QNAP + WireGuard: Einrichtung eines VPN-Servers mit QVPN Service

In diesem Artikel konfigurieren wir einen WireGuard VPN-Server auf Netzwerkspeicher von QNAP mit dem QTS und QuTS hero Betriebssystemen. Dafür installieren wir die Anwendung QVPN aus dem AppCenter. Alternativ bietet es sich auch an, WireGuard auf klassische Weise unter Linux zu installieren, z. B. über die Virtualization Station oder als Container mit der Container Station (Docker). Auf Geräten von QNAP halte ich diesen Schritt allerdings für unnötig, weil die hauseigene App seit der QTS 5.0 Version das VPN-Protokoll (WireGuard) offiziell unterstützt und schnell eingerichtet ist.

Nach der Installation und Einrichtung können wir einen VPN-Tunnel von anderen Clients zu unserem Netzwerk herstellen. Auch wenn QNAP bereits andere Möglichkeiten geschaffen hat, auf die Daten unseres Netzwerkspeichers, von überall auf der Welt aus zugreifen zu können, bleibt WireGuard eine beliebte Lösung, dies zu tun. Das hat den Grund, weil wir die Freigaben bei aktivierter VPN-Verbindung so verwenden können, als befänden wir uns physikalisch gesehen im selben Netzwerk.

Mit einem VPN-Tunnel können auch virtuelle Maschinen und andere Serveranwendung im Browser bedient werden, die auf eure QNAP gehostet werden, ohne dass sie nach außen hin über das Internet erreichbar sind. Mit dem beliebten VPN-Protokoll WireGuard kombinieren wir ein hohes Maß an Sicherheit mit astreinen Geschwindigkeiten. Es zählt nicht grundlos zu den momentan fortschrittlichsten und besten VPN-Lösungen.

Inhaltsverzeichnis: WireGuard auf QNAP installieren und konfigurieren (Tutorial)

Aktuelle Systeme von QNAP mit QuTS (Werbung)

QNAP TS-473A-8G, 8GB Arbeitsspeicher, 2X Gb LAN, ohne HDs, Mechanische Festplatte
QNAP TVS-872XT-i5-16G NAS, Intel Core i5 8400T 6-Core 1,7 GHz Prozessor (Turbo bis zu 3,3GHz), 16GB RAM (8GBx2)
Qnap TVS-675-8G 6-Bay NAS KX-U6580
QNAP TVS-h674-i5-32G | Intel Core i5 Prozessor, 32 GB RAM, PCIe Gen 4 Desktop NAS
QNAP TS-473A-8G, 8GB Arbeitsspeicher, 2X Gb LAN, ohne HDs, Mechanische Festplatte
QNAP TVS-872XT-i5-16G NAS, Intel Core i5 8400T 6-Core 1,7 GHz Prozessor (Turbo bis zu 3,3GHz), 16GB RAM (8GBx2)
Qnap TVS-675-8G 6-Bay NAS KX-U6580
QNAP TVS-h674-i5-32G | Intel Core i5 Prozessor, 32 GB RAM, PCIe Gen 4 Desktop NAS
850,00 EUR
Preis nicht verfügbar
1.200,98 EUR
2.416,86 EUR
QNAP TS-473A-8G, 8GB Arbeitsspeicher, 2X Gb LAN, ohne HDs, Mechanische Festplatte
QNAP TS-473A-8G, 8GB Arbeitsspeicher, 2X Gb LAN, ohne HDs, Mechanische Festplatte
850,00 EUR
QNAP TVS-872XT-i5-16G NAS, Intel Core i5 8400T 6-Core 1,7 GHz Prozessor (Turbo bis zu 3,3GHz), 16GB RAM (8GBx2)
QNAP TVS-872XT-i5-16G NAS, Intel Core i5 8400T 6-Core 1,7 GHz Prozessor (Turbo bis zu 3,3GHz), 16GB RAM (8GBx2)
Preis nicht verfügbar
Qnap TVS-675-8G 6-Bay NAS KX-U6580
Qnap TVS-675-8G 6-Bay NAS KX-U6580
1.200,98 EUR
QNAP TVS-h674-i5-32G | Intel Core i5 Prozessor, 32 GB RAM, PCIe Gen 4 Desktop NAS
QNAP TVS-h674-i5-32G | Intel Core i5 Prozessor, 32 GB RAM, PCIe Gen 4 Desktop NAS
2.416,86 EUR

Vorbereitungen und Informationen (Aktualisierungen durchführen)

Anbei noch Grundlegendes, bevor wir die WireGuard-VPN unter QNAP implementieren. Screenshots unterstützen euch bei der kompletten Installation. In dieser Anleitung verwenden wir ein QNAP der Enterprise-Kategorie mit dem leistungsstarken QuTS hero Betriebssystem. Die Konfiguration unter QTS ist ziemlich identisch. Es ist allerdings möglich, dass sich der ein oder andere Schritt von eurem leicht unterscheiden wird.

Eine manuelle Aktualisierung durchführen:

Zuerst bringen wir das System auf dem neusten Stand. Regelmäßige Aktualisierungen sind essenziell. Melde dich mit deinen Zugangsdaten auf die Weboberfläche von QNAP an und rufe die Systemsteuerung auf.

