Quick Guide - Wireguard Server auf QNAP einrichten
tiermutter
[PROLOG]
Seit QTS 5.0 wird das Wireguard VPN Protokoll unterstützt, da kam schnell die Frage auf, wie man dies einrichtet. Die Oberfläche in der QVPN App habe ich mir beim Test von QTS 5 bereits angeschaut und bin daher der Meinung, dass die Einrichtung kein Hexenwerk sein kann. Ob ich richtig liege will ich in dieser Schnellanleitung herausfinden.
[VORBEREITUNGEN]
Voraussetzung ist, dass der QVPN Service im App Center unter QTS 5.0 oder höher installiert ist, in diesem Fall ist es die Version 3.0.739.
Außerdem muss eine Portweiterleitung/ -Freigabe in der Firewall eingerichtet sein, der Standardport ist 51820.
[SERVER ERSTELLEN]
Zunächst muss der Server durch Setzen des Häkchens aktiviert werden. Anschließend erstellt man ein Schlüsselpaar durch Klick auf den entsprechenden Button und gibt dem Server einen Namen. Dann wählt man den gewünschten DNS Server, entweder mit Hilfe des Wizards oder man trägt ihn manuell ein. Ich verwende hier meine Firewall als DNS Server, wie ich es für alle Geräte tue.
Die Änderungen werden durch einen Klick auf „Apply / Übernehmen“ angewendet und der Server steht schonmal.
[CLIENTS/ PEERING]
Anschließend muss das Peering für die Clients erstellt werden, hier werden sozusagen die User angelegt. Ich mache das unter Windows 10 mit der Wireguard App.
Mit einem Klick auf „neuen leeren Tunnel erstellen“ wird der Tunnel erstellt, dabei wird automatisch ein Public Key erstellt, den wir gleich noch benötigen.
Außerdem müssen noch ein paar Daten ergänzt werden:
Interface
Adress gibt an, welche IP Adresse aus dem Wireguard-Netz der Client erhalten soll, diese muss mit dem Adressbereich des Servers übereinstimmen.
DNS gibt nochmal an, welcher DNS Server verwendet werden soll, ich bin mir nicht sicher ob das hier zwingend sein muss.
Peer
PublicKey hier muss der der PublicKey des WG Servers eingetragen werden.
AllowedIPs gibt an, welche IP Adressen getunnelt/ geroutet werden sollen (und welche somit über den Tunnel erreicht werden können), das sind im Beispiel alle.
Kurzer Nachtrag: Es macht natürlich wenig Sinn, alle IP Adressen durch den Tunnel zu routen, da sonst das gesamte Lokale Netzwerk nicht mehr erreichbar ist. Für den Anfang sollte es genügen hier den Adressbereich des VPN Tunnels anzugeben (Zugriff nur auf VPN Teilnehmer) und später des entfernten LANs um auch darauf zugreifen zu können.
Endpoint ist die IP Adresse/ der DNS mit Port unter der der WG Server erreicht wird. Bei mir ist das nur mit IPv6 möglich, daher auch die eckigen Klammern, die bei v4 Adressen nicht benötigt werden.
Jetzt muss nur noch das Peering auf Seiten des Server erstellt werden.
Hierzu klicken wir in den WG Einstellungen vom QNAP auf „Add Peer“, geben dem Kind einen Namen und fügen den Public Key aus dem Client ein.
Nochmal gespeichert war es das dann schon und der QNAP kann unter der eingestellten IP Adresse erreicht werden, wenn man mit dem VPN verbunden ist.
[EPILOG]
Ich habe mich mit dem Wireguard Protokoll noch nicht richtig auseinandergesetzt, die beschriebene Konfiguration ist daher nur ein Minumum der Möglichkeiten, so fehlt z.B. ein ordentlichen Routing, damit auch andere Geräte (mit ihrer LAN IP) als nur der QNAP angesprochen werden können.
Dennoch muss ich feststellen: Die Einrichtung ist tatsächlich kein Hexenwerk, für die erweiterte Konfiguration muss man sich aber wie bei allem etwas mit der Materie auseinandersetzen.
Ich hoffe diese Schnellanleitung reicht für die ersten Schritte 😊
Eigentlich trinke ich ja gerne ein Bierchen wenn ich einen Artikel veröffentlicht habe, aber ich habe noch nichtmal gefrühstückt… sei es drum, cheers!