헤놀로지(시놀로지)에서 Wireguard VPN 사용하기.
안녕하세요 달소입니다.
오늘은 앞서 여러번 소개해드린 Wireguard VPN을 헤놀로지(시놀로지)에 설치하는방법에 대한 가이드 입니다.
Wireguard가 생소하신분들도있고 왜 기본 시놀로지의 기능인 OpenVPN을 사용하지않고 Wireguard를 사용하는지 궁금하신분들이 있으시겠지만..
달소 | 2021.03.22
간단히 속도 때문입니다!
달소 | 2021.03.26
제가 간단하게 비교해본 테스트에서도 OpenVPN과 Wireguard 간 속도차이가 거의 2배가 날정도로 Wireguar의 경우 최신커널을 사용하여 매우 빠른속도를 보여줍니다.
서로은 이정도로 마무리하고 바로 Wireguard를 설치해보겠습니다.
설치환경
ESXi Xpenology 6.2.1 DS918+
사용 이미지 : https://github.com/WeeJeWel/wg-easy
1. Wireguard 모듈 설치하기
일반 리눅스의 경우 커널버전만 조건에 충족한다면 WireGuard를 설치할 수 있지만 시놀로지의경우 커스텀 모델이기 때문에 따로 모듈을 설치해주셔야합니다.
아래 깃허브를 통해 설치가능한 버전을 확인해주시고.. 설치가 안되는버전은.. OpenVPN을 그대로 사용해주시면됩니다 ㅠ
++7.1의경우 아래 자료실에서 spk파일을 받아주시면됩니다.
https://svrforum.com/data/481205
달소 | 2022.10.17
https://github.com/runfalk/synology-wireguard
헤놀로지에서 주로 사용하는 DS918+와 3615xs의 경우 사용가능하다고하니 헤놀로지 유저분들은 안심을 ..ㅎㅎ
지원이 가능하다는걸 알았으니 이제 모듈을 다운로드 받겠습니다.
https://github.com/runfalk/synology-wireguard/releases
위 링크에 들어가서 버전에 맞는 spk 를 다운로드 받아주세요.
DS918+는 위 apollolake
DS3615xs 는 아래 bromolow를 받으면 됩니다.
여기까지 했으면 이제 절반을 하신겁니다 ㅎㅎ
2단계는 Docker를 통해 Wireguard를 설치하시면 되는데요
Docker를 이용한 Wireguard 설치하기
Docker로 하는이유는 관리의 용이성도있고 Wireguard를 GUI로 사용할 수 있도록 도와주는 wg-easy를 사용하기위함입니다.
Docker의 경우 패키지센터에서 설치해주시고
docker-compose로 설치할것이기때문에 docker-compose 도 최신버전으로 설치해주세요.
그리고 도커의 볼륨매칭할 폴더를 먼저 생성해주겠습니다.
저는 docker 폴더에 WG-Easy폴더, 그리고 그안에 data 폴더를 만들었습니다
이제 시놀로지에 ssh 터미널을 통해 연결해주세요.
터미널 연결방법은 모두 아시리라 생각합니다..
연결 후 생성한 디렉터리로 이동해주세요. data는 매칭시켜줄 폴더기 때문에 그 상위폴더인 WG-Easy로 이동했습니다.
wget https://raw.githubusercontent.com/WeeJeWel/wg-easy/master/docker-compose.yml
아래 Optional 부분과 HOST 부분을 수정해주면 됩니다.
HOST는 Endpoint IP나 도메인 주소
아래 옵션들은 옵션부분을 참고해서 설정해주세요.
아래 옵션부분을 참고해서 설정을 진행해주세요.
작성이 완료되었으면 아래 명령어를 사용해서 실행시켜주세요
docker-compose up --detach
이렇게 컨테이너가 정상적으로 실행되면
헤놀로지의 도커 컨테이너 창에서도 확인이 잘됩니다.
이제 아까 설정해둔 웹 포트를 통해 GUI로 접근해보겠습니다.
ip:50821입니다 pw도 아까 입력해주신걸로~
윈도우 Client에서는 Add Tunnel로 손쉽게 설정을 넣을수있고
Show QR Code를 누르면 스마트폰에서 접속하기 쉽도록 QR 코드가 활성화 되며 찍으면 바로 등록이 됩니다.
트래픽도 잘나오고 아주 잘쓰고있습니다 ㅎㅎ
질문은 댓글로남겨주세요~
달소
달소님 블로그 및 서버포럼에서 갓 입문한 NAS 헤놀로지 신생아입니다.
아직 설치만 해두고... 많은것이 이해가 안가서 이것저것 보고 있는 중인데 외부에서 웹하드 서버로 쓰기에 (드라이브가 잡혀서 바로 사용하기) RAY드라이브와 OPEN VPN GUI등으로 연결법 등이 있던데 OPEN VPN GUI처럼 Wireguard 도 연결이 가능한 것인가요?
(아는 동생들과 같이 자료 모으기 용 등으로 사용하려고 하는데... 생각보다 기본 지식및 등이 없다보니 매일 눈팅만 하며 한달 가까이 설치 후 썩혀가는것 같네요 ㅜㅜ)
현재 옛날 베어본 PC에 asus 멀린펌으로 진행을 하려고 하는데 어떻게 연결하는것이 가장 나은지 질의드립니다.
속도는 확실히 wireguard가 월등합니다.
헤몰로지에 구축 후 포트포워딩만해주시면 사용은 간단한편입니다
연결 등까지 다하여서 외부에서 접속을 해보려고 하면 NAS의 계정과 컴퓨터 계정이 달라서 그런지 폴더들이 뜨질 않습니다.
이런 경우에는 어떻게 해야하나요?
나스와의 연결을 말씀하시는걸까요?
헤놀로지의 계정으로 하면 연결에는 문제가없을텐데 환경이 어떻게되실까요?
Linksys6900 멀린펌(아수스공유기랑 같습니다.)에 연결 후 연결하면 헤놀 계정입력창이 안떠서 구글링 하다보니 wg-allowed_Ips설정에 의한 설정 문제등이 있을수 있다고 하여, 몇번을 바꾸어보았더니 매번 상태가 조금 달랐습니다.
1. 올려주신데로 0.0.0.0 으로 세팅시는 VPN을 키면 인터넷 공유기 및 내부 랜을 못잡는 문제 발생 (서버 연결 x)
2. Ex에 있는것처럼 192.168.15.0으로 할시는 인터넷은 잘 되는데 vpn으로 잡힌 내부 ip로 들어가면 폴더가 안뜨는 문제 발생(헤놀 로그인 자체가 불가)
3. https://www.nemonein.xyz/2020/06/3879/ 글을 참조로 (저긴 시스템 및 우분투 기반에 도커가 아니라 잘은 이해는 못했습니다...) 클라이언트 IP로 변경시 로그인 창은 뜨지만 헤놀 id 비번 등이 틀리다고 나옴.
(내부망에 연결된 smb로 재 연결시는 아이디 로그인 확인)
vpn을 도커에 설치 후 SMB로 마운트로 알고있는데.... SMB이 아닌 FTP나 다른 기능도 켜야 하는건가요...?
연말 연휴 내 열심히 조립하여 구글링 하다 한계에 부딫쳐 ㅜㅜ;;; 도움을 청합니다.
1. 포트포워딩 51820 기본 설정
2. DNS는 1.1.1.1 / 8.8.4.4 / 8.8.8.8 전부 다 번갈아가면서 위에 언급한 allowed_Ips 변경하면서 시도
3. HOST는 DDNS : DUCKDNS로 HTTPS (Letsencrypt)인증받은 후 세팅 (자체 IP로 입력은 안했습니다.)
4. default-address는 큰 상관이 없을것 같지만 10.8.0.x, 10.6.0.x 등 시도
5. 세팅 할때마다 혹시 해서 도커에서 이미지 및 네트워크까지 지운 후 재설치...
ps. 영향이 있는건진 모르겠지만 어차피 도커에 올린다고 생각을 하여 VPN을 헤놀로지에서 따로 패키지센터의 VPN Server는 다운로드 안했습니다.
cpu : G4600
M/B : ASRock H110M-DGS
ram : 삼성 8gb
저장장치 : 볼륨1 : 14tb * 2 레이드1 (WD White 14TB WD 외장하드 적출 )
케이스 : 타오나스 C형
OS : 헤놀로지 918+, DSM 6.2.3-25426
답변이 늦었습니다.
AllowIPS의 경우 0.0.0.0/0으로 하시면 외부 네트워크까지 잘될거같고
이미 해당 네트워크를 사용하고있는 상태에서 VPN을 연결할 경우 정상적으로 통신이 되지않습니다.
핫스팟을 통해 네트워크 연결 후 Wireguard VPN을 연동하시면 아마 정상적으로 잘되실거라 생각합니다.
핫스팟을 통해 네트워크 연결 후 Wireguard VPN을 연동한다는 말이 이해가 잘 안가서 재 질의드립니다.
AllowIPS를 0.0.0.0/0으로 설정 후 VPN을 키면 인터넷등 연결이 다 끊기는 상황에서
외부망인 핸드폰 테더링 혹은 다른 인터넷 망 등에 있는 PC 등을 통한 연결시는 충돌없이 잘 연결이 되신다는 말이신건가요~?
IP에 대해서도.... 생각보다 심오한 세계라... /24 등... 재 테스트후 후기 올리도록 하겠습니다~!
(https://aws-hyoh.tistory.com/entry/VPC-%EC%89%BD%EA%B2%8C-%EC%9D%B4%ED%95%B4%ED%95%98%EA%B8%B0-1 등 참조.... ㅜㅜ;)
테스트 환경이 이미 내부망인 상태에서 다시 wireguard vpn을 연결하신 상태이실까요?
실제 모바일 LTE 환경이나 외부에서도 동일한 증상일까요?
0.0.0.0/0, ::/0 으로 입력시 내부 망에서는 처음 이야기드린데로 VPN을 켤 시 인터넷 및 내부 망 전부 연결 끊기는 현상이 있으며, (그래서 allowed_Ips를 Ex에 적힌 숫자나 다른 숫자등으로 변경해보았었습니다.)
외부망에서도 테스트해본 결과는 (구글 원격을 통한 컴퓨터 접속) 회사 컴퓨터로 접속 테스트도 동일 증상이였습니다. (모든 인터넷 연결 끊김 및 서버 ID 입력시 아이디 찾을수 없음.)
클라이언트에 로그에서는 로그에서 어떤 문제가 있는지 몰라 그대로 올려드립니다.
연결이 제대로 되지않고 끊어져버리네요...
회사의 경우 outbound 트래픽을 제한하면 연결이안되는경우도있는데 모바일로 하셨을때도 동일할까요?
wg.conf 파일을 하나만들어서 저한테 주실수있으실까요? 쪽지로 보내주셔도 됩니다
혹 에러가 나오신다면 클라이언트 로그쪽도 봐보셔야할듯합니다
따라해보기로 DSM7.0에 wireguard 를 올려보려고 했는데...
내부 IP 정보 바꾼거랑 외부 인터넷을 위해 0.0.0.0/0 을 넣고 진행 했는데.. (동일하게도 진행 했지만)
VPN 서버 - 클라이언트 간 터널은 정상적으로 올라오지만 통신은 송신 패킷만 있고 수신 패킷이 없네요.
그런 이유로 클라이언트 인터넷패킷이 VPN 통해 나가고 받는 패킷이 없어서 터널 종료 전 까진 통신이 안되네요
먼가 시놀로지 쪽에서 라우팅 경로가 문제가 있는거 같은데요?
혹시 라우팅 경로를 머 추가하고 그래야하는게 있나요?
wg0.conf 는 수정해서 시놀에 넣어도... 수정된거 반영이 안되더라구요
네트워크상으로 동일한 설정이라면 시놀로지 네트워크에 브릿지로 물려있을테니 시놀로지가 인터넷이 된다면 외부 인터넷은 문제없어야 정상입니다.
포트포워딩은 하신걸까요?
내부 통신은 잘되시는데 외부만 안되시는건지 vpn 연결후에 내부 ip등은 잘받아오시는지요
IP는 VPN 터널 열리면서 정상적으로 받아옵니다. (ipconfig 시 vpn peer IP 로 확인)
포트포워딩은 UDP 포트에 대해서는 나스 IP로 동일 포트 전달 (포트 변경도 해봄) TCP는 안 열었습니다.
TCP에 대해서는 NPM 으로 서브도메인으로 관리페이지 같아서 별도 포트포워딩은 안했습니다.
터널이 열리고 터널 peer 까지는 정상적으로 icmp 되지만 외부인터넷은 안되서 패킷 상태를 보니
서비스통신건에 대해서 클라이언트 기준 나가는 패킷 즉 요청 패킷은 있지만 송신 되는 응답패킷은 안오네요.
내부 통신이라 함은 VPN 연결 된 후 말씀이시죠?
VPN Peer 간의 통신 제외 하고는 내부/외부 모두 통신은 안되더라구요.
모든 테스트는 LTE 라우터를 연결 한 외부망 IP 기준으로 확인 하였습니다.
저의 NAS 구성은 windows 서버가 메인 OS 이고 windows 안에서 VMware 올려서 헤놀로지로 올라가있는 상태 입니다.
외부 인터넷은 연결 되어있는 상태로 외부에서 서버 접근 모두 가능 합니다.
VPN client 붙이고나서도 내부망(NAS가 물려있는 사설IP 동일망) 에서 vpn 연결 안된 기기 끼리도 통신은 잘되고..
VPN을 안통하는 다른 기기 외부망에서도 정상적으로 서버 통신은 되는 상태입니다.
자료가 잘 없어서 설치가 어려웠는데,
덕분에 잘 설치했습니다.
속도도 빠르고 내부망 접속도 잘 되네요.
cmt alert
신고
"님의 댓글"
이 댓글을 신고하시겠습니까?
