Mit einer VPN-Verbindung (z.B. via L2TP/IPSec) kann sicher aus der Ferne auf die QNAP-NAS zugegriffen werden. Die Ersteinrichtung ist allerdings kein Kinderspiel.
Inhaltsverzeichnis
Einleitung: Sicherer Fernzugriff auf eine QNAP-NAS
Über das Internet sollten aus Sicherheitsgründen nur die absolut notwendigsten Dienste bzw. Ports erreichbar sein (= „Weniger ist mehr!“). Für einen möglichst sicheren Fernzugriff sollte man sich daher auf die VPN-Ports beschränken. Erst nach erfolgreichem VPN-Verbindungsaufbau kann auf andere NAS-Dienste zugegriffen werden.
L2TP/IPsec Ports erlauben und weiterleiten
Die nachstehenden Ports müssen von der Firewall eingehend erlaubt und an die betroffene QNAP-NAS weitergeleitet werden. Bei einfach gestrickten Consumer-Geräten (z.B. Kabelmodem mit integriertem WLAN-Router) genügt meist eine Portweiterleitung (auch „Virtuelle Server“ genannt) zur QNAP-NAS. Die NAS sollte entweder eine fixe oder eine per DHCP reservierte interne IP-Adresse haben.
L2TP/IPSec erfordert folgende UDP-Ports:
- 500
- 1701
- 4500
Beispiel-Konfiguration „Virtuelle Server“ auf meinem WLAN-Router:
Dynamisches DNS (DDNS) verwenden
Da der Internetanschluss der NAS wahrscheinlich nicht über eine fixe Internet-IP-Adresse verfügt, ist ein Dynamischer DNS für den Fernzugriff notwendig. Falls bereits ein DDNS auf Firewall bzw. Router zum Einsatz kommt, kann natürlich auch dieser verwendet werden. QNAP bietet aber über die myQNAPcloud einen kostenlosen DDNS an. Die Einstellungen findet man unter:
Hauptmenü → myQNAPcloud:
My DDNS:
VPN-Server-App „QVPN Service“ installieren & starten
Die App „QVPN Service“ stellt die VPN-Server-Dienste auf der QNAP-NAS bereit.
AppCenter öffnen → Suche nach QVPN → Installieren:
Danach kann die QVPN Service App entweder direkt aus dem AppCenter oder im Hauptmenü gestartet werden:
QVPN Service: L2TP/IPSec (PSK) konfigurieren
- L2TP/IPSec (PSK) aktivieren
- ggf. IP-Adressbereich anpassen
- „Pre-Shared Key (shared secret)“ setzen (= Passwort)
- Authentifzierung: MS-CHAPv2 setzen
Privilegieneinstellungen → VPN-Benutzer hinzufügen → L2TP/IPSec aktivieren:
Windows 10: L2TP/IPSec (PSK) über NAT-Netzwerke aktivieren
Leider lässt Windows 10 (sowie frühere Versionen) L2TP/IPSec standardmäßig nicht über NAT-Verbindungen zu. Daher muss zunächst ein Registry-Eintrag gesetzt werden:
- Registrierungseditor „regedit“ öffnen (Windows Start → regedit eingeben)
- Zu „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent“ navigieren
- Neuen Eintrag erstellen:
- DWORD-Wert (32-Bit)
- Wertname: AssumeUDPEncapsulationContextOnSendRule
- Wert: 2 (Hexadezimal)
- Computer neu starten
Windows 10: L2TP/IPSec (PSK) Verbindung einrichten
Windows Einstellungen öffnen:
VPN → VPN-Verbindung hinzufügen:
VPN-Verbindung konfigurieren:
- VPN-Anbieter: Windows (integriert)
- Verbindungsname: Name der VPN-Verbindung (frei wählbar)
- Servername oder IP-Adresse: DDNS-Adresse
- VPN-Typ: L2TP/IPsec mit vorinstalliertem Schlüssel
- Vorinstallierter Schlüssel: Pre-Shared Key (shared secret) aus QVPN Service App
- Anmeldeinformationstyp: Benutzername und Kennwort
- Benutzername: Benutzername mit VPN-Berechtigung (Tipp: Groß/Kleinschreibung beachten!)
- Kennwort: Kennwort des Benutzers
- Anmeldeinformationen speichern: aktivieren/deaktivieren
VPN-Verbindung in den Windows-Einstellungen herstellen:
VPN-Verbindung über Windows-Systray/Taskbar herstellen:
QNAP-Windows-Programme: myQNAPcloud Connect und QVPN
QNAP bietet mit myQNAPcloud Connect und QVPN zwei Windows-Programme die eine L2TP/IPSec (PSK) VPN Verbindung einrichten und verbinden können. Allerdings benötigt man keines der beiden Tools unbedingt. Ein netter Mehrwert beider Programme sind die weiterführenden App-Links (siehe Screenshots unten). QVPN bietet außerdem Logs und Infos über die Verbindungsgeschwindigkeit.
Apple iOS: L2TP/IPSec (PSK) VPN-Verbindung konfigurieren
iOS Einstellungen öffnen (hier kann eine bestehende VPN-Verbindung schnell aktiviert/deaktiviert werden):
Allgemein öffnen → VPN:
VPN hinzufügen:
VPN konfigurieren:
- Beschreibung: Name der VPN-Verbindung (frei wählbar)
- Server: DDNS-Adresse
- Account: Benutzername mit VPN-Berechtigung
- Passwort: Passwort des Benutzers
- Shared Secret: Pre-Shared Key (shared secret) aus QVPN Service App
- Gesamten Verkehr senden: aktivieren (empfohlen)
- Proxy: aus (außer es soll ein Proxy-Server verwendet werden)
VPN verbinden/trennen:
Im Anschluss können die QNAP-Apps (oder auch andere Apps) eine Verbindung zur NAS herstellen.
Mehr auf QNAP.com