Datenzugriff über das Internet per VPN / IPSec Tunnel.
Vielleicht hilft es ja jemanden, wenn ich hier mal meine Erfahrungen niederschreibe:
Zunächst:
1.) Es funktioniert
2.) Es ist ganz einfach
Voraussetzung ist, dass die Synology Disk-Station (DS) erst mal läuft (was angesichts der beigefügten Software keinen vor ernsthafte Probleme stellen dürfte). Ich habe der Einfachheit halber die Benutzer-Namen für die DS genauso gewählt, wie die der Computer-Benutzer im Netzwerk. Das erspart zusätzliche Anmeldungen.
Weiter sollte natürlich der Router laufen und eine stabile Internetverbindung zur Verfügung stellen.
Dann sollte man sich zunächst in sein Router-Menü begeben und der DS einmalig eine feste interne IP-Adresse zuweisen. So ist es nachher einfach, den Zugriff zu steuern. Beim Draytek-Router geschieht das im Menü LAN, Untermenü IP an MAC binden. Die MAC-Adresse der DS findet sich im Administrations-Menü der DS unter dem Punkt Information, Unterpunkt Status. Hat man die MAC-Adresse, begibt man sich in das genannte Draytek-Router Menü LAN, Untermenü IP an MAC binden, und sucht in der linken Spalte nach der MAC-Adresse der DS. Diesen Eintrag einfach doppelklicken. Dann erscheint er auch in der rechten Tabelle. OK klicken und dieser Teil ist erledigt.
Dann besorgt man sich - unbedingt von einem Computer aus, der an dem Draytek-Router hängt - eine virtuelle Internetadresse bei einem der vielen kostenfreien Anbieter wie z. B. www.dyndns.org, www.no-ip.com, www.dtdns.com, www.changeip.com, www.dynamic-nameserver.com, einen DDNS-Account. Hier wird die vom Internetanbieter normalerweise zur Verfügung gestellte dynamische IP-Adresse an eine Virtuelle Domain geknüpft.
Die Anbieter vergeben diese Namen meist nach dem Muster xyz.dyndns.org oder abc.no-ip.com, wobei man den Namensteil xyz bzw. abc selbst festlegen kann. Ich meine, je kryptischer dieser Namensteil ist, desto sicherer ist die Sache. Man sollte auch hier die Sicherheitsvorgaben für Passworte beachten. Also keine Begriffe, die man erfolgreich googeln kann, möglichst Ziffern und Buchstaben mischen und mindestens 8 Zeichen Länge. Hier sollte man aber - wie bei allen Passworten nicht sparsam sein, auch wenn es Mühe macht. Begriffe wie „schalke04“ taugen NICHT als Passwort (kann man googeln)!!! Besser ist so was wie „sfd3u5kj45x“.
Diese virtuelle Domain trägt man dann in seinen Router ein. Beim Draytek-Router unter dem Menüpunkt Anwendungen, Unterpunkt dynamisches DNS. Der Draytek-Router bietet die Möglichkeit, drei DDNS-Dienste zu verwalten. Aus Gründen der Redundanz empfehle ich, mindesten zwei Dienste zu nutzen - kostet ja nichts, macht die Sache aber ausfallsicher. Bezüglich der notwendigen Eintragungen verweise ich auf das sehr ausführliche Handbuch des Routers, das es unter http://draytek.de/Handbuecher.htm gibt. Ich habe den Auto-Update Intervall auf 60 Minuten gesetzt, damit man nicht ewig warten muss, wenn der Internet-Provider einem eine neue IP-Adresse zuweist. So teilt der Router automatisch alle 60 Minuten dem/n DDNS-Anbieter/n mit, welche IP-Adresse er mit der virtuellen Domain (sfd3u5kj45x.dyndns.org oder so …) verknüpfen soll. OK klicken und auch dieser Teil ist erledigt.
Im nächsten Schritt lädt man sich dann von shrewsoft unter http://www.shrewsoft.com/download den kostenlosen VPN-Client und installiert diese Software.
Die nächsten Schritte erklärt am besten die Anleitung von Draytek zum Konfigurieren der shrewsoft-Software und des Routers, die es unter http://draytek.de/Beispiele_html/VPN/ShrewSoft_Client.htm gibt. Achtung: Bitte SEHR sorgfältig alle Eintragungen vornehmen. Fehler sucht man hinterher stundenlang. Die in der Anleitung mit „test 1“ und „test 2“ beschriebenen Begriffe sind variabel, man kann sie selbst festlegen. Wichtig ist nur, dass man im Router und in der VPN-Software exakt genau die gleichen Begriffe eingibt, incl. der Groß- und Kleinschreibung. Bei der Festlegung des IKE-Pre-shares Key gilt das auch. Insbesondere hier gilt es aber höchste Sicherheitsanforderungen zu beachten: MINDESTENS 16stelliges Passwort unter Beachtung der o.g. Regeln (NICHT „schalke04“ etc., s.o.), sonst ist der Tunnel angreifbar und nicht „abhörsicher“.
Wenn man dann fehlerfrei ;-) (besser 5 x kontrollieren) eine Einwahlverbindung im Shrewsoft-Programm konfiguriert hat, ist man in der Lage, aus einer anderen Internet-Verbindung heraus (wenn die DS am Standort 1 genutzt wird am Standort 2, also nicht aus der Internetverbindung, die der Vigor-Router am Standort 1 selbst aufbaut) einen IPSec-Tunnel zum eigenen Router am Standort 1 herzustellen. Wichtig ist, dass der Router / das Modem am Standort 2 bzw. der Internet-Stick etc. „VPN pass through“ unterstützt. Steht der Tunnel bitte einmal auf die Schulter klopfen. Man hat es sich verdient.
Dann im Verwaltungsmenue der DS unter Management/Gemeinsame Dateien/File Station „File Station 2 aktivieren“ und die Einstellung abspeichern.
Steht der Tunnel noch (Achtung, er deaktiviert sich nach einer gewissen Zeit ohne traffic von selbst), so kann man jetzt in seinem Internetbrowser die interne IP-Adresse der DS eingeben, die man vorher fest mit der MAC-Adresse der DS verknüpft hat. Denn wenn der Tunnel steht ist man virtueller Bestandteil des Netzwerkes am Standort 1, auch wenn man am Standort 2 arbeitet. Man kommt dann zur Benutzeroberfläche der DS, kann sich einloggen und das Programm File Station 2 starten. Das ist der eine Weg, an seine Daten zu kommen.
Der andere Weg ist, die DS als Netzlaufwerk anzubinden. Auch hierzu muss der Tunnel aufgebaut sein. Hierzu geht man in seinem Arbeitsplatz auf der Windows-Oberfläche in den Menuepunkt Extras/Netzlaufwerk verbinden… Hier gibt man einen gewünschten Laufwerksbuchstaben und den Ordner auf der DS an, in dem die eigenen Daten liegen (Beispiel: \\192.168.1.5\ordner\ ) und klickt dann Netzlaufwerk verbinden. Unter Arbeitsplatz findet sich dann bei dem gewünschten Netzlaufwerkbuchstaben der Verknüpfte Ordner mit den Daten auf der DS.
Auf diesen beiden Wegen kann man dann ganz einfach auf seine Daten zugreifen. Die Einbindung als Netzlaufwerk ist meiner Meinung nach noch bequemer, als die Benutzung der File-Station.
Vielleicht hilft es ja jemanden, wenn ich hier mal meine Erfahrungen niederschreibe:
Zunächst:
1.) Es funktioniert
2.) Es ist ganz einfach
Voraussetzung ist, dass die Synology Disk-Station (DS) erst mal läuft (was angesichts der beigefügten Software keinen vor ernsthafte Probleme stellen dürfte). Ich habe der Einfachheit halber die Benutzer-Namen für die DS genauso gewählt, wie die der Computer-Benutzer im Netzwerk. Das erspart zusätzliche Anmeldungen.
Weiter sollte natürlich der Router laufen und eine stabile Internetverbindung zur Verfügung stellen.
Dann sollte man sich zunächst in sein Router-Menü begeben und der DS einmalig eine feste interne IP-Adresse zuweisen. So ist es nachher einfach, den Zugriff zu steuern. Beim Draytek-Router geschieht das im Menü LAN, Untermenü IP an MAC binden. Die MAC-Adresse der DS findet sich im Administrations-Menü der DS unter dem Punkt Information, Unterpunkt Status. Hat man die MAC-Adresse, begibt man sich in das genannte Draytek-Router Menü LAN, Untermenü IP an MAC binden, und sucht in der linken Spalte nach der MAC-Adresse der DS. Diesen Eintrag einfach doppelklicken. Dann erscheint er auch in der rechten Tabelle. OK klicken und dieser Teil ist erledigt.
Dann besorgt man sich - unbedingt von einem Computer aus, der an dem Draytek-Router hängt - eine virtuelle Internetadresse bei einem der vielen kostenfreien Anbieter wie z. B. www.dyndns.org, www.no-ip.com, www.dtdns.com, www.changeip.com, www.dynamic-nameserver.com, einen DDNS-Account. Hier wird die vom Internetanbieter normalerweise zur Verfügung gestellte dynamische IP-Adresse an eine Virtuelle Domain geknüpft.
Die Anbieter vergeben diese Namen meist nach dem Muster xyz.dyndns.org oder abc.no-ip.com, wobei man den Namensteil xyz bzw. abc selbst festlegen kann. Ich meine, je kryptischer dieser Namensteil ist, desto sicherer ist die Sache. Man sollte auch hier die Sicherheitsvorgaben für Passworte beachten. Also keine Begriffe, die man erfolgreich googeln kann, möglichst Ziffern und Buchstaben mischen und mindestens 8 Zeichen Länge. Hier sollte man aber - wie bei allen Passworten nicht sparsam sein, auch wenn es Mühe macht. Begriffe wie „schalke04“ taugen NICHT als Passwort (kann man googeln)!!! Besser ist so was wie „sfd3u5kj45x“.
Diese virtuelle Domain trägt man dann in seinen Router ein. Beim Draytek-Router unter dem Menüpunkt Anwendungen, Unterpunkt dynamisches DNS. Der Draytek-Router bietet die Möglichkeit, drei DDNS-Dienste zu verwalten. Aus Gründen der Redundanz empfehle ich, mindesten zwei Dienste zu nutzen - kostet ja nichts, macht die Sache aber ausfallsicher. Bezüglich der notwendigen Eintragungen verweise ich auf das sehr ausführliche Handbuch des Routers, das es unter http://draytek.de/Handbuecher.htm gibt. Ich habe den Auto-Update Intervall auf 60 Minuten gesetzt, damit man nicht ewig warten muss, wenn der Internet-Provider einem eine neue IP-Adresse zuweist. So teilt der Router automatisch alle 60 Minuten dem/n DDNS-Anbieter/n mit, welche IP-Adresse er mit der virtuellen Domain (sfd3u5kj45x.dyndns.org oder so …) verknüpfen soll. OK klicken und auch dieser Teil ist erledigt.
Im nächsten Schritt lädt man sich dann von shrewsoft unter http://www.shrewsoft.com/download den kostenlosen VPN-Client und installiert diese Software.
Die nächsten Schritte erklärt am besten die Anleitung von Draytek zum Konfigurieren der shrewsoft-Software und des Routers, die es unter http://draytek.de/Beispiele_html/VPN/ShrewSoft_Client.htm gibt. Achtung: Bitte SEHR sorgfältig alle Eintragungen vornehmen. Fehler sucht man hinterher stundenlang. Die in der Anleitung mit „test 1“ und „test 2“ beschriebenen Begriffe sind variabel, man kann sie selbst festlegen. Wichtig ist nur, dass man im Router und in der VPN-Software exakt genau die gleichen Begriffe eingibt, incl. der Groß- und Kleinschreibung. Bei der Festlegung des IKE-Pre-shares Key gilt das auch. Insbesondere hier gilt es aber höchste Sicherheitsanforderungen zu beachten: MINDESTENS 16stelliges Passwort unter Beachtung der o.g. Regeln (NICHT „schalke04“ etc., s.o.), sonst ist der Tunnel angreifbar und nicht „abhörsicher“.
Wenn man dann fehlerfrei ;-) (besser 5 x kontrollieren) eine Einwahlverbindung im Shrewsoft-Programm konfiguriert hat, ist man in der Lage, aus einer anderen Internet-Verbindung heraus (wenn die DS am Standort 1 genutzt wird am Standort 2, also nicht aus der Internetverbindung, die der Vigor-Router am Standort 1 selbst aufbaut) einen IPSec-Tunnel zum eigenen Router am Standort 1 herzustellen. Wichtig ist, dass der Router / das Modem am Standort 2 bzw. der Internet-Stick etc. „VPN pass through“ unterstützt. Steht der Tunnel bitte einmal auf die Schulter klopfen. Man hat es sich verdient.
Dann im Verwaltungsmenue der DS unter Management/Gemeinsame Dateien/File Station „File Station 2 aktivieren“ und die Einstellung abspeichern.
Steht der Tunnel noch (Achtung, er deaktiviert sich nach einer gewissen Zeit ohne traffic von selbst), so kann man jetzt in seinem Internetbrowser die interne IP-Adresse der DS eingeben, die man vorher fest mit der MAC-Adresse der DS verknüpft hat. Denn wenn der Tunnel steht ist man virtueller Bestandteil des Netzwerkes am Standort 1, auch wenn man am Standort 2 arbeitet. Man kommt dann zur Benutzeroberfläche der DS, kann sich einloggen und das Programm File Station 2 starten. Das ist der eine Weg, an seine Daten zu kommen.
Der andere Weg ist, die DS als Netzlaufwerk anzubinden. Auch hierzu muss der Tunnel aufgebaut sein. Hierzu geht man in seinem Arbeitsplatz auf der Windows-Oberfläche in den Menuepunkt Extras/Netzlaufwerk verbinden… Hier gibt man einen gewünschten Laufwerksbuchstaben und den Ordner auf der DS an, in dem die eigenen Daten liegen (Beispiel: \\192.168.1.5\ordner\ ) und klickt dann Netzlaufwerk verbinden. Unter Arbeitsplatz findet sich dann bei dem gewünschten Netzlaufwerkbuchstaben der Verknüpfte Ordner mit den Daten auf der DS.
Auf diesen beiden Wegen kann man dann ganz einfach auf seine Daten zugreifen. Die Einbindung als Netzlaufwerk ist meiner Meinung nach noch bequemer, als die Benutzung der File-Station.
