Knowledge Center

VPN Server einrichten

Mit dem Paket VPN Server kann Ihr Synology NAS ganz einfach zu einem VPN-Server gemacht werden, damit Benutzer per Fernzugriff sicher auf geteilte Ressourcen des lokalen Netzwerks des Synology NAS zugreifen können. Durch die Integration von gemeinsamen VPN-Protokollen – PPTP, OpenVPN und L2TP/IPSec – bietet VPN Server Optionen für die Einrichtung und Verwaltung von VPN-Diensten, die auf Ihre individuellen Bedürfnisse zugeschnitten sind.

Anmerkung:

  • Das Aktivieren des VPN-Dienstes beeinträchtigt die Netzwerkleistung des Systems.
  • Nur Administratoren können VPN Server installieren und einrichten.

PPTP

PPTP (Point-to-Point Tunneling Protocol) ist eine häufig genutzte VPN-Lösung, die von den meisten Clients (einschließlich Windows, Mac, Linux und Mobilgeräte) unterstützt wird. Weitere Informationen über PPTP finden Sie hier.

PPTP VPN-Server aktivieren:

  1. Öffnen Sie VPN Server und gehen Sie links zu PPTP.
  2. Setzen Sie ein Häkchen bei PPTP VPN-Server aktivieren.
  3. Geben Sie in die Felder Dynamische IP-Adresse eine virtuelle IP-Adresse des VPN-Servers ein. Weitere Informationen finden Sie unter Details der dynamischen IP-Adresse weiter unten.
  4. Stellen Sie die Maximale Anzahl von Verbindungen ein, um die Anzahl gleichzeitiger VPN-Verbindungen zu begrenzen.
  5. Legen Sie die Maximale Anzahl von Verbindungen mit demselben Konto fest, um die Anzahl gleichzeitiger VPN-Verbindungen mit demselben Konto zu begrenzen.
  6. Wählen Sie eine der folgenden Optionen im Dropdown-Menü Authentifizierung, um VPN-Clients zu authentifizieren:
    • PAP: Die Kennwörter von VPN-Clients werden während der Authentifizierung nicht verschlüsselt.
    • MS-CHAP v2: Die Kennwörter von VPN-Clients werden während der Authentifizierung mit Microsoft CHAP Version 2 verschlüsselt.
  7. Wenn Sie oben für die oben beschriebene Authentifizierung MS-CHAP v2 gewählt haben, wählen Sie eine der folgenden Optionen im Dropdown-Menü Verschlüsselung aus, um die VPN-Verbindung zu verschlüsseln:
    • Kein MPPE: Die VPN-Verbindung wird nicht durch den Verschlüsselungsmechanismus geschützt.
    • MPPE optional: Die VPN-Verbindung wird mit einem 40-Bit- oder 128-Bit-Verschlüsselungsmechanismus geschützt oder gar nicht, je nach Einstellungen des Clients.
    • MPPE erforderlich: Die VPN-Verbindung wird mit einem 40-Bit- oder 128-Bit-Verschlüsselungsmechanismus geschützt, je nach Einstellungen des Clients.
  8. Stellen Sie MTU (Maximum Transmission Unit) ein, um die Datenpaketgröße für die Übertragung über das VPN zu begrenzen.
  9. Setzen Sie ein Häkchen bei Manuelle DNS verwenden und geben Sie die IP-Adresse eines DNS-Servers ein, um DNS zu PPTP-Clients weiterzuleiten. Wenn diese Option deaktiviert ist, wird der DNS-Server, den das Synology NAS verwendet, für die Clients übernommen.
  10. Klicken Sie auf Übernehmen, damit die Änderungen wirksam werden.

Anmerkung:

  • Bei der Herstellung der Verbindung zum VPN müssen die Einstellungen von Authentifizierung und Verschlüsselung der VPN-Clients mit den Einstellungen in VPN Server übereinstimmen, sonst können die Clients keine Verbindung herstellen.
  • Für die Kompatibilität mit den meisten PPTP-Clients, auf denen Windows, Mac OS, iOS und Android-Betriebssysteme ausgeführt werden, ist die Standard-MTU auf 1400 eingestellt. Für kompliziertere Netzwerkumgebungen könnte eine kleinere MTU erforderlich sein. Versuchen Sie, die MTU-Größe zu verringern, wenn häufig Zeitüberschreitungsfehler auftreten oder die Verbindungen nicht stabil sind.
  • Prüfen Sie die Einstellungen für Portweiterleitung und Firewall auf dem Synology NAS und dem Router, um sicherzustellen, dass der TCP-Port 1723 geöffnet ist.
  • Der PPTP-VPN-Dienst ist in bestimmten Routern integriert, deshalb ist evtl. der Port 1723 belegt. Um sicherzustellen, dass VPN Server ordnungsgemäß funktioniert, muss möglicherweise der integrierte PPTP-VPN-Dienst über die Router-Verwaltungsschnittstelle deaktiviert werden, damit die PPTP-Funktion von VPN Server funktioniert. Darüber hinaus können bestimmte ältere Router das GRE-Protokoll (IP-Protokoll 47) blockieren, wodurch die VPN-Verbindung fehlschlägt. Wir empfehlen die Verwendung eines Routers, der Verbindungen mit „VPN Pass-through“ unterstützt.

OpenVPN

OpenVPN ist eine Open-Source-Lösung für die Implementierung des VPN-Dienstes. Sie schützt die VPN-Verbindung mit dem Verschlüsselungsmechanismus SSL/TLS. Weitere Informationen über OpenVPN finden Sie hier.

OpenVPN VPN-Server aktivieren:

  1. Öffnen Sie VPN Server und gehen Sie links zu OpenVPN.
  2. Setzen Sie ein Häkchen bei OpenVPN-Server aktivieren.
  3. Geben Sie in die Felder Dynamische IP-Adresse eine virtuelle interne IP-Adresse des VPN-Servers ein. Weitere Informationen finden Sie unter Details der dynamischen IP-Adresse weiter unten.
  4. Stellen Sie die Maximale Anzahl von Verbindungen ein, um die Anzahl gleichzeitiger VPN-Verbindungen zu begrenzen.
  5. Legen Sie die Maximale Anzahl von Verbindungen mit demselben Konto fest, um die Anzahl gleichzeitiger VPN-Verbindungen mit demselben Konto zu begrenzen.
  6. Richten Sie Port und Protokoll für die OpenVPN-Datenübertragung ein. Sie können festlegen, zu welchem Port Ihres Synology NAS und über welches Protokoll Datenpakete über VPN weitergeleitet werden. Die Standardeinstellung ist UDP-Port 1194.
    Anmerkung: Um sicherzustellen, dass Dienste auf Ihrem Synology NAS korrekt funktionieren, verwenden Sie bitte nicht dieselbe Kombination aus Port und Protokoll wie für andere Synology-Dienste. Weitere Informationen finden Sie in diesem Artikel.
  7. Konfigurieren Sie im Dropdown-Menü die Verschlüsselung, um Datenpakete in VPN-Tunnels zu verschlüsseln.
  8. Konfigurieren Sie im Dropdown-Menü die Authentifizierung, um VPN-Clients zu authentifizieren.
  9. Setzen Sie ein Häkchen bei Komprimierung in VPN-Verbindung aktivieren, wenn Sie Daten während der Übertragung komprimieren möchten. Diese Option kann die Übertragungsgeschwindigkeit steigern, verbraucht aber Systemressourcen.
  10. Setzen Sie ein Häkchen bei Clients den Server-LAN-Zugriff erlauben, damit Clients auf das Server-LAN zugreifen können.
  11. Setzen Sie ein Häkchen bei IPv6-Server-Modus aktivieren, damit der OpenVPN-Server IPv6-Adressen senden kann. Zuerst müssen Sie über 6in4/6to4/DHCP-PD unter Systemsteuerung > Netzwerk > Netzwerkschnittstelle ein Präfix abrufen. Wählen Sie dann das Präfix auf dieser Seite aus.
  12. Klicken Sie auf Übernehmen, damit die Änderungen wirksam werden.

