Synology SSL VPN
Synology SSL VPN ist ein VPN-Dienst, der SSL/TLS-Authentifizierung und -Verschlüsselung unterstützt. Er bietet schnellen und sicheren VPN-Zugriff auf Webseiten, Dateien und Anwendungen im Internet oder in lokalen Netzwerken.
Allgemeine Verwaltung
Einrichtung des Synology SSL VPN:
- Gehen Sie zu VPN Plus Server > Synology VPN > SSL VPN.
- Wenn Sie Synology VPN noch nicht verwendet haben, melden Sie sich bitte beim Synology-Konto an und aktivieren Sie den Dienst kostenlos. Nach Aktivierung der Funktion ist sie dauerhaft für Synology Router verfügbar.
- Setzen Sie ein Häkchen bei Synology SSL VPN aktivieren.
- Legen Sie die folgenden Einstellungen fest:
- Max. gleichzeitige Konten: Zeigt die maximale Anzahl an Konten an, die gleichzeitig verwendet werden können
- Client IP-Bereich: Wählen Sie einen Client IP-Bereich (z. B. ein Subnetz oder IP-Bereich hinter Ihrem Synology Router) als virtuelle IP-Adressen, die Clients zur Verfügung stehen. Um weitere Subnetze oder IP-Bereiche hinzuzufügen, gehen Sie zu Objekt > Adressen-Pool.
- Eigener Domainname: Klicken Sie auf Bearbeiten, um die Domaineinstellungen zu bearbeiten.
- Port: Geben Sie den Verbindungsport über dieses Protokoll an. Der Standardport ist 443. Wenn Synology SSL VPN und WebVPN beide aktiviert sind, empfehlen wir, nicht Port 443 für Synology SSL VPN zu verwenden, um die Geschwindigkeit von WebVPN nicht zu beeinträchtigen.
- Sicherheitsstufe:
- Automatisch: Dies ist die Standardoption und wird für bessere Kompatibilität mit Webbrowsern empfohlen. Sie passt außerdem die Verschlüsselungsmethoden automatisch an die Methoden an, die den Client-Geräten am besten entsprechen.
- Moderne Kompatibilität: Diese Sicherheitsebene verwendet moderne Verschlüsselungssammlungen für Ihre VPN-Verbindungen. Beachten Sie bitte, dass nur Webbrowser mit TLS 1.3 unterstützt werden.
- Doppelanmeldungen nicht zulassen: Setzen Sie hier ein Häkchen, um zu verhindern, dass Konten mehrere Verbindungen über dieses Protokoll herstellen.
- Split-Tunnel aktivieren: Diese Option ermöglicht Clients, über VPN auf Ressourcen in bestimmten lokalen Subnetzen oder IP-Bereichen zuzugreifen, während der Rest des Datenverkehrs über das Standardgateway läuft. Klicken Sie auf Bearbeiten, um Objekte (Subnetze oder IP-Bereiche) zur Split-Tunnel-Liste hinzuzufügen.
- Klicken Sie auf Übernehmen, um die Einrichtung zu beenden. Unten auf dieser Seite wird eine benutzerdefinierte URL für das VPN Plus-Webportal angezeigt.
Anmerkung:
- Die URL für das VPN Plus Webportal kann in einer der folgenden Formen erscheinen:
- Interne IP-Adresse: Nur lokale Benutzer können über diese URL, z. B. „https://192.168.1.2:443“, auf das Webportal zugreifen. Sie können sie manuell durch die externe IP-Adresse ersetzen, um eine URL zu erhalten, die Fernzugriff ermöglicht, und die Portnummer hinzufügen, falls kein Standard-Port verwendet wird.
- Externe IP-Adresse: Lokale und externe Benutzer können über diese URL auf das Webportal zugreifen.
- Domainname: Lokale und externe Benutzer können über diese URL, z. B. „https://beispiel.synology.me:443“, auf das Webportal zugreifen. Um eine URL mit dem Domainnamen zu erhalten, verweisen Sie zunächst auf dem DNS-Server die externe IP-Adresse auf den Domainnamen oder nutzen Sie Synology DDNS (siehe Anweisungen). Wird nicht der Standard-Port 443 verwendet, fügen Sie die Portnummer (z. B. 500) zum Domainnamen hinzu (z. B. „beispiel.com:500“).
- Das im Feld Client IP-Bereich angegebene Objekt wir zur Split-Tunnel-Liste hinzugefügt und kann nicht entfernt werden. Um dieses Objekt zu entfernen, wählen Sie bitte ein anderes Objekt im Feld Client IP-Bereich aus.
