Toggle sidebar

WireGuard VPN unter DSM

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
T

tex0

Benutzer
Registriert
26. Jan. 2019
Beiträge
3
Reaktionspunkte
0
Punkte
0
Hi,

hat schon jemand Erfahrungen mit WireGuard VPN unter DSM gemacht?

OpenVPN funktioniert zwar, aber WireGuard macht mir technisch einen wesentlich ausgereifteren und moderneren Eindruck. Daher würde ich es gerne auf meiner DiskStation als OpenVPN Alternative (Client modus) einsetzen.
 
Wireguard im Docker macht nicht wirklich Sinn. Also wird man wohl warten müssen ob Synology das mal implementiert.
Da ich aber einen Server auch nicht per VPN direkt ans Web hängen würde ist es für mich nicht relevant. Ich will Wireguard für meinen Router!
Insgesamt ist WG aber noch zu viel Beta und es fehlt noch die vollständige Implementierung des Win Clients. MAC alleine reicht nicht.
 
Wer redet denn von Docker?

Abgesehen davon, dass ich durchaus einen Sinn darin sehe das in Docker zu betreiben, hatte ich nicht danach gefragt.

Ich will meine DiskStation auch nicht direkt ins Internet stellen, sondern von der DS eine WireGuard VPN Verbindung zu einem WireGuard Server aufbauen. Da macht es tatsächlich mehr Sinn (für mich) wenn WireGuard nicht im Docker Container läuft. Sonst wird das Routing hässlich.

Auf einen Windows Client kann ich persönlich vollumfänglich verzichten.
 
ICH rede vom Docker und es sei mir gestattet auch wenn Du nicht danach gefragt hast. Es wird eher per Docker möglich sein als das Synology das implementiert.
Innerhalb des LANs eine WG Verbindung zum WG Server aufzubauen ist Quark. Der Router muss die WG Serverfunktion wahrnehmen, genau so wie er es auch jetzt idealer Weise für VPN macht. Innerhalb des LANs läuft alles offen.
 
Gibt es schon ein Update?
Ich bin ebenfalls an Wireguard auf der DSM interessiert. Es läuft zwar hervorragend auf meinem RPI3 (DietPi + Wireguard + Pihole), aber da das NAS eh läuft...
 
Solange die Entwickler selbst sich eher zurückhaltend geben wird Synology wohl nicht vorpreschen.

Andererseits haben sie überraschend früh auf BTRFS gesetzt. Ich weiss auch nicht wie sie ihre Router gegen Wireguard positionieren wollen.

Dennoch warte ich gespannt auf weitere Entwicklung. Gerade in Zeiten von immer schneller werdenden Internetverbindung fällt die nicht ausreichende Verschlüsselungsleistung negativ auf. Da soll ja Wireguard wesentlich fixer sein.
 
Ich bleibe dabei, sowas gehört auf den Router und nicht die Syno! Gute Router unterstützen alle Varianten von VPN.
Vielleicht sollten VPN Nutzer mal anfangen etwas umzudenken und lieber etwas mehr Geld in Router stecken als auf Softwarelösungen in Servern zu setzen.
 
Wie leistungsstark soll der Router denn werden?

Fritzboxen schaffen unter 10 MBIT/s. Ist wohl auch in etwa das Maximum was passiv gekühlte Router schaffen.

Da gibt man viel Geld für die Bandbreite aus und die soll am Router verpfuffen?

Sicherlich könnte man einen ordentlichen VPN Server hinstellen und da wo sowieso ein pool von Server rund um die Uhr durchläuft mache ich das auch aber privat? Ich will unterwegs mal auf mein Netz zugreifen. Da bleiben nur zwei Geräte die durchlaufen. Router und NAS.

Nich in jedem Fall muss die perfekte Lösung her. Es reicht ein funktionierender Notbehelf.

Profi-Küche im Restaurant Format für einen Junggesellen der mit Müh und Not Spaghetti mit Ketchup zusammbenbekommt wenn er es mal nicht wie üblich bei einem Döner belässt? Finde ich übertrieben?
 
Über eine Fritz ist mit dessen VPN max 2,5/je Nutzer möglich, insgesamt ca 12-15 je nach Box. Das ist lächerlich wenig. Für gelegentliche Zugriffe ok, mehr aber nicht.
Ich bin daher auf Draytek Router umgestiegen, da dort die VPN Bandbreite erheblich höher ist, alle Arten von VPN unterstützt werden und auch NordVPN direkt eingebunden werden kann, was einem die Konfiguration aller Clients im LAN erspart. Die Update-Häufigkeit passt hier und der Support ist auch sehr rührig, da können sich die Grossen wie Cisco, Netgear, DLink etc eine Scheibe von abschneiden. Auch die Firewall ist eine Klasse für sich. Die Dinger starten dann halt bei ca 300€.
Ich habe die Teile im SoHo als auch grössere Router bei Firmen laufen, alles ohne Probleme. Wenn man dann noch die APs von Draytek nutzt lassen sich geniale WLANs auch Gäste-WLANs aufspannen.
 
Zuletzt bearbeitet:
Nachdem ich mein Raspberrys unter Docker auf meiner 918+ dockerisiert habe mittels portainer und macvlan (jeder Container eine eigene IP), fehlt mir nur noch Wireguard Server auf der Synology.

Lauffähige Docker Container scheint es nicht wirklich zu geben unter dockerhub, es fehlt auch immer die Beschreibung. Kennt jemand eine Lösung? Vorzugsweise über Docker statt, den "echten" Kernel der DSM würde ich gerne in Ruhe lassen wollen.
 
Das hier
https://github.com/runfalk/synology-wireguard
funktioniert an sich und wg0 läuft, auch die Verbindung steht, aber ich kann trotzdem nicht zugreifen von extern. Dieselbe Konfiguration auf einem Raspi als Server anstelle der Syno funktioniert. Verbindung steht offenbar, wird nach Eingabe von "wg" über SSH angezeigt, aber anpingen geht nicht.
Portweiterleitungen im Router sind entsprechend gesetzt.

Wenn in DSM die Firewall ausgeschaltet ist, blockiert sie ja eigentlich auch nichts, oder?

Jemand, der den runfalk Synology Wireguard am laufen hat?
 
Accessing your home LAN

To actually access the server’s LAN, you’ll need to make a slight modification to the configuration. On the server’s config file, at the end of the the [Interface] section, add these two lines:

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
Zum Vergrößern anklicken....
wobei eth0 falsch ist.
"Note that you need to modify the rules if your network interface is not eth0. You can check which name your interface has by running ip a in an SSH session."

https://www.stavros.io/posts/how-to-configure-wireguard/

habs mal installiert aber meine motivation ganzes WG wieder einzurichten is gerade richtig mies...
 
eth0 wird aber in der Syno per "ip a" angezeigt als Netzwerkschnittstellenname in meiner DSM-918+
und eth1 für den zweiten LAN-Port.
 
Hab's jetzt mal installiert, 10 Clients angelegt und muss sagen, ich bin positiv überrascht. VPN on demand funktioniert ebenfalls. Ich hatte auch das Problem, dass ich nach der Verbindung nicht mit den Clients ins Internet kam und hatte erst meinen pi, auf dem Adguard home läuft, im Verdacht. Ich musste bei den iptables auch eth1 angeben, bond0 oder eth0 z.B. hat bei mir nicht funktioniert. Jetzt noch Adguard home auf die RS packen, dann kann der pi wieder in die "Spielekiste..."
 
Sehr interessant, obwohl eth1 nicht per LAN angeschlossen ist?

Ich habe nämlich das Problem, dass die wg-Verbindung zum NAS steht, ich trotz iptables mit eth0 nicht im Netzwerk "weiter" komme.
Mir fällt ein, ich weiß gar nicht ob ich ip4-forwarding aktiviert hatte. Das muss man bei den Raspis ja tun. Hast du ipforwarding aktiviert? Das muss ich nochmal probieren, ob es daran lag.
 
Ja, ich hatte in der /etc/sysctl.conf noch net.ipv4.ip_forward = 1 eingetragen. Schau mal unter ifconfig, da sollte eth1 auch zu sehen sein.
 
An dem fehlenden ip4-forwarding lag es. Jetzt klappt Wireguard auch auf der Syno. Perfekt :)
Herzlichen Dank!
 
Kein Problem :) Übrigens, solltest Du eine FritzBox haben und die FritzApp Fon benutzen, kannst Du noch in der FB eine statische ipV4 Route einrichten, so kannst Du auch auch von "wo auch immer" Anrufe von und in das Festnetz tätigen.
Bildschirmfoto 2019-11-11 um 18.06.55.png
 
Danke für den Tipp, aber ich nutze Mikrotik als Netzwerkhardware. Ich habe da höhere Anforderungen mit VLANs etc
 
Jetzt habe ich aber doch ein Problem. Scheinbar bricht die Verbindung über wireguard immer ab.
Vorher hatte ich 3 Raspberrys an 3 getrennten Orten, welche die 3 Netzwerke miteinander verbunden haben. Jetzt habe ich auf allen drei Synologys die wg0.conf kopiert und entsprechend eingestellt (statische Routen angepasst auf das NAS; Portweiterleitungen auf das NAS gelegt; entsprechend runfalk: toggeln von up wg0 beim hochfahren etc..)
Die Verbindung steht.

Jedoch scheint die Verbindung der Netzwerke untereinander zu haken. Ich habe immer nur wenige Sekunden (20?), bis zB ein Kopiervorgang abbricht. Auch wenn ich auf der DSM-Seite eines anderen Netzwerkes bin, kickt der mich nach einigen Sekunden auf den Loginbildschirm zurück.

Gibt es da eine Ahnung, an was das liegen könnte oder wie ich das eingrenzen kann? Das blöde ist ja, wenn ich mich rauskicke, dann muss ich zu dem jeweiligen Standort begeben (10 km entfernt).
Alle wireguards configs sind mit PersistentKeepalive = 25 ausgestattet.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten