Lauritzl: Die Seite wurde neu angelegt: „{{Archivhinweis|UTM/VPN/WireGuard}} {{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | WireGuard | }} {{var2 | head | WireGuard Konfiguration im Admin Interface | }} {{var2 | neu--Funktion | Neue Funktion ab v12.2.2 | }} {{var2 | Allgemeines | Allgemeines | }} {{var2 | 1=Allgemeines--desc | 2=Wireguard® ist ein modernes und einfaches VPN Protokoll, das zusät…“

2023-06-27T07:09:31Z

Die Seite wurde neu angelegt: „{{Archivhinweis|UTM/VPN/WireGuard}} {{Set_lang}} <templatestyles src="Vorlage:Styles-Startseiten.css" /> {{#vardefine:headerIcon|spicon-utm}} {{var | display | WireGuard | }} {{var2 | head | WireGuard Konfiguration im Admin Interface | }} {{var2 | neu--Funktion | Neue Funktion ab v12.2.2 | }} {{var2 | Allgemeines | Allgemeines | }} {{var2 | 1=Allgemeines--desc | 2=Wireguard® ist ein modernes und einfaches VPN Protokoll, das zusät…“

Neue Seite

{{Archivhinweis|UTM/VPN/WireGuard}}
{{Set_lang}}

<templatestyles src="Vorlage:Styles-Startseiten.css" />
{{#vardefine:headerIcon|spicon-utm}}

{{var | display
| WireGuard
| }}
{{var2 | head
| WireGuard Konfiguration im Admin Interface
| }}
{{var2 | neu--Funktion
| Neue Funktion ab v12.2.2
| }}
{{var2 | Allgemeines
| Allgemeines
| }}
{{var2 | 1=Allgemeines--desc
| 2=Wireguard® ist ein modernes und einfaches VPN Protokoll, das zusätzlich durch seine Geschwindigkeit überzeugt.
Wireguard verzichtet auf einige aufwendige Verfahren zum Schlüsselaustausch und ist unter Anderem dadurch einfacher zu handhaben als IPSec.
Durch die Integration in den Linux Kernel ist eine performante und Ressourcen schonendere Verarbeitung als bei OpenVPN möglich.
Allerdings hat OpenVPN im Bezug auf das "pushen" von Einstellungen (Routen, DNS, etc.) Vorteile in der Administration von S2E/Roadwarrior-Verbindungen.

Wireguard kann für S2S- und S2E-Verbindungen genutzt werden.
Für S2E-Verbindungen stehen für verschiedenen Betriebssysteme entsprechende Clients durch das Wireguard-Projekt zur

Verfügung:
https://www.wireguard.com/install/
Verbindung

Die Kommunikation erfolgt über einen frei wählbaren UDP Port und nutzt IPv4 und IPv6 zum Transport der Datenpakete.

Das Handling zwischen den beiden Peers ist sehr an OpenSSH angelehnt.
"Peers" müssen zunächächst ihre PublicKeys austauschen und können dann im weiteren "einfach" Daten austauschen.
Dabei zählt der Austausch der PublicKeys explizit nicht zur Spezifikation von WireGuard und muss manuell erfolgen.

Ein PublicKey muss einen Peer eindeutig identifizieren.
Eine mehrfache Verwendung ist nicht praktikabel.

Zum bessern Schutz kann noch zusätzlich ein Preshared Key verwendet werden.

Zum Start der Kommunikation muss ein Handshake zwischen den Peers erfolgen.
Dieser ist deutlich kürzer als zum Beispiel bei IPSec.
Peer A sendet ein Paket und Peer B antwortet auf dieses Paket.
Damit ist der Handshake abgeschlossen und die Peers haben einen synchronen Key jeweils für das Senden und Empfangen.
Der Handshake wird alle 2 Minunten bei einer laufenden Verbindung ausgeführt.

wg show zeigt den Status des Handshake (latest handshake) und Zeitpunkt mit an:

1 root@a:~# wg show
2 interface: wg0
3 public key: beN9ikzlz2l6QPCj7IDbkI+lVeaLXBepkmnrE3XhVDo=
4 private key: (hidden)
5 listening port: 51280
6
7 peer: yyBYvlMU3J7ZFOF/5pafNPLIw6cHBggbuXzq9Nq6+Aw=
8 preshared key: (hidden)
9 endpoint: 88.198.198.46:51820
10 allowed ips: 10.2.0.0/16
11 latest handshake: 49 seconds ago
12 transfer: 4.80 MiB received, 154.58 KiB sent
13 persistent keepalive: every 1 second

Ist der Handshake nicht erfolgreich wird Wireguard keinen Fehler an den Absender schicken.
"Silence is a Virtue" -> Schweigen ist eine Tugend

Die Verschlüsselung ist dabei fest vorgegeben.
Der Wechsel der Cipher ist durch Einstellungen nicht vorgesehen.
Hier zeigt sich auch ein Nachteil: Gilt ein verwendetes Verfahren als nicht mehr sicher müssen alle Peers "zeitgleich" aktualisiert werden.

