WireGuard VPN unter DSM

Status
Für weitere Antworten geschlossen.

tex0

Benutzer
Mitglied seit
26. Jan 2019
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Hi,

hat schon jemand Erfahrungen mit WireGuard VPN unter DSM gemacht?

OpenVPN funktioniert zwar, aber WireGuard macht mir technisch einen wesentlich ausgereifteren und moderneren Eindruck. Daher würde ich es gerne auf meiner DiskStation als OpenVPN Alternative (Client modus) einsetzen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Wireguard im Docker macht nicht wirklich Sinn. Also wird man wohl warten müssen ob Synology das mal implementiert.
Da ich aber einen Server auch nicht per VPN direkt ans Web hängen würde ist es für mich nicht relevant. Ich will Wireguard für meinen Router!
Insgesamt ist WG aber noch zu viel Beta und es fehlt noch die vollständige Implementierung des Win Clients. MAC alleine reicht nicht.
 

tex0

Benutzer
Mitglied seit
26. Jan 2019
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Wer redet denn von Docker?

Abgesehen davon, dass ich durchaus einen Sinn darin sehe das in Docker zu betreiben, hatte ich nicht danach gefragt.

Ich will meine DiskStation auch nicht direkt ins Internet stellen, sondern von der DS eine WireGuard VPN Verbindung zu einem WireGuard Server aufbauen. Da macht es tatsächlich mehr Sinn (für mich) wenn WireGuard nicht im Docker Container läuft. Sonst wird das Routing hässlich.

Auf einen Windows Client kann ich persönlich vollumfänglich verzichten.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
ICH rede vom Docker und es sei mir gestattet auch wenn Du nicht danach gefragt hast. Es wird eher per Docker möglich sein als das Synology das implementiert.
Innerhalb des LANs eine WG Verbindung zum WG Server aufzubauen ist Quark. Der Router muss die WG Serverfunktion wahrnehmen, genau so wie er es auch jetzt idealer Weise für VPN macht. Innerhalb des LANs läuft alles offen.
 

Solear

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
224
Punkte für Reaktionen
0
Punkte
16
Gibt es schon ein Update?
Ich bin ebenfalls an Wireguard auf der DSM interessiert. Es läuft zwar hervorragend auf meinem RPI3 (DietPi + Wireguard + Pihole), aber da das NAS eh läuft...
 

Nomad

Benutzer
Mitglied seit
23. Okt 2008
Beiträge
597
Punkte für Reaktionen
0
Punkte
0
Solange die Entwickler selbst sich eher zurückhaltend geben wird Synology wohl nicht vorpreschen.

Andererseits haben sie überraschend früh auf BTRFS gesetzt. Ich weiss auch nicht wie sie ihre Router gegen Wireguard positionieren wollen.

Dennoch warte ich gespannt auf weitere Entwicklung. Gerade in Zeiten von immer schneller werdenden Internetverbindung fällt die nicht ausreichende Verschlüsselungsleistung negativ auf. Da soll ja Wireguard wesentlich fixer sein.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Ich bleibe dabei, sowas gehört auf den Router und nicht die Syno! Gute Router unterstützen alle Varianten von VPN.
Vielleicht sollten VPN Nutzer mal anfangen etwas umzudenken und lieber etwas mehr Geld in Router stecken als auf Softwarelösungen in Servern zu setzen.
 

Nomad

Benutzer
Mitglied seit
23. Okt 2008
Beiträge
597
Punkte für Reaktionen
0
Punkte
0
Wie leistungsstark soll der Router denn werden?

Fritzboxen schaffen unter 10 MBIT/s. Ist wohl auch in etwa das Maximum was passiv gekühlte Router schaffen.

Da gibt man viel Geld für die Bandbreite aus und die soll am Router verpfuffen?

Sicherlich könnte man einen ordentlichen VPN Server hinstellen und da wo sowieso ein pool von Server rund um die Uhr durchläuft mache ich das auch aber privat? Ich will unterwegs mal auf mein Netz zugreifen. Da bleiben nur zwei Geräte die durchlaufen. Router und NAS.

Nich in jedem Fall muss die perfekte Lösung her. Es reicht ein funktionierender Notbehelf.

Profi-Küche im Restaurant Format für einen Junggesellen der mit Müh und Not Spaghetti mit Ketchup zusammbenbekommt wenn er es mal nicht wie üblich bei einem Döner belässt? Finde ich übertrieben?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Über eine Fritz ist mit dessen VPN max 2,5/je Nutzer möglich, insgesamt ca 12-15 je nach Box. Das ist lächerlich wenig. Für gelegentliche Zugriffe ok, mehr aber nicht.
Ich bin daher auf Draytek Router umgestiegen, da dort die VPN Bandbreite erheblich höher ist, alle Arten von VPN unterstützt werden und auch NordVPN direkt eingebunden werden kann, was einem die Konfiguration aller Clients im LAN erspart. Die Update-Häufigkeit passt hier und der Support ist auch sehr rührig, da können sich die Grossen wie Cisco, Netgear, DLink etc eine Scheibe von abschneiden. Auch die Firewall ist eine Klasse für sich. Die Dinger starten dann halt bei ca 300€.
Ich habe die Teile im SoHo als auch grössere Router bei Firmen laufen, alles ohne Probleme. Wenn man dann noch die APs von Draytek nutzt lassen sich geniale WLANs auch Gäste-WLANs aufspannen.
 
Zuletzt bearbeitet:

Solear

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
224
Punkte für Reaktionen
0
Punkte
16
Nachdem ich mein Raspberrys unter Docker auf meiner 918+ dockerisiert habe mittels portainer und macvlan (jeder Container eine eigene IP), fehlt mir nur noch Wireguard Server auf der Synology.

