Aktualisiert am 10.06.2025 um 21:39:48 Uhr | muellda
Um von unterwegs per L2TP/IPSec VPN auf deinen Synology VPN-Server zuzugreifen, wenn dieser hinter einer Fritzbox steht, musst du mehrere Schritte auf der Synology DiskStation und in der Fritzbox vornehmen.
Wichtiger Hinweis vorab:
Fritzbox VPN deaktivieren: Stelle sicher, dass die VPN-Funktion der Fritzbox selbst deaktiviert ist. Es kann immer nur einen VPN-Server im Netzwerk geben, und wenn die Fritzbox ihre eigene VPN-Funktion nutzt, kann es zu Konflikten bei den Portfreigaben kommen.
Dynamisches DNS (DynDNS): Da deine Heim-IP-Adresse wechselt, benötigst du einen DynDNS-Dienst (z.B. MyFRITZ! oder einen externen Anbieter wie No-IP, DynDNS.org). Dieser Dienst sorgt dafür, dass deine aktuelle IP-Adresse immer unter einem festen Hostnamen erreichbar ist. Die Fritzbox kann dies in der Regel direkt einrichten.
Öffentliche IPv4-Adresse: Dein Internetanschluss muss eine öffentliche IPv4-Adresse haben. Bei DS-Lite-Anschlüssen (häufig bei Kabelanbietern) kann es Probleme geben, da du keine direkte IPv4-Adresse hast.
Schritt-für-Schritt-Anleitung:
1. Synology VPN Server einrichten (L2TP/IPSec):
Paketzentrum: Melde dich bei deiner Synology DiskStation als Administrator an. Gehe zum Paketzentrum und installiere das Paket “VPN Server”.
L2TP/IPSec aktivieren: Starte den VPN Server. Gehe im linken Menü zu “L2TP/IPSec”.
Setze ein Häkchen bei “L2TP/IPSec VPN-Server aktivieren”.
Lege einen “Vorinstallierten Schlüssel” (Pre-Shared Key) fest. Dies ist ein Passwort, das sowohl der Server als auch die Clients kennen müssen. Wähle ein sicheres, langes Passwort.
Konfiguriere den “Dynamischen IP-Adressbereich” für die VPN-Clients. Achte darauf, dass dieser Bereich nicht mit deinem Heimnetzwerk oder anderen Netzwerken, mit denen du dich verbindest, kollidiert. Beispiel: Wenn dein Heimnetzwerk 192.168.178.x ist, wähle etwas wie 10.0.0.x.
Die “Maximale Anzahl von Verbindungen” und “Maximale Anzahl von Verbindungen mit demselben Konto” kannst du nach Bedarf anpassen.
Wähle als Authentifizierung am besten MS-CHAP v2.
Wichtig: Stelle sicher, dass “SHA2-256-kompatiblen Modus (96 Bit) aktivieren” deaktiviert ist, wenn du Clients mit iOS 14/macOS Big Sur oder höher verwendest.
Klicke auf “Übernehmen”.
Berechtigungen festlegen: Gehe im linken Menü zu “Berechtigung”. Aktiviere für jeden Benutzer, der das VPN nutzen soll, das Häkchen bei “L2TP/IPSec”.
2. Portfreigaben in der Fritzbox einrichten:
Dies ist der wichtigste Schritt, damit die VPN-Verbindung von außen die Synology erreicht. Du musst die folgenden UDP-Ports auf die interne IP-Adresse deiner Synology DiskStation weiterleiten:
UDP 500 (IKE)
UDP 1701 (L2TP)
UDP 4500 (IPSec NAT-Traversal)
So gehst du vor:
Melde dich im Webinterface deiner Fritzbox an (meist über fritz.box).
Navigiere zu “Internet” -> “Freigaben” -> “Portfreigaben”.
Klicke auf “Gerät für Freigaben hinzufügen” oder “Neue Portfreigabe”.
Wähle deine Synology DiskStation aus der Liste der Netzwerkgeräte aus. Wenn sie nicht auftaucht, gib ihre interne IP-Adresse manuell ein.
Erstelle für jeden der oben genannten Ports eine separate Portfreigabe:
Anwendung: Wähle “Andere Anwendungen” oder ähnliches.
Bezeichnung: Gib einen Namen wie “Synology VPN L2TP 500” ein.
