Wechseln zu:Navigation, Suche
Wiki

UTM/VPN/WireGuard-Peer v12.2.2: Unterschied zwischen den Versionen

Aus Securepoint Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Archivhinweis|UTM/VPN/WireGuard-Peer}}
{{Set_lang}}
{{Set_lang}}


{{#vardefine:headerIcon|spicon-utm}}
{{#vardefine:headerIcon|spicon-utm}}
{{:UTM/VPN/WireGuard-Konfig.lang}}  
 
{{:UTM/VPN/WireGuard-S2E.lang}}
 
{{:UTM/VPN/WireGuard-Peer.lang}}
{{var | Neue Funktion
| Neue Funktion {{Hinweis-neu| aktualisiert|12.3|status=update}}
| New function {{Hinweis-neu| actualised|12.3|status=update}} }}
{{var | Konfig--Menu
| Konfiguration unter {{Menu|VPN|WireGuard}}
| Configuration under {{Menu|VPN|WireGuard}} }}
{{var | WireGuard Verbindung
| Erstellen einer WireGuard Verbindung
| Creating a WireGuard Connection }}
{{var | WireGuard Verbindung--Bild
| UTM v12.2.2 VPN WireGuard Verbindung.png
| UTM v12.2.2 VPN WireGuard Verbindung-en.png }}
{{var | WireGuard Verbindung--cap
|
|  }}
{{var | Voraussetzungen
| Voraussetzungen
| Requirements }}
{{var | Voraussetzungen--desc
|
* Schlüssel vom Typ x25519 auf beiden Seiten der WireGuard-Verbindung
* Öffentlicher x25519 Schlüssel der jeweiligen Gegenstelle liegt vor
|
* Key type x25519 on both sides of the WireGuard connection
* Public x25519 key of the respective remote terminal is available }}
{{var | Anlegen eines x25519-Schlüsselpaares zeigen
| Anlegen eines x25519-Schlüsselpaares zeigen
| Show creating an x25519 key pair }}
{{var | 1=Schlüsselverwaltung--Menu
| 2=Schlüsselverwaltung öffnen unter {{Menu|Authentifizierung|Schlüssel||Schlüssel hinzufügen|+|mit=und}} den Dialog öffnen
| 3=Open key management under {{Menu|Authentication|Key||Add key|+|mit=and}} }}
{{var | Schlüsselverwaltung--Menu--Bild
| UTM v12.2.3 Schlüssel.png
| UTM v12.2.3 Schlüssel-en.png }}
{{var | Schlüsselverwaltung--Menu--cap
| Schlüsselverwaltung
| Key management }}
{{var | Schlüssel hinzufügen--desc
| Eindeutigen Namen vergeben und als Typ {{Button|X25519|dr}} wählen<p>Dialog mit der Schaltfläche {{Button|Speichern}} schließen</p>
| Assign a unique name and select {{Button|X25519|dr}} as type<p>Close dialog with {{Button|Save}} button</p> }}
{{var | Schlüssel hinzufügen--Bild
| UTM v12.2.2 Schlüssel x25519-hinzufügen.png
| UTM v12.2.2 Schlüssel x25519-hinzufügen-en.png }}
{{var | WireGuard Verbindung erstellen
| WireGuard Verbindung erstellen
| Create WireGuard connection }}
{{var | WireGuard Verbindung erstellen--desc
|* Eine WireGuard Verbindung stellt den Zugang für ggf. mehrere Peers zur Verfügung
* Jede Verbindung wird mit einem eigenen Schlüsselpaar gesichert
* Alle Peers einer Verbindung verwenden dessen öffentlichen Schlüssel
* Jeder Peer benötigt ein eigenes Schlüsselpaar, um sich zu authentifizieren<br>Zusätzlich sollte jeder Peer mit einem starken PSK abgesichert werden
|* A WireGuard connection provides access for multiple peers if necessary
* Each connection is secured with its own key pair
* All peers of a connection use its public key
* Each peer needs its own key pair for authentication<br>In addition, each peer should be secured with a strong PSK. }}
{{var | Beispielkonfiguration
| Beispielkonfiguration WireGuard Verbindung
| Example configuration of WireGuard connection }}
{{var | Beispielkonfiguration--desc
| Gegeben sei folgende Konfiguration:
  | Given may the following configuration: }}
{{var | TransferNetz
| Transfer Netz
| Transfer net }}
{{var | Netz IPv6
| Lokales Netz IPv6
| Local network IPv6 }}
{{var | Lokale Tunnel IPv4
| Lokale Tunnel IPv4
| Local tunnel IPv4 }}
{{var | Lokale Tunnel IPv6
| Lokale Tunnel IPv6
| Local tunnel IPv6 }}
{{var | Netz IPv4
| Lokales Netz IPv4
| Local network IPv4 }}
{{var |
|
|  }}
{{var | Assistenten starten--desc
| Assistenten starten mit der Schaltfläche {{Button|WireGuard Verbindung hinzufügen|+}}
| Start assistant with the button {{Button|Add WireGuard Connection|+}} }}
{{var | Assistenten starten
| WireGuard Verbindungs-Assistent
| WireGuard connection assistant }}
{{var | Schritt1
| Schritt 1 - Schnittstelle
| Step 1 - Interface}}
{{var | Schritt1--Bild
| UTM v12.2.3 VPN Wireguard Step1.png
| UTM v12.2.3 VPN Wireguard Step1-en.png }}
{{var | Schritt1--cap
| WireGuard Assistent - Schritt 1
| WireGuard assistant - Step 1 }}
{{var | Name
| Name:
| Name: }}
{{var | Name-Schritt1--val
| wg_server
| wg_server }}
{{var | Name-Schritt1--desc
| Eindeutiger Name für die Verbindung
| Unique name for the connection }}
{{var | IPv4 Adresse
| IPv4 Adresse:
| IPv4 address: }}
{{var | IPv4 Adresse--Standort A--desc
| IPv4 Adresse für die Netzwerkschnittstelle des Transfernetzes an Standort A<br>Dadurch wird die Netz-IP des Transfernetzes bestimmt (hier: 10.0.1.1/24)
| IPv4 address for the network interface of the transfer network at location A<br>This determines the network IP of the transfer net (here: 10.0.1.1/24) }}
{{var | IPv6 Adresse
| IPv6 Adresse:
| IPv6 address: }}
{{var | IPv6 Adresse--Standort A--desc
| IPv6 Adresse für die Netzwerkschnittstelle des Transfernetzes an Standort A (optional)<br>Dadurch wird die Netz-IP des Transfernetzes bestimmt (hier: fd00:0:0:0::1/64)
| IPv6 address for the network interface of the transfer network at location A (optional)<br>This determines the network IP of the transfer net (here: fd00:0:0:0::1/64) }}
{{var | Listening Port
| Listening Port:
| Listening Port: }}
{{var | Listening Port--desc
| Default-Port für WireGuard Verbindungen
| Default-Port for WireGuard connections }}
{{var | Privater Schlüssel
| Privater Schlüssel:
| Private key: }}
{{var | Privater Schlüssel--desc
| Privater Schlüssel im Format x25519.<br>Es sind nur solche Schlüssel auswählbar, die auch über einen privaten Schlüsselteil verfügen.
| Private key in x25519 format.<br>Only those keys that also have a private key part can be selected.  }}
{{var | Privater Schlüssel--Hinweis
| Liegt noch kein lokaler Schlüssel im x25519-Format vor, kann mit dieser Schaltfläche ein solcher erzeugt werden.
| If there is no local key in x25519 format yet, this button can be used to generate one. }}
{{var | Schritt2
| Schritt2 - Peer
| Step 2 - Peer }}
{{var | Schritt2--cap
| WireGuard Assistent - Schritt 2
| WireGuard assistant - Step 2 }}
{{var | Schritt2--Name--desc
| Bezeichnung der Gegenstelle
| Description of remote terminal }}
{{var | Erlaubte IPs
| Erlaubte IPs:
| Allowed IPs: }}
{{var | Endpunkt
| Endpunkt:
| Endpoint: }}
{{var | Öffentlicher Schlüssel
| Öffentlicher Schlüssel:
| Public key: }}
{{var | Pre-Shared Key
| Pre-Shared Key:
| Pre-Shared Key: }}
{{var | Pre-Shared Key--desc
| Pre-Shared Key zur weiteren Absicherung der Verbindung (optional)
| Pre-shared key for further securing the connection (optional) }}
{{var | Pre-Shared Key--renew
| Erzeugt einen sehr starken Pre-Shared Key
| Generates a very strong pre-shared key }}
{{var | Pre-Shared Key--Hinweis
| Der Pre-Shared Key muss an beiden Enden der VPN-Verbindung identisch sein!
| The pre-shared key must be identical at both ends of the VPN connection! }}
{{var | Schlüssel kopieren--desc
| Kopiert den PSK in die Zwischenablage
| Copies the PSK to the clipboard }}
{{var | Keepalive
| Keepalive:
| Keepalive: }}
{{var | Keepalive--desc
| Sendet regelmäßig ein Signal. Dadurch werden Verbindungen auf NAT-Routern offen gehalten. {{ButtonAn|Ein}} Die Aktivierung wird empfohlen.
| Regularly sends a signal. This keeps connections open on NAT routers. {{ButtonAn|On}} Activation is recommended.}}
{{var | Schritt3
| Schritt 3 - Allgemein
| Step 3 - General }}
{{var | Schritt3--cap
| WireGuard Assistent - Schritt 3
| WireGuard assistant - Step 3 }}
{{var | Neue Zone hinzufügen
| Zonen erstellen:
| Generate zones: }}
{{var | Neue Zone hinzufügen--desc
| Erzeugt eine neue Zone für die WireGuard Schnittstelle
| Generates a new zone for the WireGuard port }}
{{var | Netzwerkobjekte generieren
| Netzwerkobjekte für den Peer erstellen:
| Generate network objects for peer: }}
{{var | Netzwerkobjekte generieren--desc
| Erzeugt bei Aktivierung {{ButtonAn|Ja}} Netzwerkobjekte (IPv4 und ggf. IPv6) für die Gegenstelle. Der automatische Vorschlag kann auch geändert werden.
| Creates {{ButtonAn|Yes}} button when enabled for network objects (IPv4 and if necessary IPv6) of the remote terminal. Automatic suggestion can also be changed.}}
{{var | Regeln generieren
| Regeln zwischen dem Peer und internal-networks erstellen:
| Generate rules between peer and internal-networks: }}
{{var | Regeln generieren--desc
| Erzeugt bei Aktivierung {{buttonAn|{{#var:ja}} }} autogenerierte Regeln, die die Inbetriebnahme erleichtern.
| Generates autogenerated rules that facilitate implementation. }}
{{var | Regeln generieren--Hinweis
| Diese Regeln müssen unbedingt durch eigene Regeln, die nur notwendige Dienste mit notwendigen Netzwerkobjekten erlauben, ersetzt werden.
| It is essential to replace these rules with your own rules that allow only necessary services with necessary network objects. }}
{{var | Konfiguration an Standort B
| Konfiguration an Standort B
| Configuration at location B }}
{{var | Standort B
| Standort B
| location B }}
{{var | Schritt1 B--Bild
| UTM v12.2.3 VPN Wireguard B Step1.png
| UTM v12.2.3 VPN Wireguard B Step1-en.png }}
{{var | IPv4 Adresse--Standort B--desc
| IPv4 Adresse für die Netzwerkschnittstelle des Transfernetzes an Standort B<br>Hier muss eine IP aus dem Netz gewählt werden, das am Standort A festgelegt wurde (hier: 10.0.1.2/24)
| IPv4 address for the network interface of the transfer network at location B<br>Here you have to select an IP from the network that was set at location A (here: 10.0.1.2/24) }}
{{var | IPv6 Adresse
| IPv6 Adresse:
| IPv6 address: }}
{{var | IPv6 Adresse--Standort B--desc
| IPv6 Adresse für die Netzwerkschnittstelle des Transfernetzes an Standort A (optional)<br>Hier muss eine IP aus dem Netz gewählt werden, das am Standort A festgelegt wurde(hier: fd00:0:0:0::2/64)
| IPv6 address for the network interface of the transfer network at location A (optional)<br>Here you have to choose an IP from the network that has been defined at location A(here: fd00:0:0::2/64) }}
{{var | Privater Schlüssel B--Hinweis
| Der private Schlüssel muss bereits vorliegen. <br>Ggf. kann er hier importiert werden. {{info| Der öffentliche Teil des Schlüssels für Standort B wurde am Standort A bereits für die Konfiguration benötigt.<br>Wurde der private Schlüssel an Standort B nicht eben dort lokal erzeugt, kann er hier (mit privatem und öffentlichem Teil) importiert werden.<br>Dazu muss der Dialog ''Schlüssel hinzufügen'' geschlossen werden und in der ebenfalls geöffneten Schlüsselverwaltung der private Schlüssel importiert werden. <br>Der Assistent kann anschließend fortgesetzt werden.}}
| The private key must already exist. <br>If necessary, it can be imported here. {{info| The public part of the key for location B was already needed at location A for the configuration. }} }}
{{var | Schritt2 B--Bild
| UTM v12.2.3 VPN Wireguard B Step2.png
| UTM v12.2.2 VPN Wireguard B Step2-en.png }}
{{var | Schritt2 B--Name--desc
| Bezeichnung der Gegenstelle (Hier: Standort A)
| Description of remote terminal (here: Location A) }}
{{var | Erlaubte IPs B--S2S--desc
| '''Site to Site - S2S'''<br>Lokale Netz IP der Gegenstelle (Hier: Standort A)
| '''Site to Site - S2S'''<br>Local network IP of remote terminal (here: Location A) }}
{{var | Endpunkt B--desc
| Öffentliche IP oder im öffentlichen DNS auflösbarer FQDN mit Listening-Port der Gegenstelle (Hier: Standort A)
| Public IP or within the public DNS resolvable FQDN with listening-port of the remote terminal (here: Location A) }}
{{var | Endpunkt B--Hinweis
| Wird nicht benötigt, wenn ausschließlich die Gegenstelle (Hier: Standort A) die Verbindung initiieren soll
| Is not required, if only the remote terminal (here: Location A) initiates the connection }}
{{var | Öffentlicher Schlüssel B--desc
| Öffentlicher Schlüssel der Gegenstelle (Hier: Standort A) im Format x25519.<br>Es sind nur solche Schlüssel auswählbar, die über '''keinen''' privaten Schlüssel verfügen.
| Public key of the remote terminal (here: Location A) in x25519 format.<br>Only keys that have '''no'''private key are selectable. }}
{{var | Schritt3 B--Bild
| UTM v12.2.3 VPN Wireguard B Step3.png
| UTM v12.2.2 VPN Wireguard B Step3-en.png }}
{{var | Schnittstelle
| Schnittstelle:
| Interface: }}
{{var | Schnittstelle--desc
| Name der Schnittstelle, die für die Verbindung angelegt wird (automatische Vorgabe, kann nicht geändert werden)
| Name of the interface that will be created for the connection (automatic default, cannot be changed) }}
{{var | Assistent aktualisiert
| Assistent aktualisiert:
| The wizard updates: }}
{{var | neu--Anzeige Schnittstelle
| Der Schnittstellenname wird im Assistenten mit angezeigt
| The interface name is displayed with in the wizard }}
{{var | import-Zwischenablage
| Export und Import der Schlüssel ist auch über die Zwischenablage möglich
| Export and import of the keys is also possible via the clipboard }}
{{var | neu--keepalive einstellbar
| Der Zeitraum für das [[#keepalive| Keepalive-Signal]] ist konfigurierbar
| The time period for the [[#keepalive| Keepalive signal]] is configurable }}
{{var | neu--Routen zu peer
| Es können automatisch Routen zu den VPN-Netzwerken erstellt werden
| Automatic routes to the VPN networks can be created }}
{{var | neu ab
| neu ab
| new as of }}
{{var | Keepalive-Sekunden--desc
| Abstand in Sekunden, in dem ein Signal gesendet wird
| Interval in seconds at which a signal is sent }}
{{var | Routen zu Peers erstellen
| Routen zu den Netzwerken des Peers erstellen:
| Create routes to the peer's networks: }}
{{var | Routen zu Peers erstellen--desc
| {{Hinweis-neu|!|gr}} Aktivierung {{ButtonAn|{{#var:ein}} }} wird empfohlen.<br>Es werden Routen zu den Netzwerken / Hosts erstellt, die in Schritt 2 unter  ''Erlaubte IPs'' eingetragen wurden mit der Schnittstelle als Gateway, die in Schritt 1 angezeigt wurde.
| {{Hinweis-neu|!|gr}} Activation {{ButtonAn|{{#var:ein}} }} is recommended.<br> Routes are created to the networks / hosts that were entered in step 2 under ''Allowed IPs'' with the interface as gateway that was displayed in step 1. }}
{{var | Privater Schlüssel B--Hinweis
| Der öffentliche Schlüssel wurde bereits in Standort A benötigt, daher sollte es auch bereits einen privaten Schlüssel geben. Ggf. kann der hier auch über die Zwischenablage {{Hinweis-neu|neu|12.2.3|status=update}} importiert werden.
| The public key was already needed in location A, hence there should already be a private key. If necessary, it can also be imported via the clipboard {{Hinweis-neu|neu|12.2.3|status=update}}. }}
{{var | Schlüssel hinzufügen
| Schlüssel hinzufügen
| Add key }}
{{var | Schlüssel exportieren
| Schlüssel exportieren
| Export key }}
{{var | Schlüssel exportieren--desc
| Exportiert den Schlüssel im ''.pem''-Format
| Export key in ''.pem'' format }}
{{var | Zwischenablage verwenden
| Zwischenablage verwenden
| Use clipboard }}
{{var | Schlüssel exportieren-copy--desc
| Kopiert den Schlüssel im ''.pem''-Format in die Zwischenablage
| Copies the key in ''.pem'' format to the clipboard }}
{{var | Schlüssel importieren
| Schlüssel importieren
| Import key }}
{{var | Schlüssel importieren--desc
| Öffnet den Dialog zum Schlüssel-Import
| Opens the key import dialog }}
{{var | Datei
| Datei
| file }}
{{var | Datei--desc
| Importiert einen Schlüssel aus einer ''.pem''-Datei
| Import key from ''.pem'' file }}
{{var | Zwischenablage
| Zwischenablage
| Clipboard }}
{{var | Zwischenablage--Bild
| UTM v12.2.3 Schlüssel importieren copy.png
| UTM v12.2.3 Schlüssel importieren copy-en.png }}
{{var | Zwischenablage--cap
|
|  }}
{{var | Zwischenablage--desc
| Importiert einen Schlüssel aus der Zwischenablage.<br>Hier muss ein Name für den Schlüssel vergeben werden.
