WireGuard Version 15/15.1 auf Synology NAS

    Einige hier im Forum haben ein Ugreen NAS und zusätzlich noch ein Synology NAS in Betrieb.
    Meine Frage an diejenigen mit Synology NAS: Hat jemand die neueste Version 15/15.1 von wg-easy als Docker Container am Laufen?

    Auf meinem Ugreen NAS läuft es ohne Probleme, allerdings wollte ich nachfragen, bevor ich es auf einem Synology NAS (DS720+) eines Kollegen installiere.
    Die "alte" Version läuft bereits ohne Probleme. Ich frage nur, weil man auf dem Synology NAS vorher ein passendes WireGuard-Paket (.spk-Datei von GitHub) installieren musste (im Gegensatz zum Ugreen). Nicht das es Kompatibilitätsprobleme gibt.

    Mein NAS

    Ugreen DXP6800 Pro | 64GB RAM Kingston FURY Impact DDR5-RAM, 4800 MHz | 4x 4TB WD Red SA500 SATA SSD | 2x 4TB Kingston DC600M SATA SSD

    Zu Deiner direkten Frage, kann ich Dir leider nicht helfen.

    Aber, warum Wireguard auf dem NAS installieren?

    Wireguard kann dich auch mit vielen Router direkt auf diesem genutzt werden. Besonders leicht ist es mit einer Fritzbox.

    Ich nutze für sechs NAS und dss komplette Netzwerk nur diesen eine Wireguard Zugang auf einer Fritzbox.

    Meine Hardware

    iDX6011 Pro in Späh ^^

    DXP4800+ 2x8TB WDRedPl Btrfs Raid1 2x 2TB Lexar NM790 Raid1, 64GB RAM Kingst. KVR48S40BD8-32 DDR5/4800MH

    DXP2800 1x 12TB Seag. 1x 12TB WDRedPl, Raid1 Btrfs 16GB RAM Cruc. CT16G56C46S5.C8B2, 2x NVME Samsg,

    DS1525+ 2x8TB WD, Btrfs SHR, 2x 2TB NVME Lexar NM790 Raid1. 40GB ECC RAM_Speicher.de

    DS920+ DSM 7.3.2 Btrfs Raid1 2x8TB WD, 2x2TB Samsg. 970 EVOPlus, RAM 20GB DDR4-2666MHZ Speicher.de

    USV US3000, EatonEllip.PRO 850DIN, Switch Zyxel GS1200-8 1GB, Zyxel XMG-108 8 x 2,5GB

    Das WireGuard auch auf vielen Routern genutzt werden kann, ist mir bewusst. Allerdings ist mir die Konfigurationsmöglichkeit bei der Fritzbox zu eingeschränkt gegenüber der Dockervariante.

    Leider verstehe ich die Aussage bzgl. der Nutzung und was es mit meiner Ausgangsfrage zu tun hat nicht. Ob ich die WireGuard Verbindung über die Funktion des Routers oder die des Dockers einbinde, spielt letztlich keine Rolle.
    Beide Varianten stellen einen VPN-Zugang von außen (Internet) in mein Netzwerk (LAN) her. Wieviele Geräte das in der Gesamtzahl sind, die die VPN nutzen, spielt dabei ebenfalls keine Rolle. Ich kann soviele Clients einbinden, wie das VPN hergibt.

    Zu deiner Frage: Warum WireGuard auf dem NAS (als Docker Container) installieren?

    Anwort: Warum nicht?

    Falls jetzt die nahenliegende Antwort kommt: Wenn dein NAS mal down ist, dann ist auch dein WireGuard down.
    Da kann ich nur antworten: Wenn deine Fritzbox down ist, dann ist deine WireGuard Verbindung ebenfalls obsolet.

    Auch käme dies in beiden Fällen nur bei einem kompletten Strom- bzw. Internetausfall in Frage und dann hat man wohl andere Probleme. Außerdem könnte man das NAS noch per USV vor so einem Szenario schützen. Aber wenn der Strom weg ist, dann ist leider auch das Internet dahin. Dann nutzt dir das NAS auch nur noch im eigenen LAN, und da brauche/nutze ich die WireGuard Verbindung bestimmt nicht.

    Mein NAS

    Ugreen DXP6800 Pro | 64GB RAM Kingston FURY Impact DDR5-RAM, 4800 MHz | 4x 4TB WD Red SA500 SATA SSD | 2x 4TB Kingston DC600M SATA SSD

    Quote from Kosmo

    Leider verstehe ich die Aussage bzgl. der Nutzung und was es mit meiner Ausgangsfrage zu tun hat nicht

    Zu Deiner direkten Frage, kann ich Dir leider nicht helfen.

    Quote from Kosmo

    Zu deiner Frage: Warum WireGuard auf dem NAS (als Docker Container) installieren?

    Anwort: Warum nicht?

    Anscheinend verstehst Du es nicht, daß so manches andere einfach interessiert. aber danke für Deine Exquisite Antwort darauf.

    Quote from Kosmo

    Falls jetzt die nahenliegende Antwort kommt: Wenn dein NAS mal down ist, dann ist auch dein WireGuard down.

    Da kann ich nur antworten: Wenn deine Fritzbox down ist, dann ist deine WireGuard Verbindung ebenfalls obsolet.

    Falls, war überhaupt nicht das Thema!

    Wenn jemand noch quasi Gedanken zum Thema dazu schreibt finde ich es nicht besonders gut wenn nur dagegen Gewittert wird.

    Letztendlich schreibt man ja nicht aus lange Weile, sondern man hat sich Gedanken gemacht. Jedenfalls habe ich wenigstens nicht nur herum geraunzt.

    Meine Hardware

    iDX6011 Pro in Späh ^^

    DXP4800+ 2x8TB WDRedPl Btrfs Raid1 2x 2TB Lexar NM790 Raid1, 64GB RAM Kingst. KVR48S40BD8-32 DDR5/4800MH

    DXP2800 1x 12TB Seag. 1x 12TB WDRedPl, Raid1 Btrfs 16GB RAM Cruc. CT16G56C46S5.C8B2, 2x NVME Samsg,

    DS1525+ 2x8TB WD, Btrfs SHR, 2x 2TB NVME Lexar NM790 Raid1. 40GB ECC RAM_Speicher.de

    DS920+ DSM 7.3.2 Btrfs Raid1 2x8TB WD, 2x2TB Samsg. 970 EVOPlus, RAM 20GB DDR4-2666MHZ Speicher.de

    USV US3000, EatonEllip.PRO 850DIN, Switch Zyxel GS1200-8 1GB, Zyxel XMG-108 8 x 2,5GB

    Ich bin auch der Meinung, dass Wireguard nicht unbedingt auf dem Router laufen muss. Aber ich würde es nicht auf einer NAS laufen lassen. Du stellst sonst die NAS mit einem Bein ins Internet um auf sie nur per VPN zu greifen zu können.....

    Ich würde da eine kleine Debian VM installieren die nichts anderes als Wireguard macht. Da ist es dann auch egal was UGreen kann oder nicht kann.

    Aber es ist doch eine "Weisheit aus dem Land der Binsen", dass Wireguard besser auf einen Router gehört. Sonst braucht man wieder offene Ports (zumindest einen) in sein Heimnetz. Aber darüber kann man natürlich streiten, ob das nun sooo kritisch ist.

    Ugreen NAS DPX4800Plus, UGOS 1.14.1.0107, 2x Samsung 990 EVO Plus NVMe M.2 SSD 2 TB Raid1, 3*Toshiba MG10ACA20TE HDD 20TB Raid5, 64GB RAM -> 2 x Crucial DDR5 RAM 32GB 4800MHz SODIMM
    DS1522+ | DSM 7.3.2-86009U3 (Final) | 40 GB RAM | 3 x WD 14TB WD140EFGX Red Plus SHR, 2 x M.2-Samsung 980 Pro SSD 1TB SHR
    DS415+ | DSM 7.1.1-42962-9 (Final) | 8 GB RAM | 3 x WD 6TB WD60EFRX Red Raid5, 1 x SSD Intel 128GB Basic

    Ich hab kein Problem mit offenen Ports. Ich nutze WireGuard auch nicht auf der Fritzbox. Da kann man leider nichts konfigurieren. Ich hab dafür eine VM auf meinem Proxmox Host die nichts anderes macht, als WireGuard anzubieten.

    2. Binsenweisheit: "Jede Portfreigabe ist genau eine zu viel", aber das muss jeder für sich selbst abschätzen.

    Ugreen NAS DPX4800Plus, UGOS 1.14.1.0107, 2x Samsung 990 EVO Plus NVMe M.2 SSD 2 TB Raid1, 3*Toshiba MG10ACA20TE HDD 20TB Raid5, 64GB RAM -> 2 x Crucial DDR5 RAM 32GB 4800MHz SODIMM
    DS1522+ | DSM 7.3.2-86009U3 (Final) | 40 GB RAM | 3 x WD 14TB WD140EFGX Red Plus SHR, 2 x M.2-Samsung 980 Pro SSD 1TB SHR
    DS415+ | DSM 7.1.1-42962-9 (Final) | 8 GB RAM | 3 x WD 6TB WD60EFRX Red Raid5, 1 x SSD Intel 128GB Basic

    Edited once, last by Benares (July 25, 2025 at 4:18 PM).

    Was für dich „Binsenweisheiten“ sind, ist für mich Panikmache. Wo siehst du denn das Problem bei der Sicherheit Wireguard auf dem Router oder in einer VM? Wenn eins davon eine Lücke hat, dann ist jemand in deinem Netz. Das betrifft halt beides. Ein Portscanner wird den Unterschied nicht erkennen, ob es beim offenen Port um den Port der Fritzbox oder einem weitergeleitetem Port handelt. Bei Wireguard ist es ja nicht mal ein TCP Port.

    Das ist keine Panikmache, sondern einfach nur Erfahrung aus vielen Jahren im Synology-Forum. Jeder, der mit einer Portfreigabe mal anfängt, hat irgendwann mal viele, und wundert sich dann über Besuch. Ich finde, diese beiden Grundregeln sollte man einfach immer im Kopf haben, wenn man etwas konfiguriert. Mehr nicht.

    Ugreen NAS DPX4800Plus, UGOS 1.14.1.0107, 2x Samsung 990 EVO Plus NVMe M.2 SSD 2 TB Raid1, 3*Toshiba MG10ACA20TE HDD 20TB Raid5, 64GB RAM -> 2 x Crucial DDR5 RAM 32GB 4800MHz SODIMM
    DS1522+ | DSM 7.3.2-86009U3 (Final) | 40 GB RAM | 3 x WD 14TB WD140EFGX Red Plus SHR, 2 x M.2-Samsung 980 Pro SSD 1TB SHR
    DS415+ | DSM 7.1.1-42962-9 (Final) | 8 GB RAM | 3 x WD 6TB WD60EFRX Red Raid5, 1 x SSD Intel 128GB Basic

    Aber wer redet denn hier von vielen Portfreigaben? Wenn man WireGuard nutzen will, dann braucht man genau eine. Zum Beispiel UDP 443. Da 443 im HTTP3 Standard vorkommt, könnte man eh nur meinen, dass es für einen Webserver ist. Da weiß dann niemand, was da hinter läuft. Wenn man natürlich Dienste öffentlich über HTTPS erreichen will, dann braucht man auch nicht viele Ports, sondern wieder nur einen und zwar TCP 443. Das heißt, mit 2 offenen Ports hat man 99 % abgedeckt und niemand weiß, was man da hinter betreibt.

    Quote from Benares

    Jeder, der mit einer Portfreigabe mal anfängt, hat irgendwann mal viele, und wundert sich dann über Besuch.

    Das ist doch eine reine Verallgemeinerung. Nicht jeder hat dann viele offene Ports, sondern Leute die nicht wissen was sie da tun. Ich habe seit Jahren zwei offene Ports und keinen ungebetenen Besuch. Klar es gibt Leute die anklopfen, aber diese werden mit Crowdsec direkt gebant.

    Schade, dass hier niemand die Fragestellung richtig gelesen hat und mir eine hilfreiche Antwort zum eigentlichen Thema geben konnte. Aber danke für eure Zeit.

    Mein NAS

    Ugreen DXP6800 Pro | 64GB RAM Kingston FURY Impact DDR5-RAM, 4800 MHz | 4x 4TB WD Red SA500 SATA SSD | 2x 4TB Kingston DC600M SATA SSD

    Du darfst nicht von dir auf andere schließen. Glaub mir, viele gehen sehr fahrlässig und unwissentlich mit ihren Freigaben um und wundern sich dann.

    Ugreen NAS DPX4800Plus, UGOS 1.14.1.0107, 2x Samsung 990 EVO Plus NVMe M.2 SSD 2 TB Raid1, 3*Toshiba MG10ACA20TE HDD 20TB Raid5, 64GB RAM -> 2 x Crucial DDR5 RAM 32GB 4800MHz SODIMM
    DS1522+ | DSM 7.3.2-86009U3 (Final) | 40 GB RAM | 3 x WD 14TB WD140EFGX Red Plus SHR, 2 x M.2-Samsung 980 Pro SSD 1TB SHR
    DS415+ | DSM 7.1.1-42962-9 (Final) | 8 GB RAM | 3 x WD 6TB WD60EFRX Red Raid5, 1 x SSD Intel 128GB Basic

    Kosmo wenn etwas im Docker läuft, dann läuft das unabhängig vom OS. Das ist der Vorteil von Docker. Wenn etwas im Docker läuft, dann brauchst du auch keine .spk zu installieren. Wenn das Image nicht gerade aktuelle Kernel Funktionen voraussetzt, dann läuft das auch auf Synology.


    Benares mag sein, aber deshalb muss man nicht davon ausgehen, dass jeder so ist und es verallgemeinern. Bzw. es so darstellen, ob es eine Tatsache ist. Offene Ports sind nicht immer direkt böse und gefährlich.

    @GrennHorn86: Wundert mich nur, dass es eine spezielle .spk für WireGuard für das Synology NAS angeboten wird, welche man im Vorfeld installieren und starten soll. Aber gut, werde es mal probieren.

    Bevor hier noch mehr offtopic produziert wird, schließe ich mal das Thema als erledigt ab. Gerne könnte ihr ein eigenes Thema über Sinn und Unsinn von offenen Ports aufmachen.

    Mein NAS

    Ugreen DXP6800 Pro | 64GB RAM Kingston FURY Impact DDR5-RAM, 4800 MHz | 4x 4TB WD Red SA500 SATA SSD | 2x 4TB Kingston DC600M SATA SSD

    Welches Image verwendest du denn? Und wofür soll die SPK gut sein?

    Die .spk Datei scheint die WireGuard Funktion auf dem entsprechenden Synology NAS Modell zu implementieren.
    Download-Quelle für die verschiedenen Synology NAS Modelle: https://github.com/runfalk/synology-wireguard

    Weiterhin musst du entsprechend deines Modells die passende .spk Datei auswählen und installieren. Es handelt sich dabei um eine ganz kleine Datei (paar kb). Danach erscheint unter den Synology Apps der WireGuard Dienst und kann gestartet werden. Zusätzlich musst du aber auf alle Fälle einen Docker Container aufsetzen, um WireGuard konfigurieren und nutzen zu können, Clients einzupflegen etc.

    Unter dem Ugreen NAS (UGOS Pro) ist diese Prozedur nicht nötig, hier kann man WireGuard ohne Probleme als Container aufsetzen.

    Falls du mit image meinst, welches Docker Image ich von WireGuard verwende: wg-easy, und hier die Version 15.1.

    Mein NAS

    Ugreen DXP6800 Pro | 64GB RAM Kingston FURY Impact DDR5-RAM, 4800 MHz | 4x 4TB WD Red SA500 SATA SSD | 2x 4TB Kingston DC600M SATA SSD

    Quote from GreenHorn86

    Wenn das Image nicht gerade aktuelle Kernel Funktionen voraussetzt, dann läuft das auch auf Synology.

    Ich hab gerade auch mal geguckt und bei WireGuard trifft das oben zu. Es fehlen Kernel Funktionen die durch die SPK wohl eingefügt werden. Das wär für mich ein Grund mehr das in einer kleinen Debian VM abzubilden.

    Es sind tatsächlich die Kernel Module, die auf dem Synology NAS fehlen. Da die .spk Datei "veraltet" ist, fehlt ab WireGuard Vers. 15 noch die IPv6 Unterstützung. Bis Version 14 funktioniert es allerdings ohne Probleme.

    Ich habe WireGuard V.15 jetzt auch auf dem Synology zum Laufen bekommen.
    Falls es mit der IPv6 Unterstützung Probleme gibt, kann man die Module mittels einer Anleitung auf der wg-easy Seite einbinden: https://wg-easy.github.io/wg-easy/v15.1/…-need-to-insmod

    Ein Fehler ist mir beim Einrichten noch passiert, den man im Vorfeld vermeiden kann: Systemsteuerung->Netzwerk bei der/den Netzwerkschnittstellen sollte die IPv6 Unterstützung (IPv6-Setup) auch aktiviert sein bzw. auf automatisch stehen.

    Wer es nicht möchte oder den Aufwand scheut: Grundsätzlich kann man die IPv6 Unterstützung im entsprechenden yaml Skript auch unter environment deaktivieren (- DISABLE_IPV6=true).

    Mein NAS

    Ugreen DXP6800 Pro | 64GB RAM Kingston FURY Impact DDR5-RAM, 4800 MHz | 4x 4TB WD Red SA500 SATA SSD | 2x 4TB Kingston DC600M SATA SSD

    Quote from eineb

    Aber, warum Wireguard auf dem NAS installieren?

    Ich gebe dir mal ne andere Antwort ;)

    zum Beispiel will ich nur das Person A auf Familienfilme zugreift..

    Person B auf Hardcore Action, Person C nur auf Hörbücher,Person D Auf Familienfilme und Hörbücher, Person E auf alles und Person F nur auf Musik.

    das kann man wenn man es direkt an der Quelle Installiert besser "Granten" wie man in der Tailscale Sprache so spricht ;)

    und jetzt stell dir vor es hängen tausende User dran die nur für den einen Dienst bezahlen und tausende die für 2 Dienste bezahlen usw. das kann man dann direkt steuern so. Riesen Aufwand wenn das auf der Fritze direkt wäre.

    Wie gesagt das ist nur ein fiktives Beispiel, eine Ähnlichkeit mit Boardnutzern oder sonstigen Personen sind nur rein zufällig 8)

    DXP480T Plus, 2x32 GB Crucial DDR5 5600MHz, 4x4 Lexar® NM790 M.2 2280 PCIe Gen 4x4 TB NVMe

Participate now!

Join our community with over 10,000 members!

Register yourself now for free to get full access to all content, graphics, downloads and other exclusive features!

Register Yourself Login