Synology L2TP/IPsec VPN Server hinter FRITZ!Box mit Windows 10 VPN Klienten betreiben

Träumen Sie auch von den unendlichen Weiten da draußen, in denen Sie völlig sorgenfrei von unterwegs aus auf ihre privaten Daten zugreifen können? Ja, dann ist VPN (Virtual Private Network) genau Ihr Ding. Der Haken ist nur leider, dass dies nicht so einfach ist, wie sich das immer anhört. Es gibt so einige Fallstricke, die einem einen Strich durch die Rechnung machen können.

Springe zur FRITZ!Box Konfiguration!
Springe zur Synology NAS Konfiguration!
Springe zur Windows 10 VPN Einrichtung!
Springe zu den Windows 10 VPN Verbindungsproblemen!

Prolog:

Das fängt schon damit an, dass es jede Menge verschiedene VPN-Typen und Implementierungen gibt.

VPN-Typen:

  • Site-to-Site – Das Verbinden zweier Fritzboxen (Gateways) zum Beispiel über VPN über verschiedene Standorte. Hier wird direkt ein ganzer Standort mit dem anderen Standort verbunden.
  • Site-to-Host – Der Fall aus der Anleitung. Unser eigenes Endgerät: PC/Notebook/Smartphone baut von unterwegs aus eine Verbindung zu der FRITZ!Box mit Weiterleitung an den Synology VPN Server auf. Wir können auf alle Geräte in dem dortigen LAN zugreifen.
  • Host-to-Host – So ähnlich wie Site-to-Host, nur mit dem Unterschied, dass dieser nur Zugriff auf den Host hat, nicht aber auf das ganze Netz!

Implementierungen / Software:

  • PPTP (Point to Point Tunneling Protocol) – Dies ist wohl die älteste aller Implementierungen die mit NT 4.0 und Windows 95 Einzug erhielt. Sie ist schnell und weit verbreitet, hat aber einen gewaltigen Nachteil: Sie gilt seit mittlerweile 2012 als unsicher, da die Verschlüsselung als gebrochen gilt.
  • SSL VPN (Secure Socket Layer / OpenVPN) – SSL hat den Vorteil, dass dies meistens ohne großen Konfigurationsaufwand nutzbar ist. Die VPN Kommunikation geschieht über den Port 443, der in den meisten Fällen immer erreichbar ist. Ausnahmen bestätigen die Regel! 😀
  • L2TP/IPsec (Layer 2 Tunneling Protocol over IPSec) – L2TP ist ein Tunnel-Protokoll, welches quasi alle anderen Protokolle tunneln kann, insofern sie in das PPP Protokoll eingekapselt werden können. Sicherheitsfunktionen sind aber nicht vorhanden und genau deswegen braucht es noch das IPsec Protokoll, dass für die Verschlüsselung der Daten zuständig ist. Da IPsec aber nur IP-Pakete tunneln kann, ist die Symbiose zwischen L2TP und IPsec nötig. Man merzt somit die Schwächen des anderen aus.

Welcher ist der Richtige für mich? Ich werde da nicht zu sehr ins Detail gehen, da die “beste” Variante nicht auch die wirklich beste umzusetzende ist. Denn nicht nur ihre Systeme müssen mit der VPN-Implementierung etwas anfangen können, sondern die Einrichtung unterscheidet sich teils auch enorm voneinander. Ich habe mich daher für L2TP/IPsec mit PSK entschieden, da dies jeder Windows 10 PC, Smartphone (Android / iOS usw.) von Hause aus kann ohne einen zusätzlichen VPN Client installieren zu müssen und die Synology kann dies mit dem VPN-Server Paket ebenfalls von Hause aus. Bei Linux Derivaten muss das eventuell über die Paketverwaltung nachinstalliert werden.

Hier ist die Grundvoraussetzung für das VPN-Vorhaben:

Sie müssen eine öffentliche IPv4 IP Adresse von Ihrem ISP (Internet Service Provider) erhalten. Gerade in Zeiten, in denen die IPv4 Adressen knapp werden, werden viele von euch eine solche nicht haben. Die meisten ISP lassen sich das extra bezahlen, auch wenn es nur ein paar Euro im Monat sind. Wer das Geld nicht ausgeben will hat aber ein großes Problem, da er mit Carrier Grade NAT nicht direkt im Internet erreichbar ist. Sollte Ihnen beispielsweise die FRITZ!Box in den Verbindungseinstellungen eine Online-IP beginnend mit 100.X.X.X anzeigen, dann sind Sie in genau jenem Teufelsrad der Nichterreichbarkeit gefangen. 😀

Falls Sie das da nicht finden können, dann schauen Sie einfach in den Ereignissen  – gefiltert nach der Internetverbindung – nach und halten nach dem Satz: “Internetverbindung wurde erfolgreich erneuert. IP-Adresse: 100.X.X.X …” Ausschau.

Bei dem das der Fall sein sollte, sollte bei seinem ISP nachfragen, ob man eine öffentliche statische/dynamische IP dazu buchen kann. Wenn nicht, dann sollten Sie den Provider wechseln – wenn es denn geht! Es gibt zwar auch Portmapper-Dienste, aber auch diese sind nicht kostenlos. Sie bräuchten im Netz (Internet!) einen Server, der alles tunnelt/übersetzt und an Sie zu Hause weiterleitet. Egal was Sie machen, Sie werden immer Geld in die Hand nehmen müssen. Bei dem es nicht anders geht, dem bleibt nichts anderes übrig. Suchen Sie dann einfach nach einer Anleitung, die sich dem Thema Portmapper widmet.

Eine weitere Frage die sich in den Raum drängt ist: bietet dieser nun eine statische oder dynamische öffentliche IP an?

Sollte diese statisch sein – eher unwahrscheinlich -, dann brauchen Sie sich keine weiteren Gedanken darum machen, dass Sie diese IP bei einem DDNS (Dynamic Domain Name System) Dienst aktuell halten müssen. Wer nun überhaupt keine Ahnung hat, ist wohl mit der FRITZ!Box wahrlich gesegnet, denn diese übernimmt das mit einem MyFRITZ! Konto von ganz alleine. Auch wenn man sich die von AVM vergebenen Domain Namen kein Schwein merken kann!

Wer eben keine FRITZ!Box hat, muss entweder eine DDNS Adresse kostenpflichtig bei irgendeinem Anbieter buchen oder nutzt hoffentlich das richtige Webspace Paket bei seinem derzeitigen – wenn vorhanden – Webspaceanbieter, der einem ebenfalls DDNS anbietet. Tatsache ist, dass Sie in allen Fällen bei einer dynamischen öffentlichen IP dafür sorgen müssen, dass ein Domainname immer auf die jetzige eigene vergebene IP Ihres Routers auflöst.

Nochmal in Kurz:

  • Sie besitzen eine FRITZ!Box
  • Sie besitzen eine Synology NAS
  • Sie haben eine öffentliche IPv4 Adresse von ihrem ISP
  • Sie benutzen Windows 10

Konfiguration der FRITZ!Box (FRITZ!OS 7.27+)


Melden Sie sich auf Ihrer FRITZ!Box an und gehen Sie dann in den Unterpunkt Internet und dann auf MyFRITZ!-Konto.

MyFRITZ-Konto
MyFRITZ-Konto

Aktivieren Sie dort das MyFRITZ! Konto und tragen eine Ihrer E-Mail Adressen ein, die Sie dafür verwenden wollen. Nach der Accounterstellung und dessen Aktivierung erhalten Sie eine “Ihre MyFRITZ!-Adresse” nach folgendem Muster:

xxxxxxxxxxxxxxxxx.myfritz.net

Das x steht stellvertretend für Zahlen und kleine Buchstaben. Das kann sich kein Schwein merken! Ehrlich! 😀

Wenn Sie Ihre FRITZ!Box aus dem Internet heraus erreichbar machen wollen, dann setzen Sie den jeweiligen Haken bei “Internetzugriff auf die FRITZ!Box über HTTPS erlauben” und lassen auch in einem ein Zertifikat von letsencrypt.org erstellen. Das funktioniert alles vollautomatisch und unproblematisch. Sogar der Port 80 wird für die Let’s Encrypt ACME Challange von alleine geöffnet und wieder geschlossen. Praktisch! Da hat AVM mitgedacht. Sie müssen nur einem Benutzer unter System und dann FRITZ!Box-Benutzer erlauben von außen auf die FRITZ!Box zu dürfen.

FRITZ!Box-Benutzer Internetzugriff
FRITZ!Box-Benutzer Internetzugriff

Echtzeitpriorisierung der Synology NAS einstellen

Da Ihr VPN-Server nicht am langen Arm verhungern sollte, wenn die Internetleitung mal ausgelastet sein sollte, empfiehlt sich eine Echtzeitpriorisierung der Synology, die Sie im Fritzboxmenü unter Netzwerk bei dem Synology NAS Eintrag beim Bearbeiten festlegen können.

Portfreigaben für L2TP/IPsec bei der FRITZ!Box einrichten

Unter Internet und dann Freigaben klicken Sie auf “Gerät für Freigabe hinzufügen“. Dort wählen Sie Ihr Synology NAS aus (Diese sollte eine feste IP haben) und klicken unten rechts im Anschluss auf “Neue Freigabe” und wählen in dem Fenster “Portfreigabe” aus. Tragen Sie alles wie auf dem Bild ersichtlich ist ein. Sie müssen dies insgesamt nun drei mal hintereinander machen.

FRITZ!Box VPN Freigaben
FRITZ!Box VPN Freigaben

Wie Sie auf dem Bild erkennen können ist das erste die Bezeichnung, dann das Protokoll, das unkenntlich gemachte die öffentliche IP der FRITZ!Box und schlussendlich der jeweilige Port für jeden Eintrag.

Konfiguration des Synology NAS (DSM 6.2.4-25556+)

Melden Sie sich bei Ihrer NAS als Nutzer mit Administratorrechten an. Installieren Sie dort über das Paketzentrum den VPN Server. Starten Sie im Anschluss den VPN Server.

Dort gehen Sie bitte in den Unterpunkt “Allgemeine Einstellungen“. Wählen Sie dort die richtige Netzwerkschnittstelle aus, auf dem der VPN Server lauschen soll. Ob neue Benutzer auch ein VPN Recht erhalten sollen, müssen Sie selbst wissen. Ich persönlich würde das nicht machen.

Im Unterpunkt “Berechtigung” setzen Sie bei jedem Nutzer, der den VPN Dienst benutzen können darf, den Haken jeweils immer bei L2TP/IPsec. Alle anderen sind zu entfernen.

Im Unterpunkt “L2TP/IPsec” stellen Sie alles wie auf dem Bild ersichtlich ist ein:

Synology-NAS L2TP Konfiguration
Synology-NAS L2TP Konfiguration

Vergeben Sie bei Vorinstallierter Schlüssel ein sehr langes Passwort. Es muss mindestens 8 Stellen aufweisen und darf maximal 256 Stellen lang sein. Wägen Sie bitte selbst ab, wie lang es nun sein muss. 12 – 20 Stellen wären aber schon wünschenswert.

Firewall Konfiguration der Synology NAS

Wichtig! Sie könnten sich unter Umständen auch selbst aussperren! Erstellen Sie zuerst einmal eine Sicherung der Systemkonfiguration!

