Schon im letzten Jahr habe ich begeistert über WireGuard VPN berichtet. Ganz einfach, WireGuard ist die schnellste VPN Lösung, welche ich bisher im Einsatz hatte. Bis zuletzt hatte ich das mit einem extra Gerät gelöst, jedoch kam aufgrund gestiegener Anzahl von Clients das Gl-iNet Brume nun an seine Grenzen. Leider hat Synology auch bei DSM 7 Beta und VPN noch kein WireGuard implementiert. Deshalb habe ich es erfolglos mit Docker getestet, es fehlen die notwendigen Kernelmodule. Allerdings mit einer Minimalinstallation von Debian als virtuelle Maschine und sehr wenig Anforderungen an den Host, also die DiskStation, hat es ausgezeichnet funktioniert.
Was ist WireGuard und wozu?
WireGuard ist eine moderne und sehr leicht verständliche VPN Lösung. Dabei hat sich WireGuard zum Ziel gesetzt, deutlich schlanker als OpenVPN und IPsec zu sein. Zudem wesentlich schneller und einfach verständlich. Kurzum ein VPN Dienst, Open Source und universell im Einsatz. Der Fokus liegt bei wenigen, aber modernen Kryptografietechniken. Es werden viele Betriebssysteme unterstützt und ein Wechsel vom WiFi ins Mobilfunknetz geschieht praktisch ohne merkbare Verzögerung. Ergo ist die VPN-Verbindung blitzschnell wieder aufgebaut, beim Wechsel des Netzwerks durch den Client. Benutzername und Kennwort sind nicht nötig. Bei WireGuard wird jeder Client konfiguriert und anhand privatem und öffentlichen Schlüssel, sowie optionalem zusätzlichem Schlüssel (Pre-shared Key) erfolgt die Authentifizierung. Bei einem Geschwindigkeitsvergleich war WireGuard mehr als doppelt so schnell vom Datendurchsatz und die Ping-Zeit mehr als dreimal so kurz. Letztendlich kann so VPN endlich unbemerkt und dauerhaft betrieben werden.
Unter gleichen Voraussetzungen, dennoch nur ein subjektives Ergebnis meiner Tests. Hierbei ist mehr Datendurchsatz besser und bei der Pingzeit der geringste Wert der bessere.
WireGuard auf der Synology DiskStation
Zuvor hatte ich es bereits erwähnt, ich nutze einen sehr schlanken Debian Linux Server, um den WireGuard VPN Server zu betreiben. Dabei ist Synology Virtual Maschine Manager ideal. Ebenfalls wird extrem wenig Leistung benötigt, je nach Anzahl von Nutzern. Pauschal schaffe ich es mit WireGuard, 50 verbundenen Geräten, Streaming, Datenübertragung und Co. die CPU mit 2 zugewiesenen Kernen und 1GB RAM nicht mehr als 20% auszulasten. Deshalb zwei Kerne mehr und den lokalen DNS Server mit Unbound oben drauf. Letztendlich sollte somit jede DiskStation, welche mit Virtual Machine Manager kompatibel ist, auch den WireGuard VPN Server betreiben können.
Weiter lässt sich im WireGuard Client einfach der Pi-Hole als DNS-Server eintragen und somit habe ich auch unterwegs und überall die Vorteile daraus. Alle Geräte sind werbefrei im Internet unterwegs, keine In-App-Werbung, kein Tracking, mehr Privatsphäre und das dank eigenem Server, der all das verhindert. Da WireGuard fast unmerkbar und vollautomatisch eine VPN-Verbindung aufbaut, ausser bei Verbindung mit von mir definierten WLAN-SSIDs, klappt es auch mit der Filterung durch Pi-Hole von unterwegs.
WireGuard VPN Server auf Synology DiskStation mit VMM und Debian
Der eigene WireGuard VPN Server auf der Synology DiskStation. Zitat aus Wikipedia: WireGuard ist eine freie Software zum Aufbau eines virtuellen privaten Netzwerkes (VPN) über eine verschlüsselte Verbindung. Als Besonderheit ist diese VPN-Technik unter Linux direkt in den Kernel ab Version 5.6 integriert und erlaubt so eine höhere Verarbeitungsgeschwindigkeit als vergleichbare Lösungen wie IPsec oder OpenVPN. Allerdings erlaubt WireGuard nur den Transport über das schnellere UDP. Hier geht es zum ganzen Kurs und zu den Beispiel-Lektionen.
9,99 €
inkl. 19 % MwSt.
inkl. 19 % MwSt.
Hallo!
Ich habe auf meiner DS220+ Wireguard und wg-easy laufen.
Das ganze funktioniert tadellos, allerdings habe ich eine Frage.
Ich habe einen Kabelanschluss mit 10/100 mbit (up-/download).
Wenn ich mich also außerhalb meines Wlans mit meinem Android Handy per wireguard verbinde sind die 10mbit Upload (Kabel) mein Downloadlimit am Handy.
Allerdings hätte ich angenommen, dass ich mit höherer Geschwindigkeit zB auf meine DS uploaden kann.
Dabei komme ich aber auch auf max. 10mbit. (getestet mit speedtest aber auch zB mit Dateiupload zur DS).
Die Geschwindigkeit am Handy selbst (ohne VPN) liegt in dieser Situation bei >100mbit download…
Sieht fast so aus als würde der download mit dem max. upload gedeckelt (vom Server aus gesehen).
Kann mir das jemand erklären?
LG, Roman
Moin,
ich habe eine Fritz!Box 6591 und im Moment “nur” den normalen AVM VPN Client und bin nicht sehr glücklich mit diesem, da dieser mehrfach Bluescreens unter verschiedenen Windows Maschinen verursacht. Kann ich nun das AVM VPN durch ein Wireguard in meinem DS220+ wo ich bereits via Docker AdGuard laufen habe, ersetzten?
Was sind die Vor- und Nachteile gegenüber der AVM Lösung?
Viele Grüße
Björn
Wie sieht es mit dem neuen Tailscale aus? Es setzt auf WireGuard auf und es gibt auch ein offizielles Synology-Paket dafür: https://tailscale.com/kb/1131/synology/ und https://www.synology.com/de-de/dsm/packages/Tailscale
Hallo Dominik,
ich nutze einen VPN Anbieter der ebenfalls Wireguard als Protokoll anbietet und ich nutze es auch (wegen der deutliche besseren Geschwindigkeit als mite ovpn oder IPsec). Wenn ich z.B. oVPN auf der Syno einrichte brauche Benutzer und PW sowie ein .ovpn File, was ich von meinem Anbieter auch runterladen kann. Wie siehts da mit Wireguard aus? Was brauche ich hierzu?
Ich frage, weil ich bei meinem Anbieter absolut nix für eine manuelle Installation von Wireguard finde. Dann bringt mir dieser Kurs wohl erstmal auch nicht viel.
Hallo Dominik,
aus der Beschreibung und dem Kursinhalt geht für mich nicht hervor, ob WireGuard so konfiguriert wird (werden kann), dass man über das VPN von extern über die heimische Verbindung surft oder ob nur die heimischen Geräte mit WireGuard sicher erreichbar gemacht werden.
Sprich behandelst du bei deinem Kurs auch das Routing, sodass Client A über das WLAN vom Hotel eine VPN Verbindung zum WireGuard Server im Heimnetzwerk aufbaut und danach ausschließlich über den Internetzugang vom Heimnetzwerk surft?
Vielen Grüße Maik
Hallo Maik,
das ist eigentlich Sinn und Zweck von VPN, zumindest in den allermeisten Fällen oder zumindest für mich und genau darauf zielt mein Kurs ab. Dennoch sind heimische Geräte auch erreichbar, was der Kurs ebenso zeigt.
Gruß,
Dominik
Hallo Dominik,
Ich habe Deinen Kurs „ Pi-Hole + Unbound als 2 virtuelle Maschinen auf Synology DiskStation“ auf meiner DS 218+ umgesetzt. Läuft prima, herzlichen Dank für den strukturierten und verständlichen Kurs.
Als nächstes hätte ich Interesse diesen Kurs zu buchen, bin mir allerdings unsicher ob WireGuard zusätzlich, die Diskstation (10GB Speicher) an die Kapazitätsgrenze bringt.
Hallo Dirk,
vielen Dank und nein, WireGuard ist sehr genügsam, Du kommst ganz sicher nicht an die Grenze. Auch nicht mit 6GB RAM. Bevor Du loslegst, stelle bitte hier https://idomix.de/lessons/virtual-machine-manager-installieren-und-konfigurieren-117-min die Frage, wie individuell bei Dir die Installation aussehen könnte. Das macht mehr Sinn, da andere Kursteilnehmer u. U. eine ähnliche Frage haben und dann direkt in der Lektion eine Antwort finden, wie ich es unter der DS218+ machen würde.
Hallo,
gibt es auch die Möglichkeit dies über Docker zu realisieren? Fände ich persönlich besser.
Mhhh, hatte ich im ersten Absatz eigentlich geschrieben…
Ja habe ich gelesen! Hatte gesehen es gibt ja auch Debian-Images für Docker. Habe gedacht in deren Verbindung könnte es möglich sein,
Dieser Kurs hatte eine Vorarbeit von mehr als 1,5 Monaten und da ich nicht in allen Bereichen tiefgehendes Wissen habe, zog ich einen Spezialisten für Docker und Linux hinzu. Dieser hat mir mir alle Optionen durchgespielt und Du kannst es ja gerne versuchen auf eigene Faust. Meine Lösung ist so lange in meinen Augen und für mich ideal, bis Synology WireGuard integriert. Angeregt habe ich das im HQ, was aber nichts zu heissen hat.
Hey Dom,
ist es Möglich die Wireguard User mit dem DMS-Usern zu “synchronisieren”?
Super wäre es wenn ich einen DSM User anlege, dieser auch VPN Zugriff hat und wenn ich den User lösche, dieser dann auch wiederum keinen Zugriff mehr hat.
Hallo Paul,
ich bitte Dich die Frage unter der entsprechenden Lektion zu stellen, damit Kursteilnehmer, welche sich das auch fragen, dort die Antwort finden. Kein Kursteilnehmer wird bei Fragestellung während des Kurses zum Kurs selbst oder gar zum Beitrag auf der Webseite wechseln, um die Antwort zu finden. Danke!
Hallo Dom,
Werde ich machen.
Ich hätte es schon gerne gewusst bevor ich den Kurs gekauft habe. Vielleicht andere auch.
Wenn es nicht geht, bräuchte ich den Kurs nicht, da es für mich nicht handlebar wäre User manuell und doppelt zu pflegen.
Hallo Dominik,
ich werde den Kurs ebenso erst kaufen wenn ich weiß ob ich meine AD zur Benutzerkontensteuerung und eine Richtline nutzen kann um den Usern VPN bereitzustellen, da im Netzwerk viele Nutzer vorhanden sind und es auch für mich keinen Sinn macht diese Separat anzulegen und zu verwalten.
Hallo Sascha,
das Thema wird so oder so in meinem Kurs nicht behandelt und wenn Du darüber hinaus, was ich im Kurs zeige erwartest, ist der Kurs von mir nicht der Richtige für Dich.
Hallo Dominik,
eine Frage, bevor ich gerne diesen Kurs kaufe: Kann WireGuard auch mit IPv6 umgehen? Also IPv4 und v6?
Hallo Peter,
ja, WireGuard kann mit IPv6 umgehen. Du musst analog zu meinem IPv4 Setup je eine zusätzliche Konfiguration für Dein IPv6 Netzwerk hinterlegen, ausser Du willst IPv6 only.
Hallo Dominik
Braucht man für die Virtualisierung eine Lizenz?
Müsste ich mir eine zusätzlich erwerben, wenn ich die eine die von Synology zu Verfügung gestellt wird, für DSM 7 brauche?
Danke für deine Antwort
Gruss Mats
Hallo Dominik
Ich würde ja den Kurs auch gerne kaufen, jedoch fehlt mir dafür noch deine Antwort 🙂
Lg Mats
Hallo Matthias,
aber das ist doch öffentlich im Netz einsehbar: https://www.synology.com/de-de/products/VMMPro_License_Pack
Habe das sofort gefunden auf meine Suchanfrage bei Google. Dort hast Du nicht nur eine Antwort, sondern auch eine klare Aussage, wofür man eine Lizenz optional kaufen kann.