Synology DSM 6.2 Tutorial – Mehr Sicherheit durch VPN mit L2TP/IPsec
In unserem letzten Tutorial hatten wir euch die Einrichtung einer Synology VPN-Verbindung über das Protokoll „OpenVPN“ beschrieben. Mit der Einrichtung der DiskStation als OpenVPN-Server haben wir euch damals schon einmal einen Weg gezeigt, wie ihr all diese Gefahrenstellen eindämmen und alles nur noch über einen gesicherten VPN-Tunnel abrufen könnt. Während OpenVPN auf den heutzutage gängigsten Android- bzw. iOS-Mobilgeräten nicht nativ unterstützt wird, sieht es beim Protokoll L2TP/IPsec anders aus. Da jedes Android- und iOS-Endgerät dieses Protokoll beherrscht, können wir hier auf eine zusätzliche Clientsoftware verzichten. In unserem heutigen Tutorials wollen wir euch daher die Konfiguration der DiskStation als L2TP/IPsec-VPN-Server näher bringen.
Falls ihr unser OpenVPN-Tutorial übersprungen habt, hier noch einmal kurz zur Wiederholung: VPN steht für Virtuelles Privates Netzwerk. Aber warum eigentlich solltet ihr so etwas einrichten? VPN-Verbindungen eignen sich sehr gut, um von unterwegs gesichert auf die eigenen Daten zuhause zuzugreifen und reduzieren den Pflegeaufwand der Routerkonfiguration. Der gesicherte Zugriff wird durch die Vergabe eines komplexen Passwortes im VPN-Server sichergestellt. Zwischen Endgerät und VPN-Server wird somit eine Art verschlüsselter Tunnel aufgebaut. So kann kein Dritter die Daten abfangen bzw. mitlesen.
Über eine VPN-Verbindung sind außerdem alle Dienste des heimischen Netzwerks verfügbar. Man braucht also im Router nicht für jeden Dienst den entsprechenden Port öffnen (Portforwarding), damit dieser von außerhalb erreichbar ist. Auch neu eingerichtete Dienste stehen über eine VPN-Verbindung sofort auch außerhalb zur Verfügung und müssen nicht noch im Router freigegeben werden. Weiterhin wird damit eine “Durchlöcherung” der Router-Firewall vermieden und somit deren Schutz weiterhin gewährleistet. Sollte ein Dienst – warum auch immer – Daten im Klartext übertragen, also über keine HTTPS-Verbindung, sind die Daten über einen VPN-Tunnel dennoch verschlüsselt.
Natürlich gibt es auch Nachteile. Hier wird aus diversen Internet-Quellen ein etwas höherer Akkuverbrauch genannt. Außerdem wird die VPN-Verbindung ab einer gewissen Inaktivitätsdauer automatisch wieder getrennt. Eine Echtzeitsynchronisation von Card-/CalDAV ist damit leider nicht mehr gewährleistet. Die Vorteile der Einrichtung eines VPN-Servers überwiegen jedoch aus unserer Sicht.
Bevor ihr mit der Umsetzung des Tutorials beginnt, empfehlen wir euch, dieses erst einmal von Anfang bis zum Ende durchzulesen. Wer von euch eine FRITZ!Box nutzt, dem legen wir auch zwingend unseren abschließenden Tipp am Ende des Tutorials nahe.
Synology DSM – Einrichtung des VPN-Servers
Falls ihr unser OpenVPN-Tutorial nicht durchgegangen sein, müsst ihr zunächst den VPN-Server über die Paketverwaltung nachinstallieren.
Möglicherweise erhaltet ihr nach der Installation noch einen Hinweis von der Firewall (sofern aktiviert, was wir an dieser Stelle jedoch dringend anraten!), dass bestimmte Ports geöffnet werden sollen. Aus Sicherheitsaspekten empfehlen wir, nur die Ports für L2TP – das sind die Ports 1701, 4500 und 500 – in der Firewall zu öffnen und im Router eine Portweiterleitung einzurichten.
Nach erfolgter Installation öffnen wir den VPN-Server und wechseln in der Kategorie „Einstellungen“ zum Menüpunkt „L2TP/IPsec“. Wir aktivieren das Protokoll und wählen einen ungenutzten IP-Adressbereich aus. Außerdem müssen wir noch einen Schlüssel für unsere Verbindungen hinterlegen. Dieser sollte sehr sicher sein. Ein Key im Stil von z. B. Pa$$w0rd ist nicht zu empfehlen, da es keinem Wörterbuchangriff stand hält. Hier hat sich jedoch gezeigt, dass ein mit 1Password generierter Schlüssel mit 64 Stellen, 10 Zahlen und 10 Sonderkennzeichen nicht zum Ziel führt und die Clientgeräte keine Verbindung zum Server aufbauen können. Erst ein 32-stelliger Schlüssel ohne Sonderzeichen hat hier zu einer erfolgreichen Verbindung geführt. Möglicherweise sind bestimmte Sonderzeichen zulässig, hier müsst ihr einfach probieren. Die restlichen Punkte belassen wir so, wie sie voreingestellt sind und klicken abschließend auf „Übernehmen“.
Nachdem wir auf die Schaltfläche geklickt haben, erscheint kurz drauf noch einmal der Hinweis, dass wir am Router die Weiterleitung für die UDP Ports 1701, 500 und 4500 zur DiskStation einrichten müssen. Bevor mit dem Tutorial fortgeführt wird, sollte dies an dieser Stelle auch erledigt werden, da sonst die nachfolgenden Einstellungen nicht korrekt funktionieren. Bei einer FRITZ!Box mit aktuellem FRITZ!OS (aktuell 7.x) findet ihr die Portweiterleitung unter „Internet“ > „Freigaben“ > „Portfreigaben“. Aufgrund der Vielzahl an Routern können wir an dieser Stelle jedoch nicht für alle Geräteversionen eine Anleitung geben. Wir empfehlen euch daher, einen Blick in die Bedienungsanleitung eures Routers zu werfen.
Im nächsten Schritt wählen wir nun im Bereich „Verwaltung“ unter „Privilegien“, wer von den NAS-Nutzern eine VPN-Verbindung herstellen darf.
Der Reiter „Allgemeine Einstellungen“ ist optional. Wir empfehlen jedoch, „VPN-Berechtigungen für neu hinzugefügte lokale Benutzer gewähren“ zu deaktivieren und dann bei den automatischen Blockierungen weiter zu machen.
Automatische Blockierungen sind ein wirksames Mittel gegen Wörterbuchangriffe, bei denen Cracker durch simples ausprobieren von Kennwörtern in eine System eindringen möchte. Sinnvoll ist eine Sperre nach drei bis fünf Anmeldeversuchen. Wer möchte, kann eine Blockierung auch automatisch nach x Tagen wieder aufheben lassen. Aus Sicherheitsaspekten ist dies kein Problem, da die IP-Adresse bei den meisten Anschlüssen nach einer gewissen Zeit sowieso wieder gewechselt wird. Klickt ihr auf die Schaltfläche „automatische Blockierung“, öffnet sich ein neues Fenster der Systemsteuerung mit dem Punkt „Sicherheit“. Hier müssen wir nur noch auf auf den Reiter „Konto“ wechseln und können dann die gewünschten Einstellungen durchführen.
Jetzt haben wir es auch schon fast geschafft. Nun müssen wir nur noch auf unserem mobilen Endgerät eine VPN-Verbindung hinzufügen.
Synology DSM – Einrichten einer VPN-Verbindung auf einem iOS-Gerät
Dazu navigieren wir in den „Einstellungen“ zum Bereich „Allgemein“ und dann zu „VPN“. Hier können wir nun die Parameter für den L2TP-Tunnel hinterlegen.
- Typ: hier wählen wir L2TP
- Beschreibung: frei wählbar
- Server: eure DynDNS-Adresse bzw. IP-Adresse
- Account: euer Nutzername auf der DiskStation
- RSA-SecurID: lassen wir deaktiviert
- Passwort: das Passwort eures Nutzerkontos auf der DiskStation
- Shared Secret: Der Schlüssel, den ihr im VPN-Server eingetragen habt
- Gesamten Verkehr senden: bleibt aktiviert
- Proxy: aus
Abschließend klicken wir auf Fertig oder bestätigen die letzte Eingabe mit Enter, und das Profil ist gespeichert.
Um nun eine Verbindung zum VPN-Server aufzubauen, wählen wir in der Übersicht unsere eben erstellte VPN-Verbindung aus, sodass der Haken vorne dran gesetzt ist und aktivieren dann die Schaltfläche bei „Status – Nicht verbunden“. Haben wir alles richtig gemacht, wird die Schaltfläche aktiv und oben rechts in der Statusleiste erscheint das VPN-Symbol.
Synology DSM – Einrichten einer VPN-Verbindung auf einem Android-Gerät
Unter Android 9 (Android „Pie“) navigieren wir zu den Einstellungen, wählen „Netzwerk & Internet“, gehen dort auf „Erweitert“ und tippen auf „VPN“. Die VPN-Verbindung wird über das Plus-Symbol oben rechts hinzugefügt. Die erforderlichen Daten unterscheiden sich nicht von denen aus der Einrichtung eines iOS-Clients, die Felder sind jedoch teilweise anders benannt:
- Name: frei wählbar
- Typ: L2PT/IPSec PSK auswählen
- Serveradresse: eure DynDNS-Adresse bzw. IP-Adresse
- L2PT-Schlüssel: frei lassen
- IPsec-ID: frei lassen
- Vorinstallierter IPsec-Schlüssel: Der Schlüssel, den ihr im VPN-Server eingetragen habt
- Erweiterte Optionen einblenden: nicht aktivieren
- Nutzername: euer Nutzername auf der DiskStation
- Passwort: das Passwort eures Nutzerkontos auf der DiskStation
- Durchgehend aktives VPN: ist ausgegraut und kann nicht deaktiviert werden
Abschließend auf „Speichern“ klicken.
Um nun eine Verbindung aufzubauen, genügt es, auf die eben erstellte VPN-Verbindung zu tippen. Anschließend wird ein VPN-Tunnel aufgebaut, oben in der Statusleiste wird die aktive Verbindung über ein Schlüsselsymbol gekennzeichnet.
Beachtet bitte, dass wir aufgrund der aktuell noch im Auflauf befindlichen Android-Versionen nicht alle berücksichtigen können.
Synology DSM – Kontrolle der Verbindungen zum VPN-Server
Die erfolgreiche Verbindung kann auch im VPN-Server selbst in der Verbindungsliste angezeigt werden. Dort sind weitere Informationen wie der Benutzername, die Client-IP, die interne dynamische IP, das Verbindungsprotokoll und die Verbindungsdauer sichtbar. In der Verbindungsliste hat man auch die Möglichkeit, eine bestehende Verbindung zu löschen. Hierzu einfach die aktive Verbindung anklicken und auf die Schaltfläche „Trennen“ klicken.
Außerdem wird im „Protokoll“ des VPN-Servers festgehalten, wann sich ein Client an- und wieder abgemeldet hat. Dies jedoch nicht so ausführlich, wie in der Verbindungsübersicht. Die beiden IP-Adressen wie auch die Verbindungsdauer sind hier nicht ersichtlich.
Ein Tipp für FRITZ!Box Nutzer
In unserer Testumgebung nutzen wir eine Synology DS218 in Kombination mit einer FRITZ!Box 7590. Das Tutorial haben wir vor der Veröffentlichung durchgespielt und trafen immer auf einen Fehler im letzten Schritt. Unsere Endgeräte, ein iPhone X und ein Sony Xperia XZ2 wollten sich partout nicht mit dem VPN-Server verbinden, obwohl wir alle Einstellungen korrekt vornahmen. Nach langen Tests und unzähligen Versuchen unterschiedlicher Möglichkeiten können wir euch am Ende dieses Tutorials einen wichtigen Tipp weitergeben:
Habt ihr eine FRITZ!Box, dann prüft zu allererst bevor ihr hier mit dem Tutorial weiter macht, ob ihr vielleicht irgendwann einmal die AVM-eigene VPN-Lösung über MyFritz eingerichtet habt. Dies könnt ihr sowohl beim Punkt „System“ in der und auch unter „Internet“ > „Freigaben“ > „VPN“ nachkontrollieren. Ist dort irgendein bzgl. VPN irgendein Eintrag bzw. eine Option aktiviert, müsst ihr diese Löschen bzw. deaktivieren.
Spätestens bei der Einrichtung der Portweiterleitung ist erkennbar, ob sich noch eine AVM-eigene VPN-Verbindung über MyFritz in der Box befindet. Dann nämlich werden die Ports nicht 1:1 weitergeleitet (500 intern <> 500 extern, 4500 intern <> 4500 extern, 1701 intern <> 1701 extern). Erst, wenn die Ports wie auf nachfolgendem Screenshot angezeigt werden, könnt ihr sicher sein, dass eine externe VPN-Verbindung auch zum VPN-Server durchgewunken wird.
Synology NAS zu Hammerpreis!
SYNOLOGY DS220+
Einkaufen zum Bestpreis!- Der Verkaufspreis wurde bei der Erstellung des Artikels ermittelt und wird nicht automatisch aktualisiert. Den aktuellen Preis findet man wie immer über den Button zum Online-Shop.
Anzeige*
Aktuelle Angebote!
Entdecke gadgetChecks.de!
Bildquelle: Titelbild Mockup (Freemockupworld)
*Transparenz!
= externe Links /// + Banner = Partner-Links - Wenn Du über diese einkaufst unterstützt du uns mit einer kleinen Provision, bei unverändertem Preis. Übersicht aller Partnerprogramme /// Preise gelten zum Zeitpunkt der Veröffentlichung - Informationen & Disclaimer /// ** = Ecovacs Tracking-Link