Dies erledigen Sie in der Systemsteuerung im Unterpunkt “Aktualisieren & Wiederherstellen” und dann auf den Reiter “Sicherung der Systemkonfiguration“und dann auf den Button “Konfiguration sichern” klicken.

Nun, da Sie im schlimmsten Falle eine funktionierende Sicherung hätten, geht es ans Eingemachte! 🙂

Gehen Sie nun in die Systemsteuerung. Dort in den Unterpunkt “Sicherheit” und dann auf Firewall. Da Ihre Synology NAS nun von außen über die VPN Ports erreichbar ist, sollten Sie auf alle Fälle die Firewall einschalten, falls das noch nicht der Fall sein sollte. Aktivieren Sie auch unbedingt die Firewall Benachrichtigungen.

Erstellen Sie nun entweder ein eigenes Firewallprofil oder bearbeiten Sie das schon vorhandene. Nur vorweg, ich werde nur die absolut nötigsten Regeln hier aufzeigen. Sie werden eventuell noch einige mehr erstellen müssen, je nachdem welche Dienste bei Ihnen alles laufen. Der Einfachheit wegen, werde ich diese Regeln für alle Schnittstellen erstellen.

Klicken Sie nun auf Regeln bearbeiten.

Erstellen Sie dort eine neue Regel:

Synology-NAS Firewall Konfiguration VPN Subnetz
Synology-NAS Firewall Konfiguration VPN Subnetz

Klicken Sie bei Quell-IP dann auf Auswählen.

Synology-NAS Firewall Konfiguration VPN Subnetz
Synology-NAS Firewall Konfiguration VPN Subnetz

Damit erhalten alle verbundenen VPN Clients Zugriff auf all Ihre Dienste im LAN.

Erstellen Sie nun eine weitere neue Regel:

Synology-NAS Firewall Konfiguration VPN Extern
Synology-NAS Firewall Konfiguration VPN Extern

Sie können bei Quell-IP auch Orte festlegen wie Deutschland oder ähnlich. Zum Testen würde ich das aber erst später machen!

Klicken Sie bei Ports dann auf Auswählen:

Synology-NAS Firewall Konfiguration VPN Extern Ports
Synology-NAS Firewall Konfiguration VPN Extern Ports

Haken Sie die entsprechenden VPN Ports an und klicken auf OK.

Damit Sie sich nicht aussperren bei den nächsten Schritten, legen Sie eine weitere Regel an, die den Zugriff auf das DSM zulässt:

Synology-NAS Firewall Konfiguration DSM
Synology-NAS Firewall Konfiguration DSM

Bei Quell-IP legen Sie einen Spezifischen IP Bereich an. Klicken Sie dort einfach auf Subnetz und tragen dort Ihre Netzwerk-ID mit der Subnetzmaske ein.

Beispiel:

IP-Adresse: 192.168.178.0
Subnetzmaske: 255.255.255.0

Wenn Sie keine Ahnung haben sollten, dann gucken Sie einfach mal, welche IP und welche Subnetzmaske gerade Ihre Synology verwendet. Das machen Sie in der Systemsteuerung unter Netzwerk und dann Netzwerkschnittstelle. Klappen Sie Ihren LAN Adapter über den Pfeil rechts auf und gucken sich die IP an.

Synology-NAS LAN IP
Synology-NAS LAN IP

Wenn da so etwas wie:

IP-Adresse: 192.168.178.2
Subnetzmaske: 255.255.255.0

stehen sollte, dann ersetzen Sie die 2 einfach durch eine Null wie in meinem vorherigen Subnetzbeispiel. Da könnte auch 192.168.1.2 stehen oder ähnlich. Das würde daran auch nichts ändern, dass sie lediglich die letzte Zahl gegen eine Null austauschen müssten. Dies ist immer dann der Fall, wenn die Subnetzmaske: 255.255.255.0 lautet!

Jetzt wird es kritisch!

Bestätigen Sie die Änderungen an dem Firewallprofil mit dem Klick auf OK. Das sollte noch nicht – bei einer Fehlkonfiguration – dazu führen sich auszuschließen! Erstellen Sie eine weitere DSM Sicherung!

Bearbeiten Sie nun nochmals das Firewallprofil:

Synology-NAS Firewall Konfiguration_Standard Zugriff verbieten
Synology-NAS Firewall Konfiguration_Standard Zugriff verbieten

Gehen Sie nun alle Einträge in der Auswahlbox rechts oben durch und wählen Sie bei jedem Eintrag: “Wenn keine Regel zutrifft: Zugriff verweigern” aus. Wenn Sie die ganze Liste durchgegangen sind, so klicken Sie abschließend auf OK.

Verfallen Sie jetzt bitte nicht in Panik, wenn beispielsweise Ihre Netzlaufwerke, die auf das Synology NAS zeigen, nicht mehr funktionieren! Das müssten Sie jetzt alles noch zusätzlich als Regeln selbst eintragen! Tatsache ist, Sie haben noch Zugriff über das DSM und können alles so bearbeiten, wie Sie es bräuchten. Wählen Sie einfach immer die jeweilige Anwendung bei der Regelerstellung aus, mit dem dazugehörigen IP-Subnetz und dann sind Sie auch schnell fertig.

Windows 10 Client Verbindung einrichten

Drücken Sie die Windowstaste+S und suchen Sie nach: VPN. Wählen Sie dort die VPN-Einstellungen aus und klicken dann auf VPN-Verbindung hinzufügen.

Windows 10 VPN einrichten
Windows 10 VPN einrichten
Windows 10 VPN einrichten - Daten
Windows 10 VPN einrichten – Daten

Bei VPN-Anbieter wählen Sie Windows (integriert) aus. Die Verbindung selbst können Sie nennen wie Sie wollen. Bei Servername oder IP Adresse geben Sie vorläufig erst einmal eine lokale IP Adresse an. Tragen Sie dort die IP Adresse des VPN-Servers ein. Die Synology NAS IP! Der Rest ist wie auf dem Bild ersichtlich ist einzustellen. Lassen Sie dies speichern.

Nun öffnen Sie im selben Fenster von eben rechts die Adapteroptionen ändern aus. Öffnen Sie die Eigenschaften über einen Rechtsklick auf den L2TP Adapter.

VPN Adapter Sicherheit
VPN Adapter Sicherheit

Gehen Sie in den Reiter Sicherheit und wählen bei Datenverschlüsselung Maximale aus. Setzen Sie den Haken bei folgende Protokolle zulassen und setzen einen weiteren Haken bei Microsoft CHAP, Version 2.

VPN Adapter Netzwerk
VPN Adapter Netzwerk

Um eventuellen Problemen vorzubeugen, können Sie unter Netzwerk noch das IPv6 Protokoll deaktivieren.

Der lokale VPN Verbindungstest

Klicken Sie nun im VPN Einstellungsfenster bei dem VPN Eintrag auf Verbinden.

Wenn Sie Glück haben, können Sie sich erfolgreich ohne weitere Änderungen anmelden! 😀

Wenn Sie Pech haben…

Fehlermeldung: Sicherheitsrichtlinie nicht gefunden…

Mögliche Ursachen:

Stellen Sie sicher, dass das Programm FRITZ!Fernzugang auf Ihrem Rechner nicht installiert ist! Dies behindert unter Umständen einen erfolgreichen Anmeldeversuch. Auch eventuell andere VPN Clients (Programme) können darauf Einfluss haben.

Öffnen Sie die Windows Registrierungsdatenbank mit der Windowstaste+R und tippen folgendes ein:

 regedit

Kopieren Sie folgenden Pfad oben in die Adressleiste:

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

und drücken ENTER.

Existiert dort ein Eintrag mit dem Namen “AssumeUDPEncapsulationContextOnSendRule“?

Was bewirkt diese Einstellung?

Microsoft Artikel

Wenn der Eintrag bereits existiert, dann ändern Sie den Datenwert auf 2 ab.

Bei dem dieser nicht existiert, kann auch einfach meine kleine VPN.reg L2TP/IPsec Datei herunterladen und per Doppelklick und Ja und Amen sagen, dies automatisch hinzufügen lassen.

Deaktivieren Sie das IPv6 Protokoll für Ihren LAN Adapter.

Fehlermeldung: Remotehost antwortet nicht..

Mögliche Ursachen:

Ist da bei der Firewallkonfiguration Ihrer Synology was schief gelaufen? Bitte überprüfen Sie nochmals alles. Testen Sie dies einfach mal, wenn Sie vorübergehend die Firewall nochmal kurz deaktivieren. Wenn es danach geht, haben Sie die VPN Server Regel nicht richtig angelegt.

Benutzen Sie vielleicht einen Virenscanner, der nicht der Microsoft eigene Windows Defender ist? Schalten Sie diesen bitte mal kurzzeitig aus!

Haben Sie die richtige IP/Serveradresse bei der VPN Verbindung angegeben?

Lauscht der VPN Server auf dem richtigen LAN Port der Synology?

Der externe VPN Verbindungstest

Nun öffnen Sie im VPN-Einstellungen Fenster von eben rechts die Adapteroptionen ändern aus. Öffnen Sie die Eigenschaften über einen Rechtsklick auf den L2TP Adapter.

Ändern Sie dann den Hostnamen von der lokalen IP auf die MyFRITZ!-Adresse ab.

Wenn Sie das jetzt richtig testen wollen, dann müssen Sie sich in einem externen Netz befinden. Sie könnten beispielsweise Ihr Smartphone mit einer Datenverbindung zum Testen verwenden, indem Sie dort ebenfalls eine VPN Verbindung anlegen. Sie könnten aber auch zu einem Familienmitglied/Freund gehen und über dessen Internet einen Versuch mit ihrem Notebook/Tablet/Smartphone, was auch immer, unternehmen. Alternativ können Sie sich auch via Teamviewer an einem externen Rechner anmelden und dort die VPN Daten testen.

Fehlermeldung: Remotehost antwortet nicht..

Mögliche Ursachen:

Ist da bei der Firewallkonfiguration Ihrer Synology was schief gelaufen? Bitte überprüfen Sie nochmals alles. Testen Sie dies einfach mal, wenn Sie vorübergehend die Firewall nochmal kurz deaktivieren. Wenn es danach geht, haben Sie die VPN Server Regel nicht richtig angelegt.

Löst die MyFRITZ!-Adresse auf die derzeitige IPv4 IP Ihres Routers auf?

Starten Sie dafür an Ihrem Rechner über Windowstaste+R mit cmd die Eingabeaufforderung. Tippen Sie dort nun:

nslookup IHRE_MYFRITZ_ADRESSE

ein. Ist die untere öffentliche IP auch jene, die aktuell die FRITZ!Box verwendet?

Schauen Sie einfach in den Fritzbox Ereignissen  – gefiltert nach der Internetverbindung – nach und halten nach dem Satz: “Internetverbindung wurde erfolgreich erneuert. IP-Adresse: X.X.X.X …” Ausschau. Der zeitlich neueste Eintrag ist entscheidend. Stimmt diese IP mit der aus der Eingabeaufforderung überein? Wenn nicht, dann klicken Sie bei der Fritzbox bei Internet und dann Onlinemonitor auf Neu verbinden.

Haben Sie die Portweiterleitungen richtig durchgeführt? Leuchten die Portregeln grün? Haben Sie das richtige Endgerät (Synology NAS) in Ihrem Netzwerk ausgewählt, an dieses diese Ports geleitet werden?

 

Zum Anfang!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.