Einrichtung Fernzugriff auf NAS via VPN

[Blue-NAS]

Hallo liebe Community,

ich bin seit ca. 1,5 Monaten Besitzer einer Synology DS 918+ und noch neu im Bereich NAS. Mittlerweile habe ich mir einiges angelesen, eingerichtet und lerne immer mehr dazu.
Nun möchte ich den Fernzugriff einrichten.

Wie ich in zahlreichen Sicherheitsempfehlungen zur Absicherung des NAS gesehen habe, wird von Portfreigaben zum Fernzugriff als auch einem Synology Konto abgeraten. Stattdessen wird empfohlen mittels VPN-Verbindung auf das NAS zuzugreifen. Nun würde ich gerne wissen, wie ich diesen Zugriff einrichte.

- Gibt es irgendwo eine Anleitung hierfür oder könnt ihr mir sagen was ich beachten muss?
- Was benötige ich für die Einrichtung?
- Wie richte ich diesen Zugriff mittels VPN in den Synology Apps (z.B. auf dem iPhone) ein?

Ich habe bisher lediglich einmal eine VPN-Verbindung bei einem VPN-Anbieter eingerichtet. Habe ich richtig verstanden, dass ich für diesen Einsatzzweck keinen VPN-Anbieter brauche?

Ich würde mich freuen, wenn Ihr mir weiterhelft.

 

[Blue-NAS]

Kann mir echt keiner weiterhelfen?

 

[Kurt-oe1kyw]

Aus dem Paketzentrum vom DSM den VPN Server installieren. Port 1194 freigeben/weiterleiten. Am handy irgendeinen VPN Clienten installieren, ich nutzen dafür OPEN VPN <klick> , der ist aber für android, gibt es aber sicher auch für iphone. Du kannst aber auch jeden anderen nehmen der dir besser zusagt. Im VPN Server findest du die Schaltfläche "Konfigurationsdateien exportieren" >>> diese importierst du in den Open VPN Clienten am handy. Du musst die Konfigdatei nur für dich anpassen, entweder trägst du oben, ganz am Beginn deine öffentl IP ein falls sich diese nicht ändert, oder du benützt einen Domainnamen. Du startest dann den Clienten am handy und nach erfolgreicher Verbindung ist es so als würdest du mit deinem handy daheim im eigenen Netzwerk sein. Du musst in den Apps nichts ändern und du brauchst keinen VPN Anbieter, die DS hat alles dabei was du brauchst.

Hinweis:
Das "anrufende" Netzwerk darf nicht ident mit deinem "Zielnetzwerk" daheim sein! Dann geht es nicht, dh. wenn du in einem externen Netzwerk bist mit 192.168.172.x und daheim läuft auch 192.168.172.x dann geht das nicht.

So mal für das Erste im groben Beschrieben.

 

[Blue-NAS]

Vielen vielen Dank! Das hilft mir weiter!

Benötige ich zum Zugriff auf mein NAS auch noch eine so genannte DynDNS Adresse?

 

[lemuba]

Ich habe es heute gerade hinter mir mit viel Trial and Error, aber letztendlich erfolgreich...

Meine Hardware:

Router: Fritzbox 7590 an SWN-Kabel-Net mit 500/100 Mbit/s
Diskstation 718+ mit 10 GB RAM
VPN Client (z.B.): IPad Pro oder IPhone X - Habe Beides am Laufen!

Fritzbox: Must Du einen DynDns Account/Adresse einrichten und registrieren. Ich verwende seit Jahren einen Account bei https://www.selfhost.de/cgi-bin/selfhost
Der Account/DynDns hatte lebenslang glaube ich einmalig €5,- gekostet - konnte ich verschmerzen

In der Fritzbox (trotz angeblicher VPN Passthrough Funktionalität) musste ich noch die UDP Ports 1701, 500 und 4500 auf die Diskstation weiterleiten.
Die Firewall meiner Diskstation ist deaktiviert, ich vertraue auf die Fritzbox Firewall.
Der eigene VPN Server auf der Fritzbox/Rooter, falls aktiviert, muss auf alle Fälle deaktiviert werden!

Einrichtung auf der Diskstation kannst Du nach iDomiX gehen:
https://www.youtube.com/watch?v=QPLP87ACaXI

Nun kommst...

Auf dem IPad aktuelles IOS musst Du einen neuen VPN Server einrichten und zwar:

Typ: L2TP (IPsec Protokoll geht ums Verrecken nicht)

Beschreibung: Deine Beschreibung, z.B. Diskstation L2TP
Server: xxxxxDeinServer.selfhost.eu
Account: bei mir "admin" der Diskstation
RSA-SecurlID: Aus/Deaktiviert
Passwort: Das admin Passwort der Diskstation
Shared Secret: Den IKE Schlüssel den Du während der L2TP/IPSec Konfiguration auf der Diskstation vergeben hattest
Gesamten Verkehr senden: Habe ich aktiviert

So hatte es Heute dann bei mir sofort funktioniert.

Hintergrund warum ich nun den VPN Server der Diskstation verwende:

Trotz AVN Flaggschiff Fritzbox 7590 beträgt die maximale VPN Geschwindigkeit nur ca. 25Mbit/sec in beide Richtungen aufgrund der "schwachbrüstigeren" Fritzbox CPU.
Mit dem Diskstation VPN-Server bekomme ich nun gut 60, teilweise 80Mbit/s in beide Richtungen - das ist schon deutlich potenter...

Viel Erfolg, beste Grüße

Matthias

IPad Speed über DiskstationVPN:



IPad Speed direkt:



Genereller SWN-Kabel-Download Speedtest der letzten Tage über Diskstation Docker Speedtest Image:
https://hub.docker.com/r/roest/docker-speedtest-analyser/

 

[lemuba]

Korrektur - hatte mich gestern verhauen:

Trotz AVN Flaggschiff Fritzbox 7590 beträgt die maximale VPN Geschwindigkeit nur ca. 25Mbit/sec in beide Richtungen aufgrund der "schwachbrüstigeren" Fritzbox CPU.

Es sind doch nur ca. 4,5Mbit/sec die bei der Fritzbox durchgehen! Hatte heute nochmal umgestellt und getestet.

 

[Blue-NAS]

Wow Danke!!!

Vielleicht eine doofe Frage:

Ist es nicht besser auf OPEN VPN zu setzen, da ich dann nur einen Port aufmachen muss? Was ist der Unterschied zu IP Sec und wie die anderen Protokolle heissen (Vor- und Nachteil) ;-)

Und bedeutet das ohne VPN wär die Verbindung schneller, aber dafür nicht so sicher? ;-)

 

[harley765]

Hinweis:
Das "anrufende" Netzwerk darf nicht ident mit deinem "Zielnetzwerk" daheim sein! Dann geht es nicht, dh. wenn du in einem externen Netzwerk bist mit 192.168.172.x und daheim läuft auch 192.168.172.x dann geht das nicht.

hmmm.. also bei mir zu hause ist das Netzwerk aus 192.168.1.xyz eingestellt. Ab einem externen Ort. Aus 192.168.1.xyz kann ich mit VPN ohne weiteres auf mein Netz zugreifen. Ist das nur möglich weil ich die VPN Verbindung auf dem Router und nicht der Syno konfiguriert habe?

 

[NSFH]

Also das mit der VPN Geschwindikeit ist relativ. Die Fritz kann tatsächlich nur um die 2,5-4 MBit pro Kanal übertragen. Stellt sich die Frage, wer das im Uplink überhaupt hat, leider wohl nur die wenigsten.
Daher ist die Lösung, die Fritz mit Shrewsoft anbietet grundsätzlich erst mal der einfachste Ansatz, der auf Anhieb funktioniert.
Bei jeder anderen Lösung würde ich VPN over IPSEC, also port 445 bevorzugen. Wenn man unterwegs ist wird einem in Hotels oder öffentlichen Hotspots nur Port 80 und 445 (HTTPS) angeboten. Eine VPN Verbindung über andere Ports geht also erst gar nicht. Damit ist das eigene schöne VPN nutzlos.
Desweiteren bevorzuge ich reine Router VPNs um das dahinterliegende LAN mit seinen Komponenten weiter geschützt zu halten. So kann man den eigenen Router auch prima als Relay nutzen, wenn man von einem nicht vertrauenswürdiogen WLAN surfen möchte.
Ein VPN Server auf der Syno ohne Firewall auf der Syno ist dagegen fahrlässig, schliesslich lasse ich über die VPN Ports zuGriff auf das interne LAN zu. "Vetrauen" in die Firewall der Fritz ist Fahrlässig, denn die leitet die Ports nur durch, mit allem Traffic der sich darauf abspielt. Bei einem Hack des Servers nutze ich keine VPN Protokolle auf dem VPN Kanal.
Aber jeder so wie er meint

 

[lemuba]

Ich bin nun auch einen anderen Weg gegangen und zwar über eine virtuelle Maschine:

1. Diskstation Firewall aktiviert, den Diskstation VPN Server deaktiviert.

2. Habe auf der Diskstation das tolle DietPi Image im Virtual Machine Manager installiert
Hier das Virtual Box Image herunterladen und dann im VMM importieren, bzw. als virtuelle Maschine starten
DietPi bekommt dann seine eigene abgegrenzte IP im Homenetzwerk

- natürlich die Standard/Global Passwörter für die Benutzer root und dietpi ändern....

3. Über die DietPi Software/Auswahl einfach das vorbereitete Paket PIVPN mit dem Konfigurationstool nachinstallieren

4. PIVPN über die Kommandozeile schnell konfiguriert, bzw. einen Benutzer angelegt.

5. In der Fritzbox den Einen OpenVPN Port auf die PiHole Maschine/IP durchgeleitet

5. Das angelegte Openvpn Benutzer File auf dem Iphone/Ipad in der entsprechenden IOS-App importiert - fertig, läuft stabil auf meinem Ipad und Iphone.

Über DietPi/OpenVPN erhlte ich nun einen max. Speed über 90Mbit/s in beide Richtungen... praktisch 20x schneller als auf der Fritzbox. Wobei ich den Fritzbox L2TP VPN Zugang trotzdem parallel behalte.