NAS mit Synology für Profis

Sicherheit: NAS-Zugriff übers Internet per VPN einrichten

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Mehrere Wege stehen offen, um eine sichere VPN-Verbindung für die Synology Diskstation einzurichten: Neben verschiedenen kommerziellen Dynamic-DNS-Anbietern stellen auch Hersteller wie AVM eigene DDNS-Dienste zur Verfügung.
15:30

Transkript

In diesem Video werden wir unseren Internet-Router so konfigurieren, dass er immer vom Internet aus erreichbar ist und auf unserer DiskStation einen sogenannten VPN Server installieren. So ein dynamischer DNS-Dienst ist dann sinnvoll, wenn sie von außen immer auf Ihren Router zugreifen wollen, auch wenn sich dessen IP-Adresse geändert hat. Bei den AVM-FRITZ!Boxen ist so ein dynamischer Dienst gratis enthalten. Wenn Sie einen anderen Router verwenden und trotzdem dynamisches DNS verwenden wollen, können Sie genauso wie hier gezeigt vorgehen und suchen sich einen Ihrer dynamischen DNS-Anbieter aus, die sind dann allerdings meist kostenpflichtig. Früher gab es auch mal kostenlose Dienste, heute verlangen sie alle Geld dafür. Und deswegen verwende ich persönlich, weil ich eine FRITZ!Box habe eben den MyFRITZ!-Dienst von AVM. Haben Sie Ihren Wunsch Dyn-DNS-Anbieter ausgewählt, müssen Sie nur VPN auf dem Router aktivieren. Das können Sie ebenfalls auf der FRITZ!Box tun, indem Sie hier eine VPN-Verbindung hinzufügen, allerdings sollten Sie dann natürlich nicht zusätzlich auch auf der DiskStation diesen Dienst einrichten. Sie haben also zwei Möglichkeiten, einen VPN Server aufzusetzen, entweder direkt in Ihrem Router oder eben auf der DiskStation. Ich möchte Ihnen jetzt kurz zeigen, wie einfach es ist, auf einer FRITZ!Box ein VPN-Zugang einzurichten. Dazu gehen Sie auf das Menü VPN-Verbindung und wählen hier aus, ob Sie nur einen Fernzugang für einen Benutzer einrichten wollen oder vielleicht sogar zwei Netzwerke eines Bekannten, eines Freundes oder auf Ihrer Firma miteinander zu verbinden, das ist nämlich ebenfalls möglich. Wir wollen aber in diesem Training nur eine einzelne Verbindung für einen Benutzer einrichten und wählen dazu im Menü oben links aus Fernzugang für einen Benutzer einrichten und klicken unten rechts auf Weiter. Jetzt müssen wir noch einen FRITZ!Box-Benutzer einrichten. Das kriegen Sie auch angezeigt, dass noch kein Benutzername eingerichtet worden ist und klicken unten rechts auf Benutzer hinzufügen. Hier legen wir jetzt unser Benutzerkonto an. Wir haben es bereits oben links aktiviert, aber wir müssen jetzt noch die Benutzernamen, E-Mail-Adresse und Kennwort vergeben und natürlich noch ein möglichst sicheres Passwort. Und jetzt lege ich noch die Benutzerberechtigungen fest, natürlich möchte ich den Zugang aus dem Internet erlauben. Alle anderen Berechtigungen FRITZ!Box-Einstellungen, Sprachnachrichten abrufen oder hier auch der Zugang zu NAS-Inhalten, damit sind NAS-Geräte zum Beispiel USB-Festplatten gemeint, die ich direkt an die FRITZ!Box anschließen kann. Das möchte ich in diesem Fall nicht, sondern ich möchte lediglich eine VPN-Verbindung erlauben für diesen Benutzer und klicke entsprechend die Option links unten an und dann weiter auf OK. Und das war es auch schon. Damit sind die VPN-Einstellungen für die FRITZ!Box eingerichtet. Jetzt kann ich mir hier noch die Einstellungen für mobile Geräte, wie Apple iPad oder Android-Tablets anschauen. Hier sehe ich in einer schönen Übersicht, das kann ich mir dann am besten ausdrucken, wie ich meine mobilen Geräte einrichten muss, damit sie ebenfalls von externen über das Internet auf mein NAS beziehungsweise in diesem Fall auf den Router zugreifen können. Aber diese Einstellung brauche ich natürlich auch, wenn ich jetzt einen Windows-PC oder einen Mac-PC oder einen Linux-PC ebenfalls per VPN Zugriff auf meine FRITZ!Box einrichten möchte. Und deswegen drucke ich jetzt diese Einstellung auf meinem Drucker aus, damit ich sie jederzeit zur Hand habe. Dann schließe ich das Fenster und sehe hier noch mal, dass der Benutzer entsprechend eingerichtet wurde und aktiv ist. Und nun zeige ich Ihnen, wie Sie auf unsere DiskStation einen VPN Server einrichten. Dazu gehen Sie zunächst wieder auf das Paket-Zentrum und dann unten links auf Dienstprogramme, scrollen in dieser langen Liste nach unten und sehen dort den VPN Server, klicken darauf. Hier sehe ich schon mal ein paar Menüs, die denn später sichtbar sein werden und klicke dann links auf Installieren. Das dauert wieder einen kleinen Moment. Und ich werde das für Sie etwas abkürzen, weil das eventuell je nach Verbindungen ein paar Minuten dauern kann, damit Sie nicht so lange warten müssen. Und jetzt erhalte ich oben rechts die Meldung VPN-Server wurde erfolgreich installiert, kann dieses Fenster schließen und gehe dann auf das Hauptmenü und wähle unten rechts den VPN Server zur weiteren Konfiguration aus. Hier sehe ich schon mal alle verfügbaren Protokolle, die mir der VPN Server von Synology anbietet, nämlich PPTP, OpenVPN und L2TP/IPSec. OpenVPN kann ich ebenfalls als sehr sicher empfehlen, allerdings gibt es derzeit für iOS-Geräte und dem Betriebssystem 9 ein paar kleine Probleme, die noch nicht gelöst sind und deswegen werde ich im Weiteren L2TP/IPSec für Sie installieren. Das PPTP-Protokoll wird mittlerweile als unsicher eingestuft und deswegen würde ich Ihnen auch von der Verwendung abraten. Wir klicken also links unten auf L2TP/IPSec und aktiveren den VPN Server. Hier sehen wir jetzt noch eine dynamische IP-Adresse, den Adressbereich können wir selber auswählen, hier können wir einstellen, wie viele maximale Verbindungen per VPN wir erlauben wollen und wie viele vom selben Benutzerkonto. Im nächsten Schritt wählen wir jetzt noch die Identitätsprüfung aus, PAP oder MS-CHAP v2. Ich wähle Letzteres, weil das als sicherer gilt. Und dann stellen wir noch ein Manuelle DNS verwenden von unserem Router, das heißt, dass da immer der Namesserver unseres Internetrouters verwendet wird. Das ist wichtig. Und an dieser Stelle geben Sie möglichst noch einen komplizierten Schlüssel ein, zweimal zur Bestätigung. Und den werden wir später benötigen, wenn wir uns von unserem Apple Mac Computer oder unserem iOS-Tablet ebenfalls per VPN mit unserem NAS verbinden wollen. Diese Einstellungen sind ganz wichtig, wenn wir über VPN auf unsere DiskStation zugreifen wollen, weil diese drei Ports müssen wir auf unserer FRITZ!Box oder einem anderen Router entsprechend freigeben, dass also VPN-Anfragen, die per Dyn-DNS auf unserem Router landen, entsprechen automatisch an die DiskStation auf deren VPN Server weitergeleitet werden. Damit ist die erste Konfiguration von VPN auf unserer DiskStation bereits erledigt und wir sehen hier, dass der L2TP-Zugang auch entsprechend aktiviert wurde. An dieser Stelle ist es eine gute Idee, auch die Firewall unserer DiskStation jetzt zu aktivieren, die ja bisher nur lokal genutzt wurde. Jetzt werden wir sie mit dem Internet verbinden und deswegen gehen wir hier bei der Systemsteuerung auf Sicherheit > Firewall und aktivieren die Firewall jetzt. Dazu müssen wir die entsprechenden Regeln erstellen. Wir wollen nur bestimmte Ports freigeben für das Internet und wählen die hier aus der Liste aus, und zwar für VPN-Verbindung. Hier gibt es eine ganz andere Reihe von Diensten, die wir jetzt in dem Fall aber nicht freigeben wollen, sondern nur die VPN-Dienste. Und hier sehen wir sie auch bereits, und zwar für die Protokolle L2TP/IPSec. Das sind insgesamt drei verschiedene Ports, die aktivieren wir hier und klicken dann auf OK zur Bestätigung. Im nächsten Schritt kann ich noch entscheiden, ob nur ganz bestimmte IP-Adressen oder IP-Adressen-Bereiche über das Internet auf meinen VPN Server zugreifen dürfen. Dazu klicke ich dann entsprechend auf das Spezifische IP und kann hier jetzt bestimmte Adressen eingeben, das will ich aber jetzt nicht tun oder ich kann auch regionale Einschränkungen auswählen, zum Beispiel, dass IP-Adressen nur aus bestimmten Ländern zugelassen werden. Aber auch das möchte ich an dieser Stelle nicht tun, lasse alle IP-Adressen zu und beschränke den Zugang zu meinem VPN Server auf die drei genannten Ports. Hier in der Übersicht sehe ich noch mal, dass der VPN Server entsprechend aktiviert worden ist und speichere dann das Ganze. Und im nächsten Schritt muss ich dann natürlich noch meinen Router konfigurieren. Zunächst speichern. An dieser Stelle ist es sicherlich sinnvoll, die weiteren Schutzmechanismen unserer DiskStation zu aktivieren, die jetzt ja nicht mehr nur mit dem lokalen Netzwerk, sondern auch mit dem Internet verbunden wird. Dazu gehen wir auf Schutz und aktivieren den sogenannten Denial-of-Service oder DOS-Schutz, falls böswillige Leute versuchen unseren Server lahmzulegen, können wir hier den Schutz mit dem Haken DOS-Schutz aktivieren. Dann müssen wir noch die entsprechende Netzwerkschnittstelle auswählen. Da wir ja nur eine LAN-Schnittstelle von den beiden, die in unserer DiskStation enthalten sind, benutzen, wird entsprechend hier der Port 1 verwendet. Dann gehen wir auf Automatische Blockierung. Hier können wir einstellen, dass nach einer entsprechenden Zahl von fehlerhaften Login-Versuchen, also mit falschem Kennwort oder Benutzernamen die DiskStation automatisch gesperrt wird, zum Beispiel nach zehn Login-Versuchen, wie hier voreingestellt ist, innerhalb von fünf Minuten. Wenn die DiskStation dadurch blockiert wurde, können wir diesen Schutz auch wieder automatisch aufheben durch einen Klick in das Fenster Verfallen der Blockierung aktiveren, das heißt, nach einer entsprechenden Zeitdauer werden die gesperrten IP-Adressen wieder freigegeben, aber das lassen wir jetzt so, wie es voreingestellt ist. Mit dieser Funktion Zertifikate können Sie SSL-Dienst, HTTPS-Dienste oder auch den VPN-Dienst zusätzlich absichern. Sie können entweder hier das selbst von Synology unterzeichnete Zertifikat verwenden oder aber auch ein eigenes Zertifikat erstellen oder sich zum Beispiel von einer Zertifizierungsstelle besorgen und dann verwenden für den sicheren verschlüsselten Zugriff auf Ihre DiskStation. Zur Sicherung können Sie dieses Zertifikat unten links auch exportieren und damit das Zertifikat selbst und den privaten Schlüssel abspeichern. Das hier eingestellte Zertifikat wird übrigens auch automatisch vom VPN Server verwendet, wenn wir später mit einem Windows-Client zum Beispiel drauf zugreifen wollen. Damit sind die notwendigen Schutzeinstellungen für unsere DiskStation auch bereits abgeschlossen. Wir schließen das Fenster und gehen jetzt weiter zur Konfiguration unseres Internetrouters, um die notwendigen Ports freizugeben. Im nächsten Schritt gehe ich jetzt zu meinem Router und gehe dort auf das Menü Internet > Freigaben und muss jetzt zunächst mal den VPN Service wieder entfernen, den ich vorher eingerichtet habe, um den VPN-Zugriff per Internet auf die FRITZ!Box einzurichten. Aber da ich jetzt den VPN Server von meiner DiskStation verwende, muss ich die natürlich zunächst erstmal wieder aktivieren und den entsprechenden Benutzer hier löschen, weil zwei VPN-Verbindung, das wird nicht funktionieren. Dann gehe ich auf Portfreigaben und muss jetzt meine drei Ports aktivieren, die mir vorher die DiskStation genannt hat, damit Dyn-DNS-Verbindungen vom Internet automatisch auf die DiskStation weitergeroutet oder weitergeleitet werden. Dazu gehe ich auf Neue Portfreigabe erstellen, gebe eine Bezeichnung für die Portfreigabe ein, zum Beispiel VPN Diskstation, dann muss ich das UDP-Protokoll auswählen, dann die entsprechenden Ports, die habe ich mir vorher aufgeschrieben, zunächst einmal den Port 1701 bis Port 1701. Dann kann ich hier aus einer Liste auswählen entweder kann ich die IP-Adresse meiner DiskStation manuell eingeben oder ich habe sie hier in der Liste bereits enthalten, das ist die DS716. Die IP-Adresse wird übernommen und auch dort will ich weiterleiten an den Port 1701 und bestätige das Ganze dann mit OK. Jetzt richte ich die zweite Portfreigabe ein, gehe wieder oben auf Andere Anwendungen, gebe eine Bezeichnung ein, nehme wieder den gleichen Begriff VPN Diskstation, wähle wieder das richtige Protokoll, nämlich UDP aus, gebe jetzt den Port 500 ein und nur den Port 500, also von, bis 500, wähle wieder die DiskStation aus meiner Liste aus, die DS716. IP-Adresse wird übernommen und auch dort soll alles auf den Port 500 weitergeleitet werden. Bestätige das Ganze mit OK. Und zum Schluss noch den dritten Port, den ich auf der DiskStation beziehungsweise auf der FRITZ!Box für die DiskStation freigeben muss, wähle wieder als Bezeichnung VPN Diskstation das UDP-Protokoll und als letzten Port, den Port 4500 aus. Nehme wieder die DiskStation 716 und auch dort soll der Port 4500 genutzt werden. Bestätige das Ganze mit OK und damit bin ich auch mit den Portfreigaben auf meinem Router fertig. Jetzt werden alle VPN-Anfragen vom Internet auf diese Ports an die DiskStation entsprechend weitergeleitet. Den Internetzugang per Dyn-DNS habe ich ja bereits eingerichtet und gehe jetzt zurück zur DiskStation, um mit der weiteren Konfiguration fortzufahren. Das L2TP/IPSec-Protokoll ist aktiviert. Jetzt gehe ich auf Privileg und muss jetzt meinen Benutzern auf der DiskStation noch die entsprechenden Rechte einräumen. Das ist hier in dem Fall einmal der Admin und mein eigener Benutzername. Hier sehe ich, dass alle drei VPN-Protokolle aktiviert sind für alle Benutzer, ich will aber nur das L2TP/IPSec-Protokoll benutzen, also deaktiviere ich PPTP und OpenVPN und lasse nur L2TP für alle Benutzer eingestellt. Speichere das Ganze und gehe dann auf Allgemeine Einstellungen. Hier ist es ganz wichtig, dass, wenn ich einen Haken in VPN-Berechtigung für neu hinzugefügte lokaler Benutzer gewähren setze, werden alle Benutzer, die ich zukünftig als Benutzer für die DiskStation hinzufüge, automatisch auch mit VPN-Zugriffsrechten versehen. Wenn ich diesen Haken nicht setze, muss ich das explizit später für jeden neuen Benutzer separat entscheiden. Ich prüfe, ob das richtige Netzwerk-Interface eingestellt ist für die Verbindung zum Router und damit zum Internet. Das ist der Fall. Kontotyp sind nur lokale Benutzer, werden derzeit zugelassen und die automatische Blockierung habe ich ja bereits vorher entsprechend aktiviert. Mit Übernehmen speichere ich diese Einstellung und gehe im nächsten Schritt auf das Protokoll. Das ist später interessant, weil sie hier immer sehen können, wer sich mit Ihrem System verbunden hat und welche Systemmeldungen allgemein aufgetaucht sind, falls zum Beispiel Fehler auftreten, können Sie hier die entsprechende Mitteilung vom System lesen und gegebenenfalls Fehler beheben. In der Verbindungsliste sehen Sie nur derzeit aktive Verbindungen von VPN-Clients, die auf unser NAS zugreifen. Da wir derzeit keine aktiven Clients haben, ist diese Liste zurzeit auch leer. Und damit sind wir auch mit der Konfiguration unseres VPN Servers auf der DiskStation fertig.

NAS mit Synology für Profis

Verbinden Sie Ihren NAS mit den verbreiteten Wiedergabe-Geräten und greifen Sie per Internet und entsprechender VPN-Verbindung jederzeit auf Ihre Daten zu.

1 Std. 49 min (16 Videos)
Derzeit sind keine Feedbacks vorhanden...

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!