Wireguard auf Synology NAS - bekomme keine interne IP-Adresse

Hallo,

ich wollte bei einem bekannten Wieguard auf einer Synology installieren.

Dabei habe ich mich an folgender Anleitung erhalten: frank-hilft.de

Wireguard ist auch soweit installiert und läuft. Wenn ich mit aber mit meinem Iphone verbinde klappt das auch, nur leider bekomme ich die IP 10.8.0.2. Somit erreiche ich kein Gerät aus dem internen Netz. Muss aber auch zugeben das mir die Wireguard Oberfläche auf dem Synology eigl. kein "connected" anzeigt.

Der Cisco RV 340 Router hat die IP : 192.168.1.1
Synology IP : 192.168.1.90

Bei mir zu hause hat das mit das mit dem Fritzbox Wireguard alles sofort geklappt, war jetzt aber auch nur zusammenklicken.

Hier mal die yaml-Datei vom Docker, vielleicht sieht ja jemand den Fehler.

# Beispieldatei
version: "3.8"  
services:
  wg-easy:
    environment:
      # Required:
      - WG_HOST=meinedyndnsadresse
      - PASSWORD=meinwireguardpasswort

      # Optional:
      #- WG_PORT=51820
      #- WG_DEFAULT_ADDRESS=10.8.0.x
      # WG_DEFAULT_DNS=192.168.1.1
      #- WG_MTU=1420
      # WG_ALLOWED_IPS=192.168.1.0/24, 10.0.1.0/24
      #- WG_PRE_UP=echo "Pre Up" /etc/wireguard/pre-up.txt 
      #- WG_POST_UP=echo "Post Up"  /etc/wireguard/post-up.txt 
      #- WG_PRE_DOWN=echo "Pre Down"  /etc/wireguard/pre-down.txt 
      #- WG_POST_DOWN=echo "Post Down"  /etc/wireguard/post-down.txt 
      # Note the angle brackets/greater then symbols needed to be removed in the above 4 lines because it isn't allowed in YouTube descriptions. 

    image: weejewel/wg-easy
    container_name: wg-easy
    volumes:
      - .:/etc/wireguard
    ports:
      - "51820:51820/udp"  
      - "51821:51821/tcp"  
    restart: unless-stopped
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv4.conf.all.src_valid_mark=1

Hier mal ein Screenshot vom verbunden Iphone.

Ich weiss leider nicht mehr was ich noch ändern kann ? Kann jemand helfen ?

Danke schonmal.

Martin

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 671878

Url: https://administrator.de/forum/wireguard-auf-synology-nas-bekomme-keine-interne-ip-adresse-671878.html

Ausgedruckt am: 17.03.2025 um 21:03 Uhr

13 Kommentare

Neuester Kommentar

Moin,

Du musst die weitere Konfiguration der WG_ Variablen vornehmen, insbesondere bei den allowed IPs das Lan einschließen. Außerdem schauen, wie das Docker-Netzwerk konfiguriert ist.

Die schnelle Lösung heißt daher, wenn das nicht gerade Dein Spielfeld ist: verzichte auf Wireguard und Docker und nutze den integrierten VPN Server und dann als Client Protokoll entweder IPsec (performanter) oder OpenVPN (bei wenig Ahnung ist der Client einfacher einzurichten, einfach downloaden im VPN Server.

Gruß

DivideByZero

Morschen.

Wie du dem Kommentar von @DivideByZero und deiner Konfigurationsdatei entnehmen kannst, musst du da noch etwas anpassen.

Die WG_DEFAULT_ADDRESS liegt ja genau in dem Bereich, aus dem du eine IP erhältst.

Hast du auch den Wireguard Port in dem Cisco Router auf den Docker Container weitergeleitet? An der Sophos muss am WAN Port entsprechend dieser auch durchgelassen und innerhalb der Sophos auf den Docker Container mittels NAT weitergeleitet werden.

Es ist auch immer ein Kreuz mit doppeltem NAT und VPN Verbindungen. Am besten terminiert man das VPN immer am Perimeter. In deinem Fall der Cisco.

Wireguard hat die große Schwäche, dass es eine erfolgreiche Verbindung vorgaukelt, obwohl keine Verbindung besteht.

Hast du denn an dem Internet-Anschluss deines Bekannten eine öffentliche IPv4 oder zumindest IPv6 anliegen?

Gruß
Marc

Ich schau mir das heut Nachmittag mal an mit der default_address. Er hat ein IPv4 Anschluss. DDNS klappt auch.

Ich Habe im Cisco Router(192.168.1.1) die Portweiterlung 51820 auf das Synology zeigen lassen (192.168.1.90).

Hier mal ein Bild vom Container-Netzwerk der Synology. Da wurde aber nichts selbst konfiguriert, das hat die Synology gemacht:

Details zur Lösung findest du auch im hiesigen Wireguard Tutorial:
Merkzettel: VPN Installation mit Wireguard

Das Tutorial von dir kannte ich noch garnicht. Bem groben überfliegen vermute ich das die nicht gesetzte statische Route im CISCO Router hier das Problem ist. Das werde ich heut mal gleich ausprobieren.

ich das die nicht gesetzte statische Route im CISCO Router hier das Problem ist.

Davon kann man ausgehen wenn diese fehlen sollte.
Alles zum Thema Cisco Router findest du hier in einen separaten Cisco Tutorial.

Wenn das Bridge-Netz und das Ziel-Netz nicht bei den allowed IPs sind, kommen die Pakete da erst gar nicht hin.

Es kann ja sein jemand stösst mal auf dasselbe Problem. Mit folgender YAML-Konfiguration funktioniert nun alles.

Nochmal zusammengefasst:
Cisco-Router IP: 192.168.1.1
Synology-NAS IP: 192.168.1.90
Wireguard VPN als Docker-Installation

Eine statische Router habe ich am Cisco nicht eingerichtet. Das übernimmt Wireguard.

Hier die YAML-Konfiguration:

# Beispieldatei
version: "3.8"  
services:
  wg-easy:
    environment:
      # Required:
      - WG_HOST=deine-dyndns-adresse
      - PASSWORD=dein-passwort-für-die-wireguard-oberfläche
      - AllowedIPs = 192.168.1.0/24
      - WG_POST_UP=iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
      - WG_POST_DOWN=iptables -t nat -D POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

      # Optional:
      #- WG_PORT=51820
      #- WG_DEFAULT_ADDRESS=10.8.0.x
      #- WG_DEFAULT_DNS=192.168.178.1
      #- WG_MTU=1420
      #- WG_ALLOWED_IPS=192.168.1.0/24,172.18.0.0/16,172.17.0.0/16
      #- WG_PRE_UP=echo "Pre Up" /etc/wireguard/pre-up.txt 
      #- WG_POST_UP=echo "Post Up"  /etc/wireguard/post-up.txt 
      #- WG_PRE_DOWN=echo "Pre Down"  /etc/wireguard/pre-down.txt 
      #- WG_POST_DOWN=echo "Post Down"  /etc/wireguard/post-down.txt 
      # Note the angle brackets/greater then symbols needed to be removed in the above 4 lines because it isn't allowed in YouTube descriptions. 

    image: weejewel/wg-easy
    container_name: wg-easy
    volumes:
      - .:/etc/wireguard
    ports:
      - "51820:51820/udp"  
      - "51821:51821/tcp"  
    restart: unless-stopped
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv4.conf.all.src_valid_mark=1

An den Rest, mit euren Tips habt ihr mir weitergeholfen um zur Lösung zu kommen

Danke

Eine statische Router habe ich am Cisco nicht eingerichtet. Das übernimmt Wireguard.

Was natürlich netztechnischer Unsinn ist, denn der Cisco supportet bekanntlich kein Wireguard und wenn der WG Server oder Client im internen Netz liegt MUSS der Cisco zwingend eine statische Router auf das interne WG Netz haben. Woher sollte er das auch sonst lernen?!
Siehe dazu auch HIER an einem Praxisbeispiel!

Aber ist ja nun auch egal wenn es jetzt alles (vermeintlich) rennt...

Aber es funktioniert doch wirklich, nicht nur vermeintlich. Will jetzt aber nicht nochmal beim bekannten vorbeigefahren und im Cisco schauen

Ich habs gerade am Iphone ausprobiert und habe Zugriff auf seine Geräte

Ja, was daran liegt, dass es gar nicht bis zum Router kommt (wenn richtig konfiguriert).

Der Weg ist:

von außen wird eine Datenverbindung (Aufbau der VPN Verbindung) über die Portfreigabe (damit über den Cisco Router) zur Synology und dort in den Dockercontainer geleitet
im Dockercontainer ist Wireguard so konfiguriert, dass es die Pakete in das Docker-Netzwerk und darüber in das LAN weiterleitet
sofern nicht der Router an dne Strippen dazwischen hängt, geht daher alles lokal und direkt

Das ist richtig sofern die Geräte im Docker Netz direkt den Wireguard Server oder Synology als Gateway haben. Dann passt das natürlich.
Haben angesprochene Endgeräte aber den Cisco als Default Gateway und der hat keine Route ins interne WG IP Netz dann scheitert die Rückroute. Die L3 Topologie Zeichnung im o.a. Praxisbeispiel zeigt diese Zusammenhänge eindeutig.