OpenVPN auf Synology NAS-Systemen einrichten

Synology VPN Server für den Remote Access OpenVPN auf Synology NAS-Systemen einrichten

28.08.2023 Von Thomas Joos Lesedauer: 5 min |

Anbieter zum Thema

Synology GmbH

ICP Deutschland GmbH

Paessler AG

Southern Tech GmbH

Wenn in kleineren Netzwerken Synology-NAS-Systeme im Einsatz sind, kann auf dem Gerät auch ein VPN-Server betrieben werden, über den Anwender mobil oder aus dem Homeoffice sicher und einfach auf die Daten des NAS und auf andere Ressourcen im Netzwerk zugreifen können.

Neben vielen anderen Serverdiensten lässt sich auf einem Synology NAS auch ein VPN-Server installieren, über den der entfernte Zugriff auf das NAS und das Netz möglich wird.
(Bild: Joos - Synology)

Im Paketzentrum auf Synology NAS-Systemen steht auch das kostenlose Paket Synology VPN-Server zur Verfügung. Mit diesem lässt sich direkt auf dem NAS ein VPN-Server betreiben, mit dem sich Anwender über das Internet verbinden können. Die Verbindung geht mit Smartphones, Tablets, Windows, macOS und auch Linux. Der VPN-Server bietet umfassende Möglichkeiten, für die Einwahl von Benutzern in zahlreichen Szenarien. Anwender können dadurch auf Daten und Ressourcen des Netzwerks zugreifen und sich auch per RDP mit ihrem Arbeitsplatz verbinden, geschützt durch das VPN.

Nach erfolgreicher Installation und Einrichtung steht der VPN-Server sofort zur Verfügung, geschützt durch die Firewall im Netzwerk oder den Internet-Router mit integrierter Firewall. Der Beitrag zeigt die Einrichtung und Möglichkeiten des Synology VPN-Servers. Dieser unterstützt auch das OpenVPN-Protokoll, das zu den schnellsten und sichersten Protokollen überhaupt gehört.

Bildergalerie

Installieren von Synology VPN-Server auf einem NAS.

Das Verwaltungsprogramm des VPN-Servers auf dem Synology-NAS.

Aktivieren und konfigurieren von OpenVPN auf dem Synology VPN-Server.

Anzeigen der Aktivierung von OpenVPN auf dem Synology-NAS.

Bildergalerie mit 9 Bildern

Einstieg in den VPN-Server auf dem Synology NAS

Im ersten Schritt erfolgt im Paketzentrum in DSM auf dem Syology-NAS die Installation des Pakets "Synology VPN-Server". Die Einrichtung des Servers erfolgt erst nach der Installation. Nach der Installation steht das Icon zum Einrichten und Verwalten des VPN-Servers zur Verfügung. Direkt nach dem Start lässt sich bei "Überblick" auswählen welches VPN-Protokoll zum Einsatz komme soll. Am besten geeignet ist OpenVPN.

Zwar stehen auch PPTP und L2TP/IPSec zur Verfügung, aber PPTP ist nicht sicher genug, etwas veraltet und die Leistung des VPNs ist nicht ideal. Außerdem ist die Einrichtung auf dem Client nicht flexibel. Das L2TP/IPSec-Protokoll ist sicher, belastet aber auch die CPU auf dem NAS. OpenVPN ist sicher, schnell, belastet die Hardware kaum und es gibt Clients für alle erdenklichen Betriebssysteme sowie für Smartphones und Tablets.

OpenVPN im Synology VPN-Server einrichten

Die Einrichtung von OpenVPN erfolgt über den Menüpunkt "OpenVPN" in den Einstellungen des Synology VPN-Servers auf dem NAS. Im ersten Schritt wird dazu die Option "OpenVPN-Server aktivieren" gesetzt. Wichtig ist, dass der Wert bei "Dynamische IP-Adresse" nicht dem internen Netzwerk entspricht, da es sich hierbei um den VPN-Bereich handelt. Clients bekommen bei der Einwahl per VPN eine IP-Adresse aus diesem Bereich zugewiesen und werden mit dem VPN verbunden. Dabei erfolgt ein Routing zum internen Netzwerk, die Clients erhalten nicht direkt eine IP-Adresse aus dem internen Netzwerk.

Bei "Max. Anzahl von Verbindungen" kann festgelegt werden, wie viele Clients sich maximal in das VPN einwählen dürfen. Bei "Max. Verbindungen eines Kontos" kann festgelegt werden, mit wie vielen Geräten sich ein Benutzer gleichzeitig einwählen darf. Dadurch können sich Anwender zum Beispiel mit ihrem PC, Smartphone und einem weiteren Gerät gleichzeitig verbinden, ohne dass verschiedene Benutzerkonten dafür notwendig sind.

