DS923+ als VPN-Client mit Wireguard (2024)

Servus zusammen,
habe mir privat jetzt endlich auch eine DS gegönnt, ist die DS923+ geworden. Gleich mal 32GB zusätzlich rein, damit sollte man erstmal bissl was spielen können. Gestern grob eingerichtet, rennt schon mal richtig flott.

Zur Situation:
Ich bin Freiberufler und betreibe mit meinem Vater zusammen ein kleines Büro. Dort werkelt eine DS716+. Ich habe meine private DS ein wenig größer gewählt und möchte diese als zusätzliche Sicherungsmöglichkeit fürs Büro nutzen.
In beiden Netzwerken arbeiten Fritzboxen, die Wireguard unterstützen. Ja, ich weiß, nicht ganz professionell, aber für ein Büro mit drei Leuten reichts aus meiner Sicht. Ich nutze das VPN, um mich bei Bedarf damit entweder ins private oder ins Firmen-LAN zu bringen, eine dauerhafte LAN-LAN-Kopplung besteht nicht. Diese möchte ich auch nicht, weil es in der Fritzbox ja kein vLAN gibt und meine Kinder im Büronetz nichts verloren haben.
Die DS im Büro ist nicht von außen erreichbar, wenn ich Zugriff von außen brauche, verwende ich Wireguard zur Fritzbox. Meine private möchte ich auch nicht von außen erreichbar machen, da habe ich kein gutes Gefühl dabei. Auch hier läuft der Zugriff von außen ins Netz über Wireguard, das hat sich bewährt.
Bei dieser Konfig. finden sich die beiden Boxen aber natürlich nicht. Mein Plan wäre jetzt, eine der beiden als VPN-Client einzurichten, der sich mit Wireguard mit der entfernten Fritzbox verbindet. Damit müssten sich die Boxen doch eigentlich sehen können, oder?
Die Verbindung soll nur der Sicherung dienen und nach Möglichkeit auch nur dafür aufgebaut werden. Ich möchte aus dem privaten Netz sonst keinen Zugriff ins Büro haben.
Frage:
- funktioniert das so?
- Wireguard geht nur über Docker, welches Paket ist da empfehelnswert?
- gibt es bessere Möglichkeiten für die Situation?

Herzlichen Dank für eure Rückmeldung und sorry für den langen Text.

Willkommen hier im Forum!
Ich würde es trotzdem mit der Site 2 Site Verbindung (LAN-LAN-Kopplung) der FritzBoxen machen. Da kann man nämlich nach Erstellung des Tunnels auf beiden Fritten einstellen, welche Geräte den Tunnel nutzen dürfen. Dort alles sperren, außer die DS und fertig.
Zu WireGuard auf der DS kenne ich nur das:
https://www.blackvoid.club/wireguard-spk-for-your-synology-nas/
https://www.blackvoid.club/wireguard-vpn-for-your-synology-nas/
https://github.com/wg-easy/wg-easy
Ich weiß aber nicht, ob das Server und Client kann.
Alternativ könnte man sich mit der DS nativ via IPSec zur Fritte verbinden und das kann man auch zeitgesteuert auf und abbauen: https://mickderksen.wordpress.com/2016/06/08/how-to-schedule-a-vpn-connection-on-synology/

Ich würde es aber wie gesagt über die Fritten lösen und den VPN-Zugriff entsprechend per Tunnel-Konfig. einschränken. Ich betreibe das selbst auch so. Zwischen meinen beiden Standorten dürfen durch den S2S WireGuard Tunnel nur mein Rechner und die beiden DSen sprechen. Klappt wunderbar.

Cool, danke dir für deine schnelle Antwort!
Das wusste ich nicht, dass man einzelne Verbiundungen für Geräte sperren kann, dachte das geht nicht. Kannst du mir verraten, wo das geht? Ich finde es nämlich nicht....
Schließe aber nicht aus, dass ich schlicht blind bin...
IPSec ist auf der Fritte halt deutlich lahmer als Wireguard, deswegen wollte ich das eigentlich nicht.

EDIT: AH, das erscheint, wenn man die Verbindung auf dem zweiten Gerät einrichtet. DANKE!

Du bearbeitest einfach auf der Fritte den Tunnel und setzt dann einen Haken. Geht übrigens bei IPSec genauso:

Wenn du den rot markierten Haken gesetzt hast, kannst du darunter auswählen, welche Geräte passieren dürfen.

Ich habe mir das grad interessehalber auf meiner Fritte angeschaut, dort gibt es keine "Erweiterten Einstellungen zum Netzwerkverkehr

Würde ich jetzt so nicht weit kommen

Kann ich wie gesagt bei der FB7490 auch nicht.
Hinter der sitze ich hier im Büro und kann folglich von hier aus aufs gesamte Netz daheim zugreifen. Ob es andersrum dann richtig geblockt wird muss ich mal daheim schauen.

plang.pl schrieb:

Denn dass es deine 6690 nicht kann, glaube ich eigentlich nicht.

Zum Vergrößern anklicken....

Da bin ich mir eigentlich auch sicher, ist immerhin das neueste und mit Potenteste Model für Kabelverbindung, Firmware ist auch auf aktuellem Stand..

Auf der 7490 gibt es die Netbios- und weiteren Einstellungen nicht. Die 7490 ist unter Wireguard etwas limitiert (steht so auch in den AVM-Anleitungen):

• Die FRITZ!Box 7490 unterstützt nicht die Optionen "Gesamten Netzwerkverkehr über die VPN-Verbindung senden" und "Nur bestimmte Geräte im Heimnetz sollen über diese WireGuard-Verbindung erreichbar sein".

Das Gerät ist nun doch schon etwas älter und es hat wohl nicht mehr gereicht, um alles zu implementieren.

So,
nachdem die erste Sicherung mit 1,5TB ein paar Tage gebraucht hat, ging die zweite jetzt heute Nacht in 20 Minuten über die Bühne, das ist also durchaus praktikabel.
Begrenzend ist eindeutig die 7490, die über Wireguard ca. 90% des Upstreams auslastet, sich selbst aber wohl zu 100%.
Mache gerade die andere Richtung, da begrenzt mein privater Upload mit 12 MBit das Ganze, der wird zu 99% ausgelastet, soweit es richtig angezeigt wird.
Zurück zum VPN:
Ich lasse das jetzt so mit dem LAN zu LAN-VPN zwischen den Boxen. Dadurch, dass ich an der 7590 den Zugriff auf die Verbindung unterbinden kann, besteht von daheim keine Gefahr für unbedarfte Nutzung. Vom Büro aus erreiche ich lediglich die Fritzbox und das NAS. Da die Kollegen auf meinem NAS keine Benutzer haben, kommen die da auch nicht drauf.
Irgendwann gibt's mal ne neue Fritzbox, dann kann man das nochmal nachregulieren.

Also nochmals ein Danke an die Unterstützer @plang.pl, @Stationary und @Benie!