VPN-Verbindung wird mit einem 128-Bit-Verschlüsselungsmechanismus geschützt, welcher die höchste Sicherheitsstufe bietet.
- Stellen Sie MTU (Maximum Transmission Unit) ein, um die Datenpaketgröße für die Übertragung über das VPN zu begrenzen.
- Markieren Sie Manuelle DNS verwenden und geben Sie die IP-Adresse des DNS Servers ein, um DNS zu PPTP-Clients weiterzuleiten. Wenn diese Option deaktiviert ist, werden Nachrichten vom DNS Server, den der DiskStation verwendet, zu den Clients verschoben.
- Klicken Sie auf Übernehmen, damit die Änderungen wirksam werden.
Hinweis:
- Bei der Herstellung der Verbindung zum VPN müssen die Einstellungen von Authentifizierung und Verschlüsselung der VPN-Clients mit den Einstellungen auf dem VPN Server übereinstimmen, sonst können die Clients keine Verbindung herstellen.
- Für die Kompatibilität mit den meisten PPTP-Clients, auf denen Windows, Mac OS, iOS und Android-Betriebssysteme ausgeführt werden, ist die Standard-MTU auf 1400 eingestellt. Für kompliziertere Netzwerkumgebungen könnte eine kleinere MTU erforderlich sein. Versuchen Sie, die MTU-Größe zu verringern, wenn häufig Timeout-Fehlermeldungen auftreten oder die Verbindungen nicht stabil sind.
- Prüfen Sie die Einstellungen für Portweiterleitung und Firewall auf dem DiskStation und dem Router, um sicherzustellen, dass der TCP-Port 1723 geöffnet ist.
- Der PPTP-VPN-Dienst ist in bestimmten Routern integriert, deshalb ist evtl. der Port 1723 belegt. Um sicherzustellen, dass der VPN Server ordnungsgemäß funktioniert, muss möglicherweise der integrierte PPTP VPN-Dienst über die Router-Verwaltungsschnittstelle deaktiviert werden, damit die PPTP-Funktion des VPN Servers funktioniert. Darüber hinaus können bestimmte ältere Router das GRE-Protokoll (IP-Protokoll 47) blockieren, wodurch die VPN-Verbindung fehlschlägt. Wir empfehlen die Verwendung eines Routers, der Verbindungen mit „VPN Pass-through“ unterstützt.
OpenVPN
OpenVPN ist eine Open-Source-Lösung für die Implementierung des VPN-Dienstes. Sie schützt die VPN-Verbindung mit dem Verschlüsselungsmechanismus SSL/TLS. Weitere Informationen über OpenVPN finden Sie hier.
So aktivieren Sie den OpenVPN Server:
- Öffnen Sie VPN Server und gehen Sie dann zu Einstellungen > OpenVPN im linken Bereich.
- Markieren Sie OpenVPN Server aktivieren.

- Geben Sie in die Felder Dynamische IP-Adresse eine virtuelle interne IP-Adresse des VPN Servers ein. Weitere Informationen finden Sie unter Details der dynamischen IP-Adresse weiter unten.
- Stellen Sie die Max. Anzahl von Verbindungen ein, um die Anzahl von gleichzeitigen VPN-Verbindungen zu beschränken.
- Legen Sie die Maximale Anzahl von Verbindungen mit demselben Konto fest, um die Anzahl der gleichzeitigen VPN-Verbindungen mit demselben Konto zu begrenzen.
- Markieren Sie Komprimierung auf der VPN-Verknüpfung verwenden, wenn Daten während der Übertragung komprimiert werden sollen. Diese Option kann die Übertragungsgeschwindigkeit steigern, verbraucht aber Systemressourcen.
- Markieren Sie Clients den Server-LAN-Zugriff erlauben, damit Clients auf das Server-LAN zugreifen können.
- Markieren Sie IPv6-Server-Modus aktivieren, um den OpenVPN Server für das Senden von IPv6-Adressen zu aktivieren. Zuerst müssen Sie ein Präfix über 6in4/6to4/DHCP-PD unter Systemsteuerung > Netzwerk > Netzwerk-Schnittstelle abrufen. Dann wählen Sie das Präfix auf dieser Seite.
- Klicken Sie auf Übernehmen, damit die Änderungen wirksam werden.
Hinweis:
- VPN Server unterstützt den Bridge-Modus für Site-to-Site-Verbindungen nicht.
- Prüfen Sie die Einstellungen für Portweiterleitung und Firewall auf dem DiskStation und dem Router, um sicherzustellen, dass der UDP-Port 1194 geöffnet ist.
- Beachten Sie bitte bei der Verwendung von OpenVPN GUI unter Windows Vista oder Windows 7, dass UAC (User Account Control) standardmäßig aktiviert ist. Falls diese aktiviert ist, müssen Sie die Option Ausführen als Administrator nutzen, um die Verbindung mit OpenVPN GUI korrekt herzustellen.
- Beachten Sie bei der Aktivierung des IPv6-Server-Modus in Windows mit OpenVPN GUI bitte Folgendes:
- Der vom VPN verwendete Schnittstellenname darf kein Leerzeichen enthalten, z. B. LAN 1 muss zu LAN1 geändert werden.
- Die Option redirect-gateway muss in der Datei „openvpn.ovpn“ auf der Client-Seite eingestellt werden. Falls diese Option nicht eingestellt werden soll, müssen Sie die DNS der VPN-Schnittstelle manuell einstellen. Sie können Google IPv6 DNS verwenden: 2001:4860:4860::8888.
So exportieren Sie die Konfigurationsdatei:
Klicken Sie auf Konfiguration exportieren. OpenVPN ermöglicht dem VPN Server die Ausgabe eines Authentifizierungszertifikats an Clients. Bei der exportierten Datei handelt es sich um eine ZIP-Datei, welche ca.crt (Zertifikatsdatei für VPN Server), openvpn.ovpn (Konfigurationsdatei für den Client) und README.txt (einfache Anweisungen zur Einrichtung der OpenVPN-Verbindung für den Client) enthält. Weitere Einzelheiten finden Sie im Synology VPN Benutzerhandbuch.
L2TP/IPSec
L2TP (Layer 2 Tunneling Protocol) über IPSec erstellt virtuelle private Netzwerke mit verbesserter Sicherheit und wird von den meisten Clients (z. B. Windows, Mac, Linux und Mobilgeräte) unterstützt. Weitere Informationen über L2TP finden Sie hier.
Hinweis:
- Vergewissern Sie sich, dass auf DiskStation DSM 4.3 oder höher ausgeführt wird, bevor Sie L2TP/IPSec verwenden.
So aktivieren Sie den L2TP/IPSec-VPN Server:
- Öffnen Sie VPN Server und gehen Sie dann zu Einstellungen > L2TP/IPSec im linken Bereich.
- Markieren Sie L2TP/IPSec VPN Server aktivieren.

- Geben Sie in die Felder Dynamische IP-Adresse eine virtuelle IP-Adresse des VPN Servers ein. Weitere Informationen finden Sie unter Details der dynamischen IP-Adresse weiter unten.
- Stellen Sie die Max. Anzahl von Verbindungen ein, um die Anzahl von gleichzeitigen VPN-Verbindungen zu beschränken.
- Legen Sie die Maximale Anzahl von Verbindungen mit demselben Konto fest, um die Anzahl der gleichzeitigen VPN-Verbindungen mit demselben Konto zu begrenzen.
- Wählen Sie eine der folgenden Optionen im Drop-down-Menü Authentifizierung, um VPN-Clients zu authentifizieren:
- PAP: Die Passwörter von VPN-Clients werden während der Authentifizierung nicht verschlüsselt.
- MS-CHAP v2: Die Passwörter von VPN-Clients werden während der Authentifizierung mit Microsoft CHAP Version 2 verschlüsselt.
- Stellen Sie MTU (Maximum Transmission Unit) ein, um die Datenpaketgröße für die Übertragung über das VPN zu begrenzen.
- Markieren Sie Manuelle DNS verwenden und geben Sie die IP-Adresse des DNS-Servers ein, um DNS zu L2TP/IPSec-Clients weiterzuleiten. Wenn diese Option deaktiviert ist, werden Nachrichten vom DNS Server, den der DiskStation verwendet, zu den Clients verschoben.
- Geben Sie einen vorinstallierten Schlüssel („Pre-Shared Key“) ein, und bestätigen Sie ihn. Dieser Secret Key (geheime Schlüssel) muss an den L2TP/IPSec-VPN-Benutzer weitergegeben werden, um die Verbindung zu authentifizieren.
- Klicken Sie auf Übernehmen, damit die Änderungen wirksam werden.
Hinweis:
- Bei der Herstellung der Verbindung zum VPN müssen die Einstellungen von Authentifizierung und Verschlüsselung der VPN-Clients mit den Einstellungen auf dem VPN Server übereinstimmen, sonst können die Clients keine Verbindung herstellen.
- Für die Kompatibilität mit den meisten L2TP/IPSec-Clients, auf denen Windows, Mac OS, iOS und Android-Betriebssysteme ausgeführt werden, ist die Standard-MTU auf 1400 eingestellt. Für kompliziertere Netzwerkumgebungen könnte eine kleinere MTU erforderlich sein. Versuchen Sie, die MTU-Größe zu verringern, wenn häufig Timeout-Fehlermeldungen auftreten oder die Verbindung nicht stabil ist.
- Prüfen Sie die Einstellungen für Portweiterleitung und Firewall auf DiskStation und dem Router, um sicherzustellen, dass die UDP-Ports 1701, 500 und 4500 geöffnet sind.
- Der L2TP- oder IPSec-VPN-Dienst ist in bestimmten Routern integriert, deshalb ist der Port 1701, 500 oder 4500 evtl. belegt. Um sicherzustellen, dass der VPN Server ordnungsgemäß funktioniert, muss möglicherweise der integrierte L2TP/IPSec VPN-Dienst über die Router-Verwaltungsschnittstelle deaktiviert werden, damit die L2TP/IPSec-Funktion des VPN Servers funktioniert. Wir empfehlen die Verwendung eines Routers, der Verbindungen mit „VPN Pass-through“ unterstützt.
Details der dynamischen IP-Adresse
Abhängig von der Zahl, die Sie unter Dynamische IP-Adresse eingegeben haben, trifft der VPN Server unter einer Reihe von virtuellen IP-Adressen eine Auswahl und weist den VPN-Clients IP-Adressen zu. Wenn beispielsweise die dynamische IP-Adresse des VPN Servers auf „10.0.0.0“ eingestellt ist, kann die virtuelle IP-Adresse eines VPN-Clients von „10.0.0.1“ bis „10.0.0.[max. Anzahl von Verbindungen]“ für PPTP und von „10.0.0.2“ bis „10.0.0.255“ für OpenVPN reichen.
Wichtig:Bevor Sie die dynamische IP-Adresse des VPN Servers angeben, achten Sie bitte auf Folgendes:
- Folgende dynamische IP-Adressen sind für den VPN Server zugelassen:
- Von „10.0.0.0“ bis „10.255.255.0“
- Von „172.16.0.0“ bis „172.31.255.0“
- Von „192.168.0.0“ bis „192.168.255.0“
- Die angegebene dynamische IP-Adresse des VPN Servers und die zugewiesenen virtuellen IP-Adressen für VPN-Clients sollten nicht mit IP-Adressen in Konflikt stehen, welche derzeit in Ihrem lokalen Netzwerk genutzt werden.
Details der Client-Gateway-Einstellung für die VPN-Verbindung
Bevor Sie das lokale Netzwerk von DiskStation über VPN verbinden, müssen die Clients möglicherweise ihre Gateway-Einstellung für die VPN-Verbindung ändern. Ansonsten sind sie evtl. nicht in der Lage, eine Verbindung zum Internet herzustellen, während die VPN-Verbindung besteht. Weitere Einzelheiten finden Sie im Synology VPN-Benutzerhandbuch.