Wichtig ist die Einstellung bei "Port". Generell kann es sinnvoll sein, nicht den OpenVPN Standard-Port UDP 1194 zu verwenden, sondern einen anderen Port. Das kann die Sicherheit etwas erhöhen, da Angreifer aus dem Netzwerk dann nicht mit Hackertools versuchen können, einen Zugang zu erhalten. Das ist schlussendlich aber auch Geschmacksache. Dieser Port muss später von der Firewall oder auf dem Internetrouter zum Synology-NAS weitergeleitet werden. Clients verbinden sich mit der externen IP-Adresse des Routers oder der Firewall mit dem gewünschten Port, der Router oder die Firewall erkennen den Port und nutzen die Weiterleitungsregel. Andere Daten leitet der Router in diesem Fall nicht weiter.

In den meisten Fällen können die Werte bei "Verschlüsselung", "Authentifizierung" und "Mssfix-Optionswert" auf dem Standardwert belassen werden. Diese sind so sicher genug. Damit sich die Clients mit anderen Ressourcen im Netzwerk verbinden können, zum Beispiel auch per RDP zu ihrer Arbeitsstation, muss "Client den Server-LAN-Zugriff erlauben" aktiviert sein. Wenn alle Einstellungen gesetzt sind, werden die Einstellungen mit "Übernehmen" gespeichert. Nach der Speicherung ist der OpenVPN-Server als "Aktiviert" gekennzeichnet und beim Öffnen der VPN-Server-App ist auch zu sehen, ob Benutzer mit dem NAS per VPN verbunden sind.

Port-Weiterleitungen für VPN einrichten

Damit der Datenverkehr zum VPN-Server durchgelassen wird, muss auf der jeweiligen Firewall des Unternehmens eine Portweiterleitung des konfigurierten Ports zur internen IP-Adresse des NAS erfolgen. Wenn parallel auf dem NAS die Firewall aktiv ist, muss auch hier eine Weiterleitung konfiguriert werden. Das macht der Einrichtungs-Assistent für das VPN nicht automatisch. Die Einstellungen dazu sind in der Systemsteuerung bei "Sicherheit" über den Menüpunkt "Firewall" zu finden. Über "Regeln bearbeiten" kann nach Auswahl von "Aus einer Liste integrierter Anwendungen auswählen" mit der Schaltfläche "Auswählen" der VPN-Server ausgewählt werden. Hier wird der Port aktiviert, dessen Protokoll im Einsatz ist, also zum Beispiel UDP 1194 beim Einsatz von OpenVPN.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

OpenVPN auf dem Synology-NAS verwalten: AD-Zugriff ist möglich

Die weitere Verwaltung des VPN-Servers erfolgt über das Verwaltungsprogramm des VPN-Servers. Bei "Verbindungsliste" sind die aktuell verbundenen Clients zu sehen. Mit der Schaltfläche "Trennen" lassen sich diese an dieser Stelle vom VPN trennen. Bei "Protokoll" sind wichtige Informationen zum laufenden Betrieb des VPNs zu sehen.

Über "Allgemeine Einstellungen" kann eingestellt werden, auf welcher LAN-Schnittstelle des NAS der OpenVPN-Server erreichbar ist. Außerdem lässt sich hier festlegen, ob die Authentifizierung der Benutzer über die lokale Benutzerdatenbank erfolgt oder per Active-Directory-Zugriff. Soll nicht jeder Benutzer automatisch Zugriff auf das VPN erhalten, muss die Option "VPN-Berechtigung für neu hinzugefügte lokaler Benutzer gewähren" deaktiviert werden. Bei "Berechtigung" sind die lokalen Benutzerkonten auf dem NAS zu sehen. Hier kann für jeden Benutzer festgelegt werden, auf welches VPN-Protokoll er Zugriff haben soll.

Client-Konfigurationsdateien bearbeiten

Für die Einrichtung der OpenVPN-Clients wird jeweils eine Konfigurationsdatei benötigt. Diese lässt sich zentral über die Schaltfläche "Konfigurationsdateien exportieren" bei "OpenVPN" im VPN-Server-Verwaltungsprogramme herunterladen. Nach dem Extrahieren des Archivs wird anschließend die Datei "VPNConfig.ovpn" mit einem Texteditor bearbeitet. Diese Datei importieren die einzelnen Benutzer in ihrem OpenVPN-Client auf ihrem Endgerät.

Zuvor muss in der Datei aber noch bei "remote YOUR_SERVER_IP 1194" die externe IP-Adresse oder der externe DNS/DynDNS-Name der Firewall eingetragen werden. Denn hiermit verbinden sich die Clients. Durch die Portweiterleitung auf der Firewall werden die Anfragen anschließend an den VPN-Server auf dem NAS weitergeleitet. In der Konfigurationsdatei können auch weitere Anpassungen vorgenommen werden, diese sind aber optional. Anschließend müssen Benutzer diese Datei nur in ihrem OpenVPN-Client importieren, sich verbinden und authentifizieren. Clients für OpenVPN stehen für nahezu alle Betriebssysteme zur Verfügung. Für macOS kann die App "Tunnelblick" sinnvoll sein. Für Android und iOS stehen Apps im jeweiligen App-Store zur Verfügung.