- Wenn Sie Ihr Synology SSL VPN mit der Sicherheitsstufe „Moderne Kompatibilität“ verwenden möchten, kontrollieren Sie auf Ihren Client-Geräten Folgendes:
- Ihr Synology SSL VPN Client ist aktuell.
- Ihr Webbrowser unterstützt TLS 1.3.
- SSTP VPN ist nicht verfügbar, wenn Sie Moderne Kompatibilität als Sicherheitsstufe auswählen. Um SSTP VPN und SSL VPN gleichzeitig zu nutzen, ändern Sie die Sicherheitsstufe bitte auf Automatisch.
Fremdzertifikat auf dem Synology Router installieren:
Der Netzwerkadministrator kann ein Zertifikat von einem vertrauenswürdigen Fremdanbieter erwerben und auf dem Synology Router installieren. Danach können alle Clients ohne Browserwarnungen reibungslos auf das VPN Plus-Webportal zugreifen.
- Gehen Sie zur SRM Systemsteuerung > Dienste > Zertifikat.
- Klicken Sie unter Aktion auf Zertifikat importieren.
- Klicken Sie auf Durchsuchen und geben Sie den erworbenen privaten Schlüssel und das Zertifikat an.
- Klicken Sie auf OK, um das Zertifikat zu importieren.
Das Synology Router-Zertifikat auf Client-Geräten installieren:
Wenn keine vertrauenswürdigen Fremdanbieter-Zertifikate verfügbar sind, kann der Netzwerkadministrator auch ein selbst signiertes Zertifikat vom Synology Router erstellen lassen und auf allen Client-Geräten installieren.
- Gehen Sie zur SRM Systemsteuerung > Dienste > Zertifikat.
- Klicken Sie unter Aktion auf Zertifikat erstellen > Selbst signiertes Zertifikat erstellen. Folgen Sie den Anweisungen auf dem Bildschirm, um ein Zertifikat für das VPN Plus-Webportal zu erstellen.
- Klicken Sie unter Serverzertifikat auf Zertifikat exportieren, um das selbst signierte Zertifikat herunterzuladen.
- Nutzen Sie dieses Zertifikat gemeinsam mit lokalen Anwendern. Fordern Sie diese auf, das Zertifikat wie in der Anleitung beschrieben auf ihren Geräten zu installieren.
Anleitung
Dieser Abschnitt beschreibt, wie Sie Ihre Client-Geräte mit Synology SSL VPN verbinden.
Verbindung zu Synology SSL VPN herstellen:
Webbrowser auf Computern (ausgenommen Firefox):
- Öffnen Sie einen Webbrowser und geben Sie die URL des VPN Plus-Webportals in die Adresszeile ein.
- Melden Sie sich mit Ihren SRM-Anmeldedaten an.
- Klicken Sie links auf SSL VPN.
- Klicken Sie auf Download, um den Synology SSL VPN Client auf Ihrem lokalen Computer zu installieren.
- Folgen Sie den Anweisungen des Assistenten, um die Installation abzuschließen.
- Wenn der SSL VPN Client gestartet wurde, wird die Webseite automatisch neu geladen.
- Klicken Sie auf Verbinden, um eine Verbindung über Synology SSL VPN herzustellen. (Siehe die Anmerkung unten.)
- Nun werden alle Ihre Verbindungen vom lokalen Computer über Synology SSL VPN geführt.
- Wenn Sie diesen VPN-Dienst nicht mehr nutzen möchten, klicken Sie im VPN Plus-Webportal auf Trennen.
Firefox auf Computern:
- Öffnen Sie Firefox und geben Sie die URL des VPN Plus-Webportals in die Adresszeile ein.
- Melden Sie sich mit Ihren SRM-Anmeldedaten an.
- Klicken Sie links auf SSL VPN.
- Klicken Sie auf Download, um den Synology SSL VPN Client auf Ihrem lokalen Computer zu installieren.
- Folgen Sie den Anweisungen des Assistenten, um die Installation abzuschließen.
- Gehen Sie zurück zum VPN Plus-Webportal > SSL VPN und klicken Sie auf hier, um eine Sicherheitsausnahme für den Browser hinzuzufügen.
- Auf der Webseite wird eine Browserwarnung angezeigt. Klicken Sie auf Erweitert... > Risiko akzeptieren und fortfahren.
- Klicken Sie auf Fortfahren. Nun werden alle Ihre Verbindungen vom lokalen Computer über Synology SSL VPN geführt.
- Wenn Sie diesen VPN-Dienst nicht mehr nutzen möchten, klicken Sie im VPN Plus-Webportal auf Trennen.
Anmerkung:
- Wenn Sie sich auf einem Client-Betriebssystem zum ersten Mal beim VPN Plus-Webportal anmelden, müssen Sie vor der VPN-Verbindung einen aus mindestens 8 Zeichen bestehenden PIN-Code einrichten. Dies verhindert unbefugte Anmeldungen bei einem bösartigen VPN-Server.
- Nachdem Sie den PIN-Code eingerichtet haben, müssen Sie ihn im Client-Betriebssystem erneut eingeben, wenn Sie sich zum ersten Mal mit einem anderen VPN-Server verbinden.
- Der PIN-Code kann nach der VPN-Einrichtung nicht mehr geändert werden. Wenn Sie Ihren PIN-Code vergessen haben oder ändern möchten, müssen Sie den Synology SSL VPN Client deinstallieren und erneut installieren.
iOS- bzw. Android-Geräte:
- Laden Sie Synology VPN Plus herunter (Apple App Store/Google Play) und installieren Sie die App auf Ihrem Mobilgerät.
Anmerkung: Das Android-Anwendungspaket (APK) ist auch im Synology Download-Zentrum verfügbar. Weitere Informationen zur manuellen Installation der App auf Ihrem Android-Gerät finden Sie in diesem Artikel.
- Öffnen Sie Synology VPN Plus und geben Sie die IP-Adresse oder den Domainnamen (z. B. „vpn.service.com“) Ihres Synology Router ein.
Anmerkung: Wenn Sie einen benutzerdefinierten Port verwenden (nicht 443), fügen Sie diesen nach dem Domainnamen oder der IP-Adresse mit einem Doppelpunkt hinzu (z. B. „präfix.domain.com:10001“).
- Melden Sie sich mit Ihren SRM-Anmeldedaten an.
- Tippen Sie auf Verbinden, um eine Verbindung über Synology SSL VPN herzustellen.
- Nun werden alle Ihre Verbindungen vom Mobilgerät über Synology SSL VPN geführt.
- Wenn Sie den VPN-Dienst nicht mehr benötigen, tippen Sie auf Trennen.
Anmerkung:
- Der Synology SSL VPN Service hat nur zwei kompatible Clients: Synology SSL VPN Client und die mobile App Synology VPN Plus.
- Synology SSL VPN Client und die mobile App Synology VPN Plus sind ausschließlich mit VPN Plus Server kompatibel.
- Wenn der Netzwerkadministrator Split-Tunnel aktiviert hat, wird ausschließlich Datenverkehr zu Webseiten/Anwendungen/Servern in festgelegten lokalen Subnetzen oder IP-Bereichen über VPN geführt. Der restliche Datenverkehr wird durch das Standard-Gateway geführt.
Ein Zertifikat auf Ihrem Gerät installieren:
Wenn auf VPN Plus Server keine vertrauenswürdigen Fremdanbieter-Zertifikate verfügbar sind, können Sie ein selbst signiertes Zertifikat auf Ihren Computer herunterladen und installieren, um wiederholte Browserwarnungen zu vermeiden.
- Gehen Sie zum VPN Plus Webportal.
- Klicken Sie auf das Symbol der Person rechts oben.
- Klicken Sie auf Konfigurationen.
- Klicken Sie im eingeblendeten Fenster auf Download, um das Zertifikat ca.crt auf Ihren Computer herunterzuladen.
Gehen Sie je nach Betriebssystem Ihres Computers wie folgt vor, um das Zertifikat zu installieren.
Für Windows:
- Doppelklicken Sie auf die Datei ca.crt auf Ihrem Computer.
- Klicken Sie auf Öffnen > Zertifikat installieren... > Weiter.
- Wählen Sie Alle Zertifikate in folgendem Speicher speichern.

- Klicken Sie auf Durchsuchen und wählen Sie Vertrauenswürdige Stammzertifizierungsstellen.

- Klicken Sie auf OK und folgen Sie den Anweisungen des Assistenten, um die Installation abzuschließen.
- Starten Sie Ihren Browser neu, damit das Zertifikat wirksam wird.
Für Mac:
- Doppelklicken Sie auf die Datei ca.crt auf Ihrem Computer.
- Wählen Sie System für den Schlüsselbund und klicken Sie auf Hinzufügen.
- Geben Sie die Anmeldeinformationen ein und klicken Sie auf Schlüsselbund ändern.
- Öffnen Sie Schlüsselbundzugriff auf Ihrem Mac.
- Wählen Sie links System unter Schlüsselbund und dann Zertifikate unter Kategorie.

- Suchen Sie das Zertifikat und doppelklicken Sie darauf.
- Klicken Sie im eingeblendeten Fenster auf Vertrauen und wählen Sie bei Beim Nutzen dieses Zertifikats die Option Immer vertrauen.

- Schließen Sie das eingeblendete Fenster und folgen Sie den Anweisungen am Bildschirm, um die Installation abzuschließen.