Wireguard

Posted on 2022-06-20

Wireguard ist ein VPN für die abgesicherte Verbindung separater Internet-Segmente.

Konfiguration des Clients

Zur Installation folgen Sie bitte der für Sie passenden Anleitung. Eine ebenso verständliche Anleitung für die Konfiguration finden Sie auf der Wireguard-Seite unter Quickstart

Konfiguration

Für jeden Endpunkt (einen Rechner) müssen Sie zunächst einen öffentlichen und einen privaten Schlüssel erzeugen und speichern. Auf einem Linux-artigen System können Sie das folgendermaßen tun:

wg genkey > privkey           # privaten Schlüssel erzeugen
chmod go-rwx privkey          # Zugriffsrechte sichern
wg pubkey < privkey > pubkey  # öffentlichen Schlüssel erzeugen

Anschließend befindet sich Ihr privater Schlüssel in der Datei “privkey” und Ihr öffentlicher Schlüssel in der Datei “pubkey”. Den privaten Schlüssel dürfen Sie — offensichtlich — niemals mit anderen teilen. Ihren öffentlichen Schlüssel müssen Sie dem Wireguard-Dienst auf der anderen Seite mitteilen.

Wireguard können Sie sehr einfach über die Kommandozeilenschnittstelle konfigurieren.

  1. Erzeugen Sie ein passendes Interface (z.B. wg0): ip l add wg0 type wireguard
  2. Tragen Sie die Verbindung bei Wireguard ein: wg set wg0 private-key peer endpoint :. IP und Port bezeichnen die Adresse der anderen Seite.

Die vollständige Beschreibung liefert Ihnen der Aufruf des Kommandos wg set. Mit wg help finden Sie eine vollständigere Liste möglicher Kommandos.

Alternativ können Sie die WG-Verbindung auch dauerhaft machen, indem Sie eine Konfigurationsdatei anlegen. Der Standard-Ort ist /etc/wireguard/wg0.conf. Für eine minimale Konfigurationsdatei schauen Sie bitte den nächsten Abschnitt an.

Konfiguration SiReAL

Für den Zugang zum “Sicherheits-Realitäts-Abstands-Labor”, dem Lern- und Lehrlabor IT-Sicherheit, können Sie die folgende Konfiguration nutzen. Der Abschnitt [Peer] kann direkt kopiert werden.

[Interface]
ListenPort = <z.B. 53290>
PrivateKey = <Your Private Key>

[Peer]
PublicKey = IacoAdH4OQD0990EydL9LoV8exH5sVAtiLO64uEU4ls=
AllowedIPs = 10.47.11.1/32,10.13.37.0/24
Endpoint = 194.94.217.111:51820

Sie haben weiterhin eine IP-Adresse für Ihren Endpunkt mitgeteilt bekommen. Diese müssen Sie Ihrem Gerät noch zuweisen: ip a add :32 dev wg0.

Zuletzt müssen Sie, vermutlich, noch eine Route für das Subnetz 10.13.37.0/24 einrichten: ip r add 10.13.37.0/24 via 10.47.11.1 dev wg0.

Offene Fragen

  • Richtet wg-quick automatisch die richtigen Routen zu allen allowed-ips ein?
  • Beschreibung der Konfiguration unter Windows fehlt noch.