L2TP/IPsec VPN-Verbindung unter Windows 8 zur Synology DiskStation einrichten

Normalerweise ist eine VPN-Verbindung mittels L2TP/IPsec auf Client-Seite sehr einfach und schnell einzurichten. Zumindest unter Linux, Mac OS X oder Android ging dies innerhalb weniger Sekunden und ohne Probleme von statten. Nur unter Windows 8 brauchte ich einige Anläufe und Google-Suchen, um endlich die Verbindung zu meiner heimischen DiskStation aufbauen zu können.

Welche Schritte letztendlich zur Lösung und einer erfolgreichen VPN-Verbindung gesorgt haben, möchte ich in diesem Artikel zeigen.

Vorbereitungen auf der DiskStation

Ich gehe in diesem Artikel davon aus, dass auf der DiskStation das Paket „VPN-Server“ installiert und L2TP/IPsec aktiviert wurde. Zudem müssen auf Ihrem Router die folgenden Ports freigegeben und auf die DiskStation weitergeleitet werden:

  • UDP 500 (IPSec)
  • UDP 4500 (IPSec NAT Traversal)
  • UDP 1701 (L2TP)

L2TP/IPSec VPN-Verbindung unter Windows 8 einrichten

Zuerst richten wir eine normale VPN-Verbindung ein. Dazu öffnen wir die Systemsteuerung und gehen auf Netzwerk und InternetNetzwerk- und Freigabecenter.

VPN-Verbindung anlegen

Dort legen wir nun eine neue Verbindung an: Neue Verbindung oder neues Netzwerk einrichten

In dem neuen Dialogfenster wählen wir Verbindung mit dem Arbeitsplatz herstellen und im nächsten Schritt Die Internetverbindung (VPN) verwenden.

Jetzt geben wir in dem Feld „Internetadresse“ den Hostnamen (meist der „DynDNS“-Name) oder die IP der DiskStation an, wie Sie von außen/extern zu erreichen ist.

Als „Zielname“ können wir irgendeine Bezeichnung verwenden, wie unsere VPN-Verbindung unter Windows bezeichnet werden soll.

VPN-Verbindung konfigurieren

Nachdem der Einrichtungs-Assistent abgeschlossen wurde, bleiben wir im Fenster der Systemsteuerung (Netzwerk und Internet → Netzwerk- und Freigabecenter). Dort wählen wir nun in der linken Seitenleiste den Punkt Adaptereinstellungen ändern.

Dort machen wir einen Rechtsklick auf unsere angelegte VPN-Verbindung und wählen Eigenschaften.

Im Reiter Sicherheit stellen wir als „VPN-Typ“ Layer-2-Tunneling-Protokoll mit IPsec (L2TP/IPsec) ein.

Anschließend wählen wir direkt unter dieser Auswahl den Button Erweiterte Einstellungen aus. In dem neuen Fenster hinterlegen wir unter „Vorinstallierten Schlüssel für Authentifizierung verwenden“ unseren Key, der zuvor bei der Einrichtung des VPN-Server auf der DiskStation hinterlegt wurde. Bei der DiskStation heißt dieses Feld „Vorinstallierter Schlüssel“.

Bei der „Datenverschlüsselung“ wählen wir die Option Erforderlich (Verbindung trennen, falls Server dies ablehnt).

Im Bereich „Authentifizierung“ wählen wir Folgende Protokolle zulassen und aktivieren Microsoft CHAP, Version 2 (MS-CHAP v2).

Weiter geht es im Reiter Netzwerk. Dort prüfen wir, dass „Internetprotokoll Version 4“ und „Client für Microsoft-Netzwerke“ aktiviert sind.

Jetzt ist die Konfiguration unserer VPN-Verbindung abgeschlossen.

Sofern Sie oder Ihre DiskStation sich hinter einem Router befindet (was sehr wahrscheinlich ist), können wir leider noch keine erfolgreiche VPN-Verbindung aufbauen. Bei einem Verbindungsversuch erhalten wir stattdessen die Fehlermeldung:

Fehler "809": Die Netzwerkverbindung zwischen Ihrem Computer und dem VPN-Server konnte nicht hergestellt werden, da der Remoteserver nicht antwortet. Das Verbindungsproblem wird möglicherweise verursacht, weil eines der Netzwerkgeräte (zum Beispiel Firewalls, NAT, Router usw.) zwischen Ihrem Computer und dem Remoteserver nicht für das Zulassen von VPN-Verbindungen konfiguriert ist. Wenden Sie sich an den Administrator oder den Dienstanbieter, um zu ermitteln, welches Gerät das Problem verursacht.

In diesem Fall muss noch eine Anpassung in der Registry von Windows vorgenommen werden.

Registry anpassen

Die Registry kann über „Ausführen“ und dann „regedit“ geöffnet werden. In der Registry navigieren wir nun zu dem Pfad HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent.

Dort legen wir einen neuen Eintrag (mit Rechtsklick) vom Typ DWORD-Wert (32-Bit) an.

Als Namen geben wir an: ``AssumeUDPEncapsulationContextOnSendRule```

Über Ändern bearbeiten wir den neuen Eintrag und stellen einen der folgenden Werte ein:

  • 0 = Wenn weder Sie sich oder die DiskStation hinter einem NAT-Gerät (z.B. Router) befindet. Dies ist der Standardwert von Windows.
  • 1 = Wenn sich nur die DiskStation hinter einem NAT befindet.
  • 2 = Wenn sich sowohl die DiskStation wie auch Sie hinter einem Router befinden. Diese Option ist wahrscheinlich in Ihrem Fall die richtige Option.

Nachdem Sie dies eingestellt haben, müssen Sie Ihren Computer neustarten, damit die Änderungen gültig werden. Danach sollten Sie eine VPN-Verbindung zu Ihrem VPN-Server aufbauen können.

Weiterführende Ressourcen: