WireGuard

Während Tailscale für die meisten eine benutzerfreundliche Erfahrung bietet, ist WireGuard eine robuste, integrierte VPN-Lösung in Unraid, die sich in bestimmten fortgeschrittenen Netzwerkszenarien hervorhebt. Besonders nützlich ist sie, wenn Sie detaillierte Kontrolle über das VPN-Routing benötigen oder server-zu-server- oder LAN-zu-LAN-Verbindungen ohne Drittanbieterdienste aufbauen müssen. Nachfolgend sind Schlüssel-Szenarien aufgeführt, in denen WireGuard überzeugt.

Wann sollte man WireGuard wählen?

Szenario	Warum WireGuard wählen?
Erweiterte Konfiguration	Ermöglicht individuelle VPN-Tunnel-Konfigurationen und die Integration in bestehende Netzwerk-Infrastruktur
Server-zu-Server-Tunnel	Ermöglicht die Erstellung dauerhafter, verschlüsselter Verbindungen zwischen Unraid-Servern
LAN-zu-LAN-Integration	Verbindet ganze Netzwerke ohne den Einsatz von Vermittlungsdiensten
Bandbreitenintensive Aufgaben	Bietet minimalen Protokoll-Overhead für maximalen Durchsatz

info

Für die meisten Nutzer kann Tailscale alles erledigen, was WireGuard kann, oft einfacher. Es erfordert normalerweise kein Portforwarding oder manuelle Konfiguration. Wenn Sie jedoch fortschrittliche, anpassbare VPN-Konfigurationen benötigen oder spezielle Kompatibilitätsanforderungen haben, könnte WireGuard eine bessere Option sein.

Verbindungstypen und Anwendungsfälle

Das Wissen über Verbindungstypen in WireGuard kann Ihnen dabei helfen zu entscheiden, ob es das Richtige für Sie ist:

Verbindungstyp	Praxisbeispiel
Fernzugriff auf Server	Zugriff auf Unraid WebGUI, Docker-Container, VMs und Netzfreigaben aus der Ferne.
Fernzugriff aufs LAN	Greifen Sie aus der Ferne auf alle Geräte in Ihrem LAN zu, als wären Sie im lokalen Netzwerk.
Server zu Server-Zugriff	Sichern Sie die Verbindung zwischen zwei Unraid-Servern für Datenaustausch oder Backups.
LAN zu LAN-Zugriff	Verbinden Sie nahtlos zwei vollständige LANs, um eine reibungslose Kommunikation zwischen Netzwerken zu gewährleisten.
Server-Hub- und Speichen-Zugriff	Ermöglichen Sie mehreren VPN-Clients, über den Server miteinander zu verbinden.
LAN-Hub- und Speichen-Zugriff	Ermöglichen Sie die Kommunikation zwischen mehreren LANs über einen zentralen Server.
VPN-getunnelter Zugang	Route specific Docker containers and VMs through a commercial WireGuard VPN provider.
Fern-Getunnelter Zugriff	Routen Sie Ihren gesamten Internetverkehr sicher über Ihren Unraid-Server, wenn Sie sich in unsicheren Netzwerken befinden.

Einrichten von WireGuard auf Unraid

Prerequisites

• Dynamisches DNS: Richten Sie DDNS für zuverlässigen Zugriff ein, falls sich Ihre öffentliche IP ändert. Beliebte Optionen sind Cloudflare (erfordert Domainbesitz), No-IP oder DuckDNS (kostenlos, kann jedoch gelegentliche Ausfälle haben).
• Routerkonfiguration:
  • Aktivieren Sie UPnP in den Einstellungen → Management Zugang für automatische Portweiterleitung.
  • Wenn UPnP nicht verfügbar ist, leiten Sie UDP-Port 51820 manuell an die IP Ihres Unraid-Servers weiter.
• Client-Software: Installieren Sie WireGuard auf Ihren Geräten (Windows, macOS, iOS, Android).

Schritt 1: Schlüssel generieren

1. Gehen Sie zu Einstellungen → VPN-Manager.

2. Benennen Sie Ihren Tunnel (z.B. "Home VPN").
3. Klicken Sie auf Schlüsselpaar generieren, um öffentliche/private Schlüssel zu erstellen.

warnung

Bewahren Sie den privaten Schlüssel sicher auf, da er vollen Netzwerkzugriff gewährt.

Schritt 2: Konfigurieren Sie Ihren Endpunkt

• Für DDNS-Nutzer: Ersetzen Sie die IP in Lokaler Endpunkt durch Ihre DDNS-URL (z.B. myhome.duckdns.org).
• Behalten Sie den Standardport (51820), es sei denn, es gibt Konflikte mit bestehenden Diensten.

Schritt 3: Portweiterleitung einrichten

• UPnP-Nutzer: Unraid wird automatisch Ports weiterleiten, wenn in Einstellungen → Management Zugang aktiviert.

• Manuelle Einrichtung: Wenn UPnP nicht verfügbar ist:
  1. Melden Sie sich bei Ihrem Router an.
  2. Leiten Sie UDP-Port 51820 an die LAN-IP Ihres Unraid-Servers weiter.
  3. Verwenden Sie denselben Port für externe und interne Einstellungen.

Schritt 4: Aktivieren Sie Ihren Tunnel

1. Schalten Sie Aktiv um WireGuard zu aktivieren.
2. Aktivieren Sie Autostart, um WireGuard beim Start auszuführen.

Security best Practices

• Nur vertrauenswürdiger Zugriff: VPN-Zugriff ist mit physischem Netzwerkzugriff vergleichbar, deshalb sollten nur vertrauenswürdige Geräte autorisiert werden.
• Schlüsselverwaltung: Niemals private Schlüssel teilen; behandeln Sie sie wie Passwörter.
• Netzwerksegmentierung: Für komplexe Setups (benutzerdefinierte Docker/VMs), isolieren Sie VPN-Verkehr mithilfe von VLANs oder separaten Subnetzen.
• Regelmäßige Audits: Überprüfen Sie quartalsweise verbundene Geräte und Zugriffsberechtigungen.

Definieren eines Peers (Clients)

Ein Peer ist ein Client-Gerät - wie ein Telefon, Laptop oder ein weiterer Server -, das sich mit Ihrem Unraid WireGuard VPN verbindet. Die Definition eines Peers bedeutet die Erstellung einer eindeutigen Identität und die Sicherung von Schlüsseln für dieses Gerät.

1. Wählen Sie Peer hinzufügen.

2. Benennen Sie den Peer (z.B. MyAndroid).
3. Wählen Sie den initialen Verbindungstyp für vollen Netzwerkzugriff, typischerweise Remote-Zugriff auf LAN.
4. Klicken Sie auf Schlüsselpaar generieren, um öffentliche und private Schlüssel zu erstellen. Halten Sie den privaten Schlüssel sicher.
5. Erstellen Sie optional einen vorab geteilten Schlüssel für zusätzliche Sicherheit.
6. Klicken Sie auf Übernehmen.

notiz

Während Peers ihre eigenen Schlüssel generieren können, vereinfacht das Generieren von Schlüsseln durch Unraid das Setup, indem vollständige Konfigurationsdateien bereitgestellt werden.

vorsicht

Das Hinzufügen eines neuen Peers kann den WireGuard-Tunnel vorübergehend deaktivieren, was die Verbindung unterbrechen kann. Stellen Sie sicher, dass Sie vor Änderungen lokalen Zugriff auf Ihren Server haben.

Konfiguration eines Peers (Clients)

Mobiles Gerät

1. Wählen Sie das Auge-Symbol , um die Peer-Konfiguration anzuzeigen.

2. In der WireGuard-Mobil-App wählen Sie Aus QR-Code erstellen und scannen Sie den QR-Code.
3. Benennen Sie die Verbindung und verbinden Sie sich. Der VPN-Tunnel sollte schnell starten.
4. Halten Sie den QR-Code privat - jeder, der ihn hat, kann auf Ihr VPN zugreifen.

Andere Geräte

1. Wählen Sie das Auge-Symbol , um die Peer-Konfiguration anzuzeigen.

2. Laden Sie die Konfigurationsdatei herunter.
3. Übertragen Sie es sicher auf das Client-Gerät (z.B. über vertrauenswürdige E-Mail oder Cloud-Speicher).
4. Entpacken Sie die Dateien und importieren Sie die Konfiguration in den WireGuard-Client.
5. Schützen Sie diese Datei, um unbefugten VPN-Zugang zu verhindern.

Konfiguration Ihres DNS

1. Greifen Sie auf Geräte mit IP-Adressen oder vollständig qualifizierten Domain-Namen (z.B. yourpersonalhash.unraid.net) zu.

notiz

Kurznamen wie "tower" oder vom Router verwaltete DNS-Einträge funktionieren möglicherweise nicht über das VPN.

2. Um die Auflösung von Kurznamen zu ermöglichen:
   • Gehen Sie zu Einstellungen → VPN-Manager in Unraid.
   • Wechseln Sie von Basis zu Erweitert.
   • Geben Sie die IP-Adresse Ihres bevorzugten DNS-Servers im Feld Peer-DNS-Server ein.
   • Speichern Sie die Änderungen und aktualisieren Sie die Client-Konfigurationsdatei.
3. Empfohlene DNS-Server:
   • Die IP-Adresse des LAN-Routers.
   • Öffentliche DNS-Server wie 8.8.8.8.

Diese Einrichtung ist besonders wichtig für Remote getunnelten Zugang-Modus, bei dem der ursprüngliche DNS-Server des Clients möglicherweise nicht erreichbar ist.

notiz

mDNS-Adressen (z.B., tower.local) funktionieren nur im lokalen Netzwerk und nicht über WireGuard VPN.

Komplexe Netzwerke

Für die meisten Nutzer funktioniert die Standardeinstellung NAT verwenden problemlos und ermöglicht den Zugriff auf Unraid und die meisten LAN-Geräte. Wenn Sie jedoch Docker-Container mit benutzerdefinierten IPs oder VMs mit strengen Netzwerkanforderungen verwenden:

1. Stellen Sie in Ihrer WireGuard-Tunnel-Konfiguration die Option NAT verwenden auf Nein.
2. Fügen Sie auf Ihrem Router eine statische Route für das WireGuard-Tunnelnetzwerk (z.B. 10.253.0.0/24) hinzu, die auf die IP Ihres Unraid-Servers zeigt.
3. In Einstellungen → Docker-Einstellungen stellen Sie Zugriff für benutzerdefinierte Netzwerke auf Aktiviert.

Konfigurationen, die vermieden werden sollten

NAT-Einstellung verwenden	Host-Zugang zu benutzerdefinierten Netzwerken	Server & Dockers (Bridge/Host)	VMs & andere LAN-Systeme	Dockers mit benutzerdefinierter IP	Anmerkungen
Ja	Deaktiviert (statische Route optional)	Zugänglich	Zugänglich	Nicht zugänglich	Einfaches Netzwerk-Setup; empfohlen für die meisten Benutzer
Ja	Aktiviert (statische Route optional)	Zugänglich	Nicht zugänglich	Nicht zugänglich	Diese Konfiguration vermeiden
Nein	Deaktiviert (Keine statische Route)	Zugänglich	Nicht zugänglich	Nicht zugänglich	Vermeiden; erfordert eine statische Route, um ordnungsgemäß zu funktionieren
Nein	Deaktiviert (Mit statischer Route)	Zugänglich	Zugänglich	Nicht zugänglich	Fast korrekt; Host-Zugriff für benutzerdefinierte Netzwerke aktivieren
Nein	Aktiviert (Mit statischer Route)	Zugänglich	Zugänglich	Zugänglich	Empfohlene Einrichtung für komplexe Netzwerke

Fehlerbehebung für WireGuard

WireGuard ist darauf ausgelegt, unaufdringlich zu sein - wenn etwas nicht funktioniert, wird es keine Fehlermeldungen liefern. Um effektiv zu Fehlersuchen, sollten Sie systematisch jeden Aspekt Ihrer Konfiguration überprüfen.

Verbindungskontrollliste

• ✅ Der Tunnel ist sowohl auf Unraid als auch auf Client-Geräten aktiv. („Aktiv“ bedeutet, dass der Tunnel gestartet wurde, aber nicht unbedingt verbunden ist.)
• ✅ DDNS-URL zeigt auf Ihre aktuelle öffentliche IP und ist im Lokalen Endpunkt festgelegt.
• ✅ Der korrekte UDP-Port wird von Ihrem Router auf Unraid weitergeleitet und stimmt mit dem Lokalen Endpunkt-Port überein.
• ✅ Clients haben die neuesten Konfigurationsdateien nach Änderungen auf der Serverseite.
• ✅ Änderungen werden gespeichert, bevor Peer-Konfigurationen (QR-Codes/Dateien) eingesehen oder verteilt werden.

Zusätzliche Fehlerbehebungsmaßnahmen

Ersteinrichtungstipps - Klicken um zu erweitern/zusammenzuklappen

Wenn Sie zum ersten Mal WireGuard einrichten, können Ihnen diese Tipps helfen, häufige Fallstricke zu vermeiden:

• Richten Sie Ihren ersten Client mithilfe eines Mobilgeräts im Mobilfunknetz (nicht WLAN) ein, um lokale Netzwerkprobleme auszuschließen.
• Verwenden Sie die QR-Code-Methode für den einfachsten Konfigurationstransfer.

Handshake- und Konnektivitätsprobleme - Klicken zum Erweitern/Reduzieren

Wenn Sie keinen Handshake sehen oder keine Verbindung herstellen können, versuchen Sie diese gezielten Überprüfungen:

• Wenn Sie keinen Handshake sehen, versuchen Sie, den Verkehr zu erzeugen (zum Beispiel den Server anzupingen), um die Verbindung auszulösen.
• Deaktivieren Sie Energiespar-, Datenspar- oder Batteriesparfunktionen auf mobilen Clients, da diese die VPN-Funktion beeinträchtigen können.
• Stellen Sie sicher, dass Client- und Servernetzwerke unterschiedliche Subnets verwenden (z. B. sollten beide nicht 192.168.1.0/24 verwenden).
• Wenn Sie Cloudflare für DDNS verwenden, setzen Sie den Proxy-Status auf nur DNS (nicht Proxied). Lassen Sie Zeit für die Verbreitung von DNS-Änderungen.
• Wenn Sie von einigen Standorten aus eine Verbindung herstellen können, von anderen jedoch nicht, blockiert das Remote-Netzwerk möglicherweise UDP-Verkehr. WireGuard unterstützt derzeit kein TCP als Fallback.

Erweiterte Netzwerk-Konflikte - Klicken zum Erweitern/Reduzieren

Wenn Ihre Netzwerkeinrichtung komplexer ist oder Sie einen IP-Konflikt vermuten, prüfen Sie diese erweiterten Fehlerbehebungsschritte:

• Im Erweiterten Modus bestätigen Sie, dass Ihr Lokales Tunnelnetzwerk-Pool sich nicht mit einem vorhandenen Netz auf einer der Seiten überschneidet. Bei einem Konflikt wechseln Sie zu einem anderen privaten Subnetz (zum Beispiel 10.10.10.0/24).
• Für Docker-Container mit benutzerdefinierten IPs oder VMs mit strengen Anforderungen siehe den Abschnitt Komplexe Netzwerke.

Notfallwiederherstellung - Klicken zum Erweitern/Reduzieren

Wenn Sie den Zugriff auf die Unraid WebGUI verlieren und das automatische Starten von WireGuard deaktivieren müssen

• Löschen Sie /boot/config/wireguard/autostart von Ihrem Flash-Laufwerk und starten Sie neu.

* „WireGuard“ und das „WireGuard“-Logo sind eingetragene Warenzeichen von Jason A. Donenfeld.