So können Sie den VPN-Server auf Ihrer Nase einrichten

Es ist sehr praktisch, beispielsweise von überall mit Ihrem Smartphone auf Ihr Heimnetzwerk zugreifen zu können. Um beispielsweise IoT-Geräte zu betreiben, können Sie Bilder von der IP-Kamera anzeigen oder regionale Blockaden umgehen. Durch das Einrichten eines VPN-Servers sind Sie auf einmal sicher in Ihrem Heimnetzwerk. Ein nas ist normalerweise leistungsstark genug für die Verwendung als VPN-Server, insbesondere wenn Sie nicht die höchste Geschwindigkeit benötigen. In diesem Artikel zeigen wir Ihnen, wie Sie es einrichten und mit einem Smartphone verwenden.

Wenn zu Hause alle Arten von schönen Anwendungen ausgeführt werden, möchten Sie früher oder später von einem Smartphone, Tablet oder Laptop unterwegs darauf zugreifen. Betrachten Sie beispielsweise die Heimautomation mit Home Assistant oder Domoticz, das Streaming von Medien mit Plex oder Emby, die Verwendung von Download-Servern oder einfach den Zugriff auf persönliche Dateien. Sie können dies für jede Anwendung arrangieren, indem Sie normalerweise einige Ports weiterleiten. Solche Hintertüren sind jedoch nicht ohne Risiken. Beispielsweise enthalten viele Anwendungen Schwachstellen oder verwenden keine verschlüsselten Verbindungen.

Sie können solche Probleme mit einer gut gesicherten VPN-Verbindung lösen. Die VPN-Verbindung bietet zusätzlich zur Sicherheit der Anwendungen selbst eine zusätzliche Schutzschicht. Sie können auch sofort alle Anwendungen verwenden, wie Sie es zu Hause gewohnt sind, ohne ihre Konfiguration anpassen zu müssen. Dies gilt auch für Anwendungen, die Sie normalerweise nicht über das Internet verwenden sollten, z. B. den Zugriff auf Netzwerkdateien (siehe Kasten 'Zugriff auf Dateien über das Internet'). Wir zeigen Ihnen, wie Sie dies mit einem VPN-Server auf einem NAS von Synology oder QNAP erreichen.

Zugriff auf Dateien über das Internet

Ihre Nase kann der zentrale Speicherpunkt in Ihrem Netzwerk sein. Das smb-Protokoll wird verwendet, um von einem Windows-PC aus auf Dateien zuzugreifen. Besonders die erste Version (smb 1.0) ist sehr unsicher. Beispielsweise war eine Sicherheitsanfälligkeit die Ursache für einen großen WannaCry-Ransomware-Angriff. Heutzutage ist es in Windows 10 standardmäßig deaktiviert und viele Anbieter blockieren den TCP-Port 445, der für den SMB-Verkehr verwendet wird. Sie sollten in der Lage sein, eine Internetverbindung zu verwenden.

Microsoft macht dasselbe auch für freigegebene Ordner des Azure Files-Dienstes. Trotzdem ist es ungewöhnlich und wir empfehlen es nicht. Das ist nicht nur ein Vertrauensproblem. In vielen Netzwerken werden ältere, anfällige Geräte ausgeführt. Selbst auf einem neueren Synology NAS scheint smb 3.0 standardmäßig deaktiviert zu sein. Die Portblockierung bei Anbietern wie Ziggo kann Sie ebenfalls stören. Darüber hinaus ist die Leistung über Internetverbindungen oft enttäuschend. Vor allem bleiben Sie anfällig für Schwachstellen, während Ihre wichtigsten Daten noch betroffen sind. Für den Zugriff auf Ihre Dateien im Netzwerk empfehlen wir eine VPN-Verbindung oder Alternativen wie Cloud-Speicher.

01 Warum ein NAS?

Möglicherweise haben Sie bereits einige Geräte in Ihrem Netzwerk, die Sie als VPN-Server verwenden können, z. B. einen Router. Sie sollten keine Leistungswunder erwarten und OpenVPN wird nicht immer unterstützt. Ihr eigener Server ist eine großartige Option, aber nicht für jedermann erreichbar. Wenn Sie eine Nase haben, ist dies auch eine Option mit zusätzlicher Rechenleistung und viel Benutzerfreundlichkeit. Sowohl Synology als auch QNAP unterstützen die Einrichtung als VPN-Server standardmäßig mit relativ einfacher Konfiguration. Wenn Sie ein Modell mit einem Prozessor haben, der den AES-NI-Befehlssatz unterstützt, profitieren Sie von einer erheblich höheren Leistung.

Sie können die Leistung auch mit dem Verschlüsselungs- und Schlüsselgrößenalgorithmus beeinflussen. In diesem Grundkurs wählen wir einen sicheren Kompromiss, der für eine Handvoll Verbindungen ausreicht. Echte Höchstgeschwindigkeiten bleiben möglicherweise unerreichbar, aber für die meisten Anwendungen ist dies kein Problem, und es gibt immer andere einschränkende Faktoren, wie z. B. Ihre Internetverbindung.

02 Installieren Sie die Anwendung

Der VPN-Server von Synology unterstützt PPTP, OpenVPN und L2TP / IPSec. Nur die letzten beiden sind interessant. Sie können optional beide festlegen, aber in diesem Grundkurs beschränken wir uns auf OpenVPN. Es bietet eine gute Leistung und Sicherheit mit viel Freiheit bei der Konfiguration. Um es zu installieren, gehen Sie zum Package Center . Suchen Sie den VPN-Server und installieren Sie die Anwendung. Öffnen Sie bei QNAP das App Center und suchen Sie den QVPN-Dienst im Abschnitt Dienstprogramme. Zusätzlich zu den oben genannten Protokollen unterstützt diese Anwendung auch das von QNAP entwickelte QBelt-Protokoll. Sie können die QNAP-Anwendung auch als VPN-Client verwenden, indem Sie Profile hinzufügen, wenn der NAS einen externen VPN-Server verwenden muss. Synology kann das auch. Die Option finden Sie unter Netzwerk in der Systemsteuerung .

03 Konfiguration bei Synology

Öffnen Sie VPN - Server und tippen Sie OpenVPN unter der Überschrift Set up VPN Server . Aktivieren Sie das Kontrollkästchen OpenVPN-Server aktivieren . Passen Sie die Konfiguration Ihren Wünschen an, z. B. das Protokoll (udp oder tcp), den Port und die Verschlüsselung (siehe Kasten 'Protokoll, Port und Verschlüsselung für OpenVPN'). Eine sichere Option wird vorgeschlagen: AES-CBC mit einem 256-Bit-Schlüssel und SHA512 zur Authentifizierung. Seien Sie vorsichtig, da die Liste auch unsichere Optionen enthält. Verwenden Sie die Option Clients den Zugriff auf den LAN-Server erlaubenStellen Sie sicher, dass Sie über Ihre VPN-Verbindung auf andere Geräte im selben Netzwerk wie die nas zugreifen können. Wenn Sie dies nicht tun, können Sie nur die nas und die Anwendungen auf dieser nas verwenden, was manchmal ausreichen kann.

Wir ziehen es vor , die Option Komprimierung für die VPN-Verbindung aktivieren zu deaktivieren . Der Mehrwert ist begrenzt und aufgrund einiger Schwachstellen nicht ohne Risiken. Klicken Sie abschließend auf Übernehmen und anschließend auf Konfiguration exportieren , um das Zip-Paket abzurufen, mit dem Sie eine Verbindung herstellen möchten. Unter Übersicht sehen Sie, dass OpenVPN aktiviert ist. Verwenden Sie die Firewall auf Ihrer Nase? Gehen Sie dann zu Systemsteuerung / Sicherheit / Firewall und fügen Sie eine Regel hinzu, die den Datenverkehr für den VPN-Server zulässt.

