VPN-Tunnel mit SMB und NFS

SMB direkt übers Internet ist unsicher und wird von vielen ISPs blockiert. Mit unserem VPN-Add-on bekommst Du einen WireGuard-Tunnel zu unserer Synology — danach kannst Du SMB- und NFS-Mounts machen wie auf einer NAS im lokalen Netzwerk. 4,90 € im Monat pro Tarif, einfaches Setup.

Warum VPN für SMB und NFS

Das Problem

SMB (Port 445) und NFS (Port 2049) sind lokale Netzwerk-Protokolle. Übers offene Internet:

• Viele ISPs blockieren Port 445 (Folge von alten Würmern)
• Verschlüsselung ist patchy (SMB3 hat sie, ältere Versionen nicht)
• Authentifizierung ist NTLM-basiert — nicht ideal über öffentliche Netze
• NAT-Probleme bei manchen Heim-Routern

Result: SMB direkt übers Internet funktioniert oft nicht oder ist unsicher.

Die Lösung — VPN-Tunnel

WireGuard-Tunnel zwischen Deinem Gerät und unserer Synology:

• TLS-ähnlich verschlüsselt, modern
• Kommt durch jede Firewall (UDP-Port 51820)
• Performance vergleichbar mit lokalem Netzwerk
• Geräte-Konfiguration einmalig, dann automatisch

Über den Tunnel siehst Du unsere Synology, als wäre sie im selben Netzwerk wie Du. SMB und NFS funktionieren wie zu Hause.

Was Du brauchst

• storageDRIVE-Account (Solo oder Familie/Gruppe — egal)
• VPN-Tunnel-Add-on (4,90 €/Monat) — buchbar im Kundencenter oder per Ticket
• WireGuard-Client auf Deinem Gerät (kostenlos für alle Plattformen)

Wie Du den Tunnel buchst

Variante A: im Kundencenter unter Add-ons → VPN-Tunnel.

Variante B: Ticket schicken: „bitte VPN-Tunnel für meinen storageDRIVE-Account buchen”.

Wir richten serverseitig ein und schicken Dir innerhalb von 1 Werktag:

• WireGuard-Konfigurations-Datei (.conf)
• Optional: QR-Code für Smartphone-Setup
• IP-Adresse der Synology im VPN-Netz (typisch 10.42.0.10)

Pro Tarif ein Tunnel — alle Familien-Mitglieder können denselben Tunnel nutzen, der wird auf mehreren Geräten installiert.

WireGuard-Client installieren

macOS

App Store → WireGuard (kostenlos, von Jason A. Donenfeld)

Windows

wireguard.com/install/ → Installer für Win 10+

Linux

sudo apt install wireguard

Oder über Distro-Paketmanager. Plus resolvconf für DNS-Settings.

iOS

App Store → WireGuard

Android

Google Play / F-Droid → WireGuard

Konfiguration importieren

Mac, Win, Linux (Desktop)

WireGuard-App öffnen → Tunnel hinzufügen → Datei importieren → die .conf-Datei wählen, die wir Dir geschickt haben.

iOS, Android

WireGuard-App → + → Aus QR-Code scannen (nutze unseren mitgelieferten Code)

Oder: .conf-Datei importieren, falls Du sie auf dem Smartphone hast.

Tunnel aktivieren

In der WireGuard-App: Toggle umlegen → Tunnel ist aktiv.

Status: solange Toggle aktiv, läuft Verkehr zur Synology durch den Tunnel.

Test:

ping 10.42.0.10

Sollte Antwort liefern (das ist die VPN-IP unserer Synology).

SMB-Mount

Sobald VPN aktiv:

macOS

Finder → Gehe zu → Mit Server verbinden (Cmd+K):

smb://10.42.0.10

Oder Hostname, wenn wir einen DNS-Eintrag im VPN-Netz haben:

smb://drive.intern

→ Verbinden → Username + DSM-Passwort → Volumes wählen

home ist Dein persönlicher Bereich. Bei Familien-Tarif eventuell Familie/ als gemeinsamer Ordner.

Windows

Explorer → Dieser PC → Netzlaufwerk verbinden:

\\10.42.0.10\home\<deinusername>

Oder mit Hostname:

\\drive.intern\home\<deinusername>

Häkchen „Mit anderen Anmeldeinformationen” → DSM-Username + Passwort.

Linux

sudo apt install cifs-utils
sudo mkdir /mnt/storagedrive
sudo mount -t cifs //10.42.0.10/home/<deinusername> /mnt/storagedrive \
  -o username=<dein-user>,password=<dein-passwort>,vers=3.0

Permanenter Mount via /etc/fstab — für Skripte und Server-Setups.

NFS-Mount (Linux/Mac)

NFS ist Linux-/Unix-bevorzugt. Auf Mac geht’s auch, auf Windows eingeschränkt.

Linux

sudo apt install nfs-common
sudo mkdir /mnt/storagedrive-nfs
sudo mount -t nfs 10.42.0.10:/volume1/homes/<deinusername> /mnt/storagedrive-nfs

NFS hat Performance-Vorteile gegenüber SMB bei vielen kleinen Files — klassisch in Linux-Server-Setups.

Mac

sudo mkdir /Volumes/storagedrive
sudo mount -t nfs -o resvport,rw,async 10.42.0.10:/volume1/homes/<deinusername> /Volumes/storagedrive

Auf Mac etwas friemelig, weil NFS-Permissions UID-basiert sind und Mac-User-IDs nicht 1:1 mit Synology-User-IDs übereinstimmen. Wir konfigurieren auf Anfrage Mapping.

