Das „Virtual Private Network“, kurz VPN, ist auch im Consumer Bereich inzwischen sehr gefragt. Ich für meinen Teil nutze einen VPN zu meinem Heimnetzwerk gerne um auf Geräte und Dienste im Heimnetz zuzugreifen, damit ich nicht etliche Geräte in meinem Router per NAT freischalten muss.

Bisher habe ich VPN über meine Fritz!Box genutzt, bin dort aber leider immer daran gescheitert dies ohne zusätzliche Tools unter Windows ans laufen zu bekommen.

Nun besitze ich seit einiger Zeit ein Synology NAS (Diskstation 218+), welches einen VPN Server über das Paketzentrum mitbringt. Der VPN Server bietet einiges mehr an Optionen als die Fritz!Box. Daher habe ich die VPN Funktion der Fritz!Box abgeschaltet und den VPN Server auf der Diskstation eingerichtet. Neben L2TP/IPSec gibt es dort noch OpenVPN und das weniger sicherer PPTP. Ich setzte hier auf L2TP/IPSec.

Nun habe ich mir die VPN eingerichtet, die Ports freigeschaltet und konnte mit meinem iPhone und iPad sofort und ohne Probleme eine Verbindung aufbauen. Mein Windows Client hingegen streubte sich immer noch.
Allerdings konnte ich nach einigen Tagen der Recherche und des Ausprobierens das Problem endlich lösen. Um euch die lange Suche zu ersparen, gehe ich hier Step-by-Step durch alle Punkte die Notwendig sind einmal durch.

Auf der Diskstation

Auf der Diskstation muss zunächst der VPN Server installiert werden. Wie das geht erkläre ich hier an dieser Stelle nicht. Das sollte jeder der ein Synology NAS besitzt eigentlich hinbekommen.

Ist das Paket installiert, öffnen wir es und wählen links den Menüpunkt „L2TP/IPSec“ aus. Zunächst aktivieren wir das Protokoll (oben) und geben einen selbst ausgedachten Schlüssel im Feld „Vorinstallierter Schlüssel“ ein. Der IP-Adressbereich und die max. Anzahl der Verbindungen kann frei gewählt werden. Der Rest sollte so aussehen wie in meinem Bild. Am Ende die Einstellungen mit „Übernehmen“ speichern.

Im nächsten Schritt müssen wir einen Benutzer dazu berechtigen das VPN Protokoll zu nutzen. Das machen wir unter „Privileg“ und setzen den Haken in der Spalte vom betreffenden Benutzer beim Feld „L2TP/IPSec“. Auch hier das ganze speichern. Das war es soweit auf der Diskstation.

Port-Forwarding im Router (Fritz!Box)

Zunächst sollten alle VPN Einstellungen auf der Fritz!Box deaktiviert werden. Dazu sollte es genügen, wenn ihr bei jedem Benutzer kontrolliert das dort kein VPN aktiv ist.

Damit der VPN Server auf der Diskstation vom Internet aus erreicht werden kann, müssen die benötigten Ports auf dem Router freigeschaltet bzw. weitergeleitet werden. In meinem Fall ist das eine Fritz!Box. Auch hier werde ich nicht ins Detail gehen. Ihr solltet wissen was ihr hier tut. Falls nicht, holt euch Hilfe von einem Profi.
Leitet nun die Ports 500, 1701 und 4500 (alle UDP) auf eure Diskstation weiter. Analog zu dem Beispiel hier:

VPN unter Windows anlegen

Jetzt geht es an die Erstellung der VPN Verbindung unter Windows 10. Sollte unter Windows 8/8.1 ziemlich genauso sein.
Öffnet das Startmenü und klickt auf die Einstellungen (Zahnrad unten links). Dann weiter zu „Netzwerk und Internet“ und dann auf „VPN“. Dort erstellt ihr nun eine neue VPN Verbindung und füllt diese aus wie in meinem Beispiel hier:

Gebt einen beliebigen Verbindungsnamen ein, darunter die Serveradresse (bei mir die DynDNS Adresse meiner Diskstation oder auch die MyFritz Adresse) und wählt als Typ „L2TP/IPSec mit vorinstalliertem Schlüssel“. Darunter kommt dann der Schlüssel den ihr im ersten Abschnitt auf der Diskstation definiert habt. Der Anmeldetyp ist „Benutzername und Kennwort“ und darunter tragt ihr die entsprechenden Daten des Nutzers ein den ihr auf der Diskstation gewählt habt.
Abschließend das ganze speichern. Nun sollte die neue VPN-Verbindung angelegt sein, wird aber vermutlich noch nicht funktionieren.

Windows Registry und Dienste

Damit der VPN funktioniert, müssen jetzt noch zwei Entscheidene Einstellungen vorgenommen werden. Zunächst muss ein neuer Eintrag in der Registry vorgenommen werden. Öffnet dazu die Registry (regedit) und navigiert zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent und legt dort einen neuen DWORD-Wert (32-Bit) mit dem Namen AssumeUDPEncapsulationContextOnSendRule an. Gebt dem Schlüssel den Wert „2„.

Der Wert 0 bedeutet das beide Geräte (Client und Server) direkt miteinander kommunizieren können.
Der Wert 1 bedeutet das der VPN Server hinter einem NAT Gerät (Router) stehen kann.
Der Wert 2 bedeutet das sowohl Client als auch Server hinter einem NAT Gerät (Router) stehen kann.

Jetzt kommt der Teil der mich am meisten Zeit gekostet hat und der Windows ein wenig dumm dastehen lässt.
Damit der Registry Key überhaupt beachtet wird und eine VPN-Verbindung via IPSec aufgebaut werden kann, muss auch der entsprechende Windows Dienst laufen. Bei mir und auf einigen weiteren Windows 10 Geräten die ich kontrolliert habe, war dies nicht der Fall.
Öffnet die „Dienste“ (Services) von Windows, sucht den Dienst „IPsec-Richtlinien-Agent„, öffnet die Eigenschaften und stellt den Dienst auf „Automatisch„.

Abschließend benötigt Windows nun noch einen Neustart, damit der Registry Schlüssel beachtet und der Dienst gestartet wird. Danach sollte der Verbindungsauf klappen.

Ich hoffe das hilft weiter und spart Haarausfall und Nerven 😉


0 Comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.