Anmerkung:

  • VPN Server unterstützt den Bridge-Modus für Site-to-Site-Verbindungen nicht.
  • Prüfen Sie die Einstellungen für Portweiterleitung und Firewall auf dem Synology NAS und dem Router, um sicherzustellen, dass der UDP-Port 1194 geöffnet ist.
  • Beachten Sie bei Verwendung von OpenVPN GUI unter Windows Vista oder Windows 7, dass UAC (User Account Control) standardmäßig aktiviert ist. Falls diese aktiviert ist, müssen Sie die Option Ausführen als Administrator nutzen, um die Verbindung mit OpenVPN GUI korrekt herzustellen.
  • Beachten Sie bei der Aktivierung des IPv6-Server-Modus in Windows mit OpenVPN GUI Folgendes:
    1. Der vom VPN verwendete Schnittstellenname darf kein Leerzeichen enthalten. LAN 1 muss beispielsweise zu LAN1 geändert werden.
    2. Die Option redirect-gateway muss in der Datei „openvpn.ovpn“ auf Client-Seite eingerichtet werden. Falls diese Option nicht eingestellt werden soll, müssen Sie die DNS der VPN-Schnittstelle manuell einstellen. Sie können Google IPv6 DNS verwenden: 2001:4860:4860::8888.

Die Konfigurationsdatei exportieren:

Klicken Sie auf Konfiguration exportieren. OpenVPN ermöglicht dem VPN-Server die Ausgabe eines Authentifizierungszertifikats an Clients. Bei der exportierten Datei handelt es sich um eine ZIP-Datei, die openvpn.ovpn (Konfigurationsdatei für den Client) und README.txt (einfache Anweisungen zur Einrichtung der OpenVPN-Verbindung für den Client) enthält. Weitere Informationen finden Sie hier.

Anmerkung:

  • Immer wenn VPN Server ausgeführt wird, wird es automatisch das unter Systemsteuerung > Sicherheit > Zertifikat angezeigte Zertifikat kopieren und verwenden. Wenn Sie ein Drittanbieter-Zertifikat verwenden müssen, importieren Sie es unter Systemsteuerung > Sicherheit > Zertifikat > Hinzufügen und starten Sie VPN Server neu.
  • VPN Server führt immer dann einen automatischen Neustart durch, wenn das unter Systemsteuerung > Sicherheit > Zertifikat angezeigte Zertifikat verändert wird. Sie müssen auch die neue .ovpn-Datei zu allen Clients exportieren.

L2TP/IPSec

L2TP (Layer 2 Tunneling Protocol) über IPSec erstellt virtuelle private Netzwerke mit verbesserter Sicherheit und wird von den meisten Clients (z. B. Windows, Mac, Linux und Mobilgeräte) unterstützt. Weitere Informationen über L2TP finden Sie hier.

Anmerkung:

  • Vergewissern Sie sich, dass auf dem Synology NAS DSM 4.3 oder höher ausgeführt wird, bevor Sie L2TP/IPSec verwenden.

L2TP/IPSec VPN-Server aktivieren:

  1. Öffnen Sie VPN Server und gehen Sie links zu L2TP/IPSec.
  2. Setzen Sie ein Häkchen bei L2TP/IPSec VPN-Server aktivieren.
  3. Geben Sie in die Felder Dynamische IP-Adresse eine virtuelle IP-Adresse des VPN-Servers ein. Weitere Informationen finden Sie unter Details der dynamischen IP-Adresse weiter unten.
  4. Stellen Sie die Maximale Anzahl von Verbindungen ein, um die Anzahl gleichzeitiger VPN-Verbindungen zu begrenzen.
  5. Legen Sie die Maximale Anzahl von Verbindungen mit demselben Konto fest, um die Anzahl gleichzeitiger VPN-Verbindungen mit demselben Konto zu begrenzen.
  6. Wählen Sie eine der folgenden Optionen im Dropdown-Menü Authentifizierung, um VPN-Clients zu authentifizieren:
    • PAP: Die Kennwörter von VPN-Clients werden während der Authentifizierung nicht verschlüsselt.
    • MS-CHAP v2: Die Kennwörter von VPN-Clients werden während der Authentifizierung mit Microsoft CHAP Version 2 verschlüsselt.
  7. Stellen Sie MTU (Maximum Transmission Unit) ein, um die Datenpaketgröße für die Übertragung über das VPN zu begrenzen.
  8. Setzen Sie ein Häkchen bei Manuelle DNS verwenden und geben Sie die IP-Adresse eines DNS-Servers ein, um DNS zu L2TP/IPSec-Clients weiterzuleiten. Wenn diese Option deaktiviert ist, wird der DNS-Server, den das Synology NAS verwendet, für die Clients übernommen.
  9. Wählen Sie für maximale VPN-Leistung Im Kernelmodus (Kernel mode) ausführen.
  10. Geben Sie einen vorinstallierten Schlüssel („Pre-Shared Key“) ein und bestätigen Sie ihn. Dieser Secret Key (geheimer Schlüssel) muss an den L2TP/IPSec-VPN-Benutzer weitergegeben werden, um die Verbindung zu authentifizieren.
  11. Setzen Sie ein Häkchen bei SHA2-256-kompatiblen Modus (96 Bit) aktivieren, um bestimmten Clients (nicht RFC-Standard) zu erlauben, die L2TP-/IPSec-Verbindung zu verwenden.
  12. Klicken Sie auf Übernehmen, damit die Änderungen wirksam werden.