| Imports a key from the clipboard.<br>A name for the key must be assigned here. }}
{{var | Öffentlicher Schlüssel vorhanden
| Öffentlicher Schlüssel vorhanden, aber nicht auswählbar
| Public key present but not selectable }}
{{var | Hinweis anzeigen
| Hinweis anzeigen
| Display hint }}
{{var | Öffentlicher Schlüssel vorhanden--desc
| Es lassen sich nur Schlüssel auswählen, für die auf diesem Interface nocht keine Verbindung besteht. Der PublicKey muss innerhalb einer Verbindung eindeutig sein, da das Routing eingehender Pakete darüber durchgeführt wird.<br>Soll für einen Peer der gleiche PublicKey z.B. für ein Fallback verwendet werden, muss dafür eine weitere WireGuard Verbindung angelegt werden.
| Only keys for which there is not yet a connection on this interface can be selected. The PublicKey must be unique within a connection, as the routing of incoming packets is carried out via it. <br>If the same PublicKey is to be used for a peer, e.g. for a fallback, another WireGuard connection must be created for this. }}
{{var |
|
|  }}
 
{{var | display
| Wireguard Site-to-Site VPN (S2S) v12.2.5
| Wireguard Site-to-Site VPN (S2S) v12.2.5 }}
{{var | head
| Site-to-Site VPN (S2S) mit Wireguard konfigurieren
| Configure Site-to-Site VPN (S2S) with Wireguard }}
{{var | 1=WireGuard Verbindung erstellen--desc
| 2=* Eine WireGuard Verbindung stellt den Zugang für ggf. mehrere Peers zur Verfügung
<li class="list--element__alert list--element__warning">Jede Verbindung muss mit einem '''eigenen Schlüsselpaar''' gesichert werden</li>
| 3=* A WireGuard connection provides access for multiple peers if necessary
<li class="list--element__alert list--element__warning">Each connection must be secured with an '''own key pair'''</li> }}
{{var | Konfiguration an Standort A
| Konfiguration an Standort A
| Configuration at location A }}
{{var | Standort A
| Standort A
| Location A }}
{{var | Schritt2--Bild
| UTM v12.2.3 VPN Wireguard Step2.png
| UTM v12.2.3 VPN Wireguard Step2-en.png }}
{{var | peer--val
| peer-b
| peer-b }}
{{var | Erlaubte IPsv4--val
| 10.2.0.0/16
| 10.2.0.0/16 }}
{{var | Erlaubte IPsv6--val
| fd00:b:0:0::/64
| fd00:b:0:0::/64 }}
{{var | Erlaubte IPs--desc
| Lokale Netz IP der Gegenstelle
| Local network IP of the remote terminal }}
{{var | Endpunkt--val
| b.vpn.anyideas.de:51820
| b.vpn.anyideas.de:51820 }}
{{var | Endpunkt--desc
| Öffentliche IP oder im öffentlichen DNS auflösbarer FQDN mit Listening-Port der Gegenstelle
| Public IP or within the public DNS resolvable FQDN with listening-port of the remote terminal }}
{{var | Endpunkt--Hinweis
| Wird nicht benötigt, wenn ausschließlich die Gegenstelle die Verbindung initiieren soll
| Is not required, if only the remote terminal initiates the connection }}
{{var | Öffentlicher Schlüssel--desc
| Öffentlicher Schlüssel der Gegenstelle im Format x25519<br>Es sind nur solche Schlüssel auswählbar, die über '''keinen''' privaten Schlüssel verfügen.
| Public key of the roadwarrior in x25519 format.<br>Only keys that have '''no'' private key can be selected. }}
{{var | Öffentlicher Schlüssel--Hinweis-Import
| Liegt der öffentliche Schlüssel der Gegenstelle noch nicht vor, kann mit dieser Schaltfläche der Import der Schlüsselverwaltung geöffnet werden.
| If the public key of the remote terminal is not yet known, this button can be used to open the import of the key management. }}
{{var | Schritt3--Bild
| UTM v12.2.3 VPN Wireguard Step3.png
| UTM v12.2.3 VPN Wireguard Step3-en.png }}
{{var | Fritzbox als Gegenstelle
| Fritzbox als Gegenstelle
| Fritzbox as remote terminal }}
{{var | Fritzbox als Gegenstelle--desc
| Wird eine Fremdhardware als Gegenstelle verwendet, bietet sich folgendes Vorgehen an:
# Schlüsselpaar für die Fritzbox erstellen ({{Menu|Authentifizierung|Schlüssel}})
# Öffentlichen und privaten Teil des Schlüssels im ''.raw''-Format exportieren
# Schlüsselpaar für die Fritzbox löschen und nur den öffentlichen Teil wieder importieren
# WireGuard Verbindung wie oben beschrieben hinzufügen
# Öffentlichen Schlüssel der UTM im ''.raw''-Format exportieren
# Untenstehende Vorlage ergänzen und innerhalb der Fritzbox einfügen unter Internet / Freigaben / Reiter VPN / Schaltfläche ''VPN-Verbindung hinzufügen'' / Option ''Eine WireGuard Verbindung importieren''
| If a third-party hardware is used as remote station, the following approach is recommended:
# Create key pair for the Fritzbox ({{Menu|Authentication|Key}})
# Export public and private part of the key in ''.raw'' format
# Delete the key pair for the Fritzbox and reimport only the public part
# Add WireGuard connection as described above
# Export public key of UTM in ''.raw''-format
# Complete the template below and add it to the Fritzbox under Internet / Shares / Tab VPN / Button ''Add VPN connection'' / ''Import a WireGuard connection'' option }}
{{var | Fritzbox als Gegenstelle--cap
| Kurzvideo Konfiguration mit Fritzbox als Gegenstelle
| Short film Configuration of a Fritzbox as remote terminal
{{Hinweis | ! Video and audio in German|grau}} }}
{{var | Korrektur
| Korrektur
| Correction }}
 
 
 
{{var | Neue Funktion
| Neue Funktion {{Hinweis-neu| aktualisiert|12.3|status=update}}
| New function {{Hinweis-neu| actualised|12.3|status=update}} }}
{{var | Konfig--Menu
| Konfiguration unter {{Menu|VPN|WireGuard}}
| Configuration under {{Menu|VPN|WireGuard}} }}
{{var | WireGuard Verbindung
| Erstellen einer WireGuard Verbindung
| Creating a WireGuard Connection }}
{{var | WireGuard Verbindung--Bild
| UTM v12.2.2 VPN WireGuard Verbindung.png
| UTM v12.2.2 VPN WireGuard Verbindung-en.png }}
{{var | WireGuard Verbindung--cap
|
|  }}
{{var | Voraussetzungen
| Voraussetzungen
| Requirements }}
{{var | Voraussetzungen--desc
|
* Schlüssel vom Typ x25519 auf beiden Seiten der WireGuard-Verbindung
* Öffentlicher x25519 Schlüssel der jeweiligen Gegenstelle liegt vor
|
* Key type x25519 on both sides of the WireGuard connection
* Public x25519 key of the respective remote terminal is available }}
{{var | Anlegen eines x25519-Schlüsselpaares zeigen
| Anlegen eines x25519-Schlüsselpaares zeigen
| Show creating an x25519 key pair }}
{{var | 1=Schlüsselverwaltung--Menu
| 2=Schlüsselverwaltung öffnen unter {{Menu|Authentifizierung|Schlüssel||Schlüssel hinzufügen|+|mit=und}} den Dialog öffnen
| 3=Open key management under {{Menu|Authentication|Key||Add key|+|mit=and}} }}
{{var | Schlüsselverwaltung--Menu--Bild
| UTM v12.2.3 Schlüssel.png
| UTM v12.2.3 Schlüssel-en.png }}
{{var | Schlüsselverwaltung--Menu--cap
| Schlüsselverwaltung
| Key management }}
{{var | Schlüssel hinzufügen--desc
| Eindeutigen Namen vergeben und als Typ {{Button|X25519|dr}} wählen<p>Dialog mit der Schaltfläche {{Button|Speichern}} schließen</p>
| Assign a unique name and select {{Button|X25519|dr}} as type<p>Close dialog with {{Button|Save}} button</p> }}
{{var | Schlüssel hinzufügen--Bild
| UTM v12.2.2 Schlüssel x25519-hinzufügen.png
| UTM v12.2.2 Schlüssel x25519-hinzufügen-en.png }}
{{var | WireGuard Verbindung erstellen
| WireGuard Verbindung erstellen
| Create WireGuard connection }}
{{var | WireGuard Verbindung erstellen--desc
|* Eine WireGuard Verbindung stellt den Zugang für ggf. mehrere Peers zur Verfügung
* Jede Verbindung wird mit einem eigenen Schlüsselpaar gesichert
* Alle Peers einer Verbindung verwenden dessen öffentlichen Schlüssel
* Jeder Peer benötigt ein eigenes Schlüsselpaar, um sich zu authentifizieren<br>Zusätzlich sollte jeder Peer mit einem starken PSK abgesichert werden
|* A WireGuard connection provides access for multiple peers if necessary
* Each connection is secured with its own key pair
* All peers of a connection use its public key
* Each peer needs its own key pair for authentication<br>In addition, each peer should be secured with a strong PSK. }}
{{var | Beispielkonfiguration
| Beispielkonfiguration WireGuard Verbindung
| Example configuration of WireGuard connection }}
{{var | Beispielkonfiguration--desc
| Gegeben sei folgende Konfiguration:
  | Given may the following configuration: }}
{{var | TransferNetz
| Transfer Netz
| Transfer net }}
{{var | Netz IPv6
| Lokales Netz IPv6
| Local network IPv6 }}
{{var | Lokale Tunnel IPv4
| Lokale Tunnel IPv4
| Local tunnel IPv4 }}
{{var | Lokale Tunnel IPv6
| Lokale Tunnel IPv6
| Local tunnel IPv6 }}
{{var | Netz IPv4
| Lokales Netz IPv4
| Local network IPv4 }}
{{var |
|
|  }}
{{var | Assistenten starten--desc
| Assistenten starten mit der Schaltfläche {{Button|WireGuard Verbindung hinzufügen|+}}
| Start assistant with the button {{Button|Add WireGuard Connection|+}} }}
{{var | Assistenten starten
| WireGuard Verbindungs-Assistent
| WireGuard connection assistant }}
{{var | Schritt1
| Schritt 1 - Schnittstelle
| Step 1 - Interface}}
{{var | Schritt1--Bild
| UTM v12.2.3 VPN Wireguard Step1.png
| UTM v12.2.3 VPN Wireguard Step1-en.png }}
{{var | Schritt1--cap
| WireGuard Assistent - Schritt 1
| WireGuard assistant - Step 1 }}
{{var | Name
| Name:
| Name: }}
{{var | Name-Schritt1--val
| wg_server
| wg_server }}
{{var | Name-Schritt1--desc
| Eindeutiger Name für die Verbindung
| Unique name for the connection }}
{{var | IPv4 Adresse
| IPv4 Adresse:
| IPv4 address: }}
{{var | IPv4 Adresse--Standort A--desc
| IPv4 Adresse für die Netzwerkschnittstelle des Transfernetzes an Standort A<br>Dadurch wird die Netz-IP des Transfernetzes bestimmt (hier: 10.0.1.1/24)
| IPv4 address for the network interface of the transfer network at location A<br>This determines the network IP of the transfer net (here: 10.0.1.1/24) }}
{{var | IPv6 Adresse
| IPv6 Adresse:
| IPv6 address: }}
{{var | IPv6 Adresse--Standort A--desc
| IPv6 Adresse für die Netzwerkschnittstelle des Transfernetzes an Standort A (optional)<br>Dadurch wird die Netz-IP des Transfernetzes bestimmt (hier: fd00:0:0:0::1/64)
| IPv6 address for the network interface of the transfer network at location A (optional)<br>This determines the network IP of the transfer net (here: fd00:0:0:0::1/64) }}
{{var | Listening Port
| Listening Port:
| Listening Port: }}
{{var | Listening Port--desc
| Default-Port für WireGuard Verbindungen
| Default-Port for WireGuard connections }}
{{var | Privater Schlüssel
| Privater Schlüssel:
| Private key: }}
{{var | Privater Schlüssel--desc
| Privater Schlüssel im Format x25519.<br>Es sind nur solche Schlüssel auswählbar, die auch über einen privaten Schlüsselteil verfügen.
| Private key in x25519 format.<br>Only those keys that also have a private key part can be selected.  }}
{{var | Privater Schlüssel--Hinweis
| Liegt noch kein lokaler Schlüssel im x25519-Format vor, kann mit dieser Schaltfläche ein solcher erzeugt werden.
| If there is no local key in x25519 format yet, this button can be used to generate one. }}
{{var | Schritt2
| Schritt2 - Peer
| Step 2 - Peer }}
{{var | Schritt2--cap
| WireGuard Assistent - Schritt 2
| WireGuard assistant - Step 2 }}
{{var | Schritt2--Name--desc
| Bezeichnung der Gegenstelle
| Description of remote terminal }}
{{var | Erlaubte IPs
| Erlaubte IPs:
| Allowed IPs: }}
{{var | Endpunkt
| Endpunkt:
| Endpoint: }}
{{var | Endpunkt Port
| Endpunkt Port:
| Endpoint Port: }}
{{var | Öffentlicher Schlüssel
| Öffentlicher Schlüssel:
| Public key: }}
{{var | Pre-Shared Key
| Pre-Shared Key:
| Pre-Shared Key: }}
{{var | Pre-Shared Key--desc
| Pre-Shared Key zur weiteren Absicherung der Verbindung (optional)
| Pre-shared key for further securing the connection (optional) }}
{{var | Pre-Shared Key--renew
| Erzeugt einen sehr starken Pre-Shared Key
| Generates a very strong pre-shared key }}
{{var | Pre-Shared Key--Hinweis
| Der Pre-Shared Key muss an beiden Enden der VPN-Verbindung identisch sein!
| The pre-shared key must be identical at both ends of the VPN connection! }}
{{var | Schlüssel kopieren--desc
| Kopiert den PSK in die Zwischenablage
| Copies the PSK to the clipboard }}
{{var | Keepalive
| Keepalive:
| Keepalive: }}
{{var | Keepalive--desc
| Sendet regelmäßig ein Signal. Dadurch werden Verbindungen auf NAT-Routern offen gehalten. {{ButtonAn|Ein}} Die Aktivierung wird empfohlen.
| Regularly sends a signal. This keeps connections open on NAT routers. {{ButtonAn|On}} Activation is recommended.}}
{{var | Schritt3
| Schritt 3 - Allgemein
| Step 3 - General }}
{{var | Schritt3--cap
| WireGuard Assistent - Schritt 3
| WireGuard assistant - Step 3 }}
{{var | Neue Zone hinzufügen
| Zonen erstellen:
| Generate zones: }}
{{var | Neue Zone hinzufügen--desc
| Erzeugt eine neue Zone für die WireGuard Schnittstelle
| Generates a new zone for the WireGuard port }}
{{var | Netzwerkobjekte generieren
| Netzwerkobjekte für den Peer erstellen:
| Generate network objects for peer: }}
{{var | Netzwerkobjekte generieren--desc
| Erzeugt bei Aktivierung {{ButtonAn|Ja}} Netzwerkobjekte (IPv4 und ggf. IPv6) für die Gegenstelle. Der automatische Vorschlag kann auch geändert werden.
| Creates {{ButtonAn|Yes}} button when enabled for network objects (IPv4 and if necessary IPv6) of the remote terminal. Automatic suggestion can also be changed.}}
{{var | Regeln generieren
| Regeln zwischen dem Peer und internal-networks erstellen:
| Generate rules between peer and internal-networks: }}
{{var | Regeln generieren--desc
| Erzeugt bei Aktivierung {{buttonAn|{{#var:ja}} }} autogenerierte Regeln, die die Inbetriebnahme erleichtern.
| Generates autogenerated rules that facilitate implementation. }}
{{var | Regeln generieren--Hinweis
| Diese Regeln müssen unbedingt durch eigene Regeln, die nur notwendige Dienste mit notwendigen Netzwerkobjekten erlauben, ersetzt werden.
| It is essential to replace these rules with your own rules that allow only necessary services with necessary network objects. }}
{{var | Konfiguration an Standort B
| Konfiguration an Standort B
| Configuration at location B }}
{{var | Standort B
| Standort B
| location B }}
{{var | Schritt1 B--Bild
| UTM v12.2.3 VPN Wireguard B Step1.png
| UTM v12.2.3 VPN Wireguard B Step1-en.png }}
{{var | IPv4 Adresse--Standort B--desc
| IPv4 Adresse für die Netzwerkschnittstelle des Transfernetzes an Standort B<br>Hier muss eine IP aus dem Netz gewählt werden, das am Standort A festgelegt wurde (hier: 10.0.1.2/24)
| IPv4 address for the network interface of the transfer network at location B<br>Here you have to select an IP from the network that was set at location A (here: 10.0.1.2/24) }}
{{var | IPv6 Adresse
| IPv6 Adresse:
| IPv6 address: }}
{{var | IPv6 Adresse--Standort B--desc
| IPv6 Adresse für die Netzwerkschnittstelle des Transfernetzes an Standort A (optional)<br>Hier muss eine IP aus dem Netz gewählt werden, das am Standort A festgelegt wurde(hier: fd00:0:0:0::2/64)
| IPv6 address for the network interface of the transfer network at location A (optional)<br>Here you have to choose an IP from the network that has been defined at location A(here: fd00:0:0::2/64) }}
{{var | Privater Schlüssel B--Hinweis
| Der private Schