• VPN Verbindung für NAS mit Internet Zugang einrichten

    Da im Forum immer wieder Fragen auftauchen, wie man eine VPN Verbindung aus dem NAS aufbauen und trotzdem weiterhin
    über das Internet auf sein NAS zugreifen kann, möchte ich dazu etwas Klarheit schaffen.
    Die Einrichtung werde ich exemplarisch an einem Synology NAS und einer FRITZ!Box veranschaulichen. Das lässt sich jedoch ohne weiteres auch auf andere NAS Geräte und Router übertragen, welche die gleichen Grundfunktionen unterstützen.

    Allgemeines über VPN:
    Über eine VPN Verbindung kann eine verschlüsselte Verbindung zu einem VPN Server hergestellt werden. Das kann zum einen für die Anonymisierung der IP Nummer im Netz dienen, oder aber um das NAS in ein anderes Netz einzubinden. Bei der weiteren Darstellung werde ich mich auf die Anonymisierung der IP Nummer konzentrieren. Die Verbindung des NAS Laufwerkes ins Internet erfolgt üblicherweise immer über die vom Provider vergebene IP-Nummer, die von jedem gelesen werden kann und eine Rückverfolgung auf den NAS Eigentümer schließen lässt. Sofern man sich jedoch per VPN Verbindung an einen VPN Server verbindet ist dies nur mit Hilfe des VPN Server Anbieters möglich, sofern der VPN Server überhaupt Log Informationen mitschreibt. Das NAS ist nach Herstellung der Verbindung nur mit der IP Adresse des VPN-Servers im Netz sichtbar. Die gesamte Kommunikation läuft dann nur über den VPN-Server zum NAS. Sofern man einen VPN-Server in den USA auswählt, bekommt man eine IP-Nummer aus dem US IP-Nummernkreis und gibt sich somit als einheimischer Benutzer der USA über den VPN Server aus.
    Bei der Auswahl des richtigen VPN Anbieter zählt zum einen die Bandbreite, die er über seine VPN Server zur Verfügung stellt und das Vertrauen, das man ihm entgegenbringt keine Verbindungsdaten mit zu loggen oder weiterzugeben.


    Externer Zugriff auf das NAS:
    Sofern eine direkte Verbindung zum VPN Server besteht ist der Zugriff auf das NAS erst einmal nur noch aus dem Heimnetzwerk möglich. Ein Tunneln durch den Port über den Router zum NAS bringt auch keinen Erfolg.
    Es gibt zwei Ansätze, um das NAS zu erreichen. Der eine ist über den VPN Server, sofern der VPN Provider dies zu lässt (eher unwahrscheinlich). Der zweite Weg ist über den Router. Um sich über den Router an das NAS anzumelden, muss ein weiterer VPN Tunnel vom Client Rechner direkt zum Router aufgebaut werden. Dies ermöglicht nach einer erfolgreichen Verbindung die Heim-IP Nummer des Routers anzusprechen. Das NAS ist dann wieder erreichbar. Ein Zugriff per VPN auf den Router hat einen weiteren Vorteil. Angreifer, die auf das NAS zugreifen wollen, haben so zusätzliche Hürden zu überwinden. Zum einen benötigen sie das VPN Zertifikat für eine erfolgreiche Verbindung, und zum anderen müssen sie dann noch das Anmeldefenster des Routers überwinden. Ein VPN Tunnel zum Router hat damit auch weitere sicherheitsrelevante Vorteil.


    Weiterer Aspekt zur Erhöhung der Sicherheit:
    Um nicht durch eventuelle "Aussetzer" seiner VPN Verbindung doch versehentlich seine IP Adresse durch das NAS preiszugeben, ist ein sicherer Mechanismus den Zugriff des NAS auf bestimmten Seiten durch eine Blacklist zu blockieren. Der VPN Tunnel umgeht die Blacklist automatisch. Ist jedoch der VPN Tunnel nicht aktiv kann das NAS auf diese Seiten nicht zugreifen.

    Einrichtung einer VPN Verbindung auf einem Synology NAS:
    unter Systemsteuerung > Netzwerk-Schnittstelle > Erstellen müssen die VPN Einstellungen für das NAS eingestellt werden. Dazu bitte die Informationen des VPN Providers lesen.
    Die Option "Wieder verbinden, wenn die VPN Verbindung verloren wurde" sorgt dafür, dass beim Neustart oder bei Netzwerkstörungen die VPN Verbindung sofort wieder aufgebaut wird.



    Einrichtung einer VPN Verbindung zu einer FRITZ!Box
    Zum Einrichten eines VPN Zuganges auf der FRITZ!Box werden zwei Programme benötigt, die hier heruntergeladen werden können. http://avm.de/service/vpn/uebersicht/
    Mit einem Programm werden die Konfigurationsdateien eingerichtet und dann in das VPN Programm Fritz!Fernzugang eingebunden.

    Nachdem das Programm "FRITZ!Box-Fernzugang einrichten" installiert ist, müssen folgende Schritte für das Erstellen der Konfigurationsdateien durchlaufen werden.






    ... hier die eigene Mailadresse angeben. Unter dieser werden dann die Konfigurationsdateien angelegt


    Hier benötigt man einen Dynamic DNS-Namen, also einen Namen für den Router über den er permanent im Internet erreichbar ist. Dazu muss man seinen Router bei einem Dynamic DNS Dienst im Internet anmelden, oder man nutzt den von AVM angebotenen My!FRITZ Dienst, der genau das Gleiche tut. Letzteres kann ich empfehlen, denn es ist ein für alle FRITZ!Box Besitzer kostenfreier Dienst von AVM.


    Hier wird der IP-Nummernkreis des Heimnetzwerkes eingestellt. Sofern der IP-Nummernkreis im Heimnetzwerk mit 192.168.178 beginnt kann man die Standardeinstellung übernehmen. Den unteren Haken nicht setzen, denn man möchte von seinem Client ja nur auf sein NAS zugreifen und nicht alle Daten über den heimischen Router schicken.

    Somit erhält man am Ende zwei Konfigurationsdateien.
    Anschließend in die FRITZ!Box Oberfläche unter Einstellungen > Erweiterte Einstellungen > Internet > Freigaben > VPN wechseln und eine neue VPN Verbindung hinzufügen.
    Hier die Option zum Importieren einer vorhandenen Konfiguration auswählen. Dazu die CFG Datei mit dem Dynamic DNS Namen auswählen.



    Nach der Installation des Programms "FRITZ!Fernzugang" unter Datei > Import die CFG Datei mit der Mail Adresse auswählen.


    Die Verbindung kann mit dem Telefonhörer auf- und abgebaut werden. Das funktioniert nur, wenn man den Client Rechner nicht im Heimnetz angemeldet hat.

    Einrichtung einer VPN Verbindung von Android zur FRITZ!Box:
    Wer auch unterwegs auf sein NAS zugreifen möchte kann das per VPN auch von seinem Telefon aus machen. Die nächsten Schritte beschreiben die Einrichtung einer VPN Verbindung von Android zur FRITZ!Box.

    Zu Anfang muss „FRITZ!Box-Fernzugang einrichten“ gestartet werden. Dort ein neues Profil anlegen.








    ... es ist verwunderlich warum AVM Android vergessen hat aufzuzählen, denn die Konfiguration für iPhones ist die gleiche wie für Android.







    In dem neuen User Verzeichnis, hier mit dem Namen vpnphone_mymailserver,_de befindet sich eine TXT-Datei mit der Beschreibung welche Werte bei der VPN Konfiguration einzutragen sind.

    Die CFG Datei mit dem Namen des Router muss wieder in der FRITZ Oberfläche unter Einstellungen > Erweiterte Einstellungen > Internet > Freigaben > VPN > VPN Verbindung hinzufügen geladen werden. Es wird anschließend der zweite User, der gerade eingerichtet wurde, angezeigt.

    Auf dem Telefon unter Einstellungen > Mehr ... > VPN ein neues Profil erstellen.



    hier für den IPSec-Schlüssel den vorher eingegebenen Schlüssel (Shared Secret) eingeben. In diesem Beispiel "geheimer_Schluessel"


    Hier das vorher eingegebene Kennwort eingeben. In diesem Beispiel "geheimes_Kennwort".

    Damit sind alle Einstellungen gemacht und eine Verbindung zum NAS ist jetzt auch vom Smartphone möglich.

    Sofern euch diese Anleitung weitergeholfen hat, schreibt doch einen kurzen Kommentar. Anregungen, Erweiterungen und Korrekturen werden selbstverständlich auch gern gelesen.
    Ursprünglich wurde dieser Artikel in diesem Blog veröffentlicht: VPN Verbindung für NAS mit externem Zugang einrichten - Erstellt von: daddel80