Android Gerät mit VPN Server verbinden

Wenn man von unterwegs auf sein Heimnetzwerk zugreifen möchte, bietet es sich an, dazu einen VPN Server in Kombination mit einem dynamischen DNS Service einzurichten. Das habe ich hier und hier beschrieben.

Wie verbinde ich nun einen Client, in diesem Fall ein Android Mobiltelefon mit dem VPN Server?

Bei der Wahl des verwendeten Protokolls für das VPN habe ich mich für IP-Sec entschieden, weil es sicherer sein soll, als das PTP-Tunneling Protokoll und bei die gängingen Android Versionen beides out of the box beherrschen, ohne dass die Installation zusätzlicher Apps erforderlich ist.

Die Einrichtung geschieht über Einstellungen > Mehr > VPN

Android VPN-Client

Android VPN-Client

Über das  + Symbol wird einfach ein neuer Eintrag hinzugefügt:

Android VPN-Client

Android VPN-Client

Hier wird ein Eintrag L2TP/IPSec PSK angelegt, weil wir uns bei der Konfiguration des Synology VPN-Servers für einen preshared Key (PSK) entschieden und den dort vergeben haben. Für die Konfiguration müssen ein beliebiger Name (hier: Home) für den Eintrag, sowie die DDNS Adresse eingegeben werden, unter der das Heimnetz nach außen erreichbar ist.

Der im VPN-Server vergebene Schlüssel wird in das Feld „vorinstallierter IPSec-Schlüssel“ eingetragen, das wars.

Android VPN-Client

Android VPN-Client

Durch einen Klick auf den gerade angelegten Eintrag wird versucht, die Verbindung zum VPN-Server herzustellen, dazu werden die Benutzerdaten des Synology Benutzers abgefragt, fertig:

Android VPN-Client

Android VPN-Client

Ob die Verbindung funktioniert, ist zum einen durch das Schlüsselsymbol im Telefondisplay zu erkenn, zum anderen sollte es jetzt mögklcih sein, von außerhalb eures Heimnetzwerkes (WLANs) über die UMTS Verbindung des Geräts die internen 192.xxx Adressen aufzurufen.

Besonderheit: Der erstmalige Aufruf von „Einstellungen > Mehr > VPN“ auf manchen Androidgeräten der aktuelleren Versionen führt zu einer PIN Abfrage für einen „Anmeldeinformationsspeicher„. Ich konnte mich allerdings nicht entsinnen, so etwas jemals eingerichtet zu haben. Des Rätsels Lösung liegt in der Displaysperre des Geräts. Ich habe dort kurzzeitig eine PIN zum Entsperren des Displays statt eines Musters eingerichtet und mit der gleichen PIN ist es dann möglich auf das VPN Menü zuzugreifen und wie oben beschrieben Einträge anzulegen.

Synology Diskstation als VPN-Server verwenden

In einem anderen Beitrag habe ich beschrieben, wie man mithilfe des all-inkl.com DDNS Services und dem DDNS Client der Synology dafür sorgen kann, dass die Dienste der Synology von außen erreichbar sind.

Um nun nicht jeden einzelnen Dienst über eine Portweiterleitung am Router zu öffnen und damit angreifbar zu machen, bietet es sich an, für die eigenen Zugriffe ein VPN einzurichten. Auch hierbei hilft die Synology Diskstation weiter.

Zunächst muss über das Paketzentrum das Paket „VPN Server“ installiert werden, das werde ich hier aufgrund seiner Einfachheit nicht weiter beschreiben.

Läuft der Dienst, muss der Server noch konfiguriert werden, das ist in wenigen Schritten erledigt:

1.Unter „Allgemeine Einstellungen“ kann das Interface konfiguriert werden, falls die Diskstation über mehr als eins verfügt, Außerdem kann dort eingestellt werden, ob die lokal auf der Diskstation vorhandenen Benutzer das VPN verwenden dürfen und ob die Berechtigung dazu automatisch mit der Neuanlage von Benutzern erfolgen soll. Unter dem Punkt „Privileg“ kann man das pro Protokoll für alle Benutzer ändern.

Synology VPN Server Konfiguration

Synology VPN Server Konfiguration

2. das zu verwendende Protokoll wählen und einrichten. Ich habe mich für das IPSec Protokoll entschieden:

Synology VPN Server Konfiguration

Synology VPN Server Konfiguration

Neben der Anzahl an zulässigen Verbindungen, die ich reduziert habe, muss nur der Schlüssel (preshared key) eingetragen werden, den man sich ausdenkt. Mit dem Speichern wird eine Meldung angezeigt, dass am Router noch die Portweiterleitung für die 3 UDP Ports 1701, 500 und 4500 auf die IP der Synology eingetragen werden muss. Damit ist die Konfiguration des Servers erledigt und die Verbindung von Clients möglich.