RSS-Feed anzeigen

daddel80

VPN Verbindung für NAS mit externem Zugang einrichten

Bewerten
Vorwort:
Da im Forum immer wieder Fragen auftauchen, wie man eine VPN Verbindung aus dem NAS aufbauen und trotzdem weiterhin
über das Internet auf sein NAS zugreifen kann, möchte ich dazu etwas Klarheit schaffen.
Die Einrichtung werde ich exemplarisch an einem Synology NAS und einer FRITZ!Box veranschaulichen. Das lässt sich jedoch ohne weiteres auch auf andere NAS Geräte und Router übertragen, welche die gleichen Grundfunktionen unterstützen.


Allgemeines über VPN:
Über eine VPN Verbindung kann eine verschlüsselte Verbindung zu einem VPN Server hergestellt werden. Das kann zum einen für die Anonymisierung der IP Nummer im Netz dienen, oder aber um das NAS in ein anderes Netz einzubinden. Bei der weiteren Darstellung werde ich mich auf die Anonymisierung der IP Nummer konzentrieren. Die Verbindung des NAS Laufwerkes ins Internet erfolgt üblicherweise immer über die vom Provider vergebene IP-Nummer, die von jedem gelesen werden kann und eine Rückverfolgung auf den NAS Eigentümer schließen lässt. Sofern man sich jedoch per VPN Verbindung an einen VPN Server verbindet ist dies nur mit Hilfe des VPN Server Anbieters möglich, sofern der VPN Server überhaupt Log Informationen mitschreibt. Das NAS ist nach Herstellung der Verbindung nur mit der IP Adresse des VPN-Servers im Netz sichtbar. Die gesamte Kommunikation läuft dann nur über den VPN-Server zum NAS. Sofern man einen VPN-Server in den USA auswählt, bekommt man eine IP-Nummer aus dem US IP-Nummernkreis und gibt sich somit als einheimischer Benutzer der USA über den VPN Server aus.
Bei der Auswahl des richtigen VPN Anbieter zählt zum einen die Bandbreite, die er über seine VPN Server zur Verfügung stellt und das Vertrauen, das man ihm entgegenbringt keine Verbindungsdaten mit zu loggen oder weiterzugeben.


Externer Zugriff auf das NAS:
Sofern eine direkte Verbindung zum VPN Server besteht ist der Zugriff auf das NAS erst einmal nur noch aus dem Heimnetzwerk möglich. Ein Tunneln durch den Port über den Router zum NAS bringt auch keinen Erfolg.
Es gibt zwei Ansätze, um das NAS zu erreichen. Der eine ist über den VPN Server, sofern der VPN Provider dies zu lässt (eher unwahrscheinlich). Der zweite Weg ist über den Router. Um sich über den Router an das NAS anzumelden, muss ein weiterer VPN Tunnel vom Client Rechner direkt zum Router aufgebaut werden. Dies ermöglicht nach einer erfolgreichen Verbindung die Heim-IP Nummer des Routers anzusprechen. Das NAS ist dann wieder erreichbar. Ein Zugriff per VPN auf den Router hat einen weiteren Vorteil. Angreifer, die auf das NAS zugreifen wollen, haben so zusätzliche Hürden zu überwinden. Zum einen benötigen sie das VPN Zertifikat für eine erfolgreiche Verbindung, und zum anderen müssen sie dann noch das Anmeldefenster des Routers überwinden. Ein VPN Tunnel zum Router hat damit auch weitere sicherheitsrelevante Vorteil.
Klicke auf die Grafik für eine größere Ansicht

Name:	NAS_VPN.jpg
Hits:	970
Größe:	68,8 KB
ID:	2030

Weiterer Aspekt zur Erhöhung der Sicherheit:
Um nicht durch eventuelle "Aussetzer" seiner VPN Verbindung doch versehentlich seine IP Adresse durch das NAS preiszugeben, ist ein sicherer Mechanismus den Zugriff des NAS auf bestimmten Seiten durch eine Blacklist zu blockieren. Der VPN Tunnel umgeht die Blacklist automatisch. Ist jedoch der VPN Tunnel nicht aktiv kann das NAS auf diese Seiten nicht zugreifen.

Einrichtung einer VPN Verbindung auf einem Synology NAS:
unter Systemsteuerung > Netzwerk-Schnittstelle > Erstellen müssen die VPN Einstellungen für das NAS eingestellt werden. Dazu bitte die Informationen des VPN Providers lesen.
Die Option "Wieder verbinden, wenn die VPN Verbindung verloren wurde" sorgt dafür, dass beim Neustart oder bei Netzwerkstörungen die VPN Verbindung sofort wieder aufgebaut wird.

Klicke auf die Grafik für eine größere Ansicht

Name:	SynologyVPNeinrichten.jpg
Hits:	1007
Größe:	111,9 KB
ID:	2027

Einrichtung einer VPN Verbindung zu einer FRITZ!Box
Zum Einrichten eines VPN Zuganges auf der FRITZ!Box werden zwei Programme benötigt, die hier heruntergeladen werden können. http://avm.de/service/vpn/uebersicht/
Mit einem Programm werden die Konfigurationsdateien eingerichtet und dann in das VPN Programm Fritz!Fernzugang eingebunden.

Nachdem das Programm "FRITZ!Box-Fernzugang einrichten" installiert ist, müssen folgende Schritte für das Erstellen der Konfigurationsdateien durchlaufen werden.

Klicke auf die Grafik für eine größere Ansicht

Name:	FRITZBoxFernzugangEinrichten1.jpg
Hits:	937
Größe:	76,1 KB
ID:	2028

Klicke auf die Grafik für eine größere Ansicht

Name:	FRITZBoxFernzugangEinrichten2.jpg
Hits:	935
Größe:	57,0 KB
ID:	2029

Klicke auf die Grafik für eine größere Ansicht

Name:	FRITZBoxFernzugangEinrichten3.jpg
Hits:	928
Größe:	54,8 KB
ID:	2021
... hier die eigene Mailadresse angeben. Unter dieser werden dann die Konfigurationsdateien angelegt

Klicke auf die Grafik für eine größere Ansicht

Name:	FRITZBoxFernzugangEinrichten4.jpg
Hits:	921
Größe:	80,8 KB
ID:	2022
Hier benötigt man einen Dynamic DNS-Namen, also einen Namen für den Router über den er permanent im Internet erreichbar ist. Dazu muss man seinen Router bei einem Dynamic DNS Dienst im Internet anmelden, oder man nutzt den von AVM angebotenen My!FRITZ Dienst, der genau das Gleiche tut. Letzteres kann ich empfehlen, denn es ist ein für alle FRITZ!Box Besitzer kostenfreier Dienst von AVM.

Klicke auf die Grafik für eine größere Ansicht

Name:	FRITZBoxFernzugangEinrichten5.jpg
Hits:	905
Größe:	108,4 KB
ID:	2023
Hier wird der IP-Nummernkreis des Heimnetzwerkes eingestellt. Sofern der IP-Nummernkreis im Heimnetzwerk mit 192.168.178 beginnt kann man die Standardeinstellung übernehmen. Den unteren Haken nicht setzen, denn man möchte von seinem Client ja nur auf sein NAS zugreifen und nicht alle Daten über den heimischen Router schicken.

Somit erhält man am Ende zwei Konfigurationsdateien.
Anschließend in die FRITZ!Box Oberfläche unter Einstellungen > Erweiterte Einstellungen > Internet > Freigaben > VPN wechseln und eine neue VPN Verbindung hinzufügen.
Hier die Option zum Importieren einer vorhandenen Konfiguration auswählen. Dazu die CFG Datei mit dem Dynamic DNS Namen auswählen.

Klicke auf die Grafik für eine größere Ansicht

Name:	FRITZBoxVPN2.jpg
Hits:	896
Größe:	91,6 KB
ID:	2024

Nach der Installation des Programms "FRITZ!Fernzugang" unter Datei > Import die CFG Datei mit der Mail Adresse auswählen.

Klicke auf die Grafik für eine größere Ansicht

Name:	FRITZBoxVPN3.jpg
Hits:	883
Größe:	38,3 KB
ID:	2025
Die Verbindung kann mit dem Telefonhörer auf- und abgebaut werden. Das funktioniert nur, wenn man den Client Rechner nicht im Heimnetz angemeldet hat.

Einrichtung einer VPN Verbindung von Android zur FRITZ!Box:
Wer auch unterwegs auf sein NAS zugreifen möchte kann das per VPN auch von seinem Telefon aus machen. Die nächsten Schritte beschreiben die Einrichtung einer VPN Verbindung von Android zur FRITZ!Box.

Zu Anfang muss „FRITZ!Box-Fernzugang einrichten“ gestartet werden. Dort ein neues Profil anlegen.

Klicke auf die Grafik für eine größere Ansicht

Name:	AndroidVPN1.jpg
Hits:	887
Größe:	40,9 KB
ID:	2040

Klicke auf die Grafik für eine größere Ansicht

Name:	AndroidVPN2.jpg
Hits:	886
Größe:	78,0 KB
ID:	2041

Klicke auf die Grafik für eine größere Ansicht

Name:	AndroidVPN3.jpg
Hits:	877
Größe:	64,0 KB
ID:	2042

Klicke auf die Grafik für eine größere Ansicht

Name:	AndroidVPN4.jpg
Hits:	876
Größe:	56,5 KB
ID:	2043
... es ist verwunderlich warum AVM Android vergessen hat aufzuzählen, denn die Konfiguration für iPhones ist die gleiche wie für Android.

Klicke auf die Grafik für eine größere Ansicht

Name:	AndroidVPN5.jpg
Hits:	876
Größe:	54,6 KB
ID:	2044

Klicke auf die Grafik für eine größere Ansicht

Name:	AndroidVPN6.jpg
Hits:	872
Größe:	88,1 KB
ID:	2045

Klicke auf die Grafik für eine größere Ansicht

Name:	AndroidVPN7.jpg
Hits:	875
Größe:	73,8 KB
ID:	2046

In dem neuen User Verzeichnis, hier mit dem Namen vpnphone_mymailserver,_de befindet sich eine TXT-Datei mit der Beschreibung welche Werte bei der VPN Konfiguration einzutragen sind.

Die CFG Datei mit dem Namen des Router muss wieder in der FRITZ Oberfläche unter Einstellungen > Erweiterte Einstellungen > Internet > Freigaben > VPN > VPN Verbindung hinzufügen geladen werden. Es wird anschließend der zweite User, der gerade eingerichtet wurde, angezeigt.

Auf dem Telefon unter Einstellungen > Mehr ... > VPN ein neues Profil erstellen.


Klicke auf die Grafik für eine größere Ansicht

Name:	AndroidVPN8.jpg
Hits:	872
Größe:	89,6 KB
ID:	2047
hier für den IPSec-Schlüssel den vorher eingegebenen Schlüssel (Shared Secret) eingeben. In diesem Beispiel "geheimer_Schluessel"

Klicke auf die Grafik für eine größere Ansicht

Name:	AndroidVPN9.jpg
Hits:	872
Größe:	68,1 KB
ID:	2048
Hier das vorher eingegebene Kennwort eingeben. In diesem Beispiel "geheimes_Kennwort".

Damit sind alle Einstellungen gemacht und eine Verbindung zum NAS ist jetzt auch vom Smartphone möglich.

Sofern euch diese Anleitung weitergeholfen hat, schreibt doch einen kurzen Kommentar. Anregungen, Erweiterungen und Korrekturen werden selbstverständlich auch gern gelesen

"VPN Verbindung für NAS mit externem Zugang einrichten" bei Mister Wong speichern "VPN Verbindung für NAS mit externem Zugang einrichten" bei YiGG.de speichern "VPN Verbindung für NAS mit externem Zugang einrichten" bei Google speichern "VPN Verbindung für NAS mit externem Zugang einrichten" bei del.icio.us speichern

Stichworte: - Stichworte bearbeiten
Kategorien
Kategorielos

Kommentare