Synology VPN hinter Fritzbox

Erstellt am 10.06.2025 um 21:39:47 Uhr | muellda

Aktualisiert am 10.06.2025 um 21:39:48 Uhr | muellda

Um von unterwegs per L2TP/IPSec VPN auf deinen Synology VPN-Server zuzugreifen, wenn dieser hinter einer Fritzbox steht, musst du mehrere Schritte auf der Synology DiskStation und in der Fritzbox vornehmen.

Wichtiger Hinweis vorab:

  • Fritzbox VPN deaktivieren: Stelle sicher, dass die VPN-Funktion der Fritzbox selbst deaktiviert ist. Es kann immer nur einen VPN-Server im Netzwerk geben, und wenn die Fritzbox ihre eigene VPN-Funktion nutzt, kann es zu Konflikten bei den Portfreigaben kommen.
  • Dynamisches DNS (DynDNS): Da deine Heim-IP-Adresse wechselt, benötigst du einen DynDNS-Dienst (z.B. MyFRITZ! oder einen externen Anbieter wie No-IP, DynDNS.org). Dieser Dienst sorgt dafür, dass deine aktuelle IP-Adresse immer unter einem festen Hostnamen erreichbar ist. Die Fritzbox kann dies in der Regel direkt einrichten.
  • Öffentliche IPv4-Adresse: Dein Internetanschluss muss eine öffentliche IPv4-Adresse haben. Bei DS-Lite-Anschlüssen (häufig bei Kabelanbietern) kann es Probleme geben, da du keine direkte IPv4-Adresse hast.

Schritt-für-Schritt-Anleitung:

1. Synology VPN Server einrichten (L2TP/IPSec):

  • Paketzentrum: Melde dich bei deiner Synology DiskStation als Administrator an. Gehe zum Paketzentrum und installiere das Paket “VPN Server”.
  • L2TP/IPSec aktivieren: Starte den VPN Server. Gehe im linken Menü zu “L2TP/IPSec”.
    • Setze ein Häkchen bei “L2TP/IPSec VPN-Server aktivieren”.
    • Lege einen “Vorinstallierten Schlüssel” (Pre-Shared Key) fest. Dies ist ein Passwort, das sowohl der Server als auch die Clients kennen müssen. Wähle ein sicheres, langes Passwort.
    • Konfiguriere den “Dynamischen IP-Adressbereich” für die VPN-Clients. Achte darauf, dass dieser Bereich nicht mit deinem Heimnetzwerk oder anderen Netzwerken, mit denen du dich verbindest, kollidiert. Beispiel: Wenn dein Heimnetzwerk 192.168.178.x ist, wähle etwas wie 10.0.0.x.
    • Die “Maximale Anzahl von Verbindungen” und “Maximale Anzahl von Verbindungen mit demselben Konto” kannst du nach Bedarf anpassen.
    • Wähle als Authentifizierung am besten MS-CHAP v2.
    • Wichtig: Stelle sicher, dass “SHA2-256-kompatiblen Modus (96 Bit) aktivieren” deaktiviert ist, wenn du Clients mit iOS 14/macOS Big Sur oder höher verwendest.
    • Klicke auf “Übernehmen”.
  • Berechtigungen festlegen: Gehe im linken Menü zu “Berechtigung”. Aktiviere für jeden Benutzer, der das VPN nutzen soll, das Häkchen bei “L2TP/IPSec”.

2. Portfreigaben in der Fritzbox einrichten:

Dies ist der wichtigste Schritt, damit die VPN-Verbindung von außen die Synology erreicht. Du musst die folgenden UDP-Ports auf die interne IP-Adresse deiner Synology DiskStation weiterleiten:

  • UDP 500 (IKE)
  • UDP 1701 (L2TP)
  • UDP 4500 (IPSec NAT-Traversal)

So gehst du vor:

  • Melde dich im Webinterface deiner Fritzbox an (meist über fritz.box).
  • Navigiere zu “Internet” -> “Freigaben” -> “Portfreigaben”.
  • Klicke auf “Gerät für Freigaben hinzufügen” oder “Neue Portfreigabe”.
  • Wähle deine Synology DiskStation aus der Liste der Netzwerkgeräte aus. Wenn sie nicht auftaucht, gib ihre interne IP-Adresse manuell ein.
  • Erstelle für jeden der oben genannten Ports eine separate Portfreigabe:
    • Anwendung: Wähle “Andere Anwendungen” oder ähnliches.
    • Bezeichnung: Gib einen Namen wie “Synology VPN L2TP 500” ein.
    • Protokoll: UDP
    • Port extern (Anfang und Ende): Jeweils den entsprechenden Port (500, 1701, 4500).
    • Port intern (Anfang und Ende): Auch hier jeweils den entsprechenden Port.
    • an IP-Adresse: Die interne IP-Adresse deiner Synology DiskStation.
  • Klicke nach jeder Freigabe auf “OK” oder “Übernehmen”.

3. DynDNS in der Fritzbox einrichten (falls noch nicht geschehen):

  • Gehe in der Fritzbox zu “Internet” -> “Zugangsdaten” -> “DynDNS” (oder ähnlich, je nach FritzOS-Version).
  • Aktiviere DynDNS und wähle deinen DynDNS-Anbieter aus.
  • Gib die Zugangsdaten und den Hostnamen deines DynDNS-Kontos ein. Diesen Hostnamen verwendest du später, um dich mit dem VPN zu verbinden.

4. Firewall der Synology DiskStation (optional, aber empfohlen):

Wenn du die Firewall auf deiner Synology aktiviert hast, musst du auch dort die entsprechenden Ports für den VPN-Server freigeben:

  • Gehe in der Synology DiskStation zu “Systemsteuerung” -> “Sicherheit” -> “Firewall”.
  • Erstelle neue Regeln, die den UDP-Verkehr auf den Ports 500, 1701 und 4500 zum VPN Server zulassen.
  • Stelle sicher, dass die Regeln über den Standardregeln stehen, die den Zugriff eventuell blockieren könnten.

5. VPN-Client einrichten (z.B. Windows, macOS, iOS, Android):

Die Konfiguration variiert leicht je nach Betriebssystem, aber die grundlegenden Informationen sind immer dieselben:

  • VPN-Typ: L2TP/IPSec
  • Serveradresse/Hostnamen: Dein DynDNS-Hostname (z.B. mein-synology-vpn.dyndns.org oder meinfritz-adresse.myfritz.net)
  • Benutzername: Ein Benutzername von deiner Synology DiskStation, für den du VPN-Berechtigungen erteilt hast.
  • Passwort: Das Passwort des Benutzers.
  • Vorinstallierter Schlüssel (Pre-Shared Key / Shared Secret): Der Schlüssel, den du im Synology VPN Server festgelegt hast.

Zusätzliche Tipps und Fehlerbehebung:

  • Testen von außerhalb: Teste die VPN-Verbindung am besten von einem Netzwerk außerhalb deines Heimnetzes (z.B. über mobiles Internet, Hotspot oder bei Freunden).
  • Windows-Registry-Eintrag (bei Problemen): Unter Windows kann es vorkommen, dass bei L2TP/IPSec hinter NAT (also wenn Synology und Client beide hinter einem Router sind) ein Registry-Eintrag erforderlich ist.
    • Öffne den Registrierungs-Editor (regedit).
    • Navigiere zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent.
    • Erstelle einen neuen DWORD-Wert (32-Bit) namens AssumeUDPEncapsulationContextOnSendRule.
    • Setze den Wert auf 2.
    • Starte den Computer neu.
  • Fritzbox VPN Passthrough: Manche Fritzbox-Modelle haben eine Option namens “VPN Passthrough” oder “VPN-Durchleitung”. Stelle sicher, dass diese aktiviert ist, falls vorhanden.
  • Protokolle prüfen: Im VPN Server auf der Synology kannst du unter “Protokoll” sehen, ob Verbindungsversuche ankommen und welche Fehler auftreten.
  • Neustart: Manchmal hilft ein Neustart der Synology und/oder der Fritzbox nach den Konfigurationsänderungen.

Mit diesen Schritten solltest du in der Lage sein, eine L2TP/IPSec VPN-Verbindung zu deinem Synology NAS über deine Fritzbox herzustellen.