OVPNIP4
IP-Tunnel mit OpenVPN einrichten auf Synology DSM

Artikel 99005

Stand 24.02.2022, 12:51:26

Version 6217713e

Zielgruppe:
Besitzer von Synology Diskstation-Geräten mit DSM Version 6.

Wir betreiben verschiedene Einwahl-Server zur Bereitstellung von IP-Tunnel-Verbindungen / festen, öffentlichen IPv4-Adressen. Die Anleitungen in dieser Kategorie sind speziell abgestimmt auf diesen Server:

  • Name: OVPNIP4
  • Hostname: ovpnip4.internet-xs.de
  • IP-Adresse: 212.58.69.4
  • Protokoll: OpenVPN / TUN / UDP oder TCP
  • Client IP-Adress-Bereich: 212.58.82.0/24 (212.58.82.1 - 212.58.82.254)
  • Benutzername / Zugangskennung Format: ixs004-....-........

Bitte prüfen Sie, ob Ihr IP-Tunnel-Zugang auch auf dem o.g. Server registriert ist.

Alle Arbeiten geschehen auf eigene Gefahr. Für Schäden an Soft- und Hardware sowie für Ausfälle Ihrer Infrastruktur sind Sie selbst verantwortlich. Wir können keine Unterstützung für nicht von uns getestete Szenarien, Hardware, Software und Betriebssysteme anbieten. Alle Anleitungen setzen ein Blanko- bzw. minimal konfiguriertes System voraus und sind als eine mögliche Konfigurationsvariante zu verstehen, die ggf. an Ihr lokales Umfeld und Ihre Anforderungen angepasst werden muss. Bitte beachten Sie immer die Sicherheitshinweise in der Bedienungsanleitung des Herstellers, besonders zum Betrieb von Hardware, dem Aufstellungsort und Betriebstemperaturen. Führen Sie Tests nicht in Produktivumgebungen durch. Testen Sie die Lösung ausgiebig, bevor Sie sie produktiv einsetzen. IT-Systeme sollten nur von qualifiziertem Personal konfiguriert werden. Als Administrator müssen Sie selbst abwägen, ob unsere Produkte und Dienstleistungen für Ihren Anwendungszweck und die gewünschte Verfügbarkeit geeignet sind, oder nicht. Führen Sie Änderungen nicht über eine entfernte Verbindung (Remote-Verbindung) durch. Verwenden Sie stets sichere Passwörter, ändern Sie Standard-Passwörter umgehend ab.

Vorwort

Die Konfiguration des OpenVPN-Clients der Synology Diskstation mit DSM kann vollständig über das Web-Interface der Diskstation durchgeführt werden.

Nach Konfiguration des OpenVPN-Clients sind alle Dienste Ihrer Synology Diskstation über das Internet über die Ihnen zugeteilte feste IPv4-Adresse erreichbar.

Sie können die Diskstation außerdem als Gateway für andere Geräte (z.B. Webcams, Heimautomation, Steueranlagen etc.) verwenden, die neben der Diskstation auch über die feste, öffentliche IPv4-Adresse kommunizieren sollen.

Benötigte Dateien herunterladen

Bitte laden Sie diese Dateien herunter:

Download “synology-dsm.udp0.ovpnip4.internet-xs.de.ovpn”

Download “ovpnip4.internet-xs.de.ca.crt.txt”

Konfiguration des OpenVPN-Clients

  1. Melden Sie sich mit einem Benutzerkonto mit Administrationsrechten (z.B. admin) an der Diskstation an.
  2. Installieren Sie das Paket “OpenVPN Server”.
  3. Navigieren Sie zur Systemsteuerung
  4. Wählen Sie den Punkt “Konnektivität” > “Netzwerk” aus.
  5. Wählen Sie oben den Reiter “Netzwerk-Schnittstelle” aus.
  6. Klicken Sie oben auf den Button “Erstellen” und wählen Sie “VPN-Profil erstellen”.
  7. Ein neues Fenster öffnet sich, “VPN-Verbindungsmethode”.
  8. Wählen Sie “OpenVPN (über den Import einer .ovpn-Datei)” aus.
  9. Geben Sie die folgenden Daten ein:
  • Profilname: IXSOVPNIP4
  • Benutzername: Der Benutzername Ihres IP-Tunnel-Zugangs (z.B. ixs004-1234-a1b2c3d4)
  • Kennwort: Das Passwort zu Ihrem IP-Tunnel-Zugang
  • .ovpn-Datei importieren: udp0.ovpnip4.internet-xs.de.ovpn
  • CA-Zertifikat: ovpnip4.internet-xs.de.ca.crt.txt
  • Nehmen Sie keine Einstellungen unter “Erweiterte Optionen” vor.
  1. Klicken Sie auf “Weiter”
  2. “Standard-Gateway auf Remote-Netzwerk verwenden” aktivieren
    “Anderen Netzwerkgeräten ermöglichen, Verbindung…” deaktivieren (aktivieren, falls Diskstation als Standard-Gateway für andere Netzwerkgeräte wie z.B. Kameras (nicht Survillance-Station) oder Smart-Home-Zentralen fungieren soll)
    “Wieder verbinden, wenn die VPN Verbindung verloren wurde” aktivieren
  3. Übernehmen
  4. Klicken Sie das neu angelegte Profil “VPN - IXSOVPNIP4” an, daraufhin wird es hellblau hinterlegt
  5. Klicken Sie oben auf “Verbinden”
  6. Nach kurzer Zeit müsste die Verbindung erfolgreich sein und Sie bekommen Ihre IPv4-Adresse (212.58.82.X212.58.82.x) angezeigt, wenn Sie auf den Pfeil ganz rechts am VPN Profil klicken.

Über die Eingabe der Ihnen zugeteilten IP-Adresse in einem Browser (z.B. auf einem Smartphone, das mit dem LTE-Netz verbunden ist) müsste bei erfolgreicher Konfiguration das Web-Interface der Diskstation erscheinen.

Standard-Adressen für das DSM Web-Interface:

  • http://212.58.82.X / http://212.58.82.X
  • http://212.58.82.X:5000 / http://212.58.82.X:5000
  • https://212.58.82.X:5001 / https://212.58.82.X:5001

Je nach Konfiguration Ihrer Diskstation sind auch andere Adressen möglich.

Firewall-Regeln

Sie können testweise die Firewall der Synology deaktivieren und prüfen, ob Sie das Webinterface erreichen.

Für Firewall-Regeln mit dem VPN-Profil:

  1. Systemsteuerung > Sicherheit
  2. Firewall
  3. Firewall-Profil: Regeln bearbeiten
  4. Oben rechts von “Alle Schnittstellen” auf “VPN” umschalten
  5. Regeln nach belieben erstellen

Port-Weiterleitungen / DNAT

Leider können über das Synology Web-Interface keine Port-Weiterleitungen / DNAT konfiguriert werden. Es lassen sich also nur die Dienste erreichbar machen, die die Synology Diskstation selbst bereitstellt (bspw. auch Note Station, File Station, Surviellance Station, Moments).

Falls Sie andere Geräte im lokalen Netzwerk per fester, öffentlicher IPv4-Adresse erreichbar machen möchten, kann der IP-Tunnel-Zugang auf einem IP-Gateway LAN konfiguriert werden.

Eigener VPN-Server

Auf Synology DSM ist es leider nicht möglich, eine OpenVPN-Client-Verbindung (zum Bezug der festen IP) und einen OpenVPN-Server gleichzeitig zu starten. Falls Sie einen OpenVPN-Server für den sicheren Zugriff in Ihr Heimnetzwerk einrichten möchten, muss die feste IP-Adresse bspw. per L2TP auf der Synology konfiguriert werden. Bitte kontaktieren Sie uns für die Umstellung Ihres OpenVPN-Zugangs auf einen L2TP-Zugang.

Reverse Proxy

Web-Oberflächen anderer Geräte (bspw. IP-Kameras, Datenlogger, Smart-Home-Zentralen o.Ä.) im lokalen Netzwerk / LAN können mittels Reverse Proxy erreichbar gemacht werden, sofern die anzusprechende Web-Oberfläche dies unterstützt.

  1. Navigieren Sie zu Systemsteuerung > Anwendungsportal > Reverse Proxy
  2. Klicken Sie auf Erstellen
  3. Beschreibung: Beliebige Beschreibung

Abschnitt “Quelle”

  1. Protokoll: HTTP oder HTTPS (HTTPS wird empfohlen, z.B. falls die Synology Diskstation über ein Let’s Encrypt-Zertifikat verfügt)
  2. Hostname: * oder ein bestimmter Hostname, (z.B. geraetename.ihre-domain.tld)
  3. Port: Eine Port-Nummer zwischen 1 und 65535, der noch nicht von der Synology Diskstation verwendet wird, z.B. 8080
  4. HSTS aktivieren: Dieses Kontrollkästchen sollte erst aktiviert werden, wenn die Verbindung mittels HTTPS reibungslos funktioniert da diese Option den Browser anweist, nur noch HTTPS-Verbindungen zuzulassen und unverschlüsselte HTTP-Verbindungen zu diesem Ziel auszuschließen.
  5. HTTP/2 aktivieren: Für erste Tests deaktiviert
  6. Zugangskontrolle aktivieren: Der Zugriff kann optional per Quell-IP erlaubt oder verboten werden, siehe Zugangskontrollprofil im Anwendungsportal.

Für erste Tests eignen sich also folgende Einstellungen:

  1. Protokoll: HTTP
  2. Hostname: *
  3. Port: z.B. 8080
  4. HSTS aktivieren: Deaktiviert
  5. HTTP/2 aktivieren: deaktiviert
  6. Zugangskontrolle aktivieren: Deaktiviert

Abschnitt “Ziel”

Diese Einstellungen werden von dem Gerät vorgegeben, das mittels Reverse Proxy angesprochen werden soll.

  1. Protokoll: HTTP oder HTTPS (bei internen Geräten i.d.R. HTTP)
  2. Hostname: Entweder ein DNS-Name oder eine interne IP-Adresse (bspw. eine Webcam, die im lokalen Netzwerk unter http://192.168.178.20 erreichbar ist)
  3. Port: Ziel-Port, z.B. 80 (falls bspw. eine Webcam, die im Lokalen Netzwerk unter http://192.168.178.20:80 erreichbar ist, ist 80 der Ziel-Port)

Hinweis zu Webcams: Häufig benötigten Webcams RTSP Port 554 o.Ä. zur Darstellung von Live-Streams, die per UDP arbeiten. UDP-Ports können nicht mittels Reverse Proxy erreichbar gemacht werden. Falls Sie nach Konfiguration des Reverse Proxys die Web-Oberfläche Ihrer IP-Kamera erreichen, jedoch keinen Live-Stream sehen, ist eine Lösung mittels Reverse Proxy nicht möglich.

Zugriff testen

Wenn die Reverse Proxy Konfiguration erfolgreich war, erreichen Sie das interne Gerät anschließend unter

http://212.58.82.X:8080

wobei 212.58.82.X der Ihrem IP-Tunnel-Zugang zugeteilten festen, öffentlichen IPv4-Adresse und 8080 dem im Abschnitt “Quelle” festgelegten Port entspricht. Falls Sie im Abschnitt “Quelle” einen Hostnamen vergeben haben, ist der Zugriff mittels

http://geraetename.ihre-domain.tld:8080

erreichbar, sofern Sie als DNS-A-Record für die Domain geraetename.ihre-domain.tld den Wert 212.58.82.X vergeben haben, wobei 212.58.82.X der Ihrem IP-Tunnel-Zugang zugeteilten festen, öffentlichen IPv4-Adresse entspricht.

Traffic

Interner Traffic, d.h. Traffic von Geräten in Ihrem Netzwerk, der zur Synology gesendet bzw. von der Synology zu Geräten im Netzwerk geschickt wird, bleibt im internen Netzwerk. Jeglicher Datenverkehr, der von der Synology ins Internet gesendet wird, wird durch den IP-Tunnel transportiert.

Erstellt
26.03.2021, 14:00:15
Zuletzt geändert
24.02.2022, 12:51:26
Version
6217713e
topf@internet-xs.de topf-white@internet-xs.de topf@internet-xs.com topf-white@internet-xs.com topf2024@internet-xs.de topf-white2024 @internet-xs.de topf2024@internet-xs.com topf-white2024 @internet-xs.com