Schon im letzten Jahr habe ich begeistert รผber WireGuard VPN berichtet. Ganz einfach, WireGuard ist die schnellste VPN Lรถsung, welche ich bisher im Einsatz hatte. Bis zuletzt hatte ich das mit einem extra Gerรคt gelรถst, jedoch kam aufgrund gestiegener Anzahl von Clients das Gl-iNet Brume nun an seine Grenzen. Leider hat Synology auch bei DSM 7 Beta und VPN noch kein WireGuard implementiert. Deshalb habe ich es erfolglos mit Docker getestet, es fehlen die notwendigen Kernelmodule. Allerdings mit einer Minimalinstallation von Debian als virtuelle Maschine und sehr wenig Anforderungen an den Host, also die DiskStation, hat es ausgezeichnet funktioniert.
Was ist WireGuard und wozu?
WireGuard ist eine moderne und sehr leicht verstรคndliche VPN Lรถsung. Dabei hat sich WireGuard zum Ziel gesetzt, deutlich schlanker als OpenVPN und IPsec zu sein. Zudem wesentlich schneller und einfach verstรคndlich. Kurzum ein VPN Dienst, Open Source und universell im Einsatz. Der Fokus liegt bei wenigen, aber modernenย Kryptografietechniken. Es werden viele Betriebssysteme unterstรผtzt und ein Wechsel vom WiFi ins Mobilfunknetz geschieht praktisch ohne merkbare Verzรถgerung. Ergo ist die VPN-Verbindung blitzschnell wieder aufgebaut, beim Wechsel des Netzwerks durch den Client.ย Benutzername und Kennwort sind nicht nรถtig. Bei WireGuard wird jeder Client konfiguriert und anhand privatem und รถffentlichen Schlรผssel, sowie optionalem zusรคtzlichem Schlรผssel (Pre-shared Key) erfolgt die Authentifizierung. Bei einem Geschwindigkeitsvergleich war WireGuard mehr als doppelt so schnell vom Datendurchsatz und die Ping-Zeit mehr als dreimal so kurz.ย Letztendlich kann so VPN endlich unbemerkt und dauerhaft betrieben werden.ย
Unter gleichen Voraussetzungen, dennoch nur ein subjektives Ergebnis meiner Tests. Hierbei ist mehr Datendurchsatz besser und bei der Pingzeit der geringste Wert der bessere.
WireGuard auf der Synology DiskStation
Zuvor hatte ich es bereits erwรคhnt, ich nutze einen sehr schlanken Debian Linux Server, um den WireGuard VPN Server zu betreiben. Dabei ist Synology Virtual Maschine Manager ideal. Ebenfalls wird extrem wenig Leistung benรถtigt, je nach Anzahl von Nutzern. Pauschal schaffe ich es mit WireGuard, 50 verbundenen Gerรคten, Streaming, Datenรผbertragung und Co. die CPU mit 2 zugewiesenen Kernen und 1GB RAM nicht mehr als 20% auszulasten. Deshalb zwei Kerne mehr und den lokalen DNS Server mit Unbound oben drauf. Letztendlich sollte somit jede DiskStation, welche mit Virtual Machine Manager kompatibel ist, auch den WireGuard VPN Server betreiben kรถnnen.
Weiter lรคsst sich im WireGuard Client einfach der Pi-Hole als DNS-Server eintragen und somit habe ich auch unterwegs und รผberall die Vorteile daraus. Alle Gerรคte sindย werbefrei im Internet unterwegs,ย keine In-App-Werbung, kein Tracking, mehr Privatsphรคre und das dank eigenem Server, der all das verhindert. Da WireGuard fast unmerkbar und vollautomatisch eine VPN-Verbindung aufbaut, ausser bei Verbindung mit von mir definierten WLAN-SSIDs, klappt es auch mit der Filterung durch Pi-Hole von unterwegs.
WireGuard VPN Server auf Synology DiskStation mit VMM und Debian
Der eigeneย WireGuard VPN Server auf der Synology DiskStation. Zitat aus Wikipedia: WireGuard ist eine freie Software zum Aufbau eines virtuellen privaten Netzwerkes (VPN) รผber eine verschlรผsselte Verbindung. Als Besonderheit ist diese VPN-Technik unter Linux direkt in den Kernel ab Version 5.6 integriert und erlaubt so eine hรถhere Verarbeitungsgeschwindigkeit als vergleichbare Lรถsungen wie IPsec oder OpenVPN. Allerdings erlaubt WireGuard nur den Transport รผber das schnellere UDP. Hier geht es zum ganzen Kurs und zu den Beispiel-Lektionen.
9,99 €
inkl. 19 % MwSt.
inkl. 19 % MwSt.
Lieber Dominik, ich hoffe meine Frage erreicht Sie in guter Gesundheit.
Ich hatte 2021 ihre Anleitung fรผr das Mail-Archiv gekauft. Lรคuft alles super. Muss aus diversen Grรผnden mein NAS neu installieren. Git es eine Mรถglichkeit meine Archiv-Datenbank zu auf die Neuinstallation zu migrieren?
Gruร Mรผller
Hallo Herr Mรผller,
ja, das ist mรถglich, entweder hier: https://www.synology.com/de-de/dsm/packages/MigrationAssistant รผber den Migrationsassistenten oder รผber Hyper Backup und eine Wiederherstellung. Das hab ich schonmal gemacht und hier meine Erfahrung: https://idomix.de/diskstation-notfallwiederherstellung-disaster-recovery
Viele Grรผรe
Dominik
Hallo!
Ich habe auf meiner DS220+ Wireguard und wg-easy laufen.
Das ganze funktioniert tadellos, allerdings habe ich eine Frage.
Ich habe einen Kabelanschluss mit 10/100 mbit (up-/download).
Wenn ich mich also auรerhalb meines Wlans mit meinem Android Handy per wireguard verbinde sind die 10mbit Upload (Kabel) mein Downloadlimit am Handy.
Allerdings hรคtte ich angenommen, dass ich mit hรถherer Geschwindigkeit zB auf meine DS uploaden kann.
Dabei komme ich aber auch auf max. 10mbit. (getestet mit speedtest aber auch zB mit Dateiupload zur DS).
Die Geschwindigkeit am Handy selbst (ohne VPN) liegt in dieser Situation bei >100mbit download…
Sieht fast so aus als wรผrde der download mit dem max. upload gedeckelt (vom Server aus gesehen).
Kann mir das jemand erklรคren?
LG, Roman
Moin,
ich habe eine Fritz!Box 6591 und im Moment “nur” den normalen AVM VPN Client und bin nicht sehr glรผcklich mit diesem, da dieser mehrfach Bluescreens unter verschiedenen Windows Maschinen verursacht. Kann ich nun das AVM VPN durch ein Wireguard in meinem DS220+ wo ich bereits via Docker AdGuard laufen habe, ersetzten?
Was sind die Vor- und Nachteile gegenรผber der AVM Lรถsung?
Viele Grรผรe
Bjรถrn
Wie sieht es mit dem neuen Tailscale aus? Es setzt auf WireGuard auf und es gibt auch ein offizielles Synology-Paket dafรผr: https://tailscale.com/kb/1131/synology/ und https://www.synology.com/de-de/dsm/packages/Tailscale
Hallo Dominik,
ich nutze einen VPN Anbieter der ebenfalls Wireguard als Protokoll anbietet und ich nutze es auch (wegen der deutliche besseren Geschwindigkeit als mite ovpn oder IPsec). Wenn ich z.B. oVPN auf der Syno einrichte brauche Benutzer und PW sowie ein .ovpn File, was ich von meinem Anbieter auch runterladen kann. Wie siehts da mit Wireguard aus? Was brauche ich hierzu?
Ich frage, weil ich bei meinem Anbieter absolut nix fรผr eine manuelle Installation von Wireguard finde. Dann bringt mir dieser Kurs wohl erstmal auch nicht viel.
Hallo Dominik,
aus der Beschreibung und dem Kursinhalt geht fรผr mich nicht hervor, ob WireGuard so konfiguriert wird (werden kann), dass man รผber das VPN von extern รผber die heimische Verbindung surft oder ob nur die heimischen Gerรคte mit WireGuard sicher erreichbar gemacht werden.
Sprich behandelst du bei deinem Kurs auch das Routing, sodass Client A รผber das WLAN vom Hotel eine VPN Verbindung zum WireGuard Server im Heimnetzwerk aufbaut und danach ausschlieรlich รผber den Internetzugang vom Heimnetzwerk surft?
Vielen Grรผรe Maik
Hallo Maik,
das ist eigentlich Sinn und Zweck von VPN, zumindest in den allermeisten Fรคllen oder zumindest fรผr mich und genau darauf zielt mein Kurs ab. Dennoch sind heimische Gerรคte auch erreichbar, was der Kurs ebenso zeigt.
Gruร,
Dominik
Hallo Dominik,
Ich habe Deinen Kurs โ Pi-Hole + Unbound als 2 virtuelle Maschinen auf Synology DiskStationโ auf meiner DS 218+ umgesetzt. Lรคuft prima, herzlichen Dank fรผr den strukturierten und verstรคndlichen Kurs.
