Wireguard ist ein VPN für die abgesicherte Verbindung separater Internet-Segmente.
Konfiguration des Clients
Zur Installation folgen Sie bitte der für Sie passenden Anleitung. Eine ebenso verständliche Anleitung für die Konfiguration finden Sie auf der Wireguard-Seite unter Quickstart
Konfiguration
Für jeden Endpunkt (einen Rechner) müssen Sie zunächst einen öffentlichen und einen privaten Schlüssel erzeugen und speichern. Auf einem Linux-artigen System können Sie das folgendermaßen tun:
wg genkey > privkey # privaten Schlüssel erzeugen chmod go-rwx privkey # Zugriffsrechte sichern wg pubkey < privkey > pubkey # öffentlichen Schlüssel erzeugen
Anschließend befindet sich Ihr privater Schlüssel in der Datei “privkey” und Ihr öffentlicher Schlüssel in der Datei “pubkey”. Den privaten Schlüssel dürfen Sie — offensichtlich — niemals mit anderen teilen. Ihren öffentlichen Schlüssel müssen Sie dem Wireguard-Dienst auf der anderen Seite mitteilen.
Wireguard können Sie sehr einfach über die Kommandozeilenschnittstelle konfigurieren.
- Erzeugen Sie ein passendes Interface (z.B. wg0): ip l add wg0 type wireguard
- Tragen Sie die Verbindung bei Wireguard ein: wg set wg0 private-key peer endpoint :. IP und Port bezeichnen die Adresse der anderen Seite.
Die vollständige Beschreibung liefert Ihnen der Aufruf des Kommandos wg set. Mit wg help finden Sie eine vollständigere Liste möglicher Kommandos.
Alternativ können Sie die WG-Verbindung auch dauerhaft machen, indem Sie eine Konfigurationsdatei anlegen. Der Standard-Ort ist /etc/wireguard/wg0.conf. Für eine minimale Konfigurationsdatei schauen Sie bitte den nächsten Abschnitt an.
Alternativ gibt es auch noch den populären Weg über wg-quick.
Konfiguration SiReAL
Für den Zugang zum “Sicherheits-Realitäts-Abstands-Labor”, dem Lern- und Lehrlabor IT-Sicherheit, können Sie die folgende Konfiguration nutzen. Der Abschnitt [Peer] kann direkt kopiert werden.
[Interface] ListenPort =PrivateKey = [Peer] PublicKey = 6ptXwF54lX2iFsew9ukKEwMVrsPcPwJt3ggSYIfufiY= AllowedIPs = 10.47.11.1/32,10.13.37.0/24,10.66.200.0/22 Endpoint = 194.94.217.111:51820
Sie haben weiterhin eine IP-Adresse für Ihren Endpunkt mitgeteilt bekommen. Diese müssen Sie Ihrem Gerät noch zuweisen: ip a add :32 dev wg0.
Zuletzt müssen Sie, vermutlich, noch eine Route für das Subnetz 10.13.37.0/24 einrichten:
ip r add 10.13.37.0/24 via 10.47.11.1 dev wg0*
Einrichtung Windows
To be done