Performance über VPN

Aus unseren Messungen:

• Lese-Performance: ~80-90% der Internet-Bandbreite (typisch 80 Mbit/s bei 100 Mbit/s Anschluss)
• Schreib-Performance: ähnlich
• Latenz: ~25 ms Düsseldorf → Berlin, ~15 ms Düsseldorf → Köln

Das ist deutlich besser als WebDAV, weil SMB/NFS weniger Protokoll-Overhead haben.

Use Cases

4K-Video-Editing über VPN

Premiere / Final Cut Project auf storageDRIVE, Editing am Mac über SMB. Funktioniert solange Internet schnell genug — bei 4K Streaming brauchst Du min. 100 Mbit/s symmetrisch.

Linux-Server mit storageDRIVE als Backup-Mount

Server zu Hause: NFS-Mount permanent. rsync-Skripte schieben Daten vom lokalen Volume zur storageDRIVE.

Familien-Shared-Drive

Alle Familienmitglieder haben WireGuard-Konfiguration auf ihren Laptops. Ein gemeinsamer SMB-Ordner /Familie/ — alle sehen dieselben Files in Echtzeit, wie auf einer NAS.

Time Machine über VPN

Auf Mac: Time Machine auf SMB-Volume. Funktioniert technisch, ist aber nicht offiziell unterstützt. Wir empfehlen lokales Time-Machine-Backup, storageDRIVE für Off-Site-Sync via Hyper Backup oder rsync.

Troubleshooting

Tunnel verbindet sich nicht

• WireGuard-Konfig korrekt importiert?
• ISP blockiert UDP 51820 — selten, aber möglich
• Bei IPv6-only-Verbindung: VPN-Server nutzt IPv4, könnte Probleme machen — wir bieten auf Wunsch IPv6-Endpoint

SMB-Mount klappt nicht trotz aktivem Tunnel

• IP korrekt? ping 10.42.0.10 muss antworten
• Username/Passwort korrekt?
• SMB-Version: bei alten Win-Servern manchmal SMB1-Erzwingung — bei uns nur SMB3

Performance schlecht

• Internet-Bandbreite messen (speedtest.net)
• Viele kleine Files: SMB ist langsam, NFS schneller
• Bei 4K-Video-Streaming: bessere Internet-Anbindung nötig

Tunnel stürzt ab / Verbindung bricht

• Heim-Router-Settings: Manche Router haben „Aggressive NAT-Garbage-Collection”. Persistent-Keepalive in WireGuard-Config aktivieren (machen wir bei Setup, falls problematisch).

Sicherheit

• WireGuard ist State-of-the-art-Krypto (Curve25519, ChaCha20)
• Keys liegen nur auf Deinem Gerät und unserem Server
• Wenn Du ein Gerät verlierst: Ticket an uns, wir tauschen den Key aus

Häufige Fragen

Kann ich den VPN-Tunnel auch für anderen Internet-Verkehr nutzen? Standard ist „nur Synology-Traffic durch Tunnel”. Auf Wunsch routen wir den ganzen Internet-Verkehr durch — quasi Full-VPN. Schreib uns Ticket bei Bedarf.

Wie viele Geräte kann ich mit einem Tunnel verbinden? Pro Tarif: bis zu 10 Geräte. Pro Tunnel-Konfiguration ein Gerät — Du kannst die .conf mehrfach nutzen, aber nicht gleichzeitig. Mehr Geräte gleichzeitig: schreib uns Ticket, wir machen mehrere Konfigurationen.

Funktioniert SMB auch von der Mobilfunk-Verbindung? Ja, sobald VPN aktiv. WireGuard tunnelt durch jedes Netzwerk.

Kostet Datenvolumen über VPN extra? Auf Mobilfunk-Seite: ja, klassisches Datenvolumen. Bei uns: storageDRIVE-Traffic ist unbegrenzt im VPN-Tunnel.

Kann ich SSH-Zugriff über VPN bekommen? Nein. Auch über VPN ist SSH-Shell-Zugriff zu unserer Synology gesperrt — Multi-Tenant-Setup. SFTP geht aber.

WireGuard vs OpenVPN — warum WireGuard? WireGuard ist deutlich schneller, modernere Krypto, einfachere Konfig. OpenVPN ist Legacy. Wir haben uns bewusst für WireGuard entschieden.

Was, wenn das WireGuard-Konfigurations-File geleakt wird? Whoever besitzt, kann sich verbinden. Lösung: Ticket an uns, neuer Key wird generiert, alter ungültig.

Sehe ich mit SMB-Mount auch Snapshots? Indirekt. Im Synology-Versions-Verlauf-Ordner (@eaDir/.snapshots/) gibt’s manchmal Sichten — aber für Restore lieber DSM-Web-UI nutzen.

VPN-Tunnel mit eigenem Synology zu Hause — geht das? Klar. Auf Heim-Synology auch WireGuard-Client einrichten (Synology hat dafür Pakete). Dann sieht die Heim-Synology unsere Synology — Hyper-Backup-zu-uns ohne Public-IP-Setup nötig.

Weiter geht’s

• WebDAV-Zugriff
• SFTP-Zugriff
• Hyper Backup Vault