Als nรคchstes hรคtte ich Interesse diesen Kurs zu buchen, bin mir allerdings unsicher ob WireGuard zusรคtzlich, die Diskstation (10GB Speicher) an die Kapazitรคtsgrenze bringt.
Hallo Dirk,
vielen Dank und nein, WireGuard ist sehr genรผgsam, Du kommst ganz sicher nicht an die Grenze. Auch nicht mit 6GB RAM. Bevor Du loslegst, stelle bitte hier https://idomix.de/lessons/virtual-machine-manager-installieren-und-konfigurieren-117-min die Frage, wie individuell bei Dir die Installation aussehen kรถnnte. Das macht mehr Sinn, da andere Kursteilnehmer u. U. eine รคhnliche Frage haben und dann direkt in der Lektion eine Antwort finden, wie ich es unter der DS218+ machen wรผrde.
Hallo,
gibt es auch die Mรถglichkeit dies รผber Docker zu realisieren? Fรคnde ich persรถnlich besser.
Mhhh, hatte ich im ersten Absatz eigentlich geschrieben…
Ja habe ich gelesen! Hatte gesehen es gibt ja auch Debian-Images fรผr Docker. Habe gedacht in deren Verbindung kรถnnte es mรถglich sein,
Dieser Kurs hatte eine Vorarbeit von mehr als 1,5 Monaten und da ich nicht in allen Bereichen tiefgehendes Wissen habe, zog ich einen Spezialisten fรผr Docker und Linux hinzu. Dieser hat mir mir alle Optionen durchgespielt und Du kannst es ja gerne versuchen auf eigene Faust. Meine Lรถsung ist so lange in meinen Augen und fรผr mich ideal, bis Synology WireGuard integriert. Angeregt habe ich das im HQ, was aber nichts zu heissen hat.
Hey Dom,
ist es Mรถglich die Wireguard User mit dem DMS-Usern zu “synchronisieren”?
Super wรคre es wenn ich einen DSM User anlege, dieser auch VPN Zugriff hat und wenn ich den User lรถsche, dieser dann auch wiederum keinen Zugriff mehr hat.
Hallo Paul,
ich bitte Dich die Frage unter der entsprechenden Lektion zu stellen, damit Kursteilnehmer, welche sich das auch fragen, dort die Antwort finden. Kein Kursteilnehmer wird bei Fragestellung wรคhrend des Kurses zum Kurs selbst oder gar zum Beitrag auf der Webseite wechseln, um die Antwort zu finden. Danke!
Hallo Dom,
Werde ich machen.
Ich hรคtte es schon gerne gewusst bevor ich den Kurs gekauft habe. Vielleicht andere auch.
Wenn es nicht geht, brรคuchte ich den Kurs nicht, da es fรผr mich nicht handlebar wรคre User manuell und doppelt zu pflegen.
Hallo Dominik,
ich werde den Kurs ebenso erst kaufen wenn ich weiร ob ich meine AD zur Benutzerkontensteuerung und eine Richtline nutzen kann um den Usern VPN bereitzustellen, da im Netzwerk viele Nutzer vorhanden sind und es auch fรผr mich keinen Sinn macht diese Separat anzulegen und zu verwalten.
Hallo Sascha,
das Thema wird so oder so in meinem Kurs nicht behandelt und wenn Du darรผber hinaus, was ich im Kurs zeige erwartest, ist der Kurs von mir nicht der Richtige fรผr Dich.
Hallo Dominik,
eine Frage, bevor ich gerne diesen Kurs kaufe: Kann WireGuard auch mit IPv6 umgehen? Also IPv4 und v6?
Hallo Peter,
ja, WireGuard kann mit IPv6 umgehen. Du musst analog zu meinem IPv4 Setup je eine zusรคtzliche Konfiguration fรผr Dein IPv6 Netzwerk hinterlegen, ausser Du willst IPv6 only.
Hallo Dominik
Braucht man fรผr die Virtualisierung eine Lizenz?
Mรผsste ich mir eine zusรคtzlich erwerben, wenn ich die eine die von Synology zu Verfรผgung gestellt wird, fรผr DSM 7 brauche?
Danke fรผr deine Antwort
Gruss Mats
Hallo Dominik
Ich wรผrde ja den Kurs auch gerne kaufen, jedoch fehlt mir dafรผr noch deine Antwort ๐
Lg Mats
Hallo Matthias,
aber das ist doch รถffentlich im Netz einsehbar: https://www.synology.com/de-de/products/VMMPro_License_Pack
Habe das sofort gefunden auf meine Suchanfrage bei Google. Dort hast Du nicht nur eine Antwort, sondern auch eine klare Aussage, wofรผr man eine Lizenz optional kaufen kann.