Synology VPN einrichten, aber wie?

[EmmaL]

Hey, ich habe ein paar Fragen zu VPN und meiner Synology DiskStation DS218+.

Es gibt ja die VPN Anwendung für die Diskstation... Ist das nur für das Verbinden über VPN zur Diskstation wenn man darauf zugreift, oder wird der gesamte Traffic ()z.B. Laptop unterwegs) darüber geleitet?

Warum brauche ich eine VPN Verbindung, wenn ich alles mit https eingerichtet habe? Ist das noch sicherer?

Könnt ihr mir sagen, wie ich das konfigurieren muss, um unterwegs mit dem Laptop über VPN darauf zugreifen zu können? Ich mache das bisher nur über den Browser und habe keine Netzwerkaufwerke etc. konfiguriert.

Vielen Dank für eure Hilfe

 

[D.M.X]

Hi,

weil du dann nur den Port des VPN Servers nach außen hin exponieren musst ins Internet. Verbindest du dich dann mit dem VPN Server hast du alle Möglichkeiten als wärst du im heimischen Netz.
Das macht es also deutlich sicherer, ja. Ich persönlich würde das auch gar nicht anders machen, wär mir viel zu riskant.

 

[EmmaL]

Hey, danke Kannst du mir beim Einstellen helfen?

 

[Masamune2]

Die Synology kann als VPN Server und als VPN Client dienen.

Ist das nur für das Verbinden über VPN zur Diskstation wenn man darauf zugreift, oder wird der gesamte Traffic ()z.B. Laptop unterwegs) darüber geleitet?

Das kannst du einstellen, es geht beides.

Warum brauche ich eine VPN Verbindung, wenn ich alles mit https eingerichtet habe? Ist das noch sicherer?

Über HTTPS kannst du lediglich auf die webbasierten Dienste der NAS Zugreifen. Willst du z.B. auch per FTP oder direkt Netzwerkfreigabe drauf brauchst du das VPN (theoretisch geht das auch direkt, sollte man aber nicht tun)
Bei HTTPS machst es von der Sicherheit keinen Unterschied. Nutzt du nur den Browser brauchst du das VPN nicht.

Könnt ihr mir sagen, wie ich das konfigurieren muss, um unterwegs mit dem Laptop über VPN darauf zugreifen zu können?

Da gibt es wirklich zig Anleitungen im Netz. Versuch es mal damit und wenn du nicht weiter kommst frag wieder hier.

 

[EmmaL]

Man bekommt vom Provider ja über Nacht immer eine neue IP. Woher weiß mein Laptop wie er sich verbinden muss? Die Synology-Domäne hat doch nichts damit zu tun, oder?

Wenn ich mir das so durchlese (Quelle) scheint OpenVPN die beste Wahl zu sein, oder wie seht ihr das?

 

[TechX]

Man bekommt vom Provider ja über Nacht immer eine neue IP. Woher weiß mein Laptop wie er sich verbinden muss? Die Synology-Domäne hat doch nichts damit zu tun, oder?

Dafür nimmt man ein DynDNS-Dienst - dieser muss im Router eingetragen werden, damit die IP aktualisiert wird. AVM bietet sowas speziell für ihre FBs ebenfalls an.

Wenn ich mir das so durchlese (Quelle) scheint OpenVPN die beste Wahl zu sein, oder wie seht ihr das?

OpenVPN wird vom Synlogoy-VPN-Server angeboten - wäre in diesem Fall die 1.Wahl.

Wireguard wäre ein Option - dies läuft aber auf DSM nicht (u. m.W.n. auch nicht auf einer Syno-Docker). Man bräuchte dann eine VM oder man hat evtl. ein RPi als Hole laufen. Ergo: derzeit OpenVPN u. gut ist's.

Die Einrichtung selbst ist im Grunde nicht so schwer - auf der DS den VPN-Server installieren, OpenVPN als Verbindung einrichten (Zugriff auf das interne LAN gestatten), im Router ein Portforwarding auf die DS u. VPN-Port (Standard 1194 oder im freien Bereich einen wählen), DynDNS Dienst am Router einrichten (z.B. bei DuckDNS), am Client die Community-Version von OpenVPN installieren, Configdatei einlesen u. testen.

 

[EmmaL]

Wieso kann man bei der Fritzbox nicht einfach den UDP Port 1194 freigeben? Ich kann nur auf "Gerät für Freigaben hinzufügen klicken". Das verstehe ich nicht. Warum ist das mit einem Gerät gekoppelt? Muss ich da dann die NAS auswähen?

Ergänzung (18. Juli 2021)

Ok, also ich habe:

1. VPN aktiviert

2. Die allg. Einstellungen gemacht

3. Die Berechtungen gesetzt

4. OpenVPN konfiguriert und Konfigurationsdatei exportiert

5.Domäne eingetragen, mit Port und redirect-gateway def1 für kompletten Traffic via VPN

6. OpenVPN auf Laptop installiert, alle Dateien in den config Ordner kopiert

7. Dann habe in in der Fritzbox unter Freigaben auf "Gerät für Freigaben hinzufügen" geklickt alles eingetragen

Das sieht nun so aus

8. Ich habe bei OpenVPN am Laptop auf verbinden geklickt und es klappt nicht

Muss ich in den IPv4 Einstellungen den Haken bei (Exposed Host) setzen? Was könnte ich sonst noch falsch gemacht haben?

 

[EmmaL]

Kann niemand helfen?

 

[snaxilian]

Ist der Laptop beim Test mit dem heimischen WLAN verbunden? Falls ja teste anders. Handy-Hotspot zum Beispiel.

 

[EmmaL]

Ja, habe einen Handyhotspot.

Der Port an der Fritzbox funktioniert übrigens.

Jetzt habe ich noch die Fehlermeldung in OpenVPN:
"warning no server certificate verification method has been enabled"

"remote-cert-tls server" habe ich in der Config Datei von OpenVPN probiert
Dann kommt halt:
"tls key negotiation failed to occur within 60 seconds
tls error tls handshake failed"

Ergänzung (18. Juli 2021)

Was mache ich mit der "ca"-Datei, also dem Sicherheitszertigikat, welches mit in der Diskstation für den OpenVPN Clienten erstrellt wird? Einfach nur im config ordner drinnen lassen?

 

[Schorsch92]

Wieso kann man bei der Fritzbox nicht einfach den UDP Port 1194 freigeben? Ich kann nur auf "Gerät für Freigaben hinzufügen klicken". Das verstehe ich nicht. Warum ist das mit einem Gerät gekoppelt? Muss ich da dann die NAS auswähen?

Da der Port von der FRITZ!Box an die NAS weitergeleitet wird, also alles was aus dem Internet an den Port 1194 deiner Externen IP geht leitet die FRITZ!Box an die IP deiner NAS weiter die dann die Anfragen beantwortet, wenn du hier kein Zielgerät angibst weis die FRITZ!Box nicht wohin sie die Anfragen weiterleiten soll und verwirft diese.

...
Muss ich in den IPv4 Einstellungen den Haken bei (Exposed Host) setzen? Was könnte ich sonst noch falsch gemacht haben?

Den Exposed Host auf garkeinen Fall aktivieren sonst hängt deine NAS mit allen Diensten direkt im Internet dann braucht du keinen VPN mehr hast aber auch garkeinen Schutz.
Die https://quickconnect.to Adresse ist wohl nicht das richtige du braucht eine subdomain z.B. deiname.synology.me ich habe leider gerade keine Synology NAS hier um die Screenshots zu machen wie die richtige Config genau aussieht würde aber empfehlen entweder den DynDNS Dienst von Synology

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

zu nutzen oder https://myfritz.net.