Protokoll:UDP
Port extern (Anfang und Ende): Jeweils den entsprechenden Port (500, 1701, 4500).
Port intern (Anfang und Ende): Auch hier jeweils den entsprechenden Port.
an IP-Adresse: Die interne IP-Adresse deiner Synology DiskStation.
Klicke nach jeder Freigabe auf “OK” oder “Übernehmen”.
3. DynDNS in der Fritzbox einrichten (falls noch nicht geschehen):
Gehe in der Fritzbox zu “Internet” -> “Zugangsdaten” -> “DynDNS” (oder ähnlich, je nach FritzOS-Version).
Aktiviere DynDNS und wähle deinen DynDNS-Anbieter aus.
Gib die Zugangsdaten und den Hostnamen deines DynDNS-Kontos ein. Diesen Hostnamen verwendest du später, um dich mit dem VPN zu verbinden.
4. Firewall der Synology DiskStation (optional, aber empfohlen):
Wenn du die Firewall auf deiner Synology aktiviert hast, musst du auch dort die entsprechenden Ports für den VPN-Server freigeben:
Gehe in der Synology DiskStation zu “Systemsteuerung” -> “Sicherheit” -> “Firewall”.
Erstelle neue Regeln, die den UDP-Verkehr auf den Ports 500, 1701 und 4500 zum VPN Server zulassen.
Stelle sicher, dass die Regeln über den Standardregeln stehen, die den Zugriff eventuell blockieren könnten.
Die Konfiguration variiert leicht je nach Betriebssystem, aber die grundlegenden Informationen sind immer dieselben:
VPN-Typ: L2TP/IPSec
Serveradresse/Hostnamen: Dein DynDNS-Hostname (z.B. mein-synology-vpn.dyndns.org oder meinfritz-adresse.myfritz.net)
Benutzername: Ein Benutzername von deiner Synology DiskStation, für den du VPN-Berechtigungen erteilt hast.
Passwort: Das Passwort des Benutzers.
Vorinstallierter Schlüssel (Pre-Shared Key / Shared Secret): Der Schlüssel, den du im Synology VPN Server festgelegt hast.
Zusätzliche Tipps und Fehlerbehebung:
Testen von außerhalb: Teste die VPN-Verbindung am besten von einem Netzwerk außerhalb deines Heimnetzes (z.B. über mobiles Internet, Hotspot oder bei Freunden).
Windows-Registry-Eintrag (bei Problemen): Unter Windows kann es vorkommen, dass bei L2TP/IPSec hinter NAT (also wenn Synology und Client beide hinter einem Router sind) ein Registry-Eintrag erforderlich ist.
Öffne den Registrierungs-Editor (regedit).
Navigiere zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent.
Erstelle einen neuen DWORD-Wert (32-Bit) namens AssumeUDPEncapsulationContextOnSendRule.
Setze den Wert auf 2.
Starte den Computer neu.
Fritzbox VPN Passthrough: Manche Fritzbox-Modelle haben eine Option namens “VPN Passthrough” oder “VPN-Durchleitung”. Stelle sicher, dass diese aktiviert ist, falls vorhanden.
Protokolle prüfen: Im VPN Server auf der Synology kannst du unter “Protokoll” sehen, ob Verbindungsversuche ankommen und welche Fehler auftreten.
Neustart: Manchmal hilft ein Neustart der Synology und/oder der Fritzbox nach den Konfigurationsänderungen.
Mit diesen Schritten solltest du in der Lage sein, eine L2TP/IPSec VPN-Verbindung zu deinem Synology NAS über deine Fritzbox herzustellen.
Wie schon bei Windows 10 kann man Windows 11 mit einem lokalen Konto oder einem Microsoft-Konto installieren. Für die Windows 11 Home wurde es aber noch schwieriger gemacht. Wir zeigen euch hier, wie ihr Windows 11 ohne oder mit einem Microsoft Konto installieren könnt.
Im Tutorial Abschnitt 4 zeigen wir euch auch, wie ihr Windows 11 mit lokalem Konto und ohne Internetverbindung installieren könnt.
Hier hat sich nicht viel am Vorgang geändert, außer dass wir nun eine neue Oberfläche haben, wenn wir Windows 11 installieren. Das Microsoft-Konto wird wie schon unter Windows 10 als vorausgesetzt angesehen. Daher ist hier die Eingabe einfach und unkompliziert.
Ist man in der Eingabe der Daten angelangt, gibt man seine Mail-Adresse vom Microsoft-Konto ein, dann das Passwort.
Ist beides überprüft worden, geht die Installation von Windows 11 schon weiter.
Windows 11 Home oder Pro mit einem lokalen Konto installieren
Bei der Windows 11 21H2 Home, oder Windows 11 22H2 Home und Pro wird es etwas schwieriger. Deaktiviert man das Internet, kann es dazu kommen, dass man eine Fehlermeldung erhält und man die Installation abbrechen muss.
Daher muss man es bei der Windows 11 Home und bei der Windows 11 22H2 Pro etwas anders machen. Klappte aber auch schon unter Windows 10 so.
Man gibt für das Microsoft-Konto irgendeine Mail-Adresse ein. Hierbei kann es zu einer Fehlermeldung kommen.
Es kann auch ausreichen, nur irgendeinen Buchstaben einzugeben.
Hinweis Ab Mai 2024 funktioniert diese Variante nicht mehr. Es bleibt nur noch die oobe\bypassnro Variante. Siehe weiter unten. Daher verstecken wir die weiteren Vorgänge
Spoiler: Einfach aufklappen +
Windows 11 Pro und höher mit einem lokalen Konto installieren
Die Windows 11 21H2 Pro und höher kann man mit einer Internetverbindung oder auch ohne eine Internetverbindung installieren. Von Vorteil ist aber eine offline-Installation, wenn man keine Geräte-Treiber über Windows Update haben möchte.
Bei der Windows 11 22H2 Pro und höher bleibt nur die Auswahl Schul- oder Arbeitskonto. Hier besteht auch weiterhin das lokale Konto zur Auswahl. Oder man nutzt die anderen “Möglichkeiten”, die wir schon beschrieben haben.
Im Fenster “Ihr Microsoft-Konto hinzufügen” Anmelde-Optionen anklicken.
Im nächsten Fenster hat man dann auch die Auswahl ein Offline-Konto zu erstellen.
Im folgenden Fenster erscheint dann “Eingeschränkte Nutzung”. Diese Auswahl nun anklicken.
Jetzt kann man seinen Kontonamen und sein Passwort für das lokale Konto eingeben.
Nun kann es mit der Installation weitergehen.
Windows 11 Home oder Pro ohne Internet und lokalem Konto installieren
Die Windows 11 Home kann man jetzt schon nicht mehr ohne Internet installieren. Windows 11 Pro wird mit der 22H2 dann folgen. Microsoft verlangt, dass bei einer Neuinstallation eine Internetverbindung vorhanden ist.
Aber auch das kann man umgehen, indem bei der Installation die Eingabeaufforderung mit ein paar Befehlen genutzt wird. Dafür muss man die Internetverbindung unterbrechen (Kabel vom Rechner abziehen)
Als Hinweis: Der Befehl oobe\bypassnro reicht derzeit für die Windows 11 24H2 und darunter noch aus. Da dieser laut AveYo (danke dafür) nur temporär von Microsoft in Windows 11 integriert ist, kann man davon ausgehen, dass dieser Befehl nicht mehr lange funktionieren wird.
Wird angezeigt, dass keine Internetverbindung besteht, drückt man die Umschalt-Taste + F10 und gibt oobe\bypassnro ein und Enter. Das war es auch schon.
Wichtig: Ab März 2025 hat Microsoft die bypassnro.cmd aus der Beta und Dev entfernt. Der obere Befehl funktioniert dann nicht mehr. Es geht aber trotzdem noch.
Im rechten Fensterteil ein Rechtsklick -> Neu -> DWORD-Wert (32-Bit) anlegen mit dem Namen BypassNRO
Diesen doppelt anklicken und den Wert auf 1 setzen
Jetzt neu starten und die Installation von Windows 11 fortsetzen.
Für die “Profis unter euch: Wer seine ISO schon vorab so vorbereiten möchte als Regdatei speichern
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE]
"BypassNRO"=dword:00000001
Und jeweils in die boot.wim und install.wim platzieren. Somit wird dann sofort ein lokales Konto erstellt. Danke an edv.kleini für den Tipp.
Das funktioniert ebenso mit dem MSAPatcher. Damit lässt sich ein gepatchter USB-Stick erstellen, oder im laufenden Betrieb ein neues lokales Konto einrichten. Die Dateien aus der ZIP-Datei können auch auf den USB-Stick. Bei der Installation dann wie gewohnt Umschalt-Taste + F10, den Pfad zum Stick wechseln und bypassnro.cmd eintippen und ausführen.
Windows 11 Home und Pro mit einem weiteren Befehl einen lokalen Account anlegen
Neben der Änderung in der Registry bei der Installation, gibt es noch einen weiteren Befehl, den Microsoft selber in Windows 11 integriert hat. Anstatt die Registry zu bearbeiten, reicht ein einfacher Befehl aus.
Deutschland (oder ein anderes Land) auswählen und dann
Umschalt-Taste + F10 drücken (wie schon zuvor)
start ms-cxh:localonly eingeben und Enter drücken
Es öffnet sich ein Fenster für die Eingabe des Namens und das Passwort
Danach geht die Installation weiter und zum Schluss hat man Windows 11 mit einem lokalen Account.
Der Befehl start ms-cxh://setaddlocalonly ist identisch, startet aber die Windows 11 Ansicht, anstatt die Windows 8/10 Ansicht.
Auch hier geht nach Eingabe der Daten die Installation weiter.
Windows 11 Home oder Pro mit einem lokalen Account Online installieren
Wer Windows 11 Home, aber auch Pro hat, kann mit einem weiteren Befehl direkt einen lokalen Account bei der Installation anlegen. Dies funktioniert aber nur mit einer Internetverbindung.
Bei der Installationsroutine wird nur das Fenster für einen Microsoft Account übersprungen. Und so funktioniert es:
Nach dem ersten Neustart bei der Installation im OOBE und der Auswahl der Sprache Umschalt-Taste + F10 drücken
In der Eingabeaufforderung regedit eingeben und Enter drücken
Im rechten Fensterteil ein Rechtsklick -> Neu -> Neuer DWORD-Wert (32-Bit) mit dem Namen HideOnlineAccountScreens anlegen
Diesen nun doppelt anklicken und den Wert auf 1 stellen
Die Fenster können jetzt geschlossen werden und die Installation kann mit der Auswahl der Tastatur fortgesetzt werden.
Anstelle der Eingabe für den Microsoft Account erscheint dann gleich die Eingabe des Namens für den lokalen Account.
Danach geht die Installation wie gewohnt weiter
Danke an @xpower7125 für den Tipp
Auch hier die Regdatei für die ISO:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE]
"HideOnlineAccountScreens"=dword:00000001
Direkt einen lokalen Account anlegen
Hinweis: Ist nicht notwendig, wenn man mit BypassNRO gearbeitet hat.
Wenn das Internet deaktiviert ist, startet man die Neuinstallation von Windows 11. Man kommt bis zum Fenster: “Leider haben Sie die Internetverbindung verloren”. Ab hier geht es dann los:
Umschalt + F10 drücken. Die Eingabeaufforderung öffnet sich
Hier nun net.exe user “moinmoin” /add eintragen (Anstatt moinmoin natürlich euren Namen)
Danach net.exe localgroup “Administratoren” “moinmoin” /add
Jetzt: cd OOBE
Danach dann msoobe.exe && shutdown.exe -r
Windows startet jetzt neu und beginnt mit den weiteren Einstellungen bis Windows 11 dann korrekt mit einem lokalen Konto installiert ist.
Bei der Anmeldung erscheint jetzt “Der Benutzername oder das Kennwort ist falsch”.
Hier einfach auf OK drücken und links unten das richtige Konto auswählen.
Danach kann man die Internetverbindung wieder aktivieren und dem Konto auch ein Passwort hinzufügen, sowie alle weiteren Einstellungen vornehmen.
Lokales Konto unter Windows 11 mit einem Microsoft Konto kombinieren
Ein lokales Konto bietet einige Vorteile. Man bekommt als Benutzer-Ordner den Namen angezeigt, den man eingegeben hat und nicht nur fünf Buchstaben.
Wer für die Apps trotzdem das Microsoft Konto nutzen möchte, kann dies auch mit dem lokalen Konto. So reicht es aus, sich bspw. im Microsoft Store mit einem Microsoft-Konto anzumelden.
Unter “Dieses Konto überall auf dem Gerät verwenden” muss “Nur Microsoft-Apps” angeklickt werden.
So behält man sein lokales Konto, kann aber mit dem Microsoft Konto Apps im Store herunterladen und mehr.