Lauffähige Docker Container scheint es nicht wirklich zu geben unter dockerhub, es fehlt auch immer die Beschreibung. Kennt jemand eine Lösung? Vorzugsweise über Docker statt, den "echten" Kernel der DSM würde ich gerne in Ruhe lassen wollen.
 

Solear

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
224
Punkte für Reaktionen
0
Punkte
16
Das hier
https://github.com/runfalk/synology-wireguard
funktioniert an sich und wg0 läuft, auch die Verbindung steht, aber ich kann trotzdem nicht zugreifen von extern. Dieselbe Konfiguration auf einem Raspi als Server anstelle der Syno funktioniert. Verbindung steht offenbar, wird nach Eingabe von "wg" über SSH angezeigt, aber anpingen geht nicht.
Portweiterleitungen im Router sind entsprechend gesetzt.

Wenn in DSM die Firewall ausgeschaltet ist, blockiert sie ja eigentlich auch nichts, oder?

Jemand, der den runfalk Synology Wireguard am laufen hat?
 

Haldi

Benutzer
Mitglied seit
14. Jan 2013
Beiträge
23
Punkte für Reaktionen
5
Punkte
3
Accessing your home LAN

To actually access the server’s LAN, you’ll need to make a slight modification to the configuration. On the server’s config file, at the end of the the [Interface] section, add these two lines:

PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
wobei eth0 falsch ist.
"Note that you need to modify the rules if your network interface is not eth0. You can check which name your interface has by running ip a in an SSH session."

https://www.stavros.io/posts/how-to-configure-wireguard/

habs mal installiert aber meine motivation ganzes WG wieder einzurichten is gerade richtig mies...
 

Solear

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
224
Punkte für Reaktionen
0
Punkte
16
eth0 wird aber in der Syno per "ip a" angezeigt als Netzwerkschnittstellenname in meiner DSM-918+
und eth1 für den zweiten LAN-Port.
 

diver68

Benutzer
Mitglied seit
07. Nov 2012
Beiträge
401
Punkte für Reaktionen
16
Punkte
18
Hab's jetzt mal installiert, 10 Clients angelegt und muss sagen, ich bin positiv überrascht. VPN on demand funktioniert ebenfalls. Ich hatte auch das Problem, dass ich nach der Verbindung nicht mit den Clients ins Internet kam und hatte erst meinen pi, auf dem Adguard home läuft, im Verdacht. Ich musste bei den iptables auch eth1 angeben, bond0 oder eth0 z.B. hat bei mir nicht funktioniert. Jetzt noch Adguard home auf die RS packen, dann kann der pi wieder in die "Spielekiste..."
 

Solear

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
224
Punkte für Reaktionen
0
Punkte
16
Sehr interessant, obwohl eth1 nicht per LAN angeschlossen ist?

Ich habe nämlich das Problem, dass die wg-Verbindung zum NAS steht, ich trotz iptables mit eth0 nicht im Netzwerk "weiter" komme.
Mir fällt ein, ich weiß gar nicht ob ich ip4-forwarding aktiviert hatte. Das muss man bei den Raspis ja tun. Hast du ipforwarding aktiviert? Das muss ich nochmal probieren, ob es daran lag.
 

diver68

Benutzer
Mitglied seit
07. Nov 2012
Beiträge
401
Punkte für Reaktionen
16
Punkte
18
Ja, ich hatte in der /etc/sysctl.conf noch net.ipv4.ip_forward = 1 eingetragen. Schau mal unter ifconfig, da sollte eth1 auch zu sehen sein.
 

Solear

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
224
Punkte für Reaktionen
0
Punkte
16
An dem fehlenden ip4-forwarding lag es. Jetzt klappt Wireguard auch auf der Syno. Perfekt :)
Herzlichen Dank!
 

diver68

Benutzer
Mitglied seit
07. Nov 2012
Beiträge
401
Punkte für Reaktionen
16
Punkte
18
Kein Problem :) Übrigens, solltest Du eine FritzBox haben und die FritzApp Fon benutzen, kannst Du noch in der FB eine statische ipV4 Route einrichten, so kannst Du auch auch von "wo auch immer" Anrufe von und in das Festnetz tätigen.
Bildschirmfoto 2019-11-11 um 18.06.55.png
 

Solear

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
224
Punkte für Reaktionen
0
Punkte
16
Danke für den Tipp, aber ich nutze Mikrotik als Netzwerkhardware. Ich habe da höhere Anforderungen mit VLANs etc
 

Solear

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
224
Punkte für Reaktionen
0
Punkte
16
Jetzt habe ich aber doch ein Problem. Scheinbar bricht die Verbindung über wireguard immer ab.
Vorher hatte ich 3 Raspberrys an 3 getrennten Orten, welche die 3 Netzwerke miteinander verbunden haben. Jetzt habe ich auf allen drei Synologys die wg0.conf kopiert und entsprechend eingestellt (statische Routen angepasst auf das NAS; Portweiterleitungen auf das NAS gelegt; entsprechend runfalk: toggeln von up wg0 beim hochfahren etc..)
Die Verbindung steht.

Jedoch scheint die Verbindung der Netzwerke untereinander zu haken. Ich habe immer nur wenige Sekunden (20?), bis zB ein Kopiervorgang abbricht. Auch wenn ich auf der DSM-Seite eines anderen Netzwerkes bin, kickt der mich nach einigen Sekunden auf den Loginbildschirm zurück.

Gibt es da eine Ahnung, an was das liegen könnte oder wie ich das eingrenzen kann? Das blöde ist ja, wenn ich mich rauskicke, dann muss ich zu dem jeweiligen Standort begeben (10 km entfernt).
Alle wireguards configs sind mit PersistentKeepalive = 25 ausgestattet.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat