UTM/VPN/WireGuard-Peer: Unterschied zwischen den Versionen

Version vom 28. August 2023, 13:56 Uhr

Peer (Roadwarrior) zu einer Wireguard Verbindung hinzufügen

Letzte Anpassung zur Version: 12.5.1

Neu:

Der Port des Endpunktes bei einer Site-to-Site-Verbindung kann manuell angegeben werden

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

12.4 12.2.2

Peer (Gegenstelle) hinzufügen

Existiert bereits eine WireGuard Verbindung, bei der die UTM als Server dient, lässt sich eine weitere Gegenstelle (Peer) hinzufügen, die auf dem selben Port läuft und das selbe Zertifikat zur Authentisierung der Verbindung verwendet, wie eine bereits bestehende Verbindung.

Für weitere Gegenstellen (Peers) wird deren eigener öffentlicher Schlüssel, sowie ein eigener PSK benötigt.

VPN WireGuard Schaltfläche Peer hinzufügen der gewünschten Verbindung

notempty

neu ab v12.4

Der Verbindungsstatus bezieht sich ausschließlich auf den WireGuard Tunnel, nicht auf die tatsächliche Erreichbarkeit der Hosts auf der anderen Seite des Tunnels (Firewallregeln, Netzwerkkonfiguration)!

Status	Beschreibung
	Der Tunnel ist aktiv
	Es kann keine Angabe über den Status gemacht werden, bis ein Datenpaket übertragen oder der Keepalive aktiviert wird. Der Verbindungsstatus von Peers, für die kein Endpunkt definiert ist, wird grundsätzlich nur bei eingehendem Verkehr/Keepalive von seiten des Clients aktualisiert, d.h., dass ein Unbekannt-Status in diesem Fall nicht notwendigerweise eine Fehlkonfiguration, sondern gegebenenfalls lediglich einen inaktiven Client bedeutet.
	Es liegt ein Fehler vor. Die Verbindung kann nicht hergestellt werden.

WireGuard Dashboard

Beschriftung

Wert

Beschreibung

UTM v12.6 VPN Wireguard Peer hinzufügen.png

Als Beispiel wird ein WireGuard Peer einer -Verbindung hinzugefügt.

Name

peer-rw-c

Bezeichnung der Gegenstelle (hier: Ein Roadwarrior)

Erlaubte IPs:

Site-to-Site » ✕10.2.0.0/16 » ✕fd00:b:0:0::/64

Site-to-Site
Lokale Netz IP der Gegenstelle

» ✕10.0.1.201/32» ✕fd00:0:0:0::C9/128

IP aus dem Transfer Netz (» ✕…/32 bzw. » ✕…128)

Ein Roadwarrior verwendet ausschließlich die Tunnel-IP

Endpunkt:

Site-to-Site
c.vpn.anyideas.de

Site-to-Site
Öffentliche IP oder im öffentlichen DNS auflösbarer FQDN mit Listening-Port der Gegenstelle

Kann frei bleiben, wenn von der UTM aus keine Verbindung initiiert werden soll

Endpunkt Port:

Site-to-Site
51820

Default

Site-to-Site
Den Port der übergeordneten Verbindung festgelegen notempty

neu ab v12.5.1

51820

Der Port wird bereits durch die Einstellungen der übergeordneten Verbindung festgelegt und ist hier vorgegeben

Öffentlicher Schlüssel:

Öffentlicher Schlüssel der Gegenstelle im Format x25519.
Es sind nur solche Schlüssel auswählbar, die über keinen privaten Schlüssel verfügen.

Öffentlicher Schlüssel vorhanden, aber nicht auswählbar?

Es lassen sich nur Schlüssel auswählen, für die auf diesem Interface noch keine Verbindung besteht. Der PublicKey muss innerhalb einer Verbindung eindeutig sein, da das Routing eingehender Pakete darüber durchgeführt wird.
Soll für einen Peer der gleiche PublicKey z.B. für ein Fallback verwendet werden, muss dafür eine weitere WireGuard Verbindung angelegt werden.

Site-to-Site
Liegt der öffentliche Schlüssel der Gegenstelle noch nicht vor, kann mit dieser Schaltfläche der Import der Schlüsselverwaltung geöffnet werden.

Liegt der öffentliche Schlüssel des Roadwarriors noch nicht vor, kann mit dieser Schaltfläche der Import der Schlüsselverwaltung geöffnet werden.

Wir empfehlen, das Schlüsselpaar für den Roadwarrior auf der UTM zu erstellen und anschließend sicher zu verwahren.
Vorgehen:

Schaltfläche betätigen. Dies öffnet den Dialog zum Schlüssel hinzufügen.
In Name: aussagekräftigen Namen wählen
Als Typ: das Formt X25519 wählen und Speichern und schließen
Der so erstellte Schlüssel wird eingefügt und ist unter Authentifizierung Schlüssel aufgelistet.

Pre-Shared Key (optional):

…QxJqz22W4/FWipaxs=

Pre-Shared Key zur weiteren Absicherung der Verbindung

Erzeugt einen sehr starken Pre-Shared Key

Der Pre-Shared Key muss an beiden Enden der VPN-Verbindung identisch sein! Er darf nur auf einer Seite generiert werden und muss dann auf der Gegenstelle eingefügt werden.

Keepalive:

Aus Default

Sendet regelmäßig ein Signal. Dadurch werden Verbindungen auf NAT-Routern offen gehalten. Ein Die Aktivierung wird empfohlen.

25

Abstand in Sekunden, in dem ein Signal gesendet wird

Routen zu den Netzwerken des Peers erstellen / entfernen:

Nein Default

Erstellt bei Aktivierung Ja Routen zu den Netzwerken des Peers

CLI-Befehl für jedes Element aus Erlaubte IPs: route new src "" router "wg0" dst "» ✕Erlaubte IP"

Netzwerkobjekte für den Peer erstellen:

Nein Default

Erzeugt bei Aktivierung Ja Netzwerkobjekte (IPv4 und ggf IPv6) für die Gegenstelle

Netzwerkobjekte für den Peer:

» ✕wg-net-peer-rw-c » ✕wg-net6-peer-rw-c

Der automatische Vorschlag (wg-net-Peer-Name) kann auch geändert werden

Netzwerkgruppe:

wg0-networks

Ordnet die neu angelegten Netzwerkobjekte einer Netzwerkgruppe zu

@@ Zeile 6: / Zeile 6: @@
 {{:UTM/VPN/WireGuard-Peer.lang}}
-{{var	| neu--Dashboard
+{{var	| neu--Endpunkt Port Manuell
-		| Überarbeitung des Dashboards:
+		| Der [[#Endpunkt Port | Port des Endpunktes]] bei einer Site-to-Site-Verbindung kann manuell angegeben werden
-** Status Anzeige der Verbindung
+		| The [[#Endpunkt Port | Port of the Endpoint]] for a site-to-site connection can be specified manually }}
-** Anzeige der Benutzer-Peers mit IP-Adressen und Schlüssel
-** Anzeige der Benutzergruppen-Peers inklusive der Benutzergruppen Mitglieder
-		|  }}
-{{var	| neu--Endpunkt Port
-		| Der [[#Endpunkt | Port des Endpunktes]] muss nicht mehr manuell angegeben werden, sondern wird aus der übergeordneten Verbindung ausgelesen
-		|  }}
-<!--
-{{var	| neu--Servernetzwerke
-		| [[#Servernetzwerke | Servernetzwerke]] können freigegeben werden
-		|  }}
--->
 </div>{{select_lang}}
 {{TOC2}}
-{{Header|12.4|
+{{Header|12.5.1|
-* {{#var:neu--Dashboard}}
+* {{#var:neu--Endpunkt Port Manuell}}
-* {{#var:neu--Endpunkt Port}}
+|[[UTM/VPN/WireGuard-Peer_v12.4 | 12.4]]
-* {{#var:neu--Servernetzwerke}}
+[[UTM/VPN/WireGuard-Peer_v12.2.2 | 12.2.2]]
-|[[UTM/VPN/WireGuard-Peer_v12.2.2 | 12.2.2]]
 | {{Menu|VPN|WireGuard}}
 }}
@@ Zeile 39: / Zeile 26: @@
 {{#var:Peer hinzufügen--desc}}
 {{#var:Peer hinzufügen--Menu}}<br>
-<p><li class="list--element__alert list--element__hint">{{Hinweis-neu|{{#var:neu ab}} v12.4|12.4|status=new}}{{#var:Status Tunnel--Hinweis}}</li></p>
+<p><li class="list--element__alert list--element__hint">{{Hinweis-box|{{#var:neu ab}} v12.4|gr|12.4|status=new}}{{#var:Status Tunnel--Hinweis}}</li></p>
 {| class="sptable2 pd5 nonoborder"
@@ Zeile 64: / Zeile 51: @@
 | class="Bild" rowspan="12" | {{Bild |  {{#var:Peer hinzufügen--Bild}}|{{#var:Peer hinzufügen--cap}} }}
 |-
-| {{b|{{#var:Name}} }} || {{ic|peer-rw-c}} || {{#var:Name-PeerC--desc}}
+| {{b|{{#var:Name}} }} || {{ic|peer-rw-c|class=available}} || {{#var:Name-PeerC--desc}}
 |-
 | rowspan="2" | {{b|{{#var:Erlaubte IPs}} }} || <i class="host utm">Site-to-Site</i> {{ic| {{cb|10.2.0.0/16}} {{cb|fd00:b:0:0::/64}}|cb }}  || <i class="host utm">Site-to-Site</i><br>{{#var:Erlaubte IPs--S2S--desc}}
@@ Zeile 71: / Zeile 58: @@
 | <i class="host fas fa-laptop-house">{{#var:Roadwarrior}}</i><br>{{#var:Erlaubte IPs--S2E--desc}}<li class="list--element__alert list--element__hint">{{#var:Erlaubte IPs--S2E--Hinweis}}</li>
 |-
-| rowspan="2" | <span id="Endpunkt"></span>{{b|{{#var:Endpunkt}} }} || <i class="host utm">Site-to-Site</i><br> {{ic| {{#var:Endpunkt--val}} |class=mw12}} {{Hinweis-neu||12.4|status=update}} || <i class="host utm">Site-to-Site</i><br>{{#var:Endpunkt--desc}}
+| rowspan="2" | <span id="Endpunkt"></span>{{b|{{#var:Endpunkt}} }} || <i class="host utm">Site-to-Site</i><br> {{ic| {{#var:Endpunkt--val}} |class=mw12}} {{Hinweis-box||gr|12.4|status=update}} || <i class="host utm">Site-to-Site</i><br>{{#var:Endpunkt--desc}}
 |-
 | <i class="host fas fa-laptop-house">{{#var:Roadwarrior}}</i><br>{{ic| |class=mw12}}
 | <i class="host fas fa-laptop-house">{{#var:Roadwarrior}}</i><br>{{#var:Endpunkt RW--desc}}
 |-
-| {{b|{{#var:Endpunkt Port}} }} {{Hinweis-neu||12.4|status=update}} || {{ic|51820|class=disabled mw12}} || {{#var:Endpunkt Port aus Verbindung--desc}} {{Hinweis-neu|{{#var:neu ab}} v12.4|12.4|status=neu}}
+| rowspan="2"| <span id="Endpunkt Port"></span>{{b|{{#var:Endpunkt Port}} }} {{Hinweis-box||gr|12.5.1|status=update}} || <i class="host utm">Site-to-Site</i><br>{{ic|51820|c|class=mw12}}<br><small>'''Default'''</small>  || <i class="host utm">Site-to-Site</i><br>{{#var:Endpunkt Port--desc}} {{Hinweis-box|{{#var:neu ab}} v12.5.1|gr|12.5.1|status=neu}}
+|-
+| <i class="host fas fa-laptop-house">{{#var:Roadwarrior}}</i><br>{{ic|51820|class=disabled mw12}}
+| <i class="host fas fa-laptop-house">{{#var:Roadwarrior}}</i><br>{{#var:Endpunkt Port aus Verbindung--desc}}
 |-
 | rowspan="3" | {{b|{{#var:Öffentlicher Schlüssel}} }} || {{Button|x25519_c_rw.vpn|dr|class=available}} || {{#var:Öffentlicher Schlüssel C--desc}}<li class="list--element__alert list--element__hint">{{#var:Öffentlicher Schlüssel vorhanden}}? {{Einblenden|{{#var:Hinweis anzeigen}}|{{#var:hide}}|true|dezent}}{{#var:Öffentlicher Schlüssel vorhanden--desc}}
@@ Zeile 95: / Zeile 85: @@
 <!--
 |-
-| <span id="Servernetzwerke"></span>{{b|{{#var:Servernetzwerke freigeben}} }} {{Hinweis-neu|{{#var:neu ab}} v12.4|12.4|status=neu}} || {{ic| {{cb|10.0.1.0/24|}} | cb }} || {{#var:Servernetzwerke freigeben--desc}}{{Hinweis-neu|! {{#var:Portfilter--Hinweis}} |g}}
+| <span id="Servernetzwerke"></span>{{b|{{#var:Servernetzwerke freigeben}} }} {{Hinweis-box|{{#var:neu ab}} v12.4|gr|12.4|status=neu}} || {{ic| {{cb|10.0.1.0/24|}} | cb }} || {{#var:Servernetzwerke freigeben--desc}}{{Hinweis-neu|! {{#var:Portfilter--Hinweis}} |g}}
 -->
 |-