Eigenen VPN Server mit Synology einrichten

In diesem Artikel geht es nun endlich darum, einen eigenen VPN Server mit einer Synology NAS einrichten zu können.

Wie Ihr in diesem Artikel bereits gelesen habt, sind die Werbeversprechen einiger VPN Anbieter teilweise eine freche Lüge. Der Kuketz Blog hat dazu ebenso einige interessante Details aufgedeckt. Nord-VPN zum Beispiel wirbt mit vollständiger Anonymität, verkauft aber eure Email Adressen und trackt euch sogar mit der Smartphone App. Grotesker geht es garnicht. Deshalb möchte ich euch zeigen wie Ihr mit eurer Synology einen eigenen VPN Server einrichten könnt, mit dem ihr euch mit eurem Smartphone, Windows oder Linux Rechner ganz einfach verbinden könnt.

Für was brauche ich eigentlich einen eigenen VPN Server

Dafür gibt es verschiedene Szenarien. Der eigene VPN Server dient vorrangig dazu, euch mit euren eigenen Dienste oder Geräten zuhause auf eine sichere Art und Weise zu verbinden. Wollt ihr euch mit eurer NAS verbinden, den Status checken, oder unterwegs etwas konfigurieren, geht das am besten mit einem VPN Zugang. Ihr könnt euch natürlich mit den Hersteller-eigenen Zugangsportalen verbinden, diese schliesse ich persönlich jedoch immer als erstes, weil es quasi weitere unnötige Eintrittspforten in euer System darstellt. Hacker und Angreife spezialisieren sich meisst auf diese Tore und Portale, und sie stellen ein unnötiges Sicherheitsrisiko da, welches man ganz einfach verhindern kann, in dem an diese Eintrittspforten einfach schliesst.

Die VPN Verbindung ist verschlüsselt und nicht manipulierbar. Sitzt ihr in einem Internet Cafe oder in einem WLAN vom Hotel aus, und loggt euch über öffentliche WLANs in euer Heimnetz ein, ist dies eine deutlich sicherer als direkt Verbindungen via SSH auf einen Server.

Vorbereitungen

Zu aller erst müssen wir natürlich wieder eine Portweiterleitung für euren zukünftigen VPN Server erstellen. Wie das geht, habt Ihr bereits in diesem Artikel erfahren.
VPN benutzt den Port 1194 auf dem Protokol UDP, welchen ihr an eure Synology NAS weiterleiten müsst. Die Synology NAS muss auch über eine feste IP Adresse verfügen. Das geht entweder über das Synology NAS Interface, oder über euren Router.

Firewalleinstellungen

Geht als nächstes in eure Synology Firewall und fügt eine neue Regel hinzu, Ihr könnt eine einfach eine eigene Regel erstellen. Öffnet die Firewall wie im Screenshot unter Sicherheit/Firewall -> Regeln bearbeiten. Klickt auf Benutzerdefiniert und erstellt euch wie im Screenshot eine Erlaubnis für den Port 1194 auf dem Protokoll UDP

Bestätigt alles mit OK und klickt am Schluss auf Übernehmen.

Einrichtung dynamische DNS Adresse

Als nächstes müssen wir eine dynamische DNS Adresse erstellen. Das brauchen wir, da Privatanwender zuhause meisst keine fixe IP Adresse besitzen. Sollte sich die IP Adresse eures Routers ändern, habt, Ihr später keinen Zugriff mehr auf eurem Server zuhause. Deshalb erstellen wir uns eine dynamische DNS Adresse welche sich automatisch aktuallsiert und die Dienste an die veränderte IP Adresse schickt.

Geht dazu auf in den Synology Systemeinstellungen links auf den Reiter "Externer Zugriff", danach auf DDNS und klickt auf hinzufügen. Wählt als Serviceanbieter Synology und wählt euch eine Domain aus. Als Subdomain könnt ihr einen Namen Eurer Wahl hinterlegen. Beispielsweise "vpnAccessLAN". Es ist möglich dass einige Namen nicht funktionieren da möglicherweise schon besetzt. Falls die Einrichtung fehlschlägt, benutzt einfach einen andere Subdomain.

Verknüpft das ganze mit eurem Synology Konto, und entfernt den Haken bei Zertifikat bei Letsencrypt erhalten und als Standard festlegen. Heartbeat aktivieren könnt ihr ebenso weg lassen. Diese brauchen wir bei einer VPN Verbindung nicht.

Falls ihr die Domain auf verwenden wollt, um eure Synology vom Internet zuzugreifen, setzt den Haken für das Letsencrypt Zertifikat erhalten. Damit dies klappt, muss ein Portfowarding von eurem Router eingerichtet sind, und Port 80, muss auf die Synology IP zeigen.

Testet vorher die Verbindung und schaut ob die Adresse frei ist. Danach könnt Ihr auf OK bestätigen. Die Einrichtung kann eine kurze Zeit dauern. Falls sie fehlschlägt, testet wie bereits eine andere Subdomain. Habt Ihr eine gültige Adresse bekommen, notiert euch diese Adresse. Diese brauchen wir später zur Konfiguration.

Installation und Einrichtung VPN Server

Ladet euch als nächstes auf eurer Synology den VPN Server herunter, den findet Ihr im Packet Zentrum. Sucht nach VPN und installiert euch den VPN Server.

Nachdem ihr dem Server installiert habt, könnt ihr in auch gleich öffnen. Alle Vorbereitungen sind soweit bereits getroffen.

Konfiguration des eigenen VPN Servers

Wir benutzen für unseren Zugang das Protokoll OpenVPN, Das Protokoll ist kompatibel mit den gängigsten Apps, und die Profile können nachher ganz einfach in euer Smartphone, oder euren Linux bzw, Windows Rechner importiert werden.

Klickt also auf OpenVPN im in der linken Spalte und aktiviert zu aller erst mal den Dienst.

Hier können wir erst mal ein paar Einstellung überprüfen. Die Dynamische IP Adresse stellt das virtuelle Netzwerk da, welches der VPN Server in eurem Netzwerk erstellt. Ihr bekommt also eine IP Adresse aus diesem Bereich zugeteilt und könnt von diesem virtuellen Netzwerk auf euer LAN Netzwerk zugreifen. Lasst die Einstellung hier am besten wie sie sind. Ihr könnt natürlich auch einen anderen Adressraum benutzen. Der Adressraum sollte sich einfach nicht mit eurem eigenen LAN Netzwerk überschneiden.

Die Maximale Anzahlung Verbindung könnt Ihr ebenso festlegen wie, die Anzahl gleichzeitiger Verbindungen mit einem Konto. Stellt sicher, das Port 1194 und das Protokol UDP ausgewählt sind. Die Sicherheits- und Verschlüsslungseinstellungen könnt Ihr belassen wie sie sind. Stellt zudem sicher, dass Ihr den Haken bei "Clients den Server-Lan Zugriff erlauben" setzt, ansonsten habt ihr keinen Zugriff auf die anderen Geräte in eurem LAN Netzwerk.

Die Einstellung sind soweit erledigt. Als nächstes klickt Ihr auf Übernehmen. Danach findet Ihr an unterster Stelle den Button Konfigurationsdateien exportieren. Diese benötigen wir für die Konfiguration des Clients.

Konfiguration der OpenVPN Verbindung

Ladet euch die Datei runter, entpackt sie und öffnet sie mit einem gängig Texteditor. Hier müssen wir ein paar Einstellungen vornehmen.

Ersetzt als erstes den Eintrag unter "remote" mit der Domain die ihr euch oben via DDNS erstellt habt. Achtet auf eine korrekte schreibweisse. Dahinter muss der Port 1194 stehen.

ihr könnt theoretisch euren gesamten Datenverkehr eurer VPN Verbindung über euren Server leiten. Das bietet sich zum Beispiel an, wenn ihr mit der IP eures Heimanschlusses ins Netz gehen wollt, oder einfach dem WLAN mit dem ihr euch verbindet habt, nicht traut. Wählt Ihr diese Option, sieht es auch für euren Internetprovider, und alle anderen die euch tracken so aus, als würdet ihr zuhause sein. Bedenkt allerdings dass dies eure Verbindung verlangsamen kann, da wie gesagt, der gesamte Datenverkehr eures Clients über den VPN Server geleitet wird. Um die Funktion zu aktivieren, kommentiert den Eintrag einfach aus und entfernt das Raute/Doppelkreuz Symbol vor redirect-gateway def1. Ihr könnt zudem noch einen eigenen DNS Server angeben, falls ihr zuhause einen eigenen DNS Server betreibt.

Ihr müsst dann den Eintrag dhcp-option DNS auch auskommentieren und hinter DNS, die IP eures gewünschten DNS Servers einsetzen.

Das waren erst mal alle Einstellungen in der VPN Konfigurationsdatei. Speichert die Datei ab und schickt sie an das Gerät auf dem ihr die VPN Verbindung eingehen wollt.

Clients mit Synology VPN verbinden

Damit der Beitrag nicht zu lang wird, findet Ihr demnächst in den Kategorien Linux, Windows und Android eigene Beiträge, wie ihr euch mit den entsprechenden Geräten mit dem VPN Server verbindet. Wir sind hier erst einmal fertig 🙂

Habt ihr Fragen? Stellt sie gerne in die Kommentare!