Bei quickconnect.to baut deine NAS eine Verbindung zu einem Synology Server auf und dein Client kommuniziert mit diesem Server der dann wiederum mit der NAS kommuniziert die ist glaube ich auf https beschränkt. Mit einer dyndns Adresse sendet deine FRITZ!Box oder deine NAS nur regelmäßig die externe IP an einen Dienst und wenn dein Client mit der NAS kommunizieren will frägt er bei seinem DNS Server nach welche IP sich gerade hinter deiner Adresse z.B. deiname.synology.me verbirgt und kommuniziert dann direkt mit der öffentlichen IP deines Internetanschlusses.

 

[EmmaL]

Also die Weiterleitung denke ich ist nicht das Problem. Ob ich nun den Dienst von Quickconnect oder andere nehme, müsste doch egal sein, oder? Wichtig ist halt, dass ich einen DNS Dienst habe.

Was die Adresse angeht, die habe ich schon angepasst. Sie war falsch.

http://XXXXXXXX.de4.quickconnect.to/ stimmt nun.

Ergänzung (18. Juli 2021)

DIe ganzen Videos wie

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

habe ich alle durch. Keins hilft. Auch bei Google habe ich nach sämtlichen Fehlermeldungen gegoogelt. Die Sachen die ich verstanden habe helfen nicht. Beim Rest muss ich passen. Ich verstehe halt nicht warums so schwer ist, wenns in den Videos überall so einfach sein soll.

 

[Schorsch92]

Also die Weiterleitung denke ich ist nicht das Problem. Ob ich nun den Dienst von Quickconnect oder andere nehme, müsste doch egal sein, oder? Wichtig ist halt, dass ich einen DNS Dienst habe.

Was die Adresse angeht, die habe ich schon angepasst. Sie war falsch.

http://XXXXXXXX.de4.quickconnect.to/ stimmt nun.

Wenn ich das richtig verstehe ist Quickconnect ein Reverseproxy da verbirgt sich dahinter immer die IP von Synology während synology.me oder myfritz.net ein DynDNS Dienst ist der die IP deines Internetanschluss liefert.

...
Ich verstehe halt nicht warums so schwer ist, wenns in den Videos überall so einfach sein soll.

Ich fände es ja allgemein wünschenswert wenn nicht jeder, der nicht weis was er macht, "einfach" irgend einen IOT Schrott aus dem internet erreichbar macht der dann relativ schnell gekapert wird, aber leider ist es doch relativ einfach.
Das Problem ist bei dir wie gesagt das du versuchst einen ReverseProxy zu verwenden der aber nur https und kein VPN unterstützt.

Ergänzung (18. Juli 2021)

ps. Falls du dich etwas für die Technik interessierst kann ich dir die Seite elektronik-kompendium.de empfehlen
DynDNS: https://www.elektronik-kompendium.de/sites/net/1409101.htm
Reverse-Proxy: https://www.elektronik-kompendium.de/sites/net/1101221.htm

 

[snaxilian]

Ich verstehe halt nicht warums so schwer ist, wenns in den Videos überall so einfach sein soll.

Niemand oder nur die wenigsten mit technischem Verstand und der Muße hier anderen helfen zu wollen hat auch nur ansatzweise Zeit irgendwelche Filmchen zu gucken, die aus unfassbar viel Eigenwerbung, Werbung für Dritte, Lobhudelei, Herumgelaberei und Geschwafel bestehen und wo zwischen durch mal ein howto versteckt ist. Wenn wenigstens Kapitelmarken verwendet werden würden damit man genau weiß wo das zeitverschwenderische Gelaber aufhört und der sinnvolle Teil anfängt aber nein dann würde der Kunde ja die Werbung verpassen.
Neben der Zeitverschwendung solcher Videos sind diese Arten der Anleitungen einfach oft nicht durchsuchbar oder schnell zu überfliegen. Jeder soll also deiner Meinung nach sich erst einmal irgendwelche Filmchen angucken um nachvollziehen zu können was du da gemacht hast?

"Mal eben so etwas aufsetzen" umfasst halt sehr viele Teilaspekte die alle passen müssen damit es funktioniert:

• Du brauchst eine öffentlich erreichbare IPv4 Adresse (bei vielen Providern im Privatkundenbereich leider nicht mehr üblich)
• Du brauchst bei nicht statischer öffentlicher IPv4 Adresse einen dyndns Dienst/Anbieter (Nein, quickconnect.to ist kein dyndns Dienst sondern ein ReverseProxy. Das sind unterschiedliche Dinge).
• Deine Firewall muss den Zugriff auf den gewünschten Port erlauben.
• Dein Router muss für den Port eine entsprechende Portweiterleitung eingerichtet haben. Firewall & Weiterleitung erledigen viele Consumerrouter wie z.B. die Fritzbox in einem Rutsch als Komfortoption weil die meisten Anwender die Unterschiede sowieso nicht kennen.
• Der VPN-Server muss halbwegs korrekt konfiguriert sein und auch laufen.

Erst wenn alle diese Punkte zutreffen bzw. korrekt umgesetzt sind, kann dein VPN funktionieren.

 

[Hans Meier620]

Verwende doch einfach quick connect mit einem sehr sicheren Passwort.
Dazu http immer auf https umleiten.

Oder sieht hier irgendein Experte ein SicherheitsProblem?

Wenn man nicht viel Ahnung hat, würde ich nicht selbst da rumbasteln.

 

[snaxilian]

Ein Sicherheitsproblem nicht unbedingt aber ggf. eine Komforteinschränkung. Mit Quickconnect hat man nur Zugriff auf webbasierte Dienste des NAS und auch nur darauf Zugriff. Bei einem VPN kann man alle Dienste des NAS nutzen und hätte auch Zugriff auf andere Geräte im privaten Netzwerk.

Es kommt also darauf an, was der TE genau vor hat um zu gucken welches die bessere/sinnvollere Empfehlung ist.

 

[Schorsch92]

Oder sieht hier irgendein Experte ein SicherheitsProblem?

Es ist vermutlich sogar sicherer als der VPN falls die Software auf der NAS nicht regelmäßig auf dem neusten Stand gehalten wird denn der Reverse-Proxy Server wird von Synology mit Updates versorgt und die NAS selbst hängt nicht direkt im Internet.
Zusätzlich zu einem starken Passwort würde ich aber noch 2FA empfehlen: https://stadt-bremerhaven.de/synology-zwei-faktor-authentifizierung-aktivieren

Aber wenn man z.B. mit dem Laptop von unterwegs direkt auf SMB Freigaben zugreifen will braucht man eben einen VPN Dienst und OpenVPN ist da je nach Anschluss von dem man darauf zugreifen will doch zuverlässiger als der IKEv1 IPSec VPN der FRITZ!Box.

 

[Hans Meier620]

Aber wenn man z.B. mit dem Laptop von unterwegs direkt auf SMB Freigaben zugreifen will braucht man eben einen VPN Dienst und OpenVPN ist da je nach Anschluss von dem man darauf zugreifen will doch zuverlässiger als der IKEv1 IPSec VPN der FRITZ!Box.

Ich glaub nicht. Synology Drive sollte ausreichen

 

[snaxilian]

@Hans Meier620 Du musst schon lesen und verstehen, was da steht
Synology Drive hat nichts mit SMB (Samba, Cifs, Netzlaufwerk, Server Message Block, wie auch immer man es nennen mag) zu tun.
Wenn Zugriff per SMB nötig oder gewünscht ist, hilft es nicht.
Wenn nur Zugriff auf die Daten gewünscht ist, der Weg aber relativ egal ist, dann ist es sinnvolle eine Option ohne die Notwendigkeit eines VPNs.

Dafür müsste sich aber mal der TE melden WAS genau er denn jetzt als Anforderungen hat und nicht was er glaubt dafür machen zu müssen.

 

[Hans Meier620]

Du musst schon lesen und verstehen, was da steht

Ich wollte es mal ohne versuchen😛

Den Rest sehe ich genauso wie du.