Hướng dẫn tạo Wireguard Server trên NAS Synology 2025

 Chào các bạn, mình sẽ hướng dẫn cách chạy Wireguard trên Synology NAS

Lý do vì sao chọn WGdashboard?

Có thể tạo Peer một cách nhanh chóng, có thể tạo peer và xóa peer theo điều kiện như sau mấy ngày dùng thì xóa, tạo peer dùng hết số GB quy định sẽ xóa ....

Bước 1 chuẩn bị:

- Wireguard Kernel

- Wireguard Docker (mình dùng wgdashboard - dễ dùng trực quan với GUI đẹp)

- SSH (để vào cài đặt NAT cho wg)

1. Cài đặt Wireguard Kernel

Đầu tiên vào đây tìm đúng bản SPK phù hợp NAS của bạn.

https://www.blackvoid.club/wireguard-spk-for-your-synology-nas/code-box

Bên dưới mình chọn bản cho DS224+ làm ví dụ

Tiếp theo cài đặt SPK thủ công như sau:

‼️

NOTE: Hãy đảm bảo  uncheck lựa chọn run the package after installation. Bạn phải chạy nó bằng quyền ROOT thông qua SSH.

Select the SPK for your NAS and move to the next step

Click Yes to continue

Uncheck the option Run after installation, and apply

Tiếp theo đăng nhập SSH vào NAS, sau đó chạy lệnh

sudo -icode-box

Để vào quyền root

Tiếp theo chạy lệnh:

/var/packages/WireGuard/scripts/startcode-box

Để chạy Kernel WireGuard

2. Cài đặt Docker WireGuard

Bạn vào Container hoặc Docker trên NAS  => Vào mục Registry để tìm bằng từ khóa

wgdashboard

 

Tiếp theo tải về và bấm RUN

Ở mục tiếp theo nhập HOST là nhập Public IP / DDNS của bạn để client có thể kết nối từ xa

Nhập PORT hoặc để mặc định.

3. Cài đặt NAT và tường lửa cho NAS để Wireguard hoạt động (QUAN TRỌNG)

3.1 Thiết lập tường lửa

Vào Control Panel => Sercurity => Firewall

Tường lửa nên tạo ít nhất 3 rule sau để đảm bảo client không truy cập vào NAS ngoại trừ WG VPN (10.0.0.0/24)

Giải thích: 

Rule 1: WG cần cổng UDP 51820 để nhận kết nối, 

Rule 2: tiếp theo là phải cho phép tất cả Dải IP của WG hoạt động để các IP đó tự mở cổng cần thiết và vượt qua được tường lửa 

Rule 3: Cấm các hoạt động khác ngoại trừ các hoạt động trên ( mình giới hạn các client không truy cập vào NAS rule thứ 3).

Rule 4: Cho phép các hoạt động còn lại ngoại trừ rule cấm số 3.

Tường lửa sẽ khớp trên xuống và sẽ không thực thi rule tiếp theo nếu 1 rule đã khớp.

3.2 Cài đặt NAT và Forward cho WG server đi ra internet

Vào Control Panel => Task Schedule

Sau đó nhập thông tin như ảnh để mỗi lần khởi động lại NAS sẽ chạy script NAT và Forward

- Boot-up (chạy khi nas khởi động)

- User: Root

sudo iptables -t nat -F POSTROUTINGcode-box

sudo iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j MASQUERADEcode-box

sudo sysctl -w net.ipv4.ip_forward=1code-box