Ist ein 2-Bay-NAS leistungsfähig genug, um WireGuard auszuführen?

Es hängt von der CPU ab. Eine Einheit der Klasse DS220+ (Celeron J4025, Dual-Core), die WireGuard in Docker ausführt, kann typischerweise eine 100 Mbps Fiber-Verbindung sättigen — genug für 1-2 gleichzeitige Benutzer. Ein Quad-Core J4125 (DS920+ Klasse) bietet mehr Spielraum. Wenn Sie einen höheren Durchsatz benötigen, hat ein QNAP TS-464 (N5095) eine leistungsfähigere CPU.

Ist WireGuard auf NAS mit Remote-Plex-Zugriff kompatibel?

Ja, und es ist tatsächlich die beste Konfiguration. Anstatt Plex über das Plex.tv-Relay (verschlechterte Qualität) freizugeben, verbinden Sie sich zuerst mit WireGuard und greifen dann auf Plex über die lokale NAS-IP zu (z. B. 192.168.1.50:32400). Die Videoqualität entspricht der lokalen LAN-Qualität, ohne zusätzliche Kompression.

Welche GDPR-Auswirkungen hat es, wenn der Verkehr über ein Drittanbieter-VPN (NordVPN) vom NAS ausgeleitet wird?

Wenn Sie NAS-Verkehr über NordVPN routen (ausgehender Anwendungsfall), durchläuft die Daten NordVPN-Server, die deren Datenschutzrichtlinie unterliegen. NordVPN behauptet eine geprüfte No-Log-Politik. Für personenbezogene Daten, die auf dem NAS gespeichert sind und diesen Tunnel durchqueren, bleiben Sie der Datenverantwortliche gemäß GDPR Art. 24. Empfehlung: Verwenden Sie ein eingehendes selbst gehostetes WireGuard, um auf NAS-Daten zuzugreifen, nicht ein Drittanbieter-VPN für ausgehenden Verkehr.

Welches NAS-Modell sollte ich wählen, um 100 Mbps WireGuard zu unterstützen?

Für 100 Mbps dauerhaft ist eine Einheit der Klasse J4125 (DS920+) oder QNAP TS-453D im Allgemeinen ausreichend. Für 200 Mbps+ schauen Sie sich eine leistungsfähigere CPU wie den Ryzen R1600 (DS1522+) oder QNAP TS-664 (N5105) an. Der eigentliche Engpass wird oft Ihre Fiber-Upload-Geschwindigkeit sein, nicht die NAS-CPU.

Wie sichere ich die WireGuard-Konfiguration im Falle eines NAS-Resets?

Alles befindet sich in /volume1/docker/wireguard/config/. Dieser Ordner enthält private Schlüssel, Peer-Konfigurationen und wg0.conf. Richten Sie eine geplante Hyper Backup-Aufgabe zu einem Cloud-Dienst ein (Backblaze B2 kostet <€1/Monat für dieses Volumen). Nach einem Reset stellen Sie diesen Ordner wieder her und erstellen den Container neu — die gesamte Konfiguration wird wiederhergestellt.

OpenVPN oder WireGuard auf Synology — welches sollte ich wählen?

WireGuard gewinnt in jeder Hinsicht: 3-4x schneller, 30-50% niedrigere Latenz, 10x kleinerer Codeumfang (geringere Angriffsfläche). Der einzige Vorteil von OpenVPN: Das offizielle Synology VPN-Server-Paket ist für nicht-technische Benutzer einfacher einzurichten. Für Leistung und Sicherheit wählen Sie WireGuard über Docker auf DSM 7.2.

Funktioniert das NAS-VPN hinter Double NAT (ISP-Modem + Router)?

Ja, aber Sie müssen zwei kaskadierende Portweiterleitungsregeln erstellen. Auf dem inneren Router: UDP 51820 → NAS-IP. Auf dem ISP-Modem: UDP 51820 → innere Router-IP. Wenn das ISP-Modem keine Weiterleitung zulässt (einige CGNAT-Setups), verwenden Sie einen Cloudflare-Tunnel oder Tailscale als Workaround.

Was ist der Unterschied zwischen VPN-Server und VPN Plus Server auf Synology?

VPN-Server (kostenlos, im Paketzentrum) unterstützt OpenVPN, L2TP/IPSec, PPTP. VPN Plus Server (kostenpflichtig, Lizenz ~€40/Monat für 5 Benutzer) fügt SSL-VPN für Browser, WebVPN-Client und SSTP-Unterstützung hinzu. Für den persönlichen Homelab-Einsatz ist VPN-Server + WireGuard Docker mehr als ausreichend und kostet nichts.

VPN auf Synology und QNAP NAS: umfassender Leitfaden 2026 (WireGuard + OpenVPN)

Q: OpenVPN oder WireGuard auf Synology — welches sollte ich wählen?

WireGuard gewinnt in jeder Hinsicht: 3-4x schneller, 30-50% niedrigere Latenz, 10x kleinerer Codeumfang (geringere Angriffsfläche). Der einzige Vorteil von OpenVPN: Das offizielle Synology VPN-Server-Paket ist für nicht-technische Benutzer einfacher einzurichten. Für Leistung und Sicherheit wählen Sie WireGuard über Docker auf DSM 7.2.

Q: Funktioniert das NAS-VPN hinter Double NAT (ISP-Modem + Router)?

Ja, aber Sie müssen zwei kaskadierende Portweiterleitungsregeln erstellen. Auf dem inneren Router: UDP 51820 → NAS-IP. Auf dem ISP-Modem: UDP 51820 → innere Router-IP. Wenn das ISP-Modem keine Weiterleitung zulässt (einige CGNAT-Setups), verwenden Sie einen Cloudflare-Tunnel oder Tailscale als Workaround.

Q: Was ist der Unterschied zwischen VPN-Server und VPN Plus Server auf Synology?

VPN-Server (kostenlos, im Paketzentrum) unterstützt OpenVPN, L2TP/IPSec, PPTP. VPN Plus Server (kostenpflichtig, Lizenz ~€40/Monat für 5 Benutzer) fügt SSL-VPN für Browser, WebVPN-Client und SSTP-Unterstützung hinzu. Für den persönlichen Homelab-Einsatz ist VPN-Server + WireGuard Docker mehr als ausreichend und kostet nichts.

Ein Synology NAS kann einen WireGuard-Server (über Docker) betreiben, und moderne QNAP-Geräte bieten in QTS 5.1 native WireGuard-Unterstützung — kein Docker erforderlich. Dieser Leitfaden behandelt beide Ansätze, mit realistischen Durchsatzerwartungen und den Fehlern, die es zu vermeiden gilt.

Für einen umfassenderen Überblick über selbst gehostete VPN-Optionen beginnen Sie mit unserem vollständigen Leitfaden zu den besten selbst gehosteten VPN-Lösungen 2026.

Warum ein VPN auf Ihrem NAS betreiben

Ein Heim-NAS läuft rund um die Uhr. Seine CPU ist 90 % der Zeit im Leerlauf — man könnte sie genauso gut nutzen.

Vier konkrete Anwendungsfälle, die die Einrichtung rechtfertigen:

Fernzugriff auf das LAN: Von einem Café oder Hotel aus greifen Sie auf Ihre Laufwerke zu, als wären Sie zu Hause. Dateifreigabe, Surveillance Station, Backup-Zugriff — ohne einen einzigen NAS-Port direkt dem Internet auszusetzen.

NAS-Datenintegration: Wenn Sie 20 TB Medien auf Ihrem NAS haben, vermeidet ein lokales VPN den Umweg über das Synology/QNAP-Cloud-Relay (kostenpflichtig, begrenzt, potenziell langsam). Sie greifen direkt auf das LAN zu.

Einzelgerät: Ein Gerät dient als NAS + VPN-Server + Plex + Pi-hole. Kein zusätzlicher Raspberry Pi zur Verwaltung.

Verfügbarer Leerlauf-CPU: Ein DS920+ verbraucht im Leerlauf 15-20W. Das Hinzufügen von WireGuard ändert die Stromrechnung nicht wesentlich — die J4125-CPU verschlüsselt im Kernel-Modus mit <5% Auswirkung auf andere Dienste.

Die ehrliche Einschränkung: Anders als bei einem Cloud-VPS führt ein Strom- oder Internetausfall zu Hause dazu, dass Ihr VPN ausfällt. Für kritische Geschäftsreisen halten Sie einen Contabo-VPS als Backup bereit — siehe unseren Leitfaden zum selbst gehosteten VPN auf Contabo.

Synology vs. QNAP: Vergleich der VPN-Einrichtung

So vergleichen sich die beiden Plattformen bei der VPN-Einrichtung:

Kriterium	Synology DSM 7.2	QNAP QTS 5.1
Native WireGuard	Nein (über Docker)	Ja (QVPN Service 3.0+)
Native OpenVPN	Ja (VPN-Server)	Ja (QVPN Service)
Einfache WireGuard-Einrichtung	Mittel (Docker erforderlich)	Einfach (native GUI)
Durchsatzskalierung	An CPU gebunden (J4125 Mittelklasse)	An CPU gebunden (N5095 stärker)
Integriertes kostenloses DDNS	Ja (*.synology.me)	Ja (*.myqnapcloud.com)
Reife des Ökosystems	Hoch	Gut
Dokumentation	Hervorragend	Anständig

Fazit: Wenn Sie bereits ein QNAP mit QTS 5.1+ besitzen, ist native WireGuard ein klarer Vorteil — kein Docker zu verwalten. Wenn Sie Synology verwenden, ist Docker WireGuard eine gut etablierte, stabile Einrichtung, sobald sie konfiguriert ist.

Einrichtung des VPN-Servers auf Synology (OpenVPN/L2TP)

Reihen von Servern in einem Rechenzentrum

Der einfachste Weg, um auf DSM 7.2 ohne Docker zu starten.

Installation:

Paketzentrum → Suche "VPN-Server" → Installieren
VPN-Server öffnen → OpenVPN oder L2TP/IPSec auswählen
Protokoll aktivieren und "VPN-Clients erlauben, auf das lokale Netzwerk des Servers zuzugreifen" aktivieren

OpenVPN-Konfiguration:

In VPN-Server > OpenVPN > Erweiterte Einstellungen:

Netzwerkschnittstelle: eth0 (NAS Ethernet)
Port: 1194 UDP
Verschlüsselung: AES-256-CBC
"Komprimierung aktivieren" aktivieren

Portweiterleitung: Auf Ihrem Router, UDP 1194 an die lokale IP des NAS weiterleiten.

Dynamisches DNS: Systemsteuerung > Externer Zugriff > DDNS. Wählen Sie "Synology" als Anbieter — your-nas.synology.me ist kostenlos. Dies wird der Endpunkt in der Client-.ovpn-Konfigurationsdatei sein.

Erstellen der Client-Datei: VPN-Server > OpenVPN > Konfiguration exportieren. Die .ovpn-Datei ist bereit, in OpenVPN Connect auf iOS/Android/Windows importiert zu werden.

OpenVPN-Durchsatzbegrenzung auf NAS: OpenVPN ist auf diesen CPUs merklich langsamer als WireGuard, da die AES-Verschlüsselung auf einer CPU ohne Hardware-AES-NI läuft. Erwarten Sie, dass OpenVPN nur einen Bruchteil des Durchsatzes von WireGuard auf demselben NAS liefert. Wenn der Durchsatz wichtig ist, wechseln Sie zum WireGuard-Docker-Abschnitt.

Einrichtung von WireGuard auf Synology über Docker

Dies ist eine bewährte Produktionskonfiguration. Leistungsfähiger als OpenVPN, etwas technischer einzurichten.

Voraussetzungen: DSM 7.2, Container Manager installiert, mindestens 4 GB RAM auf dem NAS.

Schritt 1 — Erstellen Sie den Konfigurationsordner:

In File Station, erstellen Sie /volume1/docker/wireguard/.

Schritt 2 — Ziehen Sie das Image:

Container Manager > Registry > Suche linuxserver/wireguard > Herunterladen (neueste).

Schritt 3 — Erstellen Sie den Container:

Container Manager > Container > Erstellen > Verwenden Sie das Image linuxserver/wireguard.

Wichtige Einstellungen:

Netzwerkmodus: Host (erforderlich — ermöglicht es dem Container, direkt auf die NAS-Netzwerkschnittstelle zuzugreifen)
Fähigkeiten: NET_ADMIN, SYS_MODULE (manuell in den erweiterten Einstellungen hinzufügen)

Umgebungsvariablen:

PUID=1000
PGID=1000
TZ=Europe/London
SERVERURL=your-nas.synology.me
SERVERPORT=51820
PEERS=3
PEERDNS=auto
INTERNAL_SUBNET=10.13.13.0

Volumes:

/volume1/docker/wireguard → /config

Schritt 4 — Portweiterleitung:

DSM > Systemsteuerung > Sicherheit > Firewall: Erlauben Sie UDP 51820 eingehend. Router: UDP 51820 → NAS lokale IP.

Schritt 5 — Abrufen der Client-Konfigurationen:

Nachdem der Container gestartet ist (30-60 Sekunden), erscheinen in Container Manager > Container Logs Peer-QR-Codes. Scannen Sie diese mit der WireGuard-Mobile-App. Client-Konfigurationsdateien sind auch unter /volume1/docker/wireguard/peer1/peer1.conf verfügbar.

Was zu erwarten ist: Auf einer CPU der Klasse J4125 sättigt WireGuard in Docker bequem einen typischen Heim-Fiber-Upload, während die CPU weit unter der Sättigung bleibt, sodass andere NAS-Dienste reibungslos weiterlaufen.

Für gebrauchsfertige WireGuard-Vorlagen, die an verschiedene Szenarien angepasst sind, sehen Sie sich unsere WireGuard-Konfigurationsvorlagen 2026 an.

Einrichtung des QVPN-Dienstes auf QNAP (native WireGuard QTS 5.1+)

Auf einem QNAP TS-464 (N5095, QTS 5.1.6) ist WireGuard nativ — kein Docker erforderlich.

Installation:

App Center > Suche "QVPN Service" > Installieren (kostenlos). Öffnen Sie den QVPN-Dienst aus dem Hauptmenü.

WireGuard-Konfiguration:

QVPN-Dienst > VPN-Server > WireGuard > WireGuard-Server aktivieren.

Einstellungen:

Abhörport: 51820 UDP
Tunnel-IP-Adresse: 10.6.0.1/24
DNS: 1.1.1.1 (oder NAS-IP für lokalen QNAP-DNS)

Hinzufügen von Clients:

QVPN > Verbindungsaccounts > VPN-Account hinzufügen. Jeder Account generiert automatisch ein WireGuard-Schlüsselpaar. Klicken Sie auf die Schaltfläche QR-Code, um den scannbaren QR-Code aus der WireGuard-Mobile-App anzuzeigen.

Portweiterleitung:

Auf Ihrem Router, UDP 51820 an die QNAP-IP weiterleiten. Verwenden Sie QNAP Cloud für kostenloses DDNS (*.myqnapcloud.com): App Center > myQNAPcloud > Aktivieren.

Durchsatzhinweis: Der N5095 ist eine leistungsfähigere CPU als der Celeron J4125 und bewältigt die WireGuard-Verschlüsselung mit mehr Spielraum, sodass ein TS-464 im Allgemeinen einen höheren Durchsatz bei geringerer CPU-Auslastung als eine Synology-Einheit der J4125-Klasse aufrechterhalten kann.

Für Tailscale-Exit-Node-Strategien auf NAS, siehe auch unseren vollständigen Leitfaden zum Tailscale-Exit-Node 2026 — ergänzend zu selbst gehosteten VPNs.

Ausgehendes Routing: NAS-Verkehr über ein externes VPN senden

Anderer Anwendungsfall: Sie möchten, dass das NAS selbst den Internetverkehr über NordVPN/Surfshark routet (um geoblockierte Inhalte von Plex zuzugreifen oder Sonarr/Radarr von einer anderen IP aus zu betreiben).

Auf Synology über Docker (NordVPN):

Verwenden Sie das ghcr.io/bubuntux/nordvpn-Image:

version: "3"
services:
  nordvpn:
    image: ghcr.io/bubuntux/nordvpn
    cap_add:
      - NET_ADMIN
    environment:
      - USER=your@email.com
      - PASS=your_password
      - CONNECT=France
      - TECHNOLOGY=NordLynx
      - NETWORK=192.168.1.0/24
    ports:
      - 8080:8080

Sonarr/Radarr-Container, die im selben Docker-Netzwerk platziert sind, verwenden dann diese Verbindung.

Plex + ausgehender VPN-Anwendungsfall: Wenn Sie von einer geografisch eingeschränkten Region auf Plex zugreifen (z. B. französische Inhalte aus Kanada), umgeht das Routing durch diesen Tunnel die Einschränkung. Beachten Sie, dass dies Sie nicht von einem gültigen Plex-Abonnement befreit.

Auf QNAP über QVPN: QVPN-Dienst > VPN-Client > Verbindung hinzufügen > WireGuard oder OpenVPN (importieren Sie die .ovpn-Datei, die von der NordVPN/Surfshark-Website heruntergeladen wurde). Aktivieren Sie die Verbindung. Überprüfen Sie die ausgehende IP des QNAP mit curl ifconfig.me über SSH.

Für erweiterte Routing-Strategien mit benutzerdefinierten Routing-Tabellen, siehe unseren Leitfaden zum selbst gehosteten VPN auf Raspberry Pi 5 — die Prinzipien der IP-Weiterleitung gelten auch für NAS.

Leistung und Sicherheit: Benchmarks und Härtung

Der WireGuard-Durchsatz hängt hauptsächlich von der NAS-CPU ab. Niedrigere Dual-Core-Celerons (J4025) sind die langsamsten; Quad-Core-J4125-Einheiten liegen in der Mitte; neuere Jasper Lake (N5095/N5105) und Ryzen (R1600) Chips sind die schnellsten. Unten ist ein grober relativer Leitfaden — Ihre tatsächlichen Zahlen hängen von Ihrer CPU, der Fiber-Upload-Geschwindigkeit und der gleichzeitigen NAS-Auslastung ab, also benchmarken Sie Ihr eigenes Setup mit iperf3:

NAS	CPU	Relative WireGuard-Kapazität
Synology DS220+	J4025 (2C)	Einstieg — gut für 100 Mbps Fiber
Synology DS920+	J4125 (4C)	Mittelklasse
Synology DS1522+	R1600 (6C)	Hoch
QNAP TS-253D	J4125 (4C)	Mittelklasse (nativ)
QNAP TS-464	N5095 (4C)	Hoch (nativ)
QNAP TS-664	N5105 (4C)	Hoch (nativ)

Sicherheitshärtung (obligatorisch, bevor Sie einen Port dem Internet aussetzen):

1. Admin-MFA auf DSM/QTS

Synology: Systemsteuerung > Benutzerkonto > 2-Schritt-Verifizierung → TOTP (Google Authenticator oder Authy) aktivieren. QNAP: myQNAPcloud > Sicherheitscenter > 2-Schritt-Verifizierung → TOTP. Setzen Sie den DSM-Admin-Port (5000/5001) niemals direkt aus — nur über VPN oder Reverse Proxy.

2. Fail2ban und IP-Blockierung

Synology DSM enthält nativ ein Auto-Block-System: Systemsteuerung > Sicherheit > Schutz > IP-Adressen nach X fehlgeschlagenen Anmeldeversuchen automatisch blockieren. Konfigurieren: 5 Versuche, 24h Block.

3. Firewall-Geo-Block

Synology: Systemsteuerung > Sicherheit > Firewall > Regel erstellen > Erlauben Sie nur erwartete Herkunftsländer (Ihr Heimatland + Reiseziele). Alles andere blockieren. QNAP: QuFirewall (verfügbar im App Center) bietet die gleiche Geo-Blockierung.

4. Minimal exponierte Ports

Setzen Sie nur den WireGuard-UDP-Port (51820) aus. Keine DSM/QTS-Admin-Ports, kein direkter Plex-Port (nur QuickConnect oder über VPN), kein exponiertes SSH (verwenden Sie das VPN als Sprung-Host).

Produktions-CPU-Auswirkung: Die WireGuard-Verschlüsselung ist leichtgewichtig. Auf einem Quad-Core-NAS der Klasse J4125 hinterlässt ein anhaltender WireGuard-Transfer genügend CPU-Spielraum für andere Dienste (wie Plex-Transkodierung von 1080p H.265 → H.264). WireGuard ist leicht genug, um typische NAS-Workloads nicht zu beeinträchtigen.

Für eine tiefere Abdeckung von VPN-Sicherheitsstrategien, siehe unseren vollständigen Leitfaden zu den besten selbst gehosteten VPN-Lösungen 2026.

★ Nürnberger DSGVO-Rechenzentrum · ✓ Dedizierte IPv4 inklusive · 200+ Mbps garantiert

Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→