Damit die NAS auch unterwegs nutzbar ist, muss man entweder die Ports für jeden einzelnen Dienst freigeben oder, was ein wesentlich sicherer Ansatz ist, sich mittels eines VPN Servers Zugriff auf das Heimnetzwerk verschaffen. Ein solcher VPN Server kann beispielsweise auf dem Router installiert werden, in dieser Anleitung möchte ich euch aber zeigen, wie ihr das auf der Synology selbst erledigen könnt.
VPN Server Anwendung installieren und OpenVPN Server Einstellungen vornehmen
1. VPN Server Paket installieren: Paket-Zentrum öffnen und „VPN Server“ in die Suche eingeben
2. „VPN Server“ Anwendung starten
3. Links im Menü im unteren Bereich unter „VPN Server einrichten“ auf „OpenVPN“ klicken
4. Jeweils den Haken setzen bei „OpenVPN-Server aktivieren“ und „Clients den Server-LAN-Zugriff erlauben“. Die restlichen Einstellungen müssen nicht verstellt werden.
5. Anschließend kann man die Konfigurationsdatei herunterladen, dazu ganz runterscrollen und auf den Button „Konfigurationsdateien exportieren“ klicken. Diese muss später angepasst werden.
Synology Firewall: Portfreigaben
6. Wenn du die Synology Firewall nutzt, musst du den vorher eingestellten Port dort freischalten:
- Dazu einfach unter Systemsteuerung > Konnektivität > Sicherheit oben den Reiter „Firewall“ auswählen
- Auf den Button „Regeln bearbeiten“ klicken.
- Auf den Button „Erstellen“ klicken.
- Im Bereich „Ports“ „Aus einer Liste integrierter Anwendungen auswählen“ auswählen und den Button „Auswählen“ anklicken
- Dann zur „VPN Server“ Anwendung scrollen und beim Eintrag mit dem passenden Port (für den OpenVPN Server bei Standardeinstellungen ist dies der UDP Port 1194, vgl. aber auch die Spalte „Beschreibung“) den Haken setzen und mit „OK“ bestätigen.
Router: Portfreigaben
7. Als nächstes muss der Port auch am Router geöffnet werden, damit man von außen darauf zugreifen kann. Der Synology sollte eine feste IP Adresse zugewiesen werden.
Port-Freigabe am Beispiel einer FRITZ!Box
Bei einer FRITZ!Box findet man die Portfreigabe unter Internet > Freigaben.
Dort unten auf den Button „Gerät für Freigaben hinzufügen“ klicken und die Synology NAS auswählen.
Anschließend auf den Button „Neue Freigabe“ klicken, Portfreigabe auswählen, Anwendung auf „Andere Anwendung“ einstellen, eine Bezeichnung festlegen (z.B. „VPN“), „UDP“ als Protokoll einstellen, den bei der Erstellung des VPN Servers eingestellte Port eintragen (Standardmäßig ist dies 1194). Extern kann wahlweise auch ein anderer Port festgelegt werden.
Abschließend mit „OK“ bestätigen.
Konfigurationsdatei bearbeiten
- 1. Dazu die heruntergeladene openvpn.zip Datei extrahieren
- 2. Die VPNConfig.ovpn Datei in einem beliebigen Texteditor öffnen (z.B. dem bei Windows vorinstallierten „Editor“)
- Anstelle „YOUR_SERVER_IP“ die DDNS IP Adresse der NAS eingeben (Falls du das nicht nicht eingerichtet hast: DDNS | DSM – Synology Knowledge Center), dabei nicht den Port entfernen! Solltest du den Port geändert haben, musst du ihn hier entsprechend anpassen.
- Die beiden Zeilen redirect-gateway […] hinzufügen.
- (Optional) Mittels dhcp-option kann ein alternativer DHCP Server angegeben werden. Dazu einfach DNS_IP_ADDRESS durch die IP Adresse des DHCP Servers ersetzen und vorne die Raute entfernen. Das ist zum Beispiel praktisch wenn man ein Pi-Hole verwendet, um Werbung zu blockieren. So könnte man über die VPN Verbindung auch auf dem Smartphone auch unterwegs Werbung blockieren. — Sicher ein gutes Thema für einen anderes Mal! 😉
- Anschließend noch vor dem Block „—–BEGIN CERTIFICATE—–“ die Zeile „client-cert-not-required“ ergänzen.
Zum Vergleich die Datei, wobei die zu ändernden Passagen rot hervorgehoben sind:
dev tun
tls-client
remote YOUR_SERVER_IP 1194
# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)
#float
# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
redirect-gateway def1
redirect-gateway ipv6
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
#dhcp-option DNS DNS_IP_ADDRESS
pull
# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp
script-security 2
comp-lzo
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-user-pass
client-cert-not-required
-----BEGIN CERTIFICATE-----
Installation und Nutzung des OpenVPN Client (OpenVPN Connect)
Dann die Konfigurationsdatei speichern. Diese muss man auf die Geräte kopieren, die den VPN Server nutzen können sollen. Das geht z.B. einfach indem man es in den Cloud-Speicher legt und auf dem entsprechenden Gerät herunterlädt.
Auf dem jeweiligen Gerät muss noch der OpenVPN Client installiert werden:
- Android: OpenVPN Connect – Fast & Safe SSL VPN Client – Apps on Google Play
- iOS: OpenVPN Connect on the App Store (apple.com)
- Windows: OpenVPN Client Connect For Windows | OpenVPN
- MacOS: OpenVPN Client Connect For MacOS | OpenVPN
- Linux: OpenVPN 3 Client For Linux | OpenVPN Cloud
Dort braucht man nur ein neues Profil anlegen und „Import Profile“ > FILE auswählen und dort die zuvor angefertigte OVPN-Datei auswählen. Anschließend braucht man dem Ganzen nur einen treffenden Namen geben (z.B. „NAS @Home“) und die Nutzerdaten des eigenen Synology Accounts eingeben, mit dem man sich auch bei DSM einloggen würde (Username und Password). Das Passwort kann man bei Bedarf auch einspeichern. Danach hat man in der OpenVPN App einfach einen Schalter, den man umlegen kann, um sich mit dem OpenVPN Server auf der Synology NAS zu verbinden. Hat alles geklappt, kann man dann unterwegs ohne Probleme darauf zugreifen und die darauf gespeicherten Dienste und Daten nutzen.
Fertig!
Schreibe einen Kommentar