Erfahrungsbericht Synology VPN L2TP/IPSec, AVM Fritz!Box

Synology DiskStationÜber die Jahre hinweg sammeln sich hunderte oder sogar tausende von Fotos, Videos und Musik an, die sinnvoll verwaltet werden wollen. Eine NAS (Network Attached Storage) ist für solche Zwecke die ideale Lösung. Seit knapp einem Jahr setze ich die Synology NAS Modell DS415+ mit 4 Festplatten-Einschüben ein. Dank Quad-Core Prozessor bringt die DiskStation für VPN Verschlüsselungen genügend Rechenpower mit. Im Netzwerk nutze ich für die Anzeige ein iPad Air mit den Synology Apps DS Photo, DS Video, DS Audio und DS file. Vom Ausdruck der Fotos über einen externen Dienstleiter habe ich mich schon lange verabschiedet. Ich verwende für die Anzeige z.B. für Fotos ausschliesslich das Tablet oder Smartphone. Nun wurde meinerseits der Wunsch grösser, unterwegs auf die Synology DS415+ zu zugreifen. Ich musste einiges an Zeit investieren, bis ich die Verbindung nach Hause herstellen konnte.

Die Lösung ist eine VPN-Verbindung (Virtual Private Network), auf die man sich verschlüsselt in sein eigenes Netzwerk verbinden kann. Eine Anleitung, wie Sie ein VPN Tunnel mit der Verschlüsselungstechnologie L2TP/IPSec mit einem Smartphone bzw. Tablet, der Fritz!Box und Synology NAS herstellen können, erkläre ich Ihnen im nachfolgenden Erfahrungsbericht.

Hardware, Software und Ausstattung
Mit den aufgeführten Komponenten möchte ich eine Verbindung vom Smartphone / Tablet per Mobilfunk oder WiFi zu meiner Synology NAS aufbauen. Ich möchte dafür keine Domain kaufen, sondern benutze die IP des Providers, der mir den Kabelanschluss zur Verfügung stellt.

Die Verbindung zu meiner Synology NAS soll sicher und einfach einzurichten sein, Plattform übergreifend und eine maximale Verschlüsselung bieten. Betriebssysteme von Smartphones und Tablets sollen die Verschlüsselung bereits als Standard mit sich bringen. Das heisst, es dürfen keine zusätzlichen Apps installiert werden.

Verbindungsaufbau in zwei Richtungen

  1. Smartphone / Tablet
  2. Kabelprovider (Static IP)
  3. Kabelmodem
  4. Router Fritz!Box
  5. DiskStation Synology NAS

Eingesetzte Software und Hardware
Ich möchte auf bestehende Apps zugreifen können wie z.B. Synology DS Photo, DS Video, DS Audio und DS file. Die User Berechtigungen sollen direkt von der Synology NAS verwaltet werden.

  • NAS Synology DS415+
  • Kabelanschluss mit fixer IP (Download 50.000 kbit, Upload 5.000 kbit)
  • Arris Kabelmodem (Anschluss an Router)
  • DSL Router AVM Fritz!Box 7390
  • Hausverkabelung CAT5 (1 GBit)
  • Android Smartphone mit OS 5.1.1 (Samsung Galaxy S6)

Voraussetzungen
Die Fritz!Box muss mit dem Internet verbunden bzw. von aussen erreichbar sein. Wer keine fixe IP hat, muss sich bei einen DNS / DDNS Dienst registrieren. Wofür? Bei vielen Anschlüssen ändert die IP-Adresse nach einer gewissen Zeit, daher wäre die NAS anschliessend nicht mehr erreichbar. DNS Dienste sorgen dafür, dass nach einem IP-Wechsel automatisch und schnell der dazugehörige Domaineintrag ändert. Das Gerät ist immer unter demselben Domainnamen erreichbar, auch wenn die aktuelle IP-Adresse für den Nutzer unbekannt ist.

Einstellungen NAS Synology DiskStation

  • Installieren Sie in der Synology DiskStation über das Hauptmenü -> Paketzentrum -> Dienstprogramme das Synology Paket VPN Server.
  • Überprüfen Sie, ob das installierte Synology Paket ausgeführt wird.
  • Öffnen Sie über das Hauptmenü den VPN Server.

 Synology Paket-Zentrum Synology VPN Server

  • Gehen Sie zu den Einstellungen und öffnen die VPN-Verbindung L2TP/IPSec.
  • Setzen Sie den Haken bei „L2TP/IPSec VPN-Server aktivieren“.
  • Bei Identitätsprüfung wählen Sie die höchste Verschlüsselung „MS-CHAP v2“.
  • Der Haken bei manueller DNS kann bei Notwendigkeit aktiviert werden, um die gewünschte IP einzutragen.
  • Unter „IKE-Authentifizierung“ generieren Sie einen Schlüssel. Am besten nutzen Sie einen Generator, der eine beliebe Zeichenfolge mit Buchstaben und Zahlen erstellt. Der „Vorinstallierte Schlüssel“ darf nicht mehr als 63-Zeichen betragen.

Synology L2TP/IPSec

  • Gehen Sie in der Verwaltung zu Privileg. Dort müssen Sie die Benutzer freigegeben, welche Zugriff auf die VPN-Verbindung haben dürfen. Dazu setzen Sie bei „L2TP/IPSec“ einen Haken beim entsprechenden User. Es können mehrere User und Verschlüsselungen ausgewählt werden.

Privileg Synology VPN Server

  • Gehen Sie auf Überblick und sehen, ob der VPN Server aktiviert und seinen Betrieb aufgenommen hat.

Aktiver Synology VPN Server

Einstellungen Router AVM Fritz!Box

  • Im Menü -> Freigaben -> Portfreigaben müssen die notwendigen Ports geöffnet werden. Für die L2TP/IPSec Verbindung braucht es drei Portfreigaben. Es sind die Portfreigaben UDP 1701, UDP 500 und UDP 4500, die mit „Neue Portfreigabe“ erstellt werden müssen.
  • Damit die Fritz!Box vom Internet nicht aufgerufen werden kann, wurde bewusst auf die Einstellung „Internetzugriff auf die Fritz!Box über HTTPS“ verzichtet. Es gibt Alternativ auch die Möglichkeit, bei der Fritz!Box eine VPN-Verbindung einzurichten. Damit wird der Synology VPN Server hinfällig und der VPN Tunnel erfolgt über die Fritz!Box. Die Berechtigungen für den VPN Tunnel können dann nur noch über die Fritz!Box gesteuert werden.

AVM Fritz!Box Portfreigaben AVM Fritz!Box-Dienste AVM Fritz!Box VPN

Synology VPN Verbindung einrichten

Für das Herstellen einer Verbindung zum Synology VPN Server mit einem Windows-PC oder Mac finden Sie hier.

Nachgefragt
Welche VPN Verschlüsselungen setzen Sie für Smartphones bzw. Tablets ein? Reisen Blog nimmt gerne über die Kommentarfunktion Ihr Feedback entgegen.

Quelle: Arvid Bauer, © Fotos: Ivan Graf

3 Gedanken zu „Erfahrungsbericht Synology VPN L2TP/IPSec, AVM Fritz!Box“

  1. @Marek & @Andi:
    Damit L2TP/IPSec über die Diskstation hinter einer Fritzbox funktioniert, müssen auf der Fritzbox etwaige VPN-Profile/-Zugänge deaktiviert ggf. gelöscht werden. Sonst resveriert sich die Fritzbox die entsprechenden Ports für sich, auch wenn in den Weiterleitungsregeln entsprechende Ausnahmen gemacht worden sind.

    Da OpenVPN andere Ports nutzt, besteht das Problem dort nicht.

    Antworten
  2. Hi,

    Also l2TP/IpSec funktioniert bei mir auch nicht. Weder aus dem externen Netz noch aus dem internen.
    Ich habe das selbe problem wie Andi.

    Was bei mir funktioniert ist OpenVPN. Leider bekomme ich hier wiederrum kein VPN on demand hin. Würde daher die l2TP/IpSec Variante bevorzugen

    Gruß
    Marek

    Antworten
  3. Hallo,
    leider funktioniert bei mir der VPN Zugriff über I2PT auf nee Synology mit einem IPhone nicht.
    Bisher hab ich PPTP verwendet. Jetzt gab es beruflich ein IPhone mit privater Nutzung, somit wollte ich das ganze wieder einrichten, IOS hat die Technick nicht mehr an Board, zu unsicher!!! 🙂

    Neue Lösung:
    Mir den VPNServer L2TP/IPsec auf der Synology zuätzlich aktiviert und eingerichtet (mit Firewall für die UDP Ports 500, 4500, 1701), hab ich so bei iDomix auf youtube gesehen.
    Dann noch die Portweiterleitung an der Fritzbox aktviert, für oben genannten Port, auf die feste interne IP-Adresse der Synology, Protokoll UDP.

    VPN am Iphone mit L2TP eingerichtet:
    – mit Server (DDNS),
    – Account,
    – Passwort zum Account (User hat rechte für L2TP/IPSec auf Synology)
    – Shared Secret Key (welchen ich auf dem VPN_Server der Synology unter L2Tp/IPSec vergeben hab)
    –> GEHT NICHT, urgggg

    Weitere Zugriffe per VPN auf die FritzBox direkt mit IPsec funktioniert auch auf dem Iphone, prinzipiell schon mal gut. Nur das sich ich die VPN-Anfrage direkt zum VPN_Server der Synology zum Aufwecken der Synology nutze.

    Vielleicht hast ja nen Tipp!
    Danke

    Antworten

Schreibe einen Kommentar

Erforderliche Felder sind mit einem * gekennzeichnet.