🛡️ WireGuard als nativer Dienst auf der Synology installieren – per SSH (inoffizielles Paket)

Wer eine besonders ressourcenschonende und tief integrierte VPN-Lösung auf seiner Synology-NAS betreiben will, kann WireGuard direkt als Kernel-Modul installieren – ganz ohne Docker. Die Installation erfolgt per SSH, und die Konfiguration wird über eine einfache wg0.conf gesteuert.

Achtung: Diese Methode ist nicht offiziell von Synology unterstützt, funktioniert aber bei vielen Modellen mit DSM 7.2.x stabil.

⚠️ Hinweis vorab

Quote

Diese Methode erfordert grundlegende Linux- und SSH-Kenntnisse. Du arbeitest direkt im Betriebssystem der NAS, daher bitte mit Bedacht vorgehen.

✅ Voraussetzungen

• Synology NAS mit x86-CPU
• DSM 7.2 oder höher
• SSH-Zugang aktiviert
• Internetzugriff auf der NAS
• Grundkenntnisse in Terminalbedienung

🔐 1. SSH-Zugang aktivieren

1. Melde dich als Admin in DSM an
2. Gehe zu Systemsteuerung > Terminal & SNMP
3. Aktiviere SSH-Dienst (Port 22)

[Blocked Image: https://frank-hilft.de/wp-content/uploads/ssh-aktivieren.jpg]

Verbinde dich anschließend per SSH z. B. mit:

ssh admin@<IP-der-NAS>

📦 2. WireGuard-Modul herunterladen und installieren

Ein Entwickler stellt regelmäßig angepasste WireGuard-Module für DSM zur Verfügung, z. B. hier:

GitHub - runfalk/synology-wireguard: WireGuard support for some Synology NAS drives

WireGuard support for some Synology NAS drives. Contribute to runfalk/synology-wireguard development by creating an account on GitHub.

github.com

Dort findest du fertige .spk-Pakete für viele Modelle.

Vorgehen:
Zuerst solltest Du überprüfen, welchen Prozessor Deine Synology verwendet:

• Systemsteuerung >Info

1. Passendes .spk-Paket für deine NAS und DSM-Version herunterladen Download
2. Auf die NAS übertragen oder direkt per wget holen
3. Installieren mit:

sudo synopkg install WireGuard-<version>.spk

[Blocked Image: https://frank-hilft.de/wp-content/upl…rd-download.jpg]

📄 3. WireGuard-Konfiguration erstellen

Erstelle nun eine Datei /usr/local/etc/wireguard/wg0.conf mit folgendem Inhalt (Beispiel):

[Interface] PrivateKey = DEIN_PRIVATER_KEY
Address = 10.6.0.1/24 ListenPort = 51820

[Peer] PublicKey = PUB_KEY_CLIENT
AllowedIPs = 10.6.0.2/32 

Quote

Schlüsselpaare kannst du per wg genkey und wg pubkey erzeugen.

▶️ 4. WireGuard starten

Starte das Modul manuell:

sudo modprobe wireguard
sudo wg-quick up wg0

Und zum Stoppen:

sudo wg-quick down wg0

oder mit dem Befehl:

sudo /var/packages/WireGuard/scripts/start

[Blocked Image: https://frank-hilft.de/wp-content/uploads/wiregard-start.jpg]

🔁 5. Autostart einrichten (optional)

Wenn du möchtest, dass WireGuard beim NAS-Start automatisch startet, kannst du ein kleines Init-Skript in /usr/local/etc/rc.d/wg.sh erstellen:

/bin/sh case "$1" in
  start)
    /usr/bin/modprobe wireguard
    /usr/bin/wg-quick up wg0
    ;;
  stop)
    /usr/bin/wg-quick down wg0
    ;;
esac 

Datei ausführbar machen:

chmod +x /usr/local/etc/rc.d/wg.sh

🌐 6. Portfreigabe im Router

Leite wie gewohnt den UDP-Port 51820 im Router auf die IP der NAS weiter.

📱 7. Endgerät verbinden

Verwende die WireGuard-App (iOS, Android, Windows, macOS) und gib dort die Gegenstelle aus deiner Konfiguration ein.
Alternativ kannst du auch direkt eine .conf importieren.

🎉 Fertig!

WireGuard läuft jetzt nativ auf deiner Synology – ohne Docker, ohne zusätzliche Oberfläche. Diese Lösung ist besonders leichtgewichtig, aber nichts für Anfänger.

💬 Fragen oder Rückmeldungen?

Wenn du Hilfe beim Erzeugen der Schlüssel, bei der Konfiguration oder beim Autostart brauchst – poste deine Fragen gerne hier.

💬 Nochmals im Detail ansehen Schritt für Schritt