martinl
Goto Top

Wireguard auf Synology NAS - bekomme keine interne IP-Adresse

Hallo,

ich wollte bei einem bekannten Wieguard auf einer Synology installieren.

Dabei habe ich mich an folgender Anleitung erhalten: frank-hilft.de

Wireguard ist auch soweit installiert und läuft. Wenn ich mit aber mit meinem Iphone verbinde klappt das auch, nur leider bekomme ich die IP 10.8.0.2. Somit erreiche ich kein Gerät aus dem internen Netz. Muss aber auch zugeben das mir die Wireguard Oberfläche auf dem Synology eigl. kein "connected" anzeigt.

Der Cisco RV 340 Router hat die IP : 192.168.1.1
Synology IP : 192.168.1.90

Bei mir zu hause hat das mit das mit dem Fritzbox Wireguard alles sofort geklappt, war jetzt aber auch nur zusammenklicken.

Hier mal die yaml-Datei vom Docker, vielleicht sieht ja jemand den Fehler.

# Beispieldatei
version: "3.8"  
services:
  wg-easy:
    environment:
      # Required:
      - WG_HOST=meinedyndnsadresse
      - PASSWORD=meinwireguardpasswort

      # Optional:
      #- WG_PORT=51820
      #- WG_DEFAULT_ADDRESS=10.8.0.x
      # WG_DEFAULT_DNS=192.168.1.1
      #- WG_MTU=1420
      # WG_ALLOWED_IPS=192.168.1.0/24, 10.0.1.0/24
      #- WG_PRE_UP=echo "Pre Up" /etc/wireguard/pre-up.txt 
      #- WG_POST_UP=echo "Post Up"  /etc/wireguard/post-up.txt 
      #- WG_PRE_DOWN=echo "Pre Down"  /etc/wireguard/pre-down.txt 
      #- WG_POST_DOWN=echo "Post Down"  /etc/wireguard/post-down.txt 
      # Note the angle brackets/greater then symbols needed to be removed in the above 4 lines because it isn't allowed in YouTube descriptions. 

    image: weejewel/wg-easy
    container_name: wg-easy
    volumes:
      - .:/etc/wireguard
    ports:
      - "51820:51820/udp"  
      - "51821:51821/tcp"  
    restart: unless-stopped
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv4.conf.all.src_valid_mark=1

Hier mal ein Screenshot vom verbunden Iphone.


wireguard


Ich weiss leider nicht mehr was ich noch ändern kann ? Kann jemand helfen ?


Danke schonmal.

Martin

Content-ID: 671878

Url: https://administrator.de/forum/wireguard-auf-synology-nas-bekomme-keine-interne-ip-adresse-671878.html

Ausgedruckt am: 12.04.2025 um 17:04 Uhr

DivideByZero
DivideByZero 11.03.2025 um 21:58:40 Uhr
Goto Top
Moin,

Du musst die weitere Konfiguration der WG_ Variablen vornehmen, insbesondere bei den allowed IPs das Lan einschließen. Außerdem schauen, wie das Docker-Netzwerk konfiguriert ist.

Die schnelle Lösung heißt daher, wenn das nicht gerade Dein Spielfeld ist: verzichte auf Wireguard und Docker und nutze den integrierten VPN Server und dann als Client Protokoll entweder IPsec (performanter) oder OpenVPN (bei wenig Ahnung ist der Client einfacher einzurichten, einfach downloaden im VPN Server.

Gruß

DivideByZero
radiogugu
radiogugu 12.03.2025 um 07:32:52 Uhr
Goto Top
Morschen.

Wie du dem Kommentar von @DivideByZero und deiner Konfigurationsdatei entnehmen kannst, musst du da noch etwas anpassen.

Die WG_DEFAULT_ADDRESS liegt ja genau in dem Bereich, aus dem du eine IP erhältst.

Hast du auch den Wireguard Port in dem Cisco Router auf den Docker Container weitergeleitet? An der Sophos muss am WAN Port entsprechend dieser auch durchgelassen und innerhalb der Sophos auf den Docker Container mittels NAT weitergeleitet werden.

Es ist auch immer ein Kreuz mit doppeltem NAT und VPN Verbindungen. Am besten terminiert man das VPN immer am Perimeter. In deinem Fall der Cisco.

Wireguard hat die große Schwäche, dass es eine erfolgreiche Verbindung vorgaukelt, obwohl keine Verbindung besteht.

Hast du denn an dem Internet-Anschluss deines Bekannten eine öffentliche IPv4 oder zumindest IPv6 anliegen?

Gruß
Marc
MartinL
MartinL 12.03.2025 aktualisiert um 09:18:22 Uhr
Goto Top
Ich schau mir das heut Nachmittag mal an mit der default_address. Er hat ein IPv4 Anschluss. DDNS klappt auch.

Ich Habe im Cisco Router(192.168.1.1) die Portweiterlung 51820 auf das Synology zeigen lassen (192.168.1.90).

Hier mal ein Bild vom Container-Netzwerk der Synology. Da wurde aber nichts selbst konfiguriert, das hat die Synology gemacht:


container
aqui
aqui 12.03.2025 um 09:58:37 Uhr
Goto Top
Details zur Lösung findest du auch im hiesigen Wireguard Tutorial:
Merkzettel: VPN Installation mit Wireguard
MartinL
MartinL 12.03.2025 um 10:17:03 Uhr
Goto Top
Das Tutorial von dir kannte ich noch garnicht. Bem groben überfliegen vermute ich das die nicht gesetzte statische Route im CISCO Router hier das Problem ist. Das werde ich heut mal gleich ausprobieren.
aqui
aqui 12.03.2025 um 10:22:31 Uhr
Goto Top
ich das die nicht gesetzte statische Route im CISCO Router hier das Problem ist.
Davon kann man ausgehen wenn diese fehlen sollte.
Alles zum Thema Cisco Router findest du hier in einen separaten Cisco Tutorial. face-wink
DivideByZero
DivideByZero 12.03.2025 um 17:22:09 Uhr
Goto Top
Wenn das Bridge-Netz und das Ziel-Netz nicht bei den allowed IPs sind, kommen die Pakete da erst gar nicht hin.
MartinL
MartinL 12.03.2025 aktualisiert um 18:43:09 Uhr
Goto Top
Es kann ja sein jemand stösst mal auf dasselbe Problem. Mit folgender YAML-Konfiguration funktioniert nun alles.

Nochmal zusammengefasst:
Cisco-Router IP: 192.168.1.1
Synology-NAS IP: 192.168.1.90
Wireguard VPN als Docker-Installation

Eine statische Router habe ich am Cisco nicht eingerichtet. Das übernimmt Wireguard.

Hier die YAML-Konfiguration:

# Beispieldatei
version: "3.8"  
services:
  wg-easy:
    environment:
      # Required:
      - WG_HOST=deine-dyndns-adresse
      - PASSWORD=dein-passwort-für-die-wireguard-oberfläche
      - AllowedIPs = 192.168.1.0/24
      - WG_POST_UP=iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
      - WG_POST_DOWN=iptables -t nat -D POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

      # Optional:
      #- WG_PORT=51820
      #- WG_DEFAULT_ADDRESS=10.8.0.x
      #- WG_DEFAULT_DNS=192.168.178.1
      #- WG_MTU=1420
      #- WG_ALLOWED_IPS=192.168.1.0/24,172.18.0.0/16,172.17.0.0/16
      #- WG_PRE_UP=echo "Pre Up" /etc/wireguard/pre-up.txt 
      #- WG_POST_UP=echo "Post Up"  /etc/wireguard/post-up.txt 
      #- WG_PRE_DOWN=echo "Pre Down"  /etc/wireguard/pre-down.txt 
      #- WG_POST_DOWN=echo "Post Down"  /etc/wireguard/post-down.txt 
      # Note the angle brackets/greater then symbols needed to be removed in the above 4 lines because it isn't allowed in YouTube descriptions. 

    image: weejewel/wg-easy
    container_name: wg-easy
    volumes:
      - .:/etc/wireguard
    ports:
      - "51820:51820/udp"  
      - "51821:51821/tcp"  
    restart: unless-stopped
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv4.conf.all.src_valid_mark=1

An den Rest, mit euren Tips habt ihr mir weitergeholfen um zur Lösung zu kommen face-smile

Danke
aqui
aqui 13.03.2025 aktualisiert um 15:46:50 Uhr
Goto Top
Eine statische Router habe ich am Cisco nicht eingerichtet. Das übernimmt Wireguard.
Was natürlich netztechnischer Unsinn ist, denn der Cisco supportet bekanntlich kein Wireguard und wenn der WG Server oder Client im internen Netz liegt MUSS der Cisco zwingend eine statische Router auf das interne WG Netz haben. Woher sollte er das auch sonst lernen?!
Siehe dazu auch HIER an einem Praxisbeispiel!

Aber ist ja nun auch egal wenn es jetzt alles (vermeintlich) rennt... face-wink
MartinL
MartinL 14.03.2025 um 15:19:12 Uhr
Goto Top
Aber es funktioniert doch wirklich, nicht nur vermeintlich. Will jetzt aber nicht nochmal beim bekannten vorbeigefahren und im Cisco schauen face-smile Ich habs gerade am Iphone ausprobiert und habe Zugriff auf seine Geräte
DivideByZero
DivideByZero 14.03.2025 um 15:46:30 Uhr
Goto Top
Ja, was daran liegt, dass es gar nicht bis zum Router kommt (wenn richtig konfiguriert).

Der Weg ist:

  • von außen wird eine Datenverbindung (Aufbau der VPN Verbindung) über die Portfreigabe (damit über den Cisco Router) zur Synology und dort in den Dockercontainer geleitet
  • im Dockercontainer ist Wireguard so konfiguriert, dass es die Pakete in das Docker-Netzwerk und darüber in das LAN weiterleitet
  • sofern nicht der Router an dne Strippen dazwischen hängt, geht daher alles lokal und direkt
aqui
aqui 14.03.2025 um 16:49:20 Uhr
Goto Top
Das ist richtig sofern die Geräte im Docker Netz direkt den Wireguard Server oder Synology als Gateway haben. Dann passt das natürlich.
Haben angesprochene Endgeräte aber den Cisco als Default Gateway und der hat keine Route ins interne WG IP Netz dann scheitert die Rückroute. Die L3 Topologie Zeichnung im o.a. Praxisbeispiel zeigt diese Zusammenhänge eindeutig.
aqui
aqui 17.03.2025 um 13:42:00 Uhr
Goto Top
Wenn die Thematik gelöst ist bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?