Vorwort
Die Konfiguration des OpenVPN-Clients der Synology Diskstation mit DSM kann vollständig über das Web-Interface der Diskstation durchgeführt werden.
Nach Konfiguration des OpenVPN-Clients sind alle Dienste Ihrer Synology Diskstation über das Internet über die Ihnen zugeteilte feste IPv4-Adresse erreichbar.
Sie können die Diskstation außerdem als Gateway für andere Geräte (z.B. Webcams, Heimautomation, Steueranlagen etc.) verwenden, die neben der Diskstation auch über die feste, öffentliche IPv4-Adresse kommunizieren sollen.
Benötigte Dateien herunterladen
Bitte laden Sie diese Dateien herunter:
Download “synology-dsm.udp0.ovpnip4.internet-xs.de.ovpn”
Download “ovpnip4.internet-xs.de.ca.crt.txt”
Konfiguration des OpenVPN-Clients
- Melden Sie sich mit einem Benutzerkonto mit Administrationsrechten (z.B. admin) an der Diskstation an.
- Installieren Sie das Paket “OpenVPN Server”.
- Navigieren Sie zur Systemsteuerung
- Wählen Sie den Punkt “Konnektivität” > “Netzwerk” aus.
- Wählen Sie oben den Reiter “Netzwerk-Schnittstelle” aus.
- Klicken Sie oben auf den Button “Erstellen” und wählen Sie “VPN-Profil erstellen”.
- Ein neues Fenster öffnet sich, “VPN-Verbindungsmethode”.
- Wählen Sie “OpenVPN (über den Import einer .ovpn-Datei)” aus.
- Geben Sie die folgenden Daten ein:
- Profilname:
IXSOVPNIP4
- Benutzername: Der Benutzername Ihres IP-Tunnel-Zugangs (z.B.
ixs004-1234-a1b2c3d4
) - Kennwort: Das Passwort zu Ihrem IP-Tunnel-Zugang
- .ovpn-Datei importieren: udp0.ovpnip4.internet-xs.de.ovpn
- CA-Zertifikat: ovpnip4.internet-xs.de.ca.crt.txt
- Nehmen Sie keine Einstellungen unter “Erweiterte Optionen” vor.
- Klicken Sie auf “Weiter”
- “Standard-Gateway auf Remote-Netzwerk verwenden” aktivieren
“Anderen Netzwerkgeräten ermöglichen, Verbindung…” deaktivieren (aktivieren, falls Diskstation als Standard-Gateway für andere Netzwerkgeräte wie z.B. Kameras (nicht Survillance-Station) oder Smart-Home-Zentralen fungieren soll)
“Wieder verbinden, wenn die VPN Verbindung verloren wurde” aktivieren - Übernehmen
- Klicken Sie das neu angelegte Profil “VPN - IXSOVPNIP4” an, daraufhin wird es hellblau hinterlegt
- Klicken Sie oben auf “Verbinden”
- Nach kurzer Zeit müsste die Verbindung erfolgreich sein und Sie bekommen Ihre IPv4-Adresse (
212.58.82.X
,212.58.82.x
) angezeigt, wenn Sie auf den Pfeil ganz rechts am VPN Profil klicken.
Über die Eingabe der Ihnen zugeteilten IP-Adresse in einem Browser (z.B. auf einem Smartphone, das mit dem LTE-Netz verbunden ist) müsste bei erfolgreicher Konfiguration das Web-Interface der Diskstation erscheinen.
Standard-Adressen für das DSM Web-Interface:
- http://212.58.82.X / http://212.58.82.X
- http://212.58.82.X:5000 / http://212.58.82.X:5000
- https://212.58.82.X:5001 / https://212.58.82.X:5001
Je nach Konfiguration Ihrer Diskstation sind auch andere Adressen möglich.
Firewall-Regeln
Sie können testweise die Firewall der Synology deaktivieren und prüfen, ob Sie das Webinterface erreichen.
Für Firewall-Regeln mit dem VPN-Profil:
- Systemsteuerung > Sicherheit
- Firewall
- Firewall-Profil: Regeln bearbeiten
- Oben rechts von “Alle Schnittstellen” auf “VPN” umschalten
- Regeln nach belieben erstellen
Port-Weiterleitungen / DNAT
Leider können über das Synology Web-Interface keine Port-Weiterleitungen / DNAT konfiguriert werden. Es lassen sich also nur die Dienste erreichbar machen, die die Synology Diskstation selbst bereitstellt (bspw. auch Note Station, File Station, Surviellance Station, Moments).
Falls Sie andere Geräte im lokalen Netzwerk per fester, öffentlicher IPv4-Adresse erreichbar machen möchten, kann der IP-Tunnel-Zugang auf einem IP-Gateway LAN konfiguriert werden.
Eigener VPN-Server
Auf Synology DSM ist es leider nicht möglich, eine OpenVPN-Client-Verbindung (zum Bezug der festen IP) und einen OpenVPN-Server gleichzeitig zu starten. Falls Sie einen OpenVPN-Server für den sicheren Zugriff in Ihr Heimnetzwerk einrichten möchten, muss die feste IP-Adresse bspw. per L2TP auf der Synology konfiguriert werden. Bitte kontaktieren Sie uns für die Umstellung Ihres OpenVPN-Zugangs auf einen L2TP-Zugang.
Reverse Proxy
Web-Oberflächen anderer Geräte (bspw. IP-Kameras, Datenlogger, Smart-Home-Zentralen o.Ä.) im lokalen Netzwerk / LAN können mittels Reverse Proxy erreichbar gemacht werden, sofern die anzusprechende Web-Oberfläche dies unterstützt.
- Navigieren Sie zu Systemsteuerung > Anwendungsportal > Reverse Proxy
- Klicken Sie auf Erstellen
- Beschreibung: Beliebige Beschreibung
Abschnitt “Quelle”
- Protokoll: HTTP oder HTTPS (HTTPS wird empfohlen, z.B. falls die Synology Diskstation über ein Let’s Encrypt-Zertifikat verfügt)
- Hostname:
*
oder ein bestimmter Hostname, (z.B. geraetename.ihre-domain.tld) - Port: Eine Port-Nummer zwischen 1 und 65535, der noch nicht von der Synology Diskstation verwendet wird, z.B. 8080
- HSTS aktivieren: Dieses Kontrollkästchen sollte erst aktiviert werden, wenn die Verbindung mittels HTTPS reibungslos funktioniert da diese Option den Browser anweist, nur noch HTTPS-Verbindungen zuzulassen und unverschlüsselte HTTP-Verbindungen zu diesem Ziel auszuschließen.
- HTTP/2 aktivieren: Für erste Tests deaktiviert
- Zugangskontrolle aktivieren: Der Zugriff kann optional per Quell-IP erlaubt oder verboten werden, siehe Zugangskontrollprofil im Anwendungsportal.
Für erste Tests eignen sich also folgende Einstellungen:
- Protokoll: HTTP
- Hostname: *
- Port: z.B. 8080
- HSTS aktivieren: Deaktiviert
- HTTP/2 aktivieren: deaktiviert
- Zugangskontrolle aktivieren: Deaktiviert
Abschnitt “Ziel”
Diese Einstellungen werden von dem Gerät vorgegeben, das mittels Reverse Proxy angesprochen werden soll.
- Protokoll: HTTP oder HTTPS (bei internen Geräten i.d.R. HTTP)
- Hostname: Entweder ein DNS-Name oder eine interne IP-Adresse (bspw. eine Webcam, die im lokalen Netzwerk unter http://192.168.178.20 erreichbar ist)
- Port: Ziel-Port, z.B. 80 (falls bspw. eine Webcam, die im Lokalen Netzwerk unter http://192.168.178.20:80 erreichbar ist, ist 80 der Ziel-Port)
Hinweis zu Webcams: Häufig benötigten Webcams RTSP Port 554 o.Ä. zur Darstellung von Live-Streams, die per UDP arbeiten. UDP-Ports können nicht mittels Reverse Proxy erreichbar gemacht werden. Falls Sie nach Konfiguration des Reverse Proxys die Web-Oberfläche Ihrer IP-Kamera erreichen, jedoch keinen Live-Stream sehen, ist eine Lösung mittels Reverse Proxy nicht möglich.
Zugriff testen
Wenn die Reverse Proxy Konfiguration erfolgreich war, erreichen Sie das interne Gerät anschließend unter
http://212.58.82.X:8080
wobei 212.58.82.X der Ihrem IP-Tunnel-Zugang zugeteilten festen, öffentlichen IPv4-Adresse und 8080 dem im Abschnitt “Quelle” festgelegten Port entspricht. Falls Sie im Abschnitt “Quelle” einen Hostnamen vergeben haben, ist der Zugriff mittels
http://geraetename.ihre-domain.tld:8080
erreichbar, sofern Sie als DNS-A-Record für die Domain geraetename.ihre-domain.tld den Wert 212.58.82.X
vergeben haben, wobei 212.58.82.X
der Ihrem IP-Tunnel-Zugang zugeteilten festen, öffentlichen IPv4-Adresse entspricht.
Traffic
Interner Traffic, d.h. Traffic von Geräten in Ihrem Netzwerk, der zur Synology gesendet bzw. von der Synology zu Geräten im Netzwerk geschickt wird, bleibt im internen Netzwerk. Jeglicher Datenverkehr, der von der Synology ins Internet gesendet wird, wird durch den IP-Tunnel transportiert.