QNAP-NAS: L2TP/IPSec (PSK) VPN einrichten & verwenden

Symbolbild VPN Protected
CC0 | Pixabay.com

Mit einer VPN-Verbindung (z.B. via L2TP/IPSec) kann sicher aus der Ferne auf die QNAP-NAS zugegriffen werden. Die Ersteinrichtung ist allerdings kein Kinderspiel.

Einleitung: Sicherer Fernzugriff auf eine QNAP-NAS

Über das Internet sollten aus Sicherheitsgründen nur die absolut notwendigsten Dienste bzw. Ports erreichbar sein (= „Weniger ist mehr!“). Für einen möglichst sicheren Fernzugriff sollte man sich daher auf die VPN-Ports beschränken. Erst nach erfolgreichem VPN-Verbindungsaufbau kann auf andere NAS-Dienste zugegriffen werden.

L2TP/IPsec Ports erlauben und weiterleiten

Die nachstehenden Ports müssen von der Firewall eingehend erlaubt und an die betroffene QNAP-NAS weitergeleitet werden. Bei einfach gestrickten Consumer-Geräten (z.B. Kabelmodem mit integriertem WLAN-Router) genügt meist eine Portweiterleitung (auch „Virtuelle Server“ genannt) zur QNAP-NAS. Die NAS sollte entweder eine fixe oder eine per DHCP reservierte interne IP-Adresse haben.

L2TP/IPSec erfordert folgende UDP-Ports:

  • 500
  • 1701
  • 4500

Beispiel-Konfiguration „Virtuelle Server“ auf meinem WLAN-Router:

L2TP/IPSec (PSK) Ports - Virtuelle Server

Dynamisches DNS (DDNS) verwenden

Da der Internetanschluss der NAS wahrscheinlich nicht über eine fixe Internet-IP-Adresse verfügt, ist ein Dynamischer DNS für den Fernzugriff notwendig. Falls bereits ein DDNS auf Firewall bzw. Router zum Einsatz kommt, kann natürlich auch dieser verwendet werden. QNAP bietet aber über die myQNAPcloud einen kostenlosen DDNS an. Die Einstellungen findet man unter:

Hauptmenü → myQNAPcloud:

QNAP QTS Hauptmenü - myQNAPcloud

My DDNS:

QNAP QTS myQNAPcloud - DDNS

VPN-Server-App „QVPN Service“ installieren & starten

Die App „QVPN Service“ stellt die VPN-Server-Dienste auf der QNAP-NAS bereit.

AppCenter öffnen → Suche nach QVPN → Installieren:

QNAP QTS AppCenter - QVPN Service App

Danach kann die QVPN Service App entweder direkt aus dem AppCenter oder im Hauptmenü gestartet werden:

QNAP QTS Hauptmenü - QVPN Service

QVPN Service: L2TP/IPSec (PSK) konfigurieren

  • L2TP/IPSec (PSK) aktivieren
  • ggf. IP-Adressbereich anpassen
  • „Pre-Shared Key (shared secret)“ setzen (= Passwort)
  • Authentifzierung: MS-CHAPv2 setzen

QNAP QTS - QVPN Service - L2TP/IPSec (PSK)

Privilegieneinstellungen → VPN-Benutzer hinzufügen → L2TP/IPSec aktivieren:

QNAP QTS - QVPN Service - Privilegieneinstellungen

Windows 10: L2TP/IPSec (PSK) über NAT-Netzwerke aktivieren

Leider lässt Windows 10 (sowie frühere Versionen) L2TP/IPSec standardmäßig nicht über NAT-Verbindungen zu. Daher muss zunächst ein Registry-Eintrag gesetzt werden:

  • Registrierungseditor „regedit“ öffnen (Windows Start → regedit eingeben)
  • Zu „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent“ navigieren
  • Neuen Eintrag erstellen:
    • DWORD-Wert (32-Bit)
    • Wertname: AssumeUDPEncapsulationContextOnSendRule
    • Wert: 2 (Hexadezimal)
  • Computer neu starten

Windows 10: Registry-Key AssumeUDPEncapsulationContextOnSendRule setzen

Windows 10: L2TP/IPSec (PSK) Verbindung einrichten

Windows Einstellungen öffnen:

Windows 10 Einstellungen - Netzwerk und Internet

VPN → VPN-Verbindung hinzufügen:

Windows 10 Einstellungen - VPN

VPN-Verbindung konfigurieren:

  • VPN-Anbieter: Windows (integriert)
  • Verbindungsname: Name der VPN-Verbindung (frei wählbar)
  • Servername oder IP-Adresse: DDNS-Adresse
  • VPN-Typ: L2TP/IPsec mit vorinstalliertem Schlüssel
  • Vorinstallierter Schlüssel: Pre-Shared Key (shared secret) aus QVPN Service App
  • Anmeldeinformationstyp: Benutzername und Kennwort
  • Benutzername: Benutzername mit VPN-Berechtigung (Tipp: Groß/Kleinschreibung beachten!)
  • Kennwort: Kennwort des Benutzers
  • Anmeldeinformationen speichern: aktivieren/deaktivieren

Windows 10 Einstellungen - L2TP/IPSec-VPN-Verbindung hinzufügen

VPN-Verbindung in den Windows-Einstellungen herstellen:

Windows 10 Einstellungen - VPN verbinden

VPN-Verbindung über Windows-Systray/Taskbar herstellen:

Windows 10 Systray Taskbar - VPN verbinden

QNAP-Windows-Programme: myQNAPcloud Connect und QVPN

myQNAPcloud Connect

myQNAPcloud Connect

QVPN

QVPN

QNAP bietet mit myQNAPcloud Connect und QVPN zwei Windows-Programme die eine L2TP/IPSec (PSK) VPN Verbindung einrichten und verbinden können. Allerdings benötigt man keines der beiden Tools unbedingt. Ein netter Mehrwert beider Programme sind die weiterführenden App-Links (siehe Screenshots unten). QVPN bietet außerdem Logs und Infos über die Verbindungsgeschwindigkeit.

Apple iOS: L2TP/IPSec (PSK) VPN-Verbindung konfigurieren

iOS Einstellungen öffnen (hier kann eine bestehende VPN-Verbindung schnell aktiviert/deaktiviert werden):

Apple iOS - Einstellungen

Allgemein öffnen → VPN:

Apple iOS - Einstellungen - Allgemein

VPN hinzufügen:

Apple iOS - Einstellungen - Allgemein - VPN

VPN konfigurieren:

  • Beschreibung: Name der VPN-Verbindung (frei wählbar)
  • Server: DDNS-Adresse
  • Account: Benutzername mit VPN-Berechtigung
  • Passwort: Passwort des Benutzers
  • Shared Secret: Pre-Shared Key (shared secret) aus QVPN Service App
  • Gesamten Verkehr senden: aktivieren (empfohlen)
  • Proxy: aus (außer es soll ein Proxy-Server verwendet werden)

Apple iOS - Einstellungen - Allgemein - VPN hinzufügen

VPN verbinden/trennen:

Apple iOS - Einstellungen - Allgemein - VPN verbinden

Im Anschluss können die QNAP-Apps (oder auch andere Apps) eine Verbindung zur NAS herstellen.

Mehr auf QNAP.com

nach oben