QNAP Installation von WireGuard Komplettanleitung - Aktualisierungen durchführen

Wähle die Schaltfläche „Firmwareaktualisierung“ aus und suche nach neuen Aktualisierungen mit einem Mausklick auf die Schaltfläche „Auf Aktualisierungen prüfen“.

Nach Updates vor der Implementierung suchen

Wurde ein Firmware-Update gefunden? Dann beginne umgehend mit der Installation „OK“ und warte einen kurzen Augenblick, bis das NAS-System neu gestartet wurde. Es erklärt sich von selbst, dass virtuelle Maschinen und Container für einen Moment nicht mehr erreichbar sein werden. Bis eure QNAP wieder vollständig hochgefahren wurde, können mehrere Minuten Zeit vergehen.

QNAP Firmware-Update

QVPN Service aus dem AppCenter mit dem WireGuard VPN-Protokoll unter QNAP installieren

Der nächste Schritt besteht darin, das AppCenter zu öffnen und die Applikation „QVPN Service“ zu installieren. Dafür können wir die Suchfunktion (Lupen-Symbol) verwenden oder den Reiter „Dienstprogramme“ aufrufen.

Zum Zeitpunkt der Artikelerstellung ist QVPN Service in der Version 3.0.779 verfügbar. Klicke auf die Schaltfläche „+ Installieren“ und wähle im ersten Abschnitt einen geeigneten Speicherort aus.

Die Installation dauert in der Regel nur wenige Sekunden. Öffne anschließend die Applikation QVPN Service, dessen Icon sich nun auf dem Dashboard eurer QNAP befindet. Fahre im nächsten Schritt weiter fort.

QVPN App auf dem Dashboard öffnen

WireGuard-VPN-Server aktivieren

Navigiere innerhalb des Menüs auf die Kategorie VPN Server auf den Reiter „WireGuard“. Setze einen Haken in das Kontrollkästchen „WireGuard-VPN-Server aktivieren“ und vergebe einen beliebigen Servernamen.

WireGuard VPN-Server unter QNAP einrichten

In dieser Installation haben wir uns für den Namen „QNAPVPN“ entschieden. Generiere mit einem Klick auf die Schaltfläche „Key-Paare generieren“ einen privaten und einen öffentlichen Schlüssel.

In diesem Tutorial verwenden wir das Netz 10.1.1.0, da das IP-Netz bislang nicht im bestehenden Netzwerk verwendet wird und wir somit keinen Konflikt zu befürchten haben. Als DNS-Server bietet sich der öffentliche von Google (8.8.8.8) oder alternativ Cloudflare (1.1.1.1) an.

Mit einem Klick auf die Schaltfläche „Übernehmen“ wird die WireGuard-Server-Konfiguration übernommen. Wir erhalten keinerlei Feedback von der Anwendung selbst. Der VPN-Server ist sofort einsatzbereit. Navigiere auf den Reiter „Überblick“ und überprüfe, ob ein aktiver lokaler VPN-Server vorhanden ist.

Damit ist der WireGuard VPN-Server auf eure QNAP bereit für die erste Verbindung eines oder mehrerer Clients. Im nächsten Abschnitt richten wir einen VPN-Client [Peer] ein, dieser muss im Vorfeld angelegt werden, damit ein VPN-Tunnel aufgebaut werden kann.

Einen Peer für den Verbindungsaufbau hinzufügen

Wir können einen oder mehrere Peers für WireGuard hinzufügen. Theoretisch kann man für jeden einzelnen Client einen Peer erstellen. In diesem Beitrag genügt uns ein einzelner Peer. Navigiere innerhalb der geöffneten QVPN Service 3 Anwendung auf den Reiter „WireGuard“ und kopiere den öffentlichen Schlüssel in eine temporäre Datei (z. B. Texteditor). 

Notiere in weiteren Spalten am besten gleich noch die IP-Adresse und den Empfangsport. Wir benötigen diese Werte gleich für die Einrichtung des WireGuard-Clients.

Schlüssel vom Server für den Client zwischen Speichern (QNAP + WIreGuard)

Warnung: Deine Schlüssel dürfen auf keinen Fall in öffentliche Hände gelangen. Das ist die Eintrittskarte in dein Netzwerk. Selbstverständlich handelt es sich bei den in dieser Anleitung verwendeten Schlüsselpaare um keine echten Werte!

Begebe dich zu einem Client und lade die WireGuard-Software für Windows, MacOS oder Linux herunter. Die aktuellste Version kann über die offizielle Webseite heruntergeladen werden:

VPN-Client herunterladen: https://www.wireguard.com/install/

Installiere die Software wie gewohnt und starte umgehend den VPN-Client. Wir müssen nun einen neuen Tunnel anlegen. Das erfolgt am schnellsten über die Tastenkombination [STRG + N]. Ich habe eine Vorlage für euch gebastelt, die ihr einfach nur kopieren, einfügen und anpassen müsst:

[Interface]

PrivateKey = [Den generierten Schlüssel, der bereits vorhanden ist, nicht verändern!]

Address = 10.1.1.2/24 [Die IP-Adresse habt ihr im Server für Peer1 festgelegt]

DNS = 1.1.1.1 [Euren DNS-Server aus der Peer-Konfiguration]

[Peer]

PublicKey = a0xHaa0xala0cala0Hala0Hala0Hal/TxBx0TxBx0= [Hier kommt der öffentliche Schlüssel vom Server (QNAP) hinein]

AllowedIPs = 10.1.1.1/24 [Das ist die IP-Adresse und die Subnetzmaske vom VPN-Server]

Endpoint = deine.dyndns-domain.de:51820 [IP-Adresse oder Domain eingeben]

Entferne alle [Kommentare] und kopiere den öffentlichen Schlüssen vom Client in die Zwischenablage (siehe Markierung auf dem Screenshot). Klicke auf die Schaltfläche „Speichern“.

VPN-Client einrichten und eine Verbindung herstellen

Der soeben kopierte öffentliche Schlüssel vom WireGuard-Client muss jetzt in die Peer-Einstellungen eingefügt werden. Dafür rufen wir wieder die QVPN Service Applikation auf und navigieren erneut auf den Reiter „WireGuard“. Wähle den ersten Client aus und klicke auf das Icon „Bearbeiten“ im Bereich der Aktionen. Füge den Schlüssel, wie auf dem Screenshot ersichtlich, in das Feld ein und speichere die Konfiguration über die Schaltfläche „Übernehmen“.

Empfangsport für den WireGuard-VPN Zugriff auf das QNAP-System im Router freigeben

Die server- und clientseitige Konfiguration von WireGuard für QNAP ist an diesem Punkt abgeschlossen. Zur Vervollständigung: Wir haben den öffentlichen Schlüssel vom Server dem Client mitgeteilt und dem Server haben wir den öffentlichen Schlüssel vom Client mitgeteilt.

Verfügen wir über keine öffentliche IP-Adresse, müssen wir auf einen dynamischen DNS (DynDNS) Dienst zurückgreifen. Damit wir uns über das Internet und dem WireGuard VPN-Protokoll mit unserer NAS verbinden können, müssen wir abschließend noch den UDP-Port 51820 im Router (NAT) für die lokale IP-Adresse unserer QNAP freigeben.

Ports im Router für QNAP-WireGuard VPN freigeben

Sobald dieser Schritt erledigt ist, können wir den Endpunkt für den Aufbau des VPN-Tunnels aus dem Internet erreichen. Im nächsten und letzten Abschnitt stellen wir eine VPN-Verbindung über das Internet aus einem anderen Netzwerk her.

Einen VPN-Tunnel vom WireGuard-Client zum QNAP VPN-Server aufbauen (Test)

Jetzt, wo der WireGuard-VPN-Server und der Client erfolgreich konfiguriert worden sind, der Empfangsport nach außen hin geöffnet wurde und wir einen DynDNS-Dienst eingepflegt haben, der auf unsere dynamische IP-Adresse verweist, sollten wir einen VPN-Tunnel aufbauen. 

Nur so können wir uns davon überzeugen, dass alles ordnungsgemäß läuft. Dafür begeben wir uns wieder an dem Client und öffnen die WireGuard-Software. Selektiere den zuvor angelegten Tunnel und führe einen Mausklick auf die Schaltfläche „Aktivieren“ aus.

WireGuard-VPN-Tunnel über die Schaltfläche am Client aktivieren

Hinweis: Nur weil uns der Status „Aktiv“ angezeigt wird, heißt das nicht, dass alles ordnungsgemäß funktionieren muss. Wir verwenden jetzt die PowerShell, um die IP-Adresse unseres QNAP-WireGuard-VPN-Servers anzupingen. Öffne das Terminal bzw. die PowerShell und führe den Ping-Befehl an die IP-Adresse vom VPN-Server durch:

ping 10.1.1.1
Verbindung mit Ping zur QNAP testen

Perfekt! Der Test war erfolgreich. Wir erhalten eine Antwort vom Server. Wir können die Weboberfläche von QNAP nun auch über den Webbrowser und der IP-Adresse unseres VPN-Servers aufrufen.

Möchten wir auf Freigaben zugreifen, können wir das unter Windows über den Explorer mit dem Pfad //10.1.1.1 erledigen. Damit haben alle Tests erfolgreich funktioniert. Die WireGuard VPN funktioniert ausgezeichnet zusammen mit QNAP. Möchten wir auch mit anderen Geräten im Netzwerk kommunizieren, müssen wir eine Route vom 10.1.1.0 Netz in unser Heimnetz z. B. 192.168.178.0 im Router anlegen.

WireGuard - Freigaben vom NAS

Damit ist die Installation und die Einrichtung von WireGuard auf einem NAS von QNAP abgeschlossen. Das war Dank der QVPN-Applikation auch keine große Sache. Auf meinem Blog findest Du bei Interesse noch viele weitere interessante Artikel und Projekte über WireGuard, QNAP und über VPN-Technologien.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert