Dient das NAS als persönliche Cloud, möchte man dieses in der Regel auch von außerhalb des Heimnetzes ansteuern. Auf Dateien und PIM-Informationen benötigt man jederzeit Zugriff.
Eine Erreichbarkeit aus dem Netz ist immer ein Risiko. Man sollte hier also wirklich abwägen ob man das wirklich benötigt oder ob einem die Synchronisation im Heimnetz ausreicht.
Es gibt zwei unterschiedliche Methoden, um das NAS per Fernzugriff anzusteuern. Beide können wahlweise auch kombiniert werden.
- DynDNS URL / Let’s Encrypt Zertifikat & Portfreigabe im Router
- DynDNS URL & VPN
Bei Variante 1 erstellt man bei einem Dienstanbieter eine URL, die immer auf den heimischen Anschluss weist. Diese URL versieht man mit einem Let’s Encrypt Zertifikat, wodurch man die Möglichkeit erhält, die Daten per HTTPS Verbindung auf dem Transportweg zu verschlüsseln. Durch eine Portfreigabe im Router macht man das NAS bzw. einzelne Dienste von außerhalb erreichbar.
Bei Variante 2 benötigt man auch eine DyDNS-URL aber anstelle einer Freigabe baut man eine VPN-Verbindung zum Router auf. Danach ist man virtuell im heimischen Netz und kann das NAS genau so benutzen, wie man es innerhalb der eigenen vier Wände auch könnte.
Welche Variante man bevorzugt, hängt ganz von den persönlichen Nutzungsszenarien ab. Wenn man möglichst nahe am Nutzungserlebnis professioneller Cloud-Dienstleister bleiben möchte, sollte man Variante 1 nutzen. Variante 2 ist etwas sicherer, aber jeder Synchronisationsvorgang und jeder Zugriff erfordert den vorherigen Aufbau einer VPN-Verbindung. Es sind auch Mischvarianten denkbar, bei denen z. B. die DAV-Ports geöffnet, aber der Port für die DSM-Oberfläche geschlossen bleibt. Allgemeingültige Ratschläge kann man nicht hier erteilen.
Variante 1: Let’s Encrypt & Portfreigabe
DynDNS einrichten
Synology bietet mit der Funktion QuickConnect an und die Möglichkeit, in der Systemsteuerung unter Externer Zugriff den Router und die Portfreigaben automatisch zu konfigurieren – ein passendes Router-Modell vorausgesetzt. Diese Variante wurde hier nicht getestet, da solche Blackboxen unnötige Abhängigkeiten erzeugen.
Bei den meisten Internetprovidern verändern sich die zugewiesenen IP-Adressen in einem gewissen Rhythmus. Mittels DDNS/DynDNS lässt sich der Server immer über die gleiche Adresse aufrufen, selbst wenn die gegenwärtig vergebene IP für den Nutzer unbekannt ist.
Let’s Encrypt Zertifikat beantragen und einrichten
Um die Verbindung zu sichern bietet Synology eine einfache Einrichtung eines Let’s Encrypt Zertifikats an. Wichtig ist, dass Port 80 freigegeben ist und DDNS richtig konfiguriert wurde.
Anschließend beantragt man in der Systemsteuerung unter Sicherheit im Reiter Zertifikat ein neues Zertifikat.

Hier kann man im zweiten Schritt auswählen, ob man ein Zertifikat importieren, ein selbst signiertes verwenden oder ein neues Zertifikat bei Let’s Encrypt beantragen möchte. Letzteres ist uneingeschränkt zu empfehlen. Anschließend ist der DDNS Domainname einzutragen und eine Kontakt E-Mail Adresse hinterlegt werden. Die Beantragung und Einrichtung dauert anschließend ein wenig.
Sofern alles erfolgreich absolviert ist, sollte man – die Freigabe von Port 5001 vorausgesetzt – via DDNS Domain eine HTTPS-Verbindung zur NAS-Oberfläche aufbauen können. Für die Synchronisation wie WebDAV, CalDAV, CardDAV oder mittels Drive Client ist keine Freigabe des Ports für die DSM-Oberfläche notwendig.
Hinter der Schaltfläche Konfigurieren verbirgt sich die Möglichkeit, unterschiedliche Zertifikate für die verschiedenen Synology-Dienste zu wählen.

Es kann weiterhin sinnvoll sein, jeden HTTP-Zugriff auf eine sichere HTTPS-Verbindung umzuleiten. Dies lässt sich in der Systemsteuerung im Bereich Netzwerk im Reiter DSM-Einstellungen konfigurieren. Bei internen Zugriff über die IP löst man damit allerdings eine Sicherheitswarnung im Browser aus.

Sind alle Schritt absolviert, lassen sich die verschiedenen Synology-Dienste über eine sichere HTTPS-Verbindung aufrufen. Die Daten sind damit auf dem Transportweg sicher.
Variante 2: VPN (Fritz!Box)
Mittels einer Fritz!Box kann jeder Anwender sehr leicht eine VPN-Verbindung zum heimischen Netzwerk herstellen. Bei einer VPN Verbindung wird – simplifiziert ausgedrückt – zuerst eine gesicherte Verbindung zum VPN-Anbieter (im hiesigen Beispiel unsere eigene Fritz!Box) aufgebaut. Durch diese Verbindung/Tunnel werden alle Daten geleitet. Das mittels VPN mit dem Heimnetz verbundene Geräte verhält sich – vereinfacht gesagt – als ob es im heimischen Netzwerk wäre.
Einrichtung
DynDNS oder MyFritz
Siehe den obigen Abschnitt zu DDNS / DynDNS
Benutzer anlegen & Zugang einrichten
Standardmäßig ist auf der Fritz!Box lediglich ein deaktivierter ftpuser vorhanden. Für die VPN-Verbindung benötigen wir einen neuen Benutzer. Diesen kann man unter System / Fritz!Box-Benutzer anlegen.

Hierbei sind die Berechtigungen individuell zu setzen. Im gezeigten Beispiel soll der Benutzer lediglich für die VPN-Verbindung verwendet werden und ansonsten keine Berechtigungen haben.
Anschließend möchte die Fritz!Box eine Bestätigung. Sofern man die Standardeinstellung modifiziert hat, kann dieser Schritt auch entfallen bzw. durch einen 2FA-Code ersetzt werden.

Danach kommt ein Dialog, ob man sich die VPN-Einstellungen für iOS und Android ansehen möchte. Hier sollte man OK klicken, um eine übersichtliche Druckansicht der notwendigen Zugangsdaten zu erhalten.

Endgeräte konfigurieren
Die Einrichtung unter iOS und Android ist hier bereits ausführlich beschrieben. Sie erfolgt vergleichbar auch bei Desktop-Betriebssystemen. Unter macOS kann man in den Systemeinstellungen im Bereich Netzwerk eine zusätzliche Verbindung mittels Klick auf das + Symbol anlegen.

Anschließend ist man zwar per VPN mit dem heimischen Netz verbunden, kann aber keine Verbindungen in das Internet aufbauen, weil die DNS-Auflösung scheitert. Sofern also mehr als nur Zugriff auf das NAS gewünscht ist, muss unter Weitere Optionen daher für die VPN-Verbindung die lokale IP-Adresse der Fritz!Box als DNS Server hinterlegen. Standardmäßig ist das 192.168.178.1
Unter Linux lässt sich mittels Network Manager simpel eine VPN-Verbindung konfigurieren. Das notwendige VPN-Plugin (vpnc) haben die meisten Distributionen vorinstalliert, ansonsten muss man es mittels der jeweiligen Paketverwaltung nachträglich installieren. Die Einrichtung variiert je nach Oberfläche. Bei MATE kann man ähnlich wie bei macOS per Klick auf + eine neue Verbindung anlegen.

Anschließend kann man mit jedem Gerät eine sichere Verbindung in das heimische Netz aufbauen und von dort ins Internet gehen, ohne den öffentlichen oder fremden WLAN-Netzen und den anderen dort aktiven Personen/Geräten trauen zu müssen. Allerdings sollte man im Blick behalten, dass die Verbindung zum VPN nicht abreißt, weil man ansonsten wieder ungesichert unterwegs ist. Die Standardwerkzeuge der Desktop-Betriebssysteme und ihrer mobilen Äquivalente verfügen leider über keine Möglichkeit, die Übertragung bei einem VPN-Verbindungsabbruch sofort zu beenden.