Wechseln zu:Navigation, Suche
Wiki





























De.png
En.png
Fr.png









Schnelleinrichtung von WireGuard auf der UTM

Neuer Artikel: 11.2024

notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
-
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
VPN WireGuard

Vorbemerkung

Dieser Artikel soll einen möglichst einfachen, kurzen und praxisnahen Weg zur Erstellung einer WireGuard-Verbindung beschreiben, wobei es unerheblich ist, ob es sich bei den Gegenstellen um S2S (Site-to-Site)- oder E2S (End-to-Site / Roadwarrior) Peers handelt.

In diesem Beispiel soll zwischen zwei UTMs (im weiteren Standort A und Standort B genannt) eine S2S-Verbindung erstellt werden. Zusätzlich soll sich auf Standort A noch ein Gerät aus dem Homeoffice verbinden (im weiteren Roadwarrior genannt)

Außerdem wird im folgenden mit dieser Beispielkonfiguration gearbeitet:

Standort A Standort B Roadwarrior Transfernetz
FQDN a.vpn.anyideas.de b.vpn.anyideas.de
Lokales Netz IPv4 10.1.0.0/16 10.2.0.0/16 10.0.1.0/24
Lokale Tunnel IPv4 10.0.1.1/24 10.0.1.2/24 10.0.1.201/24
Lokales Netz IPv6 fd00:a:0:0::0/64 fd00:b:0:0::0/64 fd00:0:0:0::0/64
Lokale Tunnel IPv6 fd00:0:0:0::1/64 fd00:0:0:0::2/64 fa00:0:0:0::C9/64
notempty
Das gezeigte Vorgehen stellt oft eine gute Lösung dar, ist aber nicht für alle denkbaren Konstellationen geeignet!

Schlüsselerstellung

Grundsätzlich benötigt jeder Peer einen eigenen zweiteiligen Schlüssel im Format X25519, der aus einem Public- und einem Private Key besteht.

Diese können auf der UTM unter Authentifizierung Schlüssel erzeugt werden.

Für S2S-Verbindungen wird der Schlüssel auf der jeweiligen UTM erzeugt. Bei E2S-Verbindugnen wird der Schlüssel mit der Gateway-UTM erzeugt.

  • Zunächst werden bei beiden Standorten die Schlüssel mit dem Typ: X25519 erzeugt
Schlüssel hinzufügen UTMbenutzer@firewall.name.fqdnAuthentifizierungSchlüssel UTM v14.0.0 WireGuard BestPractice Schlüssel erzeugen Standort A.pngStandort A Schlüssel erzeugen
UTM v14.0.0 WireGuard BestPractice Schlüssel erzeugen Standort B.png
Standort B Schlüssel erzeugen
  • Außerdem wird in Standort A der Schlüssel für den E2S-Peer (Roadwarrior) erstellt, auch vom Typ: X25519
UTM v14.0 WireGuard-Key Roadwarrior.png
Standort A Schlüssel des E2S-Peers erzeugen
  • Anschließend müssen die Exporteinstellungen () auf beiden UTMs so angepasst werden, dass die Schlüssel im RAW-Format in die Zwischenablage kopiert werden.
Schlüssel UTMbenutzer@firewall.name.fqdnAuthentifizierung UTM v14.0.0 WireGuard BestPractice Schlüssel Exporteinstellungen.pngStandort A & B Schlüssel Exporteinstellungen anpassen
  • Nun muss der öffentliche Schlüssel auf der jeweils anderen UTM importiert werden.
    • Hierzu wird dieser zunächst an Standort A mit der Schaltfläche Öffentlicher Teil (RAW) kopiert
UTM v14.0 WireGuard-KeysA kopieren.png
Standort A Öffentlichen Schlüssel kopieren
  • Anschließend wird dieser dann unter Authentifizierung Schlüssel  Schaltfläche Schlüssel importieren an Standort B eingefügt, dabei müssen die folgenden Einstellungen getroffen werden:
Quelle: DateiZwischenablage
Name: WireGuard-Key-StandortA
Schlüsselwert: Aus der Zwischenabalage…DQ=
Dateityp: X25519
Format: RAW
Typ: public
Schlüssel importieren UTMbenutzer@firewall.name.fqdnAuthentifizierungSchlüssel Upload UTM v14.0.0 WireGuard BestPractice Öffentlichen Schlüssel importieren.pngStandort B Öffentlichen Schlüssel importieren
Dieser Schritt muss dann auf der jeweils anderen UTM umgekehrt ausgeführt werden:
  • An Standort B den öffentlichen Teil des SchlüsselStandort B mit der Schaltfläche Öffentlicher Teil (RAW) kopieren (zu diesem Schlüssel gibt es auch einen privaten Teil)
  • An Standort A dann diesen Schlüssel importieren und mit WireGuard-Key-StandortB benennen


  • Zuletzt sollte überprüft werden, daß
    • die Hashwerte für WireGuard-Key-StandortA an beiden Standorten identisch sind und
    • die Hashwerte für WireGuard-Key-StandortB an beiden Standorten identisch sind
UTM v14.0 WireGuard-KeysA.png
Übersicht der Schlüssel mit deren Hashwerten an Standort A

UTM v14.0 WireGuard-KeysB.png
Übersicht der Schlüssel mit deren Hashwerten an Standort B

Standort A WireGuard Verbindungen erstellen

Standort A WireGuard Verbindungen erstellen

Konfiguration importieren

Schritt 1 Konfiguration importieren
  • Unter VPN WireGuard  Schaltfläche WireGuard Verbindung hinzufügen kann eine neue WireGuard Verbindung erstellt werden
  • Im ersten Schritt können optional vorhandene Peer-Konfiguration eingefügt werden
WireGuard Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNWireGuard UTM v14.0.0 WireGuard BestPractice Verbindung erstellen Schritt 1.pngStandort A Ggf. Konfiguration importieren

Schnittstelle

Schritt 2 Schnittstelle
Beschriftung Wert Beschreibung WireGuard Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNWireGuard UTM v14.0.0 WireGuard BestPractice Verbindung erstellen Schritt 2.pngStandort A Schnittstellenkonfiguration
Name: wg-StandortA Name der Verbindung
IPv4 Adresse: 10.0.1.1/24 IPv4 Adresse für die Netzwerkschnittstelle des Transfernetzes an Standort A

Dadurch wird die Netz-IP des Transfernetzes bestimmt (hier: 10.0.1.0/24)

IPv6 Adresse: fd00:0:0:0::1/64 IPv6 Adresse für die Netzwerkschnittstelle des Transfernetzes an Standort A (optional)

Dadurch wird die Netz-IP des Transfernetzes bestimmt (hier: fd00:0:0:0::0/64)

Listening Port: 51820Link= Default-Port für WireGuard Verbindungen
Jede weitere Verbindung benötigt einen jeweils anderen freien Port
Privater Schlüssel: Aus Schlüsseln wählen Option: Aus Schlüsseln wählen
WireGuard-Key-StandortA Den zuvor angelegten Schlüssel auswählen
Es werden nur solche Schlüssel zur Auswahl angeboten, die auch über einen privaten Schlüsselanteil verfügen
Servernetzwerke global freigeben: »10.1.0.0/16»fd00:a:0:0::/64 Netzwerke auf (lokaler) Serverseite, auf welche die WireGuard-Tunnel der Peers prinzipiell zugreifen können.

Peer

Schritt 3 Peer
Name: wg-PeerB Name des Peers/der Gegenstelle WireGuard Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNWireGuard UTM v14.0.0 WireGuard BestPractice Verbindung erstellen Schritt 3.pngStandort A Peerkonfiguration
Peernetzwerke freigeben: »10.2.0.0/16»fd00:b:0:0::/64 Lokale Netz-IPs der Gegenstelle, die auf den WireGuard-Tunnel zugreifen können.
Endpunkt: b.vpn.anyideas.de Öffentliche IP oder im öffentlichen DNS auflösbarer FQDN der Gegenstelle (Hier: Standort B)
Endpunkt Port: 51820Link= Listening-Port der Gegenstelle (Hier: Standort B)
Öffentlicher Schlüssel: Aus Schlüsseln wählen Den öffentlichen Schlüssel der Gegenverbindung (hier Standort B) auswählen
WireGuard-Key-StandortB
Pre-Shared Key: ●●●●●●●●●●●●●●●●● Pre-Shared Key zur weiteren Absicherung der Verbindung
  • Der PSK muss auf beiden Seiten identisch sein
  • Keepalive: Ein 25Link= Seconds Sendet regelmäßig ein Signal (hier alle 25 Sekunden). Dadurch werden Verbindungen auf NAT-Routern offen gehalten.

    Erweiterte Einstellungen

    Schritt 4 Erweiterte Einstellungen
    Routen zu den Netzwerken des Peers erstellen: Ja Es werden Routen zu den Netzwerken / Hosts erstellt, die in Schritt 3 unter Peernetzwerke freigeben eingetragen wurden, mit der Schnittstelle als Gateway, die in Schritt 2 angezeigt wurde. WireGuard Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNWireGuard UTM v14.0.0 WireGuard BestPractice Verbindung erstellen Schritt 4.pngStandort A Erweiterte Einstellungen
    Zonen erstellen: Ja Erzeugt eine neue Zone für die WireGuard Schnittstelle
    Zonenname: wireguard-wg0 Name für die Zone der WireGuard-Verbindung
    Netzwerkobjekte für den Peer erstellen: Ja Erzeugt Netzwerkobjekte (IPv4 und ggf. IPv6) für die Gegenstelle. Der automatische Vorschlag kann auch geändert werden.
    Netzwerkobjekte für den Peer: »wg-net-wg-PeerB»wg-net6-wg-PeerB
    Netzwerkgruppe: wg0-network Netzwerkgruppe der Verbindung wird angezeigt
    Regeln zwischen dem Peer und internal-Networks erstellen: Ja Erzeugt autogenerierte Regeln, die eine Inbetriebnahme erleichtern.

    Standort B WireGuard Verbindungen erstellen

    Standort B WireGuard Verbindungen erstellen

    Konfiguration importieren

    Schritt 1 Konfiguration importieren
    • Unter VPN WireGuard  Schaltfläche WireGuard Verbindung hinzufügen kann eine neue WireGuard Verbindung erstellt werden
    • Im ersten Schritt können optional vorhandene Peer-Konfiguration eingefügt werden
    WireGuard Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNWireGuard UTM v14.0.0 WireGuard BestPractice Verbindung erstellen Schritt 1.pngStandort B Ggf. Konfiguration importieren

    Schnittstelle

    Schritt 2 Schnittstelle
    Beschriftung Wert Beschreibung WireGuard Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNWireGuard UTM v14.0.0 WireGuard BestPractice Verbindung erstellen Schritt 2B.pngStandort B Schnittstellenkonfiguration
    Name: wg-StandortB Name der Verbindung
    IPv4 Adresse: 10.0.1.2/24 IPv4 Adresse für die Netzwerkschnittstelle des Transfernetzes an Standort A
    Dadurch wird die Netz-IP des Transfernetzes bestimmt (hier: 10.0.1.0/24)
  • Die IP-Adresse muss aus dem gleichen Netz wie an Standort A kommen
  • IPv6 Adresse: fd00:0:0:0::2/64 IPv6 Adresse für die Netzwerkschnittstelle des Transfernetzes an Standort A (optional)

    Dadurch wird die Netz-IP des Transfernetzes bestimmt (hier: fd00:0:0:0::0/64)

    Listening Port: 51820Link= Default-Port für WireGuard Verbindungen
    Jede weitere Verbindung benötigt einen jeweils anderen freien Port
    Privater Schlüssel: Aus Schlüsseln wählen Option: Aus Schlüsseln wählen
    Servernetzwerke global freigeben: »10.2.0.0/16»fd00:b:0:0::0/64 Netzwerke auf (lokaler) Serverseite, auf welche die WireGuard-Tunnel der Peers prinzipiell zugreifen können.

    Peer

    Schritt 3 Peer
    Name: wg-PeerA Name des Peers/der Gegenstelle WireGuard Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNWireGuard UTM v14.0.0 WireGuard BestPractice Verbindung erstellen Schritt 3B.pngStandort B Peerkonfiguration
    Peernetzwerke freigeben: »10.1.0.0/16»fd00:a:0:0::/64 Lokale Netz-IPs der Gegenstelle, die auf den WireGuard-Tunnel zugreifen können.
    Endpunkt: a.vpn.anyideas.de Öffentliche IP oder im öffentlichen DNS auflösbarer FQDN der Gegenstelle (Hier: Standort A)
    Endpunkt Port: 51820Link= Listening-Port der Gegenstelle (Hier: Standort A)
    Öffentlicher Schlüssel: Aus Schlüsseln wählen Den öffentlichen Schlüssel der Gegenverbindung (hier: Standort A) auswählen
    WireGuard-Key-StandortA
    Pre-Shared Key: ●●●●●●●●●●●●●●●●● Pre-Shared Key zur weiteren Absicherung der Verbindung
  • Hier muss der PSK von Standort A eingefügt werden!
  • Keepalive: Ein 25Link= Seconds Sendet regelmäßig ein Signal (hier alle 25 Sekunden). Dadurch werden Verbindungen auf NAT-Routern offen gehalten.

    Erweiterte Einstellungen

    Schritt 4 Erweiterte Einstellungen
    Routen zu den Netzwerken des Peers erstellen: Ja Es werden Routen zu den Netzwerken / Hosts erstellt, die in Schritt 3 unter Peernetzwerke freigeben eingetragen wurden, mit der Schnittstelle als Gateway, die in Schritt 2 angezeigt wurde. WireGuard Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNWireGuard UTM v14.0.0 WireGuard BestPractice Verbindung erstellen Schritt 4B.pngStandort B Erweiterte Einstellungen
    Zonen erstellen: Ja Erzeugt eine neue Zone für die WireGuard Schnittstelle
    Zonenname: wireguard-wg0 Name für die Zone der WireGuard-Verbindung
    Netzwerkobjekte für den Peer erstellen: Ja Erzeugt Netzwerkobjekte (IPv4 und ggf. IPv6) für die Gegenstelle. Der automatische Vorschlag kann auch geändert werden.
    Netzwerkobjekte für den Peer: »wg-net-wg-PeerA»wg-net6-wg-PeerA
    Netzwerkgruppe: wg0-network Netzwerkgruppe der Verbindung wird angezeigt
    Regeln zwischen dem Peer und internal-Networks erstellen: Ja Erzeugt autogenerierte Regeln, die eine Inbetriebnahme erleichtern.
    notempty
    Die autogenerierten Regeln erlauben alle Dienste (Any-Regeln).
    Diese Regeln dienen dazu, die Inbetriebnahme der WireGuard-Tunnel zu erleichtern.

    Zur besseren Absicherung sollten diese individuell angepasst werden und nur Dienste zulassen, die auch wirklich benötigt werden.


    E2S-Peer einrichten

    Peer auf UTM hinzufügen

    Standort A Peer auf UTM hinzufügen
    Unter VPN WireGuard kann mithilfe der Schaltfläche + bei der jeweiligen Verbindung ein Peer hinzugefügt werden.
    Beschriftung Wert Beschreibung WireGuard Peer hinzufügen UTMbenutzer@firewall.name.fqdnVPNWireGuard UTM v14.0.0 WireGuard BestPractice E2S-Peer erstellen.png
    Name: wg-Roadwarrior Name des Peers
    Peernetzwerke freigeben: »10.0.1.201/32»fd00:0:0:0::C9/128 IP aus dem Transfernetz
    Endpunkt:     Öffentliche IP oder im öffentlichen DNS auflösbarer FQDN des Peers (Hier der Roadwarrior). Kann aber auch frei bleiben, wenn von der UTM aus keine Verbindung initiiert werden soll
    Endpunkt Port: 51820Link= Listening Port des Peers (hier der Roadwarrior)
    Öffentlicher Schlüssel: Aus Schlüsseln wählen Den öffentlichen Schlüssel des Peers (Hier der Roadwarrior) auswählen
    WireGuard-Key-Roadwarrior
    Pre-Shared Key: ●●●●●●●●●●●●●●●●● Pre-Shared Key zur weiteren Absicherung der Verbindung
  • Der PSK muss auf beiden Seiten identisch sein
  • Keepalive: Ein 25Link= Seconds Sendet regelmäßig ein Signal (hier alle 25 Sekunden). Dadurch werden Verbindungen auf NAT-Routern offen gehalten.
    Routen zu den Netzwerken des Peers erstellen/entfernen: Nein Erstellt bei Aktivierung Routen zu den Netzwerken des Peers
    Netzwerkobjekte für den Peer erstellen: Ja Erzeugt Netzwerkobjekte (IPv4 und ggf. IPv6) für den Peer. Der automatische Vorschlag kann auch geändert werden.
    Netzwerkobjekte für den Peer: »wg-net-wg-Roadwarrior»wg-net6-wg-Roadwarrior
    Netzwerkgruppe: wg0-networks Netzwerkgruppe der Verbindung wird angezeigt

    Erstellen einer WireGuard Konfigurationsdatei

    WireGuard Client Erstellen einer WireGuard Konfigurationsdatei

    Manuelles erstellen einer Konfigurationsdatei

  • Beispielhafte Konfiguration. Ggf. müssen Anpassungen (MTU, DNS, ListenPort etc. vorgenommen werden)
    In jedem Fall müssen die Werte PrivateKey, PublicKey und PresharedKey angepasst werden.
  • [Interface]
    PrivateKey = qOPTkQMco1TPd....hsFI= PrivateKey des Roadwarriors aus der Schlüsselverwaltung der UTM.
    Wie zu Beginn im Abschnitt Schlüsselerstellung angelegt.

    Zu finden unter Authentifizierung Schlüssel Zeile WireGuard-Key-Roadwarrior mit der Schaltfläche Privater Teil (RAW) in die Zwischenablage kopieren.

    [Interface] PrivateKey = # PrivatKey des RW Address = # Tunnel-IP für den Roadwarrior DNS = # IP_des_DNServers (optional), # Search Domain (optional) MTU = 1420 # (optional) ListenPort = 51820 # (optional)
    [Peer] PublicKey = # PublicKey der UTM PresharedKey = # PresharedKey AllowedIPs = # Lokale Netz-IPs hinter der UTM Endpoint = # IP-Adresse bzw. Hostname der UTM:Port der WG Instanz persistentkeepalive = # (optional)

    Aufbau einer WireGuard-Konfigurationsdatei

    Address = 10.0.1.201/32 Tunnel-IP für den Roadwarrior
    DNS = 10.1.0.33 Optional: Server, über die der Client während einer bestehenden Verbindung Namen auflösen soll. Zusätzlich kann hier eine Search Domain eingetragen werden, damit Rechner anhand ihres Hostnamens ohne Angabe der FQDN gefunden werden können. Einträge werden durch ein Komma und Leerzeichen getrennt.
    Soll die UTM selbst DNS übernehmen, wird eine zusätzliche Regel dafür benötigt!
    MTU = 1420 :Optional Definiert die Größe eines Datenpaketes. Muss zwischen 1300 und 1500 sein. 1420 ist der Default-Wert.
    ListenPort = 51820 Optional: Der Port auf dem Daten den Client erreichen. Wird ungesetzt vom Client dynamisch vergeben. Server- und Clientseitig kann derselbe Port verwendet werden (auch bei mehreren Clients).

    [Peer]
    PublicKey = beN9ikz… …Do=
    PresharedKey = 29… …/Wipaxs= PresharedKey der WireGuard-Verbindung auf der UTM
    Zu finden unter VPN WireGuard Zeile (für das Beispiel oben) wg-Roadwarrior Option Pre-Shared Key (optional):
    Mit der Schaltfläche In die Zwischenablage kopieren.
    AllowedIPs = 10.1.0.0/16 Lokale Netz-IPs hinter der UTM
    Endpoint = a.vpn.anyideas.de:51820 IP-Adresse bzw. Hostname der UTM:Port der WG Instanz
    persistentkeepalive = 25 Keepalive
    Als Datei mir der Endung .conf speichern und auf dem Peer in einen Client importieren (z.B. Securepoint VPN Client)