VPN Server einrichten
Mit dem Paket VPN Server kann Ihre Synology NAS ganz einfach zu einem VPN-Server gemacht werden, damit SRM-Benutzer per Fernzugriff auf Ressourcen des lokalen Netzwerks der Synology NAS zugreifen und diese nutzen können. Durch die Integration gemeinsamer VPN-Protokolle – PPTP, OpenVPN und L2TP/IPSec – bietet VPN Server Optionen für die Einrichtung und Verwaltung von VPN-Diensten, die auf Ihre individuellen Bedürfnisse zugeschnitten sind. Installieren Sie VPN Server und führen das Paket aus, um einen der folgenden VPN-Servertypen zu verwenden und VPN-Dienste auf Synology NAS zu aktivieren.
Hinweis:
- Das Aktivieren des VPN-Dienstes beeinträchtigt die Netzwerkleistung des Systems.
- Nur Administratoren können VPN Server installieren und einrichten.
PPTP
PPTP (Point-to-Point Tunneling Protocol) ist eine häufig genutzte VPN-Lösung, die von den meisten Clients (einschließlich Windows, Mac, Linux und Mobilgeräte) unterstützt wird. Weitere Informationen über PPTP finden Sie hier.
PPTP VPN Server aktivieren:
- Öffnen Sie VPN Server, und gehen Sie zu Einstellungen > PPTP im linken Fenster.
- Markieren Sie PPTP VPN Server aktivieren.
- Geben Sie in die Felder Dynamische IP-Adresse eine virtuelle IP-Adresse des VPN-Servers ein. Weitere Informationen finden Sie unter Details der dynamischen IP-Adresse weiter unten.
- Stellen Sie die Max. Anzahl von Verbindungen ein, um die Anzahl gleichzeitiger VPN-Verbindungen zu beschränken.
- Legen Sie die Maximale Anzahl von Verbindungen mit demselben Konto fest, um die Anzahl gleichzeitiger VPN-Verbindungen mit demselben Konto zu begrenzen.
- Wählen Sie eine der folgenden Optionen im Dropdown-Menü Authentifizierung aus, um VPN-Clients zu authentifizieren:
- PAP: Die Passwörter von VPN-Clients werden während der Authentifizierung nicht verschlüsselt.
- MS-CHAP v2: Die Passwörter von VPN-Clients werden während der Authentifizierung mit Microsoft CHAP Version 2 verschlüsselt.
- Wenn Sie für die oben beschriebene Authentifizierung MS-CHAP v2 ausgewählt haben, wählen Sie eine der folgenden Optionen im Dropdown-Menü Verschlüsselung aus, um die VPN-Verbindung zu verschlüsseln:
- Kein MPPE: Die VPN-Verbindung wird nicht durch den Verschlüsselungsmechanismus geschützt.
- Erfordert MPPE (40/128 Bit): Die VPN-Verbindung wird mit einem 40-Bit- oder 128-Bit-Verschlüsselungsmechanismus geschützt, je nach Einstellungen des Clients.
- Maximale MPPE (128 Bit): Die VPN-Verbindung wird mit einem 128-Bit-Verschlüsselungsmechanismus geschützt, der die höchste Sicherheitsstufe bietet.
- Stellen Sie MTU (Maximum Transmission Unit) ein, um die Datenpaketgröße für die Übertragung über das VPN zu begrenzen.
- Markieren Sie Manuelle DNS verwenden und geben Sie die IP-Adresse eines DNS-Servers ein, um DNS zu PPTP-Clients weiterzuleiten. Wenn diese Option deaktiviert ist, werden Nachrichten von dem DNS-Server, den der Synology NAS verwendet, zu den Clients verschoben.
- Klicken Sie auf Übernehmen, damit die Änderungen wirksam werden.
Hinweis:
- Bei der Herstellung der Verbindung zum VPN müssen die Einstellungen von Authentifizierung und Verschlüsselung der VPN-Clients mit den Einstellungen in VPN Server übereinstimmen, sonst können die Clients keine Verbindung herstellen.
- Für die Kompatibilität mit den meisten PPTP-Clients, auf denen Windows, Mac OS, iOS und Android-Betriebssysteme ausgeführt werden, ist die Standard-MTU auf 1400 eingestellt. Für kompliziertere Netzwerkumgebungen könnte eine kleinere MTU erforderlich sein. Versuchen Sie, die MTU-Größe zu verringern, wenn häufig Timeout-Fehlermeldungen auftreten oder die Verbindungen nicht stabil sind.
- Prüfen Sie die Einstellungen für Portweiterleitung und Firewall auf dem Synology NAS und dem Router, um sicherzustellen, dass TCP-Port 1723 geöffnet ist.
- Der PPTP-VPN-Dienst ist in bestimmten Routern integriert, weshalb der Port 1723 belegt sein könnte. Um sicherzustellen, dass VPN Server ordnungsgemäß funktioniert, muss möglicherweise der integrierte PPTP-VPN-Dienst über die Router-Verwaltungsschnittstelle deaktiviert werden, damit die PPTP-Funktion von VPN Server funktioniert. Darüber hinaus können bestimmte ältere Router das GRE-Protokoll (IP-Protokoll 47) blockieren, wodurch die VPN-Verbindung fehlschlägt. Wir empfehlen die Verwendung eines Routers, der Verbindungen mit „VPN Pass-through“ unterstützt.
OpenVPN
OpenVPN ist eine Open-Source-Lösung für die Implementierung des VPN-Dienstes. Sie schützt die VPN-Verbindung mit dem Verschlüsselungsmechanismus SSL/TLS. Weitere Informationen über OpenVPN finden Sie hier.
OpenVPN Server aktivieren:
- Öffnen Sie VPN Server und gehen Sie zu Einstellungen >OpenVPN im linken Fenster.
- Markieren Sie OpenVPN Server aktivieren.
- Geben Sie in die Felder Dynamische IP-Adresse eine virtuelle interne IP-Adresse des VPN-Servers ein. Weitere Informationen finden Sie unter Details der dynamischen IP-Adresse weiter unten.
- Stellen Sie die Max. Anzahl von Verbindungen ein, um die Anzahl gleichzeitiger VPN-Verbindungen zu beschränken.
- Legen Sie die Maximale Anzahl von Verbindungen mit demselben Konto fest, um die Anzahl gleichzeitiger VPN-Verbindungen mit demselben Konto zu begrenzen.
- Markieren Sie Komprimierung auf der VPN-Verknüpfung verwenden, wenn Sie Daten während der Übertragung komprimieren möchten. Diese Option kann die Übertragungsgeschwindigkeit steigern, verbraucht aber Systemressourcen.
- Markieren Sie Clients den Server-LAN-Zugriff erlauben, damit Clients auf das Server-LAN zugreifen können.
- Markieren Sie IPv6-Server-Modus aktivieren, um OpenVPN Server für das Senden von IPv6-Adressen zu aktivieren. Zuerst müssen Sie über 6in4/6to4/DHCP-PD unter Systemsteuerung > Netzwerk > Netzwerkschnittstelle ein Präfix abrufen. Wählen Sie dann das Präfix auf dieser Seite aus.
- Klicken Sie auf Übernehmen, damit die Änderungen wirksam werden.
Hinweis:
- VPN Server unterstützt den Bridge-Modus für Site-to-Site-Verbindungen nicht.
- Prüfen Sie die Einstellungen für Portweiterleitung und Firewall auf dem Synology NAS und dem Router, um sicherzustellen, dass UDP-Port 1194 geöffnet ist.
- Beachten Sie bei Verwendung von OpenVPN GUI unter Windows Vista oder Windows 7, dass UAC (User Account Control) standardmäßig aktiviert ist. Falls diese aktiviert ist, müssen Sie die Option Ausführen als Administrator nutzen, um die Verbindung mit OpenVPN GUI korrekt herzustellen.
- Beachten Sie bei der Aktivierung des IPv6-Server-Modus in Windows mit OpenVPN GUI Folgendes:
- Der vom VPN verwendete Schnittstellenname darf kein Leerzeichen enthalten, z. B. muss LAN 1 in LAN1 geändert werden.
- Die Option redirect-gateway muss in der Datei „openvpn.ovpn“ auf der Client-Seite eingestellt werden. Falls diese Option nicht eingestellt werden soll, müssen Sie die DNS der VPN-Schnittstelle manuell einstellen. Sie können Google IPv6 DNS verwenden: 2001:4860:4860::8888.
Konfigurationsdatei exportieren:
Klicken Sie auf Konfigurationsdateien exportieren. OpenVPN ermöglicht VPN Server die Ausgabe eines Authentifizierungszertifikats an Clients. Bei der exportierten Datei handelt es sich um eine ZIP-Datei, die ca.crt (Zertifikatsdatei für VPN Server), openvpn.ovpn (Konfigurationsdatei für den Client) und README.txt (einfache Anweisungen zur Einrichtung der OpenVPN-Verbindung für den Client) enthält. Weitere Informationen finden Sie hier.
Hinweis:
- Immer wenn VPN Server ausgeführt wird, wird das unter Systemsteuerung > Sicherheit > Zertifikat angezeigte Zertifikat vom Programm automatisch kopiert und verwendet. Wenn Sie ein Fremdzertifikat verwenden müssen, müssen Sie es unter Systemsteuerung > Sicherheit > Zertifikat > Aktion importieren und VPN Server neu starten.
- VPN Server führt immer dann einen automatischen Neustart durch, wenn das unter Systemsteuerung > Sicherheit > Zertifikat angezeigte Zertifikat verändert wird.
L2TP/IPSec
L2TP (Layer 2 Tunneling Protocol) über IPSec erstellt virtuelle private Netzwerke mit verbesserter Sicherheit und wird von den meisten Clients (z. B. Windows, Mac, Linux und Mobilgeräte) unterstützt. Weitere Informationen über L2TP finden Sie hier.
Hinweis:
- Vergewissern Sie sich, dass auf Synology NAS DSM 4.3 oder höher ausgeführt wird, bevor Sie L2TP/IPSec verwenden.
L2TP/IPSec VPN-Server aktivieren:
- Öffnen Sie VPN Server und gehen Sie zu Einstellungen > L2TP/IPSec im linken Fenster.
- Markieren Sie L2TP/IPSec VPN Server aktivieren.
- Geben Sie in die Felder Dynamische IP-Adresse eine virtuelle IP-Adresse des VPN-Servers ein. Weitere Informationen finden Sie unter Details der dynamischen IP-Adresse weiter unten.
- Stellen Sie die Max. Anzahl von Verbindungen ein, um die Anzahl gleichzeitiger VPN-Verbindungen zu beschränken.
- Legen Sie die Maximale Anzahl von Verbindungen mit demselben Konto fest, um die Anzahl gleichzeitiger VPN-Verbindungen mit demselben Konto zu begrenzen.
- Wählen Sie eine der folgenden Optionen im Dropdown-Menü Authentifizierung aus, um VPN-Clients zu authentifizieren:
- PAP: Die Passwörter von VPN-Clients werden während der Authentifizierung nicht verschlüsselt.
- MS-CHAP v2: Die Passwörter von VPN-Clients werden während der Authentifizierung mit Microsoft CHAP Version 2 verschlüsselt.
- Stellen Sie MTU (Maximum Transmission Unit) ein, um die Datenpaketgröße für die Übertragung über das VPN zu begrenzen.
- Markieren Sie Manuelle DNS verwenden und geben Sie die IP-Adresse eines DNS-Servers ein, um DNS zu L2TP/IPSec-Clients weiterzuleiten. Wenn diese Option deaktiviert ist, werden Nachrichten von dem DNS-Server, den der Synology NAS verwendet, zu den Clients verschoben.
- Wählen Sie für maximale VPN-Leistung Im Kernelmodus (Kernel mode) ausführen.
- Geben Sie einen vorinstallierten Schlüssel ein. Dieser Secret Key (geheimer Schlüssel) muss an den L2TP/IPSec-VPN-Benutzer weitergegeben werden, um die Verbindung zu authentifizieren.
- Markieren Sie SHA2-256-kompatiblen Modus (96 Bit) aktivieren, um bestimmten Clients (nicht RFC-Standard) zu erlauben, L2TP-/IPSec-Verbindung zu verwenden.
- Klicken Sie auf Übernehmen, damit die Änderungen wirksam werden.
Hinweis:
- Bei der Herstellung der Verbindung zum VPN müssen die Einstellungen von Authentifizierung und Verschlüsselung der VPN-Clients mit den Einstellungen in VPN Server übereinstimmen, sonst können die Clients keine Verbindung herstellen.
- Für die Kompatibilität mit den meisten L2TP/IPSec-Clients, auf denen Windows, Mac OS, iOS und Android-Betriebssysteme ausgeführt werden, ist die Standard-MTU auf 1400 eingestellt. Für kompliziertere Netzwerkumgebungen könnte eine kleinere MTU erforderlich sein. Versuchen Sie, die MTU-Größe zu verringern, wenn häufig Timeout-Fehlermeldungen auftreten oder die Verbindung nicht stabil ist.
- Prüfen Sie die Einstellungen für Portweiterleitung und Firewall auf Synology NAS und dem Router, um sicherzustellen, dass die UDP-Ports 1701, 500 und 4500 geöffnet sind.
- Der L2TP- oder IPSec-VPN-Dienst ist in bestimmten Routern integriert, weshalb der Port 1701, 500 oder 4500 belegt sein könnte. Um sicherzustellen, dass VPN Server ordnungsgemäß funktioniert, muss möglicherweise der integrierte L2TP/IPSec VPN-Dienst über die Router-Verwaltungsschnittstelle deaktiviert werden, damit die L2TP/IPSec-Funktion von VPN Server funktioniert. Wir empfehlen die Verwendung eines Routers, der Verbindungen mit „VPN Pass-through“ unterstützt.
Details der dynamischen IP-Adresse
Je nach der Zahl, die Sie unter Dynamische IP-Adresse eingegeben haben, trifft VPN Server unter einer Reihe virtueller IP-Adressen eine Auswahl und weist den VPN-Clients IP-Adressen zu. Wenn beispielsweise die dynamische IP-Adresse von VPN Server auf „10.0.0.0“ eingestellt ist, kann die virtuelle IP-Adresse eines VPN-Clients von „10.0.0.1“ bis „10.0.0.[max. Anzahl von Verbindungen]“ für PPTP und von „10.0.0.2“ bis „10.0.0.255“ für OpenVPN reichen.
Wichtig:Bevor Sie die dynamische IP-Adresse des VPN-Servers angeben, achten Sie bitte auf Folgendes:
- Folgende dynamische IP-Adressen sind für VPN Server zugelassen:
- Von „10.0.0.0“ bis „10.255.255.0“
- Von „172.16.0.0“ bis „172,31.255,0“
- Von „192.168.0.0“ bis „192.168.255.0“
- Die angegebene dynamische IP-Adresse von VPN Server und die zugewiesenen virtuellen IP-Adressen für VPN-Clients sollten nicht mit IP-Adressen in Konflikt stehen, die derzeit in Ihrem lokalen Netzwerk genutzt werden.
Details der Client-Gateway-Einstellung für die VPN-Verbindung
Bevor Sie das lokale Netzwerk von Synology NAS über VPN verbinden, müssen die Clients möglicherweise ihre Gateway-Einstellung für die VPN-Verbindung ändern. Ansonsten sind sie möglicherweise nicht in der Lage, eine Verbindung zum Internet herzustellen, während die VPN-Verbindung besteht. Ausführliche Informationen finden Sie hier.