Anmerkung:

  • Bei der Herstellung der Verbindung zum VPN müssen die Einstellungen von Authentifizierung und Verschlüsselung der VPN-Clients mit den Einstellungen in VPN Server übereinstimmen, sonst können die Clients keine Verbindung herstellen.
  • Für die Kompatibilität mit den meisten L2TP/IPSec-Clients, auf denen Windows, Mac OS, iOS und Android-Betriebssysteme ausgeführt werden, ist die Standard-MTU auf 1400 eingestellt. Für kompliziertere Netzwerkumgebungen könnte eine kleinere MTU erforderlich sein. Versuchen Sie, die MTU-Größe zu verringern, wenn häufig Timeout-Fehlermeldungen auftreten oder die Verbindung nicht stabil ist.
  • Prüfen Sie die Einstellungen für Portweiterleitung und Firewall auf dem Synology NAS und dem Router, um sicherzustellen, dass die UDP-Ports 1701, 500 und 4500 geöffnet sind.
  • Der L2TP- oder IPSec-VPN-Dienst ist in bestimmten Routern integriert, deshalb ist der Port 1701, 500 oder 4500 evtl. belegt. Um sicherzustellen, dass VPN Server ordnungsgemäß funktioniert, muss möglicherweise der integrierte L2TP/IPSec VPN-Dienst über die Router-Verwaltungsschnittstelle deaktiviert werden, damit die L2TP/IPSec-Funktion von VPN Server funktioniert. Wir empfehlen die Verwendung eines Routers, der Verbindungen mit „VPN Pass-through“ unterstützt.

Details der dynamischen IP-Adresse

Je nach der Zahl, die Sie unter Dynamische IP-Adresse eingegeben haben, trifft VPN Server unter einer Reihe virtueller IP-Adressen eine Auswahl und weist den VPN-Clients IP-Adressen zu. Wenn beispielsweise die dynamische IP-Adresse des VPN-Servers auf „10.0.0.0“ eingestellt ist, kann die virtuelle IP-Adresse eines VPN-Clients von „10.0.0.1“ bis „10.0.0.[max. Anzahl von Verbindungen]“ für PPTP und von „10.0.0.2“ bis „10.0.0.255“ für OpenVPN reichen.

Wichtig: Bevor Sie die dynamische IP-Adresse des VPN-Servers angeben, achten Sie bitte auf Folgendes:

  1. Folgende dynamische IP-Adressen sind für VPN-Server zugelassen:
    • Von „10.0.0.0“ bis „10.255.255.0“
    • Von „172.16.0.0“ bis „172.31.255.0“
    • Von „192.168.0.0“ bis „192.168.255.0“
  2. Die angegebene dynamische IP-Adresse des VPN-Servers und die zugewiesenen virtuellen IP-Adressen für VPN-Clients sollten nicht mit IP-Adressen in Konflikt stehen, die derzeit in Ihrem lokalen Netzwerk genutzt werden.

Über die Client-Gateway-Einstellung für die VPN-Verbindung

Bevor Sie das lokale Netzwerk des Synology NAS über VPN verbinden, müssen die Clients möglicherweise ihre Gateway-Einstellung für die VPN-Verbindung ändern. Ansonsten sind sie möglicherweise nicht in der Lage, eine Verbindung zum Internet herzustellen, während die VPN-Verbindung besteht. Ausführliche Informationen dazu finden Sie hier.

PPTP
OpenVPN
L2TP/IPSec