WireGuard Schnelleinrichtung

Schnelleinrichtung von WireGuard auf der UTM

Neuer Artikel: 11.2024

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

-

Vorbemerkung

Dieser Artikel soll einen möglichst einfachen, kurzen und praxisnahen Weg zur Erstellung einer WireGuard-Verbindung beschreiben, wobei es unerheblich ist, ob es sich bei den Gegenstellen um S2S (Site-to-Site)- oder E2S (End-to-Site / Roadwarrior) Peers handelt.

In diesem Beispiel soll zwischen zwei UTMs (im weiteren Standort A und Standort B genannt) eine S2S-Verbindung erstellt werden. Zusätzlich soll sich auf Standort A noch ein Gerät aus dem Homeoffice verbinden (im weiteren Roadwarrior genannt)

Außerdem wird im folgenden mit dieser Beispielkonfiguration gearbeitet:

	Standort A	Standort B	Roadwarrior	Transfernetz
FQDN	a.vpn.anyideas.de	b.vpn.anyideas.de	–	–
Lokales Netz IPv4	10.1.0.0/16	10.2.0.0/16	–	10.0.1.0/24
Lokale Tunnel IPv4	10.0.1.1/24	10.0.1.2/24	10.0.1.201/24	–
Lokales Netz IPv6	fd00:a:0:0::0/64	fd00:b:0:0::0/64	–	fd00:0:0:0::0/64
Lokale Tunnel IPv6	fd00:0:0:0::1/64	fd00:0:0:0::2/64	fa00:0:0:0::C9/64	–

notempty

Das gezeigte Vorgehen stellt oft eine gute Lösung dar, ist aber nicht für alle denkbaren Konstellationen geeignet!

Schlüsselerstellung

Grundsätzlich benötigt jeder Peer einen eigenen zweiteiligen Schlüssel im Format X25519, der aus einem Public- und einem Private Key besteht.

Diese können auf der UTM unter Authentifizierung Schlüssel erzeugt werden.

Für S2S-Verbindungen wird der Schlüssel auf der jeweiligen UTM erzeugt. Bei E2S-Verbindugnen wird der Schlüssel mit der Gateway-UTM erzeugt.

Zunächst werden bei beiden Standorten die Schlüssel mit dem Typ: X25519 erzeugt

UTM v14.0.0 WireGuard BestPractice Schlüssel erzeugen Standort A.png

Standort A Schlüssel erzeugen

UTM v14.0.0 WireGuard BestPractice Schlüssel erzeugen Standort B.png

Standort B Schlüssel erzeugen

Außerdem wird in Standort A der Schlüssel für den E2S-Peer (Roadwarrior) erstellt, auch vom Typ: X25519

Standort A Schlüssel des E2S-Peers erzeugen

Anschließend müssen die Exporteinstellungen () auf beiden UTMs so angepasst werden, dass die Schlüssel im RAW-Format in die Zwischenablage kopiert werden.

UTM v14.0.0 WireGuard BestPractice Schlüssel Exporteinstellungen.png

Standort A & B Schlüssel Exporteinstellungen anpassen

Nun muss der öffentliche Schlüssel auf der jeweils anderen UTM importiert werden.
- Hierzu wird dieser zunächst an Standort A mit der Schaltfläche Öffentlicher Teil (RAW) kopiert

Standort A Öffentlichen Schlüssel kopieren

Quelle:	DateiZwischenablage
Name:	WireGuard-Key-StandortA
Schlüsselwert:	Aus der Zwischenabalage…DQ=
Dateityp:	X25519
Format:	RAW
Typ:	public

UTM v14.0.0 WireGuard BestPractice Öffentlichen Schlüssel importieren.png

Standort B Öffentlichen Schlüssel importieren

Dieser Schritt muss dann auf der jeweils anderen UTM umgekehrt ausgeführt werden:

An Standort B den öffentlichen Teil des SchlüsselStandort B mit der Schaltfläche Öffentlicher Teil (RAW) kopieren (zu diesem Schlüssel gibt es auch einen privaten Teil)
An Standort A dann diesen Schlüssel importieren und mit WireGuard-Key-StandortB benennen

Zuletzt sollte überprüft werden, dass
- die Hashwerte für WireGuard-Key-StandortA an beiden Standorten identisch sind und
- die Hashwerte für WireGuard-Key-StandortB an beiden Standorten identisch sind

Übersicht der Schlüssel mit deren Hashwerten an Standort A

Übersicht der Schlüssel mit deren Hashwerten an Standort B

Standort A WireGuard Verbindungen erstellen

Konfiguration importieren Schritt 1 Konfiguration importieren
Unter VPN WireGuard Schaltfläche WireGuard Verbindung hinzufügen kann eine neue WireGuard Verbindung erstellt werden Im ersten Schritt können optional vorhandene Peer-Konfiguration eingefügt werden.			WireGuard Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNWireGuard Standort A Ggf. Konfiguration importieren
Schnittstelle Schritt 2 Schnittstelle
Beschriftung	Wert	Beschreibung	WireGuard Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNWireGuard Standort A Schnittstellenkonfiguration
Name:	wg-StandortA	Name der Verbindung
IPv4 Adresse:	10.0.1.1/24	IPv4 Adresse für die Netzwerkschnittstelle des Transfernetzes an Standort A Dadurch wird die Netz-IP des Transfernetzes bestimmt (hier: 10.0.1.0/24)
IPv6 Adresse:	fd00:0:0:0::1/64	IPv6 Adresse für die Netzwerkschnittstelle des Transfernetzes an Standort A (optional) Dadurch wird die Netz-IP des Transfernetzes bestimmt (hier: fd00:0:0:0::0/64)
Listening Port:	51820	Default-Port für WireGuard Verbindungen Jede weitere Verbindung benötigt einen jeweils anderen freien Port
Privater Schlüssel:	Aus Schlüsseln wählen	Option: Aus Schlüsseln wählen
Privater Schlüssel:	WireGuard-Key-StandortA	Den zuvor angelegten Schlüssel auswählen Es werden nur solche Schlüssel zur Auswahl angeboten, die auch über einen privaten Schlüsselanteil verfügen
Servernetzwerke global freigeben:	»10.1.0.0/16»fd00:a:0:0::/64	Netzwerke auf (lokaler) Serverseite, auf welche die WireGuard-Tunnel der Peers prinzipiell zugreifen können.

Peer Schritt 3 Peer
Name:	wg-PeerB	Name des Peers/der Gegenstelle	WireGuard Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNWireGuard Standort A Peerkonfiguration
Peernetzwerke freigeben:	»10.2.0.0/16»fd00:b:0:0::/64	Lokale Netz-IPs der Gegenstelle, die auf den WireGuard-Tunnel zugreifen können.
Endpunkt:	b.vpn.anyideas.de	Öffentliche IP oder im öffentlichen DNS auflösbarer FQDN der Gegenstelle (Hier: Standort B)
Endpunkt Port:	51820	Listening-Port der Gegenstelle (Hier: Standort B)
Öffentlicher Schlüssel:	Aus Schlüsseln wählen	Den öffentlichen Schlüssel der Gegenverbindung (hier Standort B) auswählen
Öffentlicher Schlüssel:	WireGuard-Key-StandortB
Pre-Shared Key:	●●●●●●●●●●●●●●●●●	Pre-Shared Key zur weiteren Absicherung der Verbindung Der PSK muss auf beiden Seiten identisch sein
Keepalive:	Ein 25 Seconds	Sendet regelmäßig ein Signal (hier alle 25 Sekunden). Dadurch werden Verbindungen auf NAT-Routern offen gehalten.

Erweiterte Einstellungen Schritt 4 Erweiterte Einstellungen
Routen zu den Netzwerken des Peers erstellen:	Ja	Es werden Routen zu den Netzwerken / Hosts erstellt, die in Schritt 3 unter Peernetzwerke freigeben eingetragen wurden, mit der Schnittstelle als Gateway, die in Schritt 2 angezeigt wurde.	WireGuard Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNWireGuard Standort A Erweiterte Einstellungen
Zonen erstellen:	Ja	Erzeugt eine neue Zone für die WireGuard Schnittstelle
Zonenname:	wireguard-wg0	Name für die Zone der WireGuard-Verbindung
Netzwerkobjekte für den Peer erstellen:	Ja	Erzeugt Netzwerkobjekte (IPv4 und ggf. IPv6) für die Gegenstelle. Der automatische Vorschlag kann auch geändert werden.
Netzwerkobjekte für den Peer:	»wg-net-wg-PeerB»wg-net6-wg-PeerB
Netzwerkgruppe:	wg0-network	Netzwerkgruppe der Verbindung wird angezeigt
Regeln zwischen dem Peer und internal-Networks erstellen:	Ja	Erzeugt autogenerierte Regeln, die die Inbetriebnahme erleichtern.

Standort B WireGuard Verbindungen erstellen

Konfiguration importieren Schritt 1 Konfiguration importieren
Unter VPN WireGuard Schaltfläche WireGuard Verbindung hinzufügen kann eine neue WireGuard Verbindung erstellt werden Im ersten Schritt können optional vorhandene Peer-Konfiguration eingefügt werden.			WireGuard Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNWireGuard Standort B Ggf. Konfiguration importieren
Schnittstelle Schritt 2 Schnittstelle
Beschriftung	Wert	Beschreibung	WireGuard Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNWireGuard Standort B Schnittstellenkonfiguration
Name:	wg-StandortB	Name der Verbindung
IPv4 Adresse:	10.0.1.2/24	IPv4 Adresse für die Netzwerkschnittstelle des Transfernetzes an Standort A Dadurch wird die Netz-IP des Transfernetzes bestimmt (hier: 10.0.1.0/24) Die IP-Adresse muss aus dem gleichen Netz wie an Standort A kommen
IPv6 Adresse:	fd00:0:0:0::2/64	IPv6 Adresse für die Netzwerkschnittstelle des Transfernetzes an Standort A (optional) Dadurch wird die Netz-IP des Transfernetzes bestimmt (hier: fd00:0:0:0::0/64)
Listening Port:	51820	Default-Port für WireGuard Verbindungen Jede weitere Verbindung benötigt einen jeweils anderen freien Port
Privater Schlüssel:	Aus Schlüsseln wählen	Option: Aus Schlüsseln wählen
Servernetzwerke global freigeben:	»10.2.0.0/16»fd00:b:0:0::0/64	Netzwerke auf (lokaler) Serverseite, auf welche die WireGuard-Tunnel der Peers prinzipiell zugreifen können.

Peer Schritt 3 Peer
Name:	wg-PeerA	Name des Peers/der Gegenstelle	WireGuard Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNWireGuard Standort B Peerkonfiguration
Peernetzwerke freigeben:	»10.1.0.0/16»fd00:a:0:0::/64	Lokale Netz-IPs der Gegenstelle, die auf den WireGuard-Tunnel zugreifen können.
Endpunkt:	a.vpn.anyideas.de	Öffentliche IP oder im öffentlichen DNS auflösbarer FQDN der Gegenstelle (Hier: Standort A)
Endpunkt Port:	51820	Listening-Port der Gegenstelle (Hier: Standort A)
Öffentlicher Schlüssel:	Aus Schlüsseln wählen	Den öffentlichen Schlüssel der Gegenverbindung (hier Standort A) auswählen
Öffentlicher Schlüssel:	WireGuard-Key-StandortA
Pre-Shared Key:	●●●●●●●●●●●●●●●●●	Pre-Shared Key zur weiteren Absicherung der Verbindung Hier muss der PSK von Standort A eingefügt werden!
Keepalive:	Ein 25 Seconds	Sendet regelmäßig ein Signal (hier alle 25 Sekunden). Dadurch werden Verbindungen auf NAT-Routern offen gehalten.

Erweiterte Einstellungen Schritt 4 Erweiterte Einstellungen
Routen zu den Netzwerken des Peers erstellen:	Ja	Es werden Routen zu den Netzwerken / Hosts erstellt, die in Schritt 3 unter Peernetzwerke freigeben eingetragen wurden, mit der Schnittstelle als Gateway, die in Schritt 2 angezeigt wurde.	WireGuard Verbindung hinzufügen UTMbenutzer@firewall.name.fqdnVPNWireGuard Standort B Erweiterte Einstellungen
Zonen erstellen:	Ja	Erzeugt eine neue Zone für die WireGuard Schnittstelle
Zonenname:	wireguard-wg0	Name für die Zone der WireGuard-Verbindung
Netzwerkobjekte für den Peer erstellen:	Ja	Erzeugt Netzwerkobjekte (IPv4 und ggf. IPv6) für die Gegenstelle. Der automatische Vorschlag kann auch geändert werden.
Netzwerkobjekte für den Peer:	»wg-net-wg-PeerA»wg-net6-wg-PeerA
Netzwerkgruppe:	wg0-network	Netzwerkgruppe der Verbindung wird angezeigt
Regeln zwischen dem Peer und internal-Networks erstellen:	Ja	Erzeugt autogenerierte Regeln, die die Inbetriebnahme erleichtern.
notempty Die autogenerierten Regeln erlauben alle Dienste (Any-Regeln). Diese Regeln dienen dazu, die Inbetriebnahme der WireGuard-Tunnel zu erleichtern. Zur besseren Absicherung sollten diese individuell angepasst werden und nur Dienste zulassen, die auch wirklich benötigt werden.

E2S-Peer einrichten

Peer auf UTM hinzufügen

Standort A Peer auf UTM hinzufügen

Unter VPN WireGuard kann mithilfe der Schaltfläche + bei der jeweiligen Verbindung ein Peer hinzugefügt werden.
Beschriftung	Wert	Beschreibung	WireGuard Peer hinzufügen UTMbenutzer@firewall.name.fqdnVPNWireGuard
Name:	wg-Roadwarrior	Name des Peers
Peernetzwerke freigeben:	»10.0.1.201/32»fd00:0:0:0::C9/128	IP aus dem Transfernetz
Endpunkt:		Öffentliche IP oder im öffentlichen DNS auflösbarer FQDN des Peers (Hier der Roadwarrior). Kann aber auch frei bleiben, wenn von der UTM aus keine Verbindung initiiert werden soll
Endpunkt Port:	51820	Listening Port des Peers (hier der Roadwarrior)
Öffentlicher Schlüssel:	Aus Schlüsseln wählen	Den öffentlichen Schlüssel des Peers (Hier der Roadwarrior) auswählen
Öffentlicher Schlüssel:	WireGuard-Key-Roadwarrior
Pre-Shared Key:	●●●●●●●●●●●●●●●●●	Pre-Shared Key zur weiteren Absicherung der Verbindung Der PSK muss auf beiden Seiten identisch sein
Keepalive:	Ein 25 Seconds	Sendet regelmäßig ein Signal (hier alle 25 Sekunden). Dadurch werden Verbindungen auf NAT-Routern offen gehalten.

Routen zu den Netzwerken des Peers erstellen/entfernen:	Nein	Erstellt bei Aktivierung Routen zu den Netzwerken des Peers

Netzwerkobjekte für den Peer erstellen:	Ja	Erzeugt Netzwerkobjekte (IPv4 und ggf. IPv6) für den Peer. Der automatische Vorschlag kann auch geändert werden.
Netzwerkobjekte für den Peer:	»wg-net-wg-Roadwarrior»wg-net6-wg-Roadwarrior
Netzwerkgruppe:	wg0-networks	Netzwerkgruppe der Verbindung wird angezeigt

Erstellen einer WireGuard Konfigurationsdatei WireGuard Client Erstellen einer WireGuard Konfigurationsdatei Manuelles erstellen eine Konfigurationsdatei Beispielhafte Konfiguration. Ggf. müssen Anpassungen (MTU, DNS, ListenPort etc. vorgenommen werden) In jedem Fall müssen die Werte PrivateKey, PublicKey und PresharedKey angepasst werden.
[Interface]
PrivateKey =	qOPTkQMco1TPd....hsFI=	Private Key des Roadwarriors aus der Schlüsselverwaltung der UTM. Wie zu Beginn im Abschnitt Schlüsselerstellung angelegt. Zu finden unter Authentifizierung Schlüssel Zeile WireGuard-Key-Roadwarrior mit der Schaltfläche Privater Teil (RAW) in die Zwischenablage kopieren.	[Interface] PrivateKey = # PrivatKey des RW Address = # Tunnel-IP für den Roadwarrior DNS = # IP_des_DNServers (optional), # Search Domain (optional) MTU = 1420 # (optional) ListenPort = 51820 # (optional) [Peer] PublicKey = # PublicKey der UTM PresharedKey = # PresharedKey AllowedIPs = # Lokale Netz-IPs hinter der UTM Endpoint = # IP-Adresse bzw. Hostname der UTM:Port der WG Instanz persistentkeepalive = # (optional) Aufbau einer WireGuard-Konfigurationsdatei
Address =	10.0.1.201/32	Tunnel-IP für den Roadwarrior
DNS =	10.1.0.33	Optional: Server, über die der Client während einer bestehenden Verbindung Namen auflösen soll. Zusätzlich kann hier eine Search Domain eingetragen werden, damit Rechner anhand ihres Hostnamens ohne Angabe der FQDN gefunden werden können. Einträge werden durch ein Komma und Leerzeichen getrennt. Soll die UTM selbst DNS übernehmen, wir eine zusätzliche Regel dafür benötigt!
MTU =	1420	:Optional Definiert die Größe eines Datenpaketes. Muss zwischen 1300 und 1500 sein. 1420 ist der Default-Wert.
ListenPort =	51820	Optional: Der Port auf dem Daten den Client erreichen. Wird ungesetzt vom Client dynamisch vergeben. Server- und Clientseitig kann derselbe Port verwendet werden (auch bei mehreren Clients).
[Peer]
PublicKey =	beN9ikz… …Do=	PublicKey der WireGuard-Verbindung auf der UTM. Zu finden unter Authentifizierung Schlüssel Zeile (für das Beispiel oben) WireGuard-Key-StandortA mit der Schaltfläche Öffentlicher Teil (RAW) in die Zwischenablage kopieren.
PresharedKey =	29… …/Wipaxs=	PresharedKey der WireGuard-Verbindung auf der UTM Zu finden unter VPN WireGuard Zeile (für das Beispiel oben) wg-Roadwarrior Option Pre-Shared Key (optional): Mit der Schaltfläche In die Zwischenablage kopieren.
AllowedIPs =	10.1.0.0/16	Lokale Netz-IPs hinter der UTM
Endpoint =	a.vpn.anyideas.de:51820	IP-Adresse bzw. Hostname der UTM:Port der WG Instanz
persistentkeepalive =	25	Keepalive
Als Datei mir der Endung .conf speichern und auf dem Peer in einen Client importieren (z.B. Securepoint VPN Client)

WireGuard Schnelleinrichtung

Inhaltsverzeichnis

Vorbemerkung

Schlüsselerstellung

Standort A WireGuard Verbindungen erstellen

Konfiguration importieren

Schnittstelle

Peer

Erweiterte Einstellungen

Standort B WireGuard Verbindungen erstellen