:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/80/dc/80dc01258b6dda1e7b216323d5796051/0118518397.jpeg "Allesamt Highlights des Abends: Die Gewinnerinnen und Gewinner der Cloud Native Rockstar Awards 2024 gemeinsam mit den Moderatoren und Jury-Mitgliedern. (Bild: Vogel IT / <u><a target="_blank" href="https://www.cloudnativeconference.de/">Cloud Native Conference</a></u>)")
:quality(80)/p7i.vogel.de/wcms/b5/92/b592b98f6fa8f4d5393e7d1f26a9b1ab/0117932513.jpeg "Die Sicherheit der Software-Lieferkette steht vor vielschichtigen Herausforderungen. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/88/af88b8b06a9613b86559b6999ef4ed8a/0118097195.jpeg "Auf der OCX 2024 will die Eclipse Foundation ihre verschiedenen Open-Source-Communities zusammenbringen, (Bild: Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/8e/b3/8eb34e2abe20465041e396063e8d39b5/0118088468.jpeg "Künstliche Intelligenz kann in Testing und Qualitätssicherung gleich an mehreren Stellen tätig werden. (Bild: sompong_tom - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/59/d859a4bcea4e775772b78767789646e7/0117717484.jpeg "Report eines Testdurchlaufs mit dem Robot Framework. (Bild: Lang / Robot Framework)")
:quality(80)/p7i.vogel.de/wcms/4a/3d/4a3d398f19b8fa2044a3a9f0081e46f2/0118416942.jpeg "Die meistverwendeten Datenbank-Plattformen und die Anzahl ihrer Instanzen laut der Redgate-Umfrage. (Bild: Redgate)")
:quality(80)/p7i.vogel.de/wcms/99/39/9939f3b5fdaae42f3bf4ac2465270f2a/0117791750.jpeg "Das Azure-Vision-SDK lädt insbesondere Entwickler und Entwicklerinnen ein, sich mit der Materie zu befassen. (Bild: Drilling / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/f1/9d/f19deb033fc3094112887ccba347e548/0118171860.jpeg "In TypeSpec kommt eine an TypeScript und C# angelehnte Syntax zum Einsatz, ergänzt durch Editor-Tools für Visual Studio und VS Code. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/65/3b/653bccb0f4511868163e35e79ef17efe/0118315737.jpeg "Im Fokus dieses Artikels steht die Verbesserung der Systemsicherheit von Linux und die Optimierung von dessen Security-Funktionen. (Bild: Antonio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/dd/97ddc917ccc52db20fcb3cbdebe916f1/0118360337.jpeg "Ablauf des typischen CrashLoopBackOff-Zustands in Kubernetes. (Bild: Groundcover)")
:quality(80)/p7i.vogel.de/wcms/bd/f1/bdf1217cc5885d60e2eac54ad9a69e26/0117073864.jpeg "Die Sicherung der Lieferkette einer „containerisierten“ Anwendung ist ein mehrstufiger Prozess, der sich von der Entwicklung bis hin zur Bereitstellung erstreckt. (Bild: <u><a target="_blank" href=https://pixabay.com/photos/container-ship-cargo-ship-freighter-596083/>46173</a></u>)")
:quality(80)/p7i.vogel.de/wcms/9c/d1/9cd11868f7678b81932032a894bcd81a/0117948576.jpeg "Moderne EdTech-Entwickler und -Designer sollten eine Umgebung schaffen, in der sich alle Lernenden wohlfühlen und einen barrierefreien Zugang zu Wissensinhalten haben. (Bild: <u><a target="_blank" href=https://pixabay.com/users/roszie-6000120/>RosZie</a></u>)")
:quality(80)/p7i.vogel.de/wcms/5b/85/5b853b09ae4f974cb97b58e5cb8e759b/0118249571.jpeg "Je nach „Betätigungsfeld“ muss ein passendes Sprachmodell zum Einsatz kommen, das außerdem gewissen Spielregeln folgt. (© Imagecreator – stock.adobe.com)")
![Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)](https://cdn1.vogel.de/annR7MKBLjg3UGu-x3l6Nvb7-fI=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/4e/40/4e40e5356b18ebce4656f2a51e65c815/0116079923.jpeg "Mithilfe eines anderen Konsensverfahrens, Hashgraph, ließe sich eine Menge CO2 bei der Berechnung von Kryptowährungen sparen. (Bild: Benjamin ['O°] Zweig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/be/18/be18ae4c02dbf9aa47e97decf9b84ea4/0118091847.jpeg "Die meisten der existierenden Datenbanksysteme verfügen über SQL-Schnittstellen. (Bild: alphaspirit - Fotolia.com)")
:quality(80)/p7i.vogel.de/wcms/af/ba/afba059e1e635289905bc63ce8cc4579/0117149678.jpeg "On-Premise bezeichnet den Betrieb von Software auf selbstverwalteten Hardware-Ressourcen. (Bild: <u><a href=https://unsplash.com/de/@tvick>Taylor Vick</a></u>)")
:quality(80)/p7i.vogel.de/wcms/79/8a/798ac0bb2a4e3a384a3c7634dc919ceb/0117709235.jpeg "APIs ermöglichen es verschiedenen Software-Anwendungen, Daten auszutauschen und miteinander zu interagieren, ohne dass Details zu Implementierung bekannt sein müssen. (Bild: <u><a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a></u>)")
:quality(80)/p7i.vogel.de/wcms/ef/83/ef83b21f59d76ece1f76070d93e9bd6b/0116763715.jpeg "Mit der Verbreitung von generativer KI wird die Bedeutung von Software-Bots weiter zunehmen. (Bild: <u><a href=https://pixabay.com/users/alexandra_koch-621802/>Alexandra Koch</a></u>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
VPN mit WireGuard-Protokoll auf Linux, WSL oder Synology-NAS WireGuard als Docker-Container installieren
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Die Einrichtung von WireGuard ist auch als Docker-Container auf einem Linux-Host, dem Windows-Subsystem für Linux (WSL) oder einem Synology-NAS-System möglich. Der Beitrag zeigt die Vorgehensweise am Beispiel des Synology-NAS.
Um ein WireGuard-VPN als Docker-Container zu betreiben, reicht ein herkömmlicher Docker-Host aus. Generell kann es sich dabei um einen Linux-Computer handeln, ein Windows-Server mit aktiviertem Windows-Subsystem für Linux (WSL) oder ein Synology-NAS mit installiertem Synology Container Manager. Wir zeigen in diesem Beitrag die Einbindung auf einem Synology-NAS – die Vorgehensweise für Linux-Server oder auf dem WSL ist jedoch fast identisch. Die Einrichtung erfolgt stets mit der Open Source Software WireGuard Easy.
Vorbereitungen für den Betrieb von WireGuard-VPN als Docker-Container
Um WireGuard als Docker-Container zu nutzen, sollte darauf geachtet werden, dass die notwendigen Portfreigaben und dynamischen DNS-Einstellungen konfiguriert sind. In den Systemeinstellungen des Synology-NAS stehen dazu spezielle Einstellungen zur Verfügung. Wenn die Firewall auf dem Synology-NAS aktiv ist, müssen auch hier die Portfreigaben eingetragen sein. Das erfolgt bei Sicherheit -> Firewall. Außerdem muss in der Firewall des Unternehmens eine Weiterleitung der verwendeten WireGuard-Ports zur internen IP-Adresse des Docker-Hosts geschickt werden, in diesem Beispiel also das Synology-NAS.
:quality(80)/p7i.vogel.de/wcms/c0/9e/c09e73b8f9a91a05c5bc6d9f125b2216/0114533208.jpeg "WireGuard lässt sich auch als Docker-Container nutzen, zum Beispiel auf einem Synology-NAS mit dem Synology Container Manager.")
:quality(80)/p7i.vogel.de/wcms/af/24/af2463cfe9f038063b397d12048fdd90/0114533214.jpeg "Aktivieren von SSH auf einem Synology-NAS zum Einrichten von WireGuard-VPN als Docker-Container.")
:quality(80)/p7i.vogel.de/wcms/ce/22/ce2223888ece822e98687694a5a4f19c/0114532846.jpeg "Auslesen der CPU-Parameter eines Synology-NAS.")
:quality(80)/p7i.vogel.de/wcms/8e/16/8e16620d165117d8f4fc6a0d93120a54/0114532844.jpeg "WireGuard lässt sich auf Synology-NAS-Systemen nach der Installation eines zusätzlichen Paketes betreiben.")
Um WireGuard als Docker-Container auf einem Synology-NAS zu betreiben, ist eine Besonderheit notwendig, die bei Linux oder WSL nicht benötigt wird. Hier muss zuvor eine Erweiterung des NAS erfolgen. Dazu ist der Zugriff per SSH auf das NAS notwendig. Dieser wird in der Systemsteuerung über "Terminal & SNMP" über die Option "SSH-Dienst aktivieren" eingeschaltet. Danach kann der Zugriff auf das NAS per SSH erfolgen, zum Beispiel mit dem kostenlosen Tool Putty https://www.putty.org. Die Anmeldung erfolgt mit dem gleichen Admin-Benutzer, wie bei der Anmeldung am Webinterface.
Über sudo -i und der erneuten Eingabe des Kennwortes des Admin-Benutzers öffnet sich eine Root-Shell. In dieser wird ein SPK-File erstellt, das später für WireGuard notwendig ist. Der Befehl dazu sieht folgendermaßen aus, wenn DSM 7.2 im Einsatz ist:
sudo docker run --rm --privileged --env PACKAGE_ARCH=<NAS-Architektur> --env DSM_VER=7.2 -v /volume1/docker/synowirespk72:/result_spk naswireguard/synobuild72Die NAS-Architektur für das eigene NAS lässt sich auf der Synology-Webseite herausfinden, im Info-Center auf dem NAS zeigt die Weboberfläche die verbaute CPU an.
Die erstellte SPK-Datei lässt sich danach in der Weboberfläche im Paketzentrum über "Manuelle Installation" auswählen und installieren.
Das Paket muss gestartet werden, damit sich WireGuard auf einem Synology-NAS bereitstellen lässt. Der Start sollte aber nicht in der Weboberfläche erfolgen, sondern über den Befehl "sudo /var/packages/WireGuard/scripts/start" per SSH. Entsprechende, fertige Pakete finden sich auch über den YouTube-Channel Digital Aloha. Idealerweise ist es aber immer besser, selbst solche Pakete zu erstellen.
Docker-Container für WireGuard-VPN bereitstellen
Auf herkömmlichen Docker-Hosts sind die vorgenannten, speziellen Synology-NAS-Maßnahmen nicht notwendig. Um WireGuard auf einem Synology-NAS oder auch auf einem anderen Docker-Host bereitzustellen, wird als nächstes unterhalb des Ordners "Docker" (bei Synology) oder in einem anderen Verzeichnis ein Ordner mit der Bezeichnung "wg-easy" erstellt. Über einen einfachen Befehl wird danach im Terminal (auch auf dem Synology-NAS) der entsprechende WireGuard-Container heruntergeladen:
sudo docker run -d \ --name=wg-easy \ -e WG_HOST=YOUR_SERVER_IP \ -e PASSWORD=YOUR_ADMIN_PASSWORD \ -v ~/.wg-easy:/etc/wireguard \ -p 51820:51820/udp \ -p 51821:51821/tcp \ --cap-add=NET_ADMIN \ --cap-add=SYS_MODULE \ --sysctl="net.ipv4.conf.all.src_valid_mark=1" \ --sysctl="net.ipv4.ip_forward=1" \ --restart unless-stopped \ weejewel/wg-easyDer Befehl ist auf der GitHub-Seite des oben bereits genannten WireGuard Easy-Projektes zu finden Wichtig ist die externe sudo IP-Adresse des Hosts, das Kennwort für den Zugriff und der Pfad zum Container-Verzeichnis, zum Beispiel:
sudo docker run -d \ --name=wg-easy \ -e WG_HOST=10.0.5.77\ -e PASSWORD=mysafepassword \ -v /volume1/docker/wg-easy:/etc/wireguard \ -p 51820:51820/udp \ -p 51821:51821/tcp \ --cap-add=NET_ADMIN \ --cap-add=SYS_MODULE \ --sysctl="net.ipv4.conf.all.src_valid_mark=1" \ --sysctl="net.ipv4.ip_forward=1" \ --restart unless-stopped \ weejewel/wg-easyWireGuard-Container konfigurieren
Wenn der Container erstellt ist, lässt er sich in der Verwaltung der Docker-Container anzeigen (docker ps), am Beispiel von Synology-NAS im Container-Manager. Sobald der Container gestartet ist, lässt er sich mit einem Webbrowser verwalten. Der Zugriff erfolgt mit: "https://<IP des Docker-Hosts:51821". Danach lassen sich in der Weboberfläche neue Clients für WireGuard über "New Client" einrichten.
Der Zugriff per WireGuard funktioniert aber nur, wenn in der externen Firewall der WireGuard-Port zum Docker-Host weitergeleitet wird, und der WireGuard-Docker-Container auf Anfragen wartet. Die beteiligten Firewalls müssen den verwendeten Port weiterleiten und freigeben, in diesem Beispiel TCP 51820.
Die Konfiguration für die Clients lässt sich dann in der Weboberfläche herunterladen und in beliebigen WireGuard-Clients importieren und nutzen.
(ID:49773738)
:quality(80)/p7i.vogel.de/wcms/30/2b/302b15535728845092f765665bb3557d/0112265753.jpeg "Mit der Tool-Sammlung FreeIPA können AD-Verzeichnisstrukturen und Trusts aufgebaut werden – inklusive Kerberos und LDAP. Die Verwaltung erfolgt über das Web-Frontend oder das Terminal. (Bild: Joos - FreeIPA)")
:quality(80)/p7i.vogel.de/wcms/9a/47/9a47fcb4765d23127249eef389e0b05b/0111342950.jpeg "Das VS-Code-Ökosystem bietet zahlreiche Erweiterungen für Docker. (Bild: Drilling / Microsoft)")