Die Schnittstelle zwischen dem WireGuard im Kernel und dem OS ist das wg-Interface (z.B.: wg0).
Das Interface präsentiert sich als "normales" Interface und kann über Tools wie iproute2 konfiguriert werden.
Ebenso wird das Interface in den Netzwerkeinstellungen gelistet und bietet ein paar relevante Einstellungen.
Routing

Pakete, die über eine Wireguard Verbindung geroutet werden sollen, müssen über das zugehörige wg-Interface geleitet werden. Innerhalb der WireGuard-Instanz wird über die Definition der AllowedIPs dann ein Peer identifiziert und die Daten verschlüsselt und auf die Reise geschickt.

Andersherum werden eingehende Pakete mit dem entsprechenden Key entschlüsselt und werden anschließend auf die AllowedIPs geprüft. Nicht akzeptable IP-Adressen werden verworfen.

So ist die Verwendung von 0.0.0.0/0 bzw. ::/0 als AllowedIPs zulässig.
Hier kann pro Interface / Instanz nur ein Peer definiert werden.

Details:

# Plaintext Paket kommt vom System durch eine Route am wgX Interfaec an
# Ziel-IP wird überprüft und bei einem Match mit einer AllowedIP einem Peer zugewiesen<br>Ist eine Zuweisung nicht möglich wird das Paket mittels ICMP “no route to host” abgelehnt
# Das Paket wird mit den für den Peer hinterlegten Key verschlüsselt
# Ein Header wird dem eigentlichen Paket vorgesetzt
# Anschließend werden der Header + Paket mittels UDP an die zuletzt gesetzte IP-Adresse und den definierten Port des Peers gesendet. Ist die IP nicht ermittelbar wird das Paket verworfen und eine entsprechende ICMP-Meldung verschickt.
# Paket kommt am Peer an
# Über den Header bestimmt WireGuard den zugehörigen Peer.<br>Wenn der Nachrichten Counter stimmt wird versucht das Daten-Paket zu entschlüsseln.<br>Ist das nicht möglich wird das Paket verworfen.
# Stimmen die Daten wird die Quell-IP als neuer Endpunkt des Peers geprüft und gegebenenfalls gesetzt
# Nachdem das Paket entschlüsselt wurde, wird geprüft ob das Paket ein IP-Paket ist. Ansonsten wird es verworfen.<br>Bei einem gültigen IP-Paket wird anschließend geprüft ob das IP-Paket auf die AllowsIPs passt.<br>Sollte es nicht der Fall sein, wird das Paket verworfen.
# Wird das Paket zu gelassen wir das Paket an das wg-Interface übergeben. Danach übernimmt das Routing im OS.

Peer Roaming
* Die Deklaration der IP/Hostname eines Peers ist nicht zwingend erforderlich
* WireGuard verwendet automatisch die äußere IP eines korrekt authentifizierten Datenpaketes
* Initial muss natürlich eine Seite bekannt sein

NAT

WireGuard kann einen Keepalive schicken. Dadurch werden Verbindungen auf NAT-Routern offen gehalten. Da die Kommunikation nur über einen UDP-Port läuft ist WireGuard gegenüber NAT-Problematiken entsprechend nicht anfällig.
Sonstiges

Webseiten - weitere Informationen

https://www.wireguard.com/
https://www.wireguard.com/papers/wireguard.pdf
https://wiki.archlinux.org/title/WireGuard

http://www.noiseprotocol.org/noise.html#introduction
http://cr.yp.to/ecdh.html
http://cr.yp.to/chacha.html
http://cr.yp.to/mac.html
https://www.blake2.net/
https://github.com/veorq/SipHash/
https://eprint.iacr.org/2010/264

| 3= }}
{{var | Artikel
| Artikel zur Einrichtung
| }}
{{var | Übersicht--desc
| Wireguard® ist ein modernes und einfaches VPN Protokoll, das zusätzlich durch seine Geschwindigkeit überzeugt.
| }}
{{var | Übersicht
| Übersicht
| }}
{{var | Vorteile
| Vorteile
| }}
{{var | 1=Vorteile--desc
| 2=<li class="list--element__bullet">Wireguard verzichtet auf einige aufwendige Verfahren zum Schlüsselaustausch und ist unter Anderem dadurch einfacher zu handhaben als IPSec</li>
<li class="list--element__bullet">Durch die Integration in den Linux Kernel ist eine performante und Ressourcen schonendere Verarbeitung als bei OpenVPN möglich</li>
| 3= }}
{{var | Nachteile
| Nachteile
| }}
{{var | 1=Nachteile--desc
| 2=<li class="list--element__bullet">Einstellungen wie Routen, DNS etc. lassen sich nicht wie bei OpenVPN "pushen" </li>
<li class="list--element__bullet">Die Verwaltung von Roadwarriorn ist dadurch deutlich aufwändiger</li>
| 3= }}
{{var | Gut zu wissen
| Gut zu wissen
| }}
{{var | Gut zu wissen--desc
| Auch die OpenVPN-Integration in der Securepoint UTM ist sehr performant.<br>Der Geschwindigkeitsnachteil von SSL-VPN-Verbindungen gegenüber WireGuard-Verbindungen fällt daher nicht so gravierend aus, wie dieses bei Mitbewerbern zu beobachten ist
| }}
{{var | Verbindung
| Verbindung
| }}
{{var | Verbindung--desc
| Die Kommunikation erfolgt über einen frei wählbaren UDP Port und nutzt IPv4 und IPv6 zum Transport der Datenpakete.
<p>Das Handling zwischen den beiden Peers ist sehr an OpenSSH angelehnt.<br>
"Peers" müssen zunächst ihre PublicKeys austauschen und können dann im weiteren "einfach" Daten austauschen.<br>
Dabei zählt der Austausch der PublicKeys explizit nicht zur Spezifikation von WireGuard und muss manuell erfolgen.</p>
Ein PublicKey muss einen Peer eindeutig identifizieren.<br>
Eine mehrfache Verwendung ist nicht praktikabel.<br>
Zum bessern Schutz kann noch zusätzlich ein Preshared Key verwendet werden.
Der befehl {{code|wg show}} auf einer root-Konsole zeigt die aktiven Verbidnungen
| }}
{{var | Verbindung--Bild
| wg-show.png
| wg-show.png }}
{{var | Verbindung--cap
|
| }}
{{var | NAT
| NAT
| }}
{{var | NAT--desc
| WireGuard kann einen Keepalive schicken.<br>Dadurch werden Verbindungen auf NAT-Routern offen gehalten. <p>Da die Kommunikation nur über einen UDP-Port läuft ist WireGuard gegenüber NAT-Problematiken entsprechend nicht anfällig. </p>
| }}

</div>{{DISPLAYTITLE:WireGuard}}__NOTOC__
<div class="startbox-flex">

<div class="startbox breit" style="height: min-content;"><div class="startbox-head">
''' <big><big>{{Hinweis|!|gr}}</big></big>{{#var:Allgemeines}}'''
</div><div class="startbox-body-breit">

=== {{#var:Übersicht}} ===
{{#var:Übersicht--desc}}

=== {{#var:Vorteile}} ===
{{#var:Vorteile--desc}}<br>

<li class="list--element__alert list--element__hint em2">'''Gut zu wissen'''<br>{{#var:Gut zu wissen--desc}}</li>

=== {{#var:Nachteile}} ===
{{#var:Nachteile--desc}}

<span class="inline-block">
=== {{#var:Verbindung}} ===
{{#var:Verbindung--desc}}{{Bild|{{#var:Verbindung--Bild}} }}

=== {{#var:NAT}} ===
{{#var:NAT--desc}}
</span>
</div></div>

<div class="startbox" style=" max-width: max-content; height: 10em;"><div class="startbox-head">
'''Artikel'''
</div><div class="startbox-body" style="column-count: 1;">
* [[UTM/VPN/WireGuard-S2S | WireGuard Site-to-Site]]
* [[UTM/VPN/WireGuard-S2E | WireGuard Roadwarrior]]
* [[UTM/VPN/WireGuard-Peer | Einzelne Peers hinzufügen]]

</div></div>
</div>

UTM/VPN/WireGuard v12.2 - Versionsgeschichte