04 Konfiguration bei QNAP

Auf einem QNAP NAS öffnen Sie die Anwendung QVPN Dienst und wählen zwischen VPN - Server Option OpenVPN . Aktivieren Sie das Kontrollkästchen OpenVPN-Server aktivieren und passen Sie die Konfiguration Ihren Wünschen an. Wie bei Synology können Sie das Protokoll und den Port frei einstellen. Standardmäßig wird AES für die Verschlüsselung mit einem 128-Bit- (Standard) oder 256-Bit-Schlüssel verwendet. Wir deaktivieren die Option Komprimierte VPN-Verbindung aktivieren . Klicken Sie dann auf Übernehmen . Danach können Sie das OpenVPN-Profil herunterladen, das auch das Zertifikat enthält. Wir werden dies unter Android verwenden. Unter ÜbersichtSie können sehen, ob der VPN-Server mit anderen Details wie verbundenen Benutzern aktiv ist.

Protokoll, Port und Verschlüsselung für OpenVPN

OpenVPN ist flexibel zu konfigurieren. Für den Anfang können sowohl udp als auch tcp als Protokoll verwendet werden, wobei udp bevorzugt wird, da es effizienter und schneller arbeitet. Die "regulierende" Natur des TCP-Protokolls wirkt eher gegen als gegen den Datenverkehr über einen VPN-Tunnel. Darüber hinaus können Sie praktisch jeden Port auswählen. Für udp ist dies standardmäßig Port 1194. Leider schließen Unternehmen diese und andere Ports häufig für ausgehenden Datenverkehr. Ein "normaler" Website-Verkehr ist jedoch fast immer über die TCP-Ports 80 (http) und 443 (https) möglich. Sie können dies intelligent nutzen.

Wenn Sie das TCP-Protokoll mit Port 443 für die OpenVPN-Verbindung auswählen, können Sie eine Verbindung über fast jede Firewall und jeden Proxyserver herstellen, jedoch mit Geschwindigkeitsverlust. Wenn Sie den Luxus haben, können Sie zwei VPN-Server einrichten, einen mit udp / 1194 und einen zweiten mit tcp / 443. In Bezug auf die Verschlüsselung ist AES-CBC mit AES-GCM als aufstrebende Alternative am häufigsten. Ein 256-Bit-Schlüssel ist die Norm, aber ein 128- oder 192-Bit-Schlüssel ist auch sehr sicher. Bis in die ferne Zukunft ist es praktisch unmöglich, einen (gut gewählten) 128-Bit-Schlüssel zu knacken. Ein noch längerer Schlüssel bietet daher wenig Schutz, kostet aber mehr Rechenleistung.

05 Benutzerkonten geeignet machen

Ein Benutzerkonto ist auch erforderlich, um sich beim VPN-Server anzumelden. Dies ist ein reguläres Benutzerkonto auf der NAS mit den richtigen Berechtigungen zur Verwendung des VPN-Servers. Bei Synology haben alle Benutzer die Möglichkeit, den VPN-Server standardmäßig zu verwenden. Passen Sie dies Ihren Wünschen an, indem Sie zu Berechtigungen in VPN Server gehen . Mit QNAP, gehen zu Privilege Einstellungen in QVPN Dienst . Hier fügen Sie die gewünschten VPN-Benutzer manuell von den lokalen Benutzern auf der Nase hinzu.

06 OpenVPN-Profil nachbearbeiten

Sie müssen das OpenVPN-Profil in einem Texteditor durchgehen und gegebenenfalls Anpassungen vornehmen. Bei Synology extrahieren Sie die Zip-Datei ( openvpn.zip ) in einen Ordner, wonach Sie die Datei VPNConfig.ovpn in Ihrem Texteditor öffnen können. Hier finden Sie die Fernbedienung YOUR_SERVER_IP 1194 und etwas weiter unten auf proto udp . Dies gibt an, welche Portnummer ( 1194 ) und welches Protokoll ( udp ) beim Herstellen der Verbindung verwendet werden sollen. Auf der Site von YOUR_SERVER_IP geben Sie die IP-Adresse Ihrer Internetverbindung zu Hause ein. QNAP hat bereits die Standardeinstellung.

Erhalten Sie von Ihrem Internetprovider keine feste und damit dynamische IP-Adresse für die Internetverbindung zu Hause? Dann ist ein dynamischer DNS-Dienst (ddns) eine gute Alternative. Sie können es einfach auf Ihrer Nase einstellen (siehe Feld 'Dynamischer DNS-Dienst auf Ihrer Nase') und dann die Adresse anstelle der IP-Adresse im Profil eingeben (dies geschieht nicht automatisch). Mit Synology ist dynamisches DNS besonders praktisch, da Sie dann das erstellte Serverzertifikat verwenden können, um die Verbindung zur Lösung eines Zertifikatproblems einzurichten.

Dynamischer DNS-Dienst auf Ihrem NAS

Bei einem dynamischen DNS-Dienst (ddns) wird Ihre IP-Adresse beibehalten und an einen externen Server weitergeleitet, wodurch sichergestellt wird, dass der ausgewählte Hostname immer mit der richtigen IP-Adresse verknüpft ist. Sie können dies einfach auf Ihrer Nase laufen lassen. Unter Synology finden Sie es unter Systemsteuerung / Fernzugriff . Am einfachsten ist es, Synology als (kostenlosen) Dienstanbieter mit einem verfügbaren Hostnamen und Domainnamen (wir wählen groensyn154.synology.me ) zu wählen , solange die Kombination verfügbar ist. Optional können Sie auch einen benutzerdefinierten DNS-Anbieter festlegen. Gehen Sie bei QNAP zu Systemsteuerung / Netzwerk und virtueller Switch . Unter der Überschrift Access Services finden Sie die Option DDNS. Sie können einen benutzerdefinierten DDNS-Anbieter festlegen sowie den myQNAPcloud-Dienst von QNAP selbst konfigurieren und verwenden. Ein Assistent führt Sie durch die Einstellungen. Am Ende können Sie auswählen, welche Dienste eingerichtet werden sollen. Aus Sicherheitsgründen können Sie dies einschränken, indem Sie nur DDNS auswählen.

07 Zertifikate hinzufügen

Bei QNAP basiert die Authentifizierung beim Anmelden am VPN-Server nur auf dem Benutzernamen und dem Kennwort. Mit Synology benötigen Sie außerdem zwei Client-Zertifikate, um Verbindungsfehler zu vermeiden, was natürlich viel sicherer ist. Sie können sie manuell in die App einfügen, aber auch (wie hier) in das OpenVPN-Profil aufnehmen. Wir verwenden das ddns-Zertifikat (in unserem Beispiel zu groensyn154.synology.me ) für die beiden Zertifikate. Gehen Sie dazu zu Systemsteuerung / Sicherheit . Tippen Sie auf Konfigurieren und stellen Sie sicher, dass dieses Zertifikat hinter VPN Server ausgewählt ist . Schließen Sie das Fenster mit Abbrechen . Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie Zertifikat exportieren.

Extrahieren Sie die Zip-Datei. Öffnen Sie das OpenVPN-Profil in einem Texteditor. Unten sehen Sie einen Blockmit dem Inhalt von ca. crt . Darunter fügen Sie einen Block hinzuwo Sie den Inhalt von cert.pem setzen . Fügen Sie dann einen weiteren Block hinzuenthält den Inhalt von privkey.pem . Mit diesem Profil können Sie eine Verbindung in Kombination mit dem Benutzerkonto auf Ihrer Nase herstellen.

08 Andere Konfigurationsoptionen

Sie können je nach Wunsch weitere Optionen festlegen. Der erste hängt von Ihrem Verwendungszweck ab. Möchten Sie die VPN-Verbindung nur für den Remotezugriff auf Ihr Heimnetzwerk verwenden? Stellen Sie bei Synology sicher, dass vor dem Zeilenumleitungs -Gateway def1 in Ihrem Profil ein Häkchen ( # ) vorhanden ist , damit es als Kommentar betrachtet wird. Wenn Sie das Häkchen entfernen, wird der gesamte Datenverkehr durch den VPN-Tunnel geleitet, auch für reguläre Websites, die Sie besuchen. Bei QNAP handelt es sich um eine Servereinstellung, die sich nicht auf das Profil auswirkt. Sie richten es im QVPN-Dienst mit der Option Diese Verbindung als Standardgateway für externe Geräte verwenden ein. Wenn Sie es aktivieren, wird der gesamte Datenverkehr vom VPN-Client durch den VPN-Tunnel geleitet. Möchten Sie das überprüfen? Dann besuchen Sie die Adresse //whatismyipaddress.com mit einem Browser. Wenn hier Ihre öffentliche IP-Adresse (Ihrer Internetverbindung) angegeben ist, wissen Sie, dass der Datenverkehr durch den Tunnel fließt.

09 Ports im Router weiterleiten

In diesem Grundkurs haben wir das udp-Protokoll für den VPN-Server auf Port 1194 eingestellt. Dies ist auch der einzige Datenverkehr, den Sie mit einer Portweiterleitungsregel von Ihrem Router an Ihren Nas weiterleiten müssen. Es ist ratsam, dem nas zuerst eine feste IP-Adresse in Ihrem Netzwerk zu geben. Die Art und Weise, wie Sie eine solche Regel hinzufügen, ist je nach Router unterschiedlich. Die Regel selbst ist einfach. Der eingehende Verkehr verwendet das udp-Protokoll und der Port ist 1194. Geben Sie die IP-Adresse Ihrer nas als Ziel ein und der Port ist jetzt 1194.

10 Zugriff vom Smartphone

Es ist nur ein kleiner Schritt, die VPN-Verbindung von einem Smartphone aus zu nutzen. Stellen Sie sicher, dass Sie sich in einem externen Netzwerk (z. B. dem Mobilfunknetz) und nicht in Ihrem eigenen WLAN-Netzwerk befinden, damit Sie tatsächlich eine Verbindung von außen herstellen. Wie angegeben, verwenden wir die offizielle OpenVPN Connect-App, die Sie im Google Play Store oder iOS App Store herunterladen können. Sie können ein Android-Smartphone an den PC anschließen und anschließend das OpenVPN-Profil in den Download-Ordner kopieren. Importieren Sie dann das Profil mit der App über Profil / Datei importieren. Mit einem iPhone können Sie iTunes verwenden oder das OpenVPN-Profil per E-Mail an sich selbst senden und in der OpenVPN-App öffnen.

Geben Sie den Benutzernamen und das Passwort für Ihr Konto auf der Nase ein. Jetzt können Sie eine Verbindung herstellen, indem Sie auf das Profil tippen. Danach haben Sie Zugriff auf Ihre Nase und das Heimnetzwerk, mit dem Ihre Nase verbunden ist.

Einschränkungen bei der Verwendung von ipv6

In diesem Artikel wird davon ausgegangen, dass Sie eine IPv4-Adresse für Ihren VPN-Server und keine IPv6-Adresse verwenden. In einigen Situationen ist dies ein Problem. Beispielsweise geben Internetanbieter wie Ziggo Kunden manchmal keine öffentliche IPv4-Adresse mehr. In einem solchen Fall können Sie eingehende Verbindungen zu Ihrem VPN-Server nur über IPv6 empfangen. Dies ist ein weiteres Problem, wenn Sie über ein Mobilfunknetz eine Verbindung zu Ihrem Smartphone herstellen möchten, da IPv6 nur sparsam für Mobilfunkverbindungen angeboten wird.