Wireguard® VPN unter Unraid einrichten
Juli 12, 2021Wireguard ist der neue Player in der VPN Szene, schnell und effizient. Mit dem Dynamix WireGuard Plugin lassen sich schnell verschiedene Arten von VPN Verbindungen einrichten. So lässt sich der eigene Unraid Server als VPN Endpunkt benutzten.
- Remote access to server: Verwenden Sie Ihr Telefon oder Ihren Computer, um aus der Ferne auf Ihren Unraid-Server zuzugreifen, einschließlich:
- Unraid-Administration über das Webgui
- Zugriff auf Docker, VMs und Netzwerkfreigaben, als ob Sie physisch mit dem Netzwerk verbunden wären
- Remote access to LAN: Baut auf “Fernzugriff auf Server” auf und erlaubt Ihnen, auch auf Ihr gesamtes LAN zuzugreifen.
- Server to server access: Ermöglicht zwei Unraid-Servern, sich miteinander zu verbinden.
- LAN to LAN access: Baut auf “Server-zu-Server-Zugriff” auf und ermöglicht die Kommunikation zwischen zwei ganzen Netzwerken. (siehe diese Anleitung)
- Server hub & spoke access: Baut auf “Remote-Zugriff auf Server” auf, mit dem Unterschied, dass sich alle VPN-Clients auch untereinander verbinden können. Beachten Sie, dass der gesamte Datenverkehr über den Server läuft.
- LAN hub & spoke access: Baut auf “Server-Hub & Spoke-Zugriff” auf, wobei Sie auch auf Ihr gesamtes LAN zugreifen können.
- VPN tunneled access: Leiten Sie den Datenverkehr für bestimmte Docker und VMs durch einen kommerziellen WireGuard-VPN-Anbieter (siehe diese Anleitung)
- Remote tunneled access: Greifen Sie aus nicht vertrauenswürdigen Netzwerken sicher auf das Internet zu, indem Sie Ihren gesamten Datenverkehr durch das VPN und über die Internetverbindung von Unraid leiten
Für die meisten wird sicher „Remote access to server“ und „Remote tunneled access“ interessant sein. Also eine Option um aus der Ferne seinen Unraid Server zu verwalten und die Option den gesamten Traffic durch das VPN zu schleusen. So kann man z.B. auf deutsche Netflix Inhalte in Deutschland zugreifen.
Voraussetzungen
- Unraid 6.8+ mit dem Dynamix WireGuard-Plugin von Community Application Plugin.
- Machen Sie sich klar, dass ein VPN-Zugang zu Ihrem LAN genauso ist, wie wenn Sie jemandem physischen Zugang zu Ihrem LAN gewähren, mit dem Unterschied, dass er ihn rund um die Uhr hat, wenn Sie nicht da sind, um ihn zu überwachen. Geben Sie nur Personen und Geräten Zugang, denen Sie vertrauen, und stellen Sie sicher, dass die Konfigurationsdetails (insbesondere die privaten Schlüssel) nicht unsicher weitergegeben werden. Unabhängig von der gewählten “Verbindungsart” sollten Sie davon ausgehen, dass jeder, der Zugriff auf diese Konfigurationsinformationen erhält, auch vollen Zugriff auf Ihr Netzwerk bekommen kann.
- Unraid konfiguriert Ihre WireGuard-Clients automatisch so, dass sie sich über Ihre aktuelle öffentliche IP-Adresse mit Unraid verbinden, was solange funktioniert, bis sich diese IP-Adresse ändert. Um die Einrichtung zukunftssicher zu machen, können Sie stattdessen Dynamisches DNS verwenden. Hier erfährst du mit DuckDNS eine entsprechende Verbindung einrichtest.
- Wenn Ihr Router UPnP aktiviert hat, kann Unraid den Port automatisch für Sie weiterleiten. Wenn nicht, müssen Sie wissen, wie Sie Ihren Router für die Weiterleitung eines Ports konfigurieren.
- Sie müssen WireGuard auf einem Client-System installieren. Er ist für viele Betriebssysteme verfügbar:
- https://www.wireguard.com/install/
- Android oder iOS sind gute erste Systeme, da Sie alle Details per QR-Code abrufen können.
Einrichten der Unraid-Seite des VPN-Tunnels
- Gehen Sie zunächst zu Einstellungen -> Netzwerkeinstellungen -> Schnittstelle eth0. Wenn “Enable bridging” auf “Yes” steht, dann funktioniert WireGuard wie unten beschrieben.
- Wenn UPnP auf Ihrem Router aktiviert ist und Sie es in Unraid verwenden möchten, gehen Sie zu Einstellungen -> Verwaltungszugriff und bestätigen Sie, dass “UPnP verwenden” auf Ja eingestellt ist
- Gehen Sie bei Unraid 6.8 zu Einstellungen -> VPN-Manager
- Geben Sie dem VPN-Tunnel einen Namen, z. B. “MyHome VPN”.
- Drücken Sie “Schlüsselpaar generieren”. Dadurch wird ein Satz öffentlicher und privater Schlüssel für Unraid erzeugt. Achten Sie darauf, dass Sie den privaten Schlüssel nicht versehentlich weitergeben (z. B. in einem Screenshot wie diesem)
- Standardmäßig wird der lokale Endpunkt mit Ihrer aktuellen öffentlichen IP-Adresse konfiguriert. Wenn Sie sich zuvor für die Einrichtung von DDNS entschieden haben, ändern Sie die IP-Adresse in die DDNS-Adresse.
- Unraid empfiehlt einen zu verwendenden Port. Normalerweise müssen Sie diesen nicht ändern, es sei denn, Sie haben bereits WireGuard an anderer Stelle in Ihrem Netzwerk laufen.
- Klicken Sie auf Übernehmen.