Synology & Qnap NAS: OpenVPN via IPv6 IPv4 einrichten

OpenVPN Viscosity

Wir zeigen Euch hier wie Ihr Euer Synology oder Qnap NAS von unterwegs per OpenVPN erreichen könnt – auch über IPv6.

Wer ein NAS, ein Network Attached Storage, von Synology oder Qnap zu Hause stehen hat möchte irgendwann gerne auch von außen übers Internet auf die Daten zugreifen. Hierbei ist ein VPN der sicherste Weg. Da beide Hersteller ihren Systemen einen OpenVPN Server mitgeben möchten wir diesen auch nutzen. In diesem Artikel könnt Ihr erfahren wie Ihr diese sichere Art des Zugangs für Euer Synology oder Qnap NAS einrichtet.


Vorbereitung: Portfreigabe und OpenVPN Server einschalten

Zuerst solltet Ihr auf Eurem Router einen Port freigeben, der Anfragen bis an den OpenVPN Server Eures NAS durchreicht. Der Standardport für das hier von Qnap und Synology verwendete OpenVPN ist 1194. Ihr könnt aber auch einen unbenutzten Port aus dem oberen Bereich verwenden, beispielsweise 49999.

Wir Ihr bei einer FritzBox einen entsprechenden Port freigebt haben wir hier beschrieben. Das geht recht schnell. Bei anderen Router wird die Funktion ähnlich heißen und aufgebaut sein.

Weiterhin müsst Ihr den OpenVPN Server auf dem Synology oder Qnap NAS für IPv4 oder IPv6 einschalten. Auch das ist mit ein paar Mausklicks erledigt. Beachtet bitte, dass Qnap aktuell kein IPv6 bei einer OpenVPN Verbindung unterstützt. Möchtet Ihr eine IPv6 Verbindung aufbauen, so stellt sicher, dass Euer Router die IPv6 Funktion aktiviert hat und per Prefix Delegation die Adressen an angeschlossene Geräte verteilt.

Jetzt hat Euer NAS also einen eingeschalteten OpenVPN Server, der Verbindungen durch den offenen Port Eures Routers erwartet. Zudem habt Ihr bei Bedarf die IPv6 Funktion Eures Router eingeschaltet. Kümmern wir uns nun darum, was auf Eurem Mac passiert und wie Ihr das NAS überhaupt von unterwegs erreicht.


Viscosity: Anmeldung an IPv6 und IPv4 OpenVPN Server

Da macOS keinen integrierten Client für OpenVPN mitbringt entscheiden wir uns für Viscosity als Client. Das kostet für Einzelnutzer faire 14 Dollar und der Support per Mail oder Forum ist hervorragend. Installiert Euch also nun erstmal Viscosity, für die ersten vier Wochen könnt Ihr es sogar kostenlos testen. Diese kleine Ausgabe erspart uns ein Rumwursteln in Konfigurationsdateien und auf der Kommandozeile. Wer einen VPN Client braucht, der noch Protokolle wir IPSec oder L2TP unterstützt kann auch zu “Shimo” greifen, muss dann aber 50 Euro ausgeben. Für die reine Nutzung von OpenVPN nutzen wir hier aber das exzellente Viscosity.


OpenVPN Split Tunneling zu Synology und Qnap NAS

Was wir erreichen möchten ist folgende Konfiguration: nicht nur zu Hause sondern auch von unterwegs sollen die im Finder angelegten Verknüpfungen der NAS Ordner immer erreichbar sein – unter der gleichen Adresse – schließlich haben wir die Verknüpfungen für die Netzlaufwerke im Finder bereits angelegt. Gleichzeitig soll aber auch nur der Traffic durch das VPN nach Hause geleitet werden, der auch auf dem NAS landen soll. Das gigabyteweise Streamen von Netflix soll ganz normal über das aktuelle verfügbare Netz abgewickelt werden.

Damit das möglich ist, müssen wir Split Tunneling einreichten Das heißt nichts anderes, als dass wir den Traffic, der von Eurem Mac aufsplitten: einmal zum NAS zu Hause und einmal ganz normal ins Internet.

Viscosity import connection

Die oben verlinkten Artikel zum Einschalten des OpenVPN Servers endet mit dem Herunterladen der Konfigurationsdatei bzw. dem Zertifikat. Dieses importieren wir nun in Viscosity. Dafür geht einfach unten links auf das kleine Plus und importiert die Datei. Jetzt habt Ihr eine erste Verbindung auf der Übersichtsseite von Viscosity. Markiert sie und geht unten rechts auf “Bearbeiten”.

Viscosity Connections

Lest nun im gewünschten Abschnitt (Synology IPv4/IPv6 oder Qnap IPv4) weiter:


Synology NAS: OpenVPN Server für IPv4 einrichten.

Im Tab “Allgemein” könnt Ihr nun einfach den Namen der Verbindung ändern. Wichtig ist nun die erste Einstellung, nämlich die Adresse des Remote Servers. Hier gebt Ihr die DDNS Adresse Eures NAS ein.

Viscosity DDNS

Bei Synology findet Ihr diese Einstellung in Systemsteuerung > Externer Zugriff > DDNS. Verwendet dort einen DDNS Dienst Eurer Wahl. Wir haben uns hier einfach für den von Synology entschieden (diese Funktion ist nicht mit QuickConnect identisch sondern macht das NAS nur über die IP erreichbar. Ein Einloggen ist damit nicht möglich).

DDNS Synology

Solltet Ihr schon eine DDNS für Euren Router haben, so reicht diese auch (in Zusammenspiel mit dem entsprechenden Port; nur bei IPv4) und Ihr braucht auf der Synology diese Einstellung nicht vorzunehmen.

Als Protokoll wählt einfach UDP oder UDP v4.


Einstellung des Split Tunnelings

Nun geben wir noch eine Route ein, die zu Eurem NAS zu Hause führt. Das ist sozusagen das Einführen des eigentlichen Split Tunneling: Wir sagen dem Programm, dass alle Anfragen an diese eine lokale Adresse übers VPN nach Hause geleitet werden sollen und dort zugeordnet.

Unter Netzwerk fügt Ihr unter “Routing” eine neue Route hinzu. Ziel ist die lokale Adresse Eures NAS, also beispielsweise 192.168.178.127 oder 192.168.1.3. Die IP Version bleibt “IPv4”, als Gateway wählt Ihr “VPN Gateway”.

Viscosity Route Settings

Als nächstes fügt Ihr unter DNS Einstellungen als Server “10.8.0.1” hinzu – das ist das NAS im VPN (Euer Rechner bekommt dann beispielsweise im VPN 10.8.0.2), unter Domains gebt Ihr “synology.me” oder den DDNS Dienst an, den Ihr ausgewählt habt.

Viscosity Split Tunneling

Mit diesen beiden Einstellungen erreichen wir nun, dass Viscosity weiß, welche Adresse übers VPN laufen soll (die zum NAS) und was nicht (alles andere). Zudem soll die DNS Auflösung des VPN von der Synology übernommen werden (im Gegensatz zu dem Traffic der normal im Internet landet). Die Einstellungen All Traffic und DNS Settings: Mode bleiben auf Automatik.


Synology NAS: OpenVPN Server für IPv6 einrichten.

Im Tab “Allgemein” könnt Ihr nun einfach den Namen der Verbindung ändern. Wichtig ist nun die erste Einstellung, nämlich die Adresse des Remote Servers. Hier gebt Ihr die DDNS Adresse Eures NAS ein.

Synology IPv6 DDNS

Wichtig für eine IPv6 Verbindung ist, dass es unbedingt die Synology ist, auf der der DDNS Dienst läuft. Selbst wenn Euer Router schon bei einem DDNS Dienst angemeldet ist bringt uns das hier nichts. Es muss auf der Synology konfiguriert werden.

DDNS Synology

Bei der Synology findet Ihr diese Einstellung in Systemsteuerung > Externer Zugriff > DDNS. Verwendet dort einen DDNS Dienst Eurer Wahl. Wir haben uns hier einfach für den von Synology entschieden (diese Funktion ist nicht mit QuickConnect identisch sondern macht das NAS nur über die IP erreichbar. Ein Einloggen ist damit nicht möglich).

Als Protokoll in Viscosity wählt einfach UDP oder UDP v6.

Die zweite wesentliche Einstellung auf der Synology nehmt Ihr im Tab “Systemeinstellungen > Netzwerk > Netzwerk-Schnittstelle” vor. Dort markiert “LAN” und geht dann auf “Bearbeiten”. Im Tab IPv6 wählte unter IPv6-Setup die Einstellung “DHCPv6-PD”. PD steht für Prefix Delegation und sorgt dafür dass neue vom Provider zugewiesene Präfixe der IPv6 Adresse an alle Geräte im Netzwerk weitergemeldet werden. Setzt auch einen Haken bei “Standard Gateway”.

Synology Prefix Delegation

Nun geben wir noch eine Route ein, die zu Eurem NAS zu Hause führt. Das ist sozusagen das Einführen des eigentlichen Split Tunneling: Wir sagen dem Programm, dass alle Anfragen an diese eine lokale Adresse übers VPN nach Hause geleitet werden sollen und dort zugeordnet.

Da die Einstellung des Split Tunneling genauso erfolgt wie bei der IPv4 Variante verweisen hier einfach auf oben.


Qnap NAS: OpenVPN Server für IPv4 einrichten.

Im Viscosity Tab “Allgemein” könnt Ihr nun einfach den Namen der Verbindung ändern. Wichtig ist nun die erste Einstellung, nämlich die Adresse des Remote Servers. Hier gebt Ihr die DDNS Adresse Eures Qnap NAS ein.

Viscosity DDNS

Ihr findet diese Einstellung auf Eurer Qnap in Control Panel > Network > DDNS Service. Dort habt Ihr mehrere Diensteanbieter zur Auswahl. Aktiviert die Funktion durch setzten des Häkchens. Mit dieser Funktion braucht Ihr auch nicht Qnaps Cloudfunktion nutzen.

Solltet Ihr schon eine DDNS für Euren Router haben, so reicht diese auch (in Zusammenspiel mit dem entsprechenden Port; nur bei IPv4) und Ihr braucht auf der Qnap diese Einstellung nicht vorzunehmen.

Als Protokoll ist UDP oder UDP v4 zu wählen.

Qnap DDNS

Die Einstellung des Split Tunneling erfolgt genauso wie bei der IPv4 Variante für die Synology. Wir verweisen daher einfach auf oben.


Qnap NAS: OpenVPN Server für IPv6 einrichten.

Aktuell bietet Qnaps OpenVPN Server noch keine IPv6 Unterstützung an. Wir halten Euch aber auf dem Laufenden.


NAS von unterwegs per OpenVPN erreichbar

Somit sind jetzt die Synology als auch die Qnap von unterwegs per OpenVPN erreichbar, die Synology sogar per IPv6 Adressen, also an Anschlüssen der Deutschen Glasfaser oder an Kabelanschlüssen, die keine IPv4 Adressen mehr anbieten.

Synology via VPN

Ist eine VPN Verbindung aufgebaut, lässt sich ein NAS über mehrere Adressen erreichen: Einmal über die vom VPN vergebene (meist 10.8.x.x), dann über die des angezapften Netzwerkes (meist 192.168.1.x, also so als würdet Ihr im Heimnetz sein) und dann bei IPv6 Verbindungen noch über die moderne Adressvariante. Da wir ja aber die im Finder angelegten IPv4 Adressen wahrscheinlich nutzen werden, müssen wir uns mit IPv6 erstmal nur auseinandersetzen um eine Verbindung übers Netz aufzubauen, falls es keine andere Möglichkeit gibt. Das VPN kann auf IPv4 bleiben.

Sollte es nicht klappen geht nochmal diese kleine Liste durch:

Zusammenfassung der Schritte zur Fehlersuche:

  • Portfreigabe im Router
  • evtl. Einschalten der IPv6 Funktion im Router
  • Einschalten des OpenVPN Servers
  • evtl. Einschalten der IPv6 Funktion des OpenVPN Servers
  • evtl. richtiges Konfigurieren der IPv6 Netzwerkeinstellungen des NAS
  • DDNS Erreichbarkeit des NAS
  • richtige Einstellungen in Viscosity für Split Tunneling

Bei der Nutzung des Synology OpenVPN Servers unter IPv6 muss noch erwähnt werden, dass dieser nach ein paar Tagen meckert, wenn es vom Provider neue Präfixe für die IPv6 Adressen gegeben hat.


Synology OpenVPN mit alten IPv6 Präfixen

Diese werden nämlich nicht automatisch aktualisiert (Synology weiß von natürlich von diesem Umstand und arbeitet dran). Allerdings war es nun bei uns der Fall, dass trotz dieser Fehlermeldung die OpenVPN Verbindung immer noch fehlerfrei zustande kam. Da nämlich die Adresse der Synology selbst sauber aktualisiert wurde (und damit auch die DDNS Erreichbarkeit gewährleistet ist) kommen wir so zumindest auf die Synology und werden dort auf an den OpenVPN Server weitergeleitet. Dass nun falsche Präfixe (veraltete) vorliegen scheint nur ein Problem zu sein, wenn man auch IPv6 Adressen im VPN nutzen möchte. Möchte man nur über ein IPv6 Netz ein IPv4 VPN aufbauen oder sowieso nur bis auf die Synology kommen, so stellt dieser Umstand nach unseren Erfahrungswerten keine Einschränkung da. Der Viscosity Client legt entsprechende Routen beim Verdindungsaufbau selbst an (könnt Ihr selbst unter Details verfolgen).

Synology: Das gewählte Präfix ist nicht mehr gültig, wählen Sie bitte ein gültiges Präfix

Wir haben sogar eine ausführliche Stellungname von einem Entwickler von Viscosity erhalten, die Ihr hier einsehen könnt. Wer also jetzt schon eine Synology an einem Anschluß betreiben muss, der nur über eine IPv6 Adresse verfügt und nur bis zur Synology kommen muss (anderweitige Netzwerkexperimente mal ausgenommen) sollte Glück haben dass es dauerhaft klappt. Bei diesen Umstand wären wir aber sehr froh wenn Ihr uns Euere Erfahrungen dazu mitteilen würdet!

Zuletzt aktualisiert am 11. Juni 2022 um 08:35 . Wir weisen darauf hin, dass sich hier angezeigte Preise inzwischen geändert haben können. Alle Angaben ohne Gewähr.

Zuletzt aktualisiert am 11. Juni 2022 um 08:34 . Wir weisen darauf hin, dass sich hier angezeigte Preise inzwischen geändert haben können. Alle Angaben ohne Gewähr.

Zuletzt aktualisiert am 11. Juni 2022 um 08:33 . Wir weisen darauf hin, dass sich hier angezeigte Preise inzwischen geändert haben können. Alle Angaben ohne Gewähr.

Zuletzt aktualisiert am 11. Juni 2022 um 08:32 . Wir weisen darauf hin, dass sich hier angezeigte Preise inzwischen geändert haben können. Alle Angaben ohne Gewähr.

Die Anzeige der Produkte wurde mit dem affiliate-toolkit Plugin umgesetzt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Close