Synology VPN Server für den Remote Access OpenVPN auf Synology NAS-Systemen einrichten
Von Thomas Joos 5 min Lesedauer
Anbieter zum Thema
Wenn in kleineren Netzwerken Synology-NAS-Systeme im Einsatz sind, kann auf dem Gerät auch ein VPN-Server betrieben werden, über den Anwender mobil oder aus dem Homeoffice sicher und einfach auf die Daten des NAS und auf andere Ressourcen im Netzwerk zugreifen können.
Im Paketzentrum auf Synology NAS-Systemen steht auch das kostenlose Paket Synology VPN-Server zur Verfügung. Mit diesem lässt sich direkt auf dem NAS ein VPN-Server betreiben, mit dem sich Anwender über das Internet verbinden können. Die Verbindung geht mit Smartphones, Tablets, Windows, macOS und auch Linux. Der VPN-Server bietet umfassende Möglichkeiten, für die Einwahl von Benutzern in zahlreichen Szenarien. Anwender können dadurch auf Daten und Ressourcen des Netzwerks zugreifen und sich auch per RDP mit ihrem Arbeitsplatz verbinden, geschützt durch das VPN.
Nach erfolgreicher Installation und Einrichtung steht der VPN-Server sofort zur Verfügung, geschützt durch die Firewall im Netzwerk oder den Internet-Router mit integrierter Firewall. Der Beitrag zeigt die Einrichtung und Möglichkeiten des Synology VPN-Servers. Dieser unterstützt auch das OpenVPN-Protokoll, das zu den schnellsten und sichersten Protokollen überhaupt gehört.
Bildergalerie
Bildergalerie mit 9 BildernEinstieg in den VPN-Server auf dem Synology NAS
Im ersten Schritt erfolgt im Paketzentrum in DSM auf dem Syology-NAS die Installation des Pakets "Synology VPN-Server". Die Einrichtung des Servers erfolgt erst nach der Installation. Nach der Installation steht das Icon zum Einrichten und Verwalten des VPN-Servers zur Verfügung. Direkt nach dem Start lässt sich bei "Überblick" auswählen welches VPN-Protokoll zum Einsatz komme soll. Am besten geeignet ist OpenVPN.
Zwar stehen auch PPTP und L2TP/IPSec zur Verfügung, aber PPTP ist nicht sicher genug, etwas veraltet und die Leistung des VPNs ist nicht ideal. Außerdem ist die Einrichtung auf dem Client nicht flexibel. Das L2TP/IPSec-Protokoll ist sicher, belastet aber auch die CPU auf dem NAS. OpenVPN ist sicher, schnell, belastet die Hardware kaum und es gibt Clients für alle erdenklichen Betriebssysteme sowie für Smartphones und Tablets.
OpenVPN im Synology VPN-Server einrichten
Die Einrichtung von OpenVPN erfolgt über den Menüpunkt "OpenVPN" in den Einstellungen des Synology VPN-Servers auf dem NAS. Im ersten Schritt wird dazu die Option "OpenVPN-Server aktivieren" gesetzt. Wichtig ist, dass der Wert bei "Dynamische IP-Adresse" nicht dem internen Netzwerk entspricht, da es sich hierbei um den VPN-Bereich handelt. Clients bekommen bei der Einwahl per VPN eine IP-Adresse aus diesem Bereich zugewiesen und werden mit dem VPN verbunden. Dabei erfolgt ein Routing zum internen Netzwerk, die Clients erhalten nicht direkt eine IP-Adresse aus dem internen Netzwerk.
Bei "Max. Anzahl von Verbindungen" kann festgelegt werden, wie viele Clients sich maximal in das VPN einwählen dürfen. Bei "Max. Verbindungen eines Kontos" kann festgelegt werden, mit wie vielen Geräten sich ein Benutzer gleichzeitig einwählen darf. Dadurch können sich Anwender zum Beispiel mit ihrem PC, Smartphone und einem weiteren Gerät gleichzeitig verbinden, ohne dass verschiedene Benutzerkonten dafür notwendig sind.
Wichtig ist die Einstellung bei "Port". Generell kann es sinnvoll sein, nicht den OpenVPN Standard-Port UDP 1194 zu verwenden, sondern einen anderen Port. Das kann die Sicherheit etwas erhöhen, da Angreifer aus dem Netzwerk dann nicht mit Hackertools versuchen können, einen Zugang zu erhalten. Das ist schlussendlich aber auch Geschmacksache. Dieser Port muss später von der Firewall oder auf dem Internetrouter zum Synology-NAS weitergeleitet werden. Clients verbinden sich mit der externen IP-Adresse des Routers oder der Firewall mit dem gewünschten Port, der Router oder die Firewall erkennen den Port und nutzen die Weiterleitungsregel. Andere Daten leitet der Router in diesem Fall nicht weiter.
In den meisten Fällen können die Werte bei "Verschlüsselung", "Authentifizierung" und "Mssfix-Optionswert" auf dem Standardwert belassen werden. Diese sind so sicher genug. Damit sich die Clients mit anderen Ressourcen im Netzwerk verbinden können, zum Beispiel auch per RDP zu ihrer Arbeitsstation, muss "Client den Server-LAN-Zugriff erlauben" aktiviert sein. Wenn alle Einstellungen gesetzt sind, werden die Einstellungen mit "Übernehmen" gespeichert. Nach der Speicherung ist der OpenVPN-Server als "Aktiviert" gekennzeichnet und beim Öffnen der VPN-Server-App ist auch zu sehen, ob Benutzer mit dem NAS per VPN verbunden sind.
Port-Weiterleitungen für VPN einrichten
Damit der Datenverkehr zum VPN-Server durchgelassen wird, muss auf der jeweiligen Firewall des Unternehmens eine Portweiterleitung des konfigurierten Ports zur internen IP-Adresse des NAS erfolgen. Wenn parallel auf dem NAS die Firewall aktiv ist, muss auch hier eine Weiterleitung konfiguriert werden. Das macht der Einrichtungs-Assistent für das VPN nicht automatisch. Die Einstellungen dazu sind in der Systemsteuerung bei "Sicherheit" über den Menüpunkt "Firewall" zu finden. Über "Regeln bearbeiten" kann nach Auswahl von "Aus einer Liste integrierter Anwendungen auswählen" mit der Schaltfläche "Auswählen" der VPN-Server ausgewählt werden. Hier wird der Port aktiviert, dessen Protokoll im Einsatz ist, also zum Beispiel UDP 1194 beim Einsatz von OpenVPN.
OpenVPN auf dem Synology-NAS verwalten: AD-Zugriff ist möglich
Die weitere Verwaltung des VPN-Servers erfolgt über das Verwaltungsprogramm des VPN-Servers. Bei "Verbindungsliste" sind die aktuell verbundenen Clients zu sehen. Mit der Schaltfläche "Trennen" lassen sich diese an dieser Stelle vom VPN trennen. Bei "Protokoll" sind wichtige Informationen zum laufenden Betrieb des VPNs zu sehen.
Über "Allgemeine Einstellungen" kann eingestellt werden, auf welcher LAN-Schnittstelle des NAS der OpenVPN-Server erreichbar ist. Außerdem lässt sich hier festlegen, ob die Authentifizierung der Benutzer über die lokale Benutzerdatenbank erfolgt oder per Active-Directory-Zugriff. Soll nicht jeder Benutzer automatisch Zugriff auf das VPN erhalten, muss die Option "VPN-Berechtigung für neu hinzugefügte lokaler Benutzer gewähren" deaktiviert werden. Bei "Berechtigung" sind die lokalen Benutzerkonten auf dem NAS zu sehen. Hier kann für jeden Benutzer festgelegt werden, auf welches VPN-Protokoll er Zugriff haben soll.
Client-Konfigurationsdateien bearbeiten
Für die Einrichtung der OpenVPN-Clients wird jeweils eine Konfigurationsdatei benötigt. Diese lässt sich zentral über die Schaltfläche "Konfigurationsdateien exportieren" bei "OpenVPN" im VPN-Server-Verwaltungsprogramme herunterladen. Nach dem Extrahieren des Archivs wird anschließend die Datei "VPNConfig.ovpn" mit einem Texteditor bearbeitet. Diese Datei importieren die einzelnen Benutzer in ihrem OpenVPN-Client auf ihrem Endgerät.
Zuvor muss in der Datei aber noch bei "remote YOUR_SERVER_IP 1194" die externe IP-Adresse oder der externe DNS/DynDNS-Name der Firewall eingetragen werden. Denn hiermit verbinden sich die Clients. Durch die Portweiterleitung auf der Firewall werden die Anfragen anschließend an den VPN-Server auf dem NAS weitergeleitet. In der Konfigurationsdatei können auch weitere Anpassungen vorgenommen werden, diese sind aber optional. Anschließend müssen Benutzer diese Datei nur in ihrem OpenVPN-Client importieren, sich verbinden und authentifizieren. Clients für OpenVPN stehen für nahezu alle Betriebssysteme zur Verfügung. Für macOS kann die App "Tunnelblick" sinnvoll sein. Für Android und iOS stehen Apps im jeweiligen App-Store zur Verfügung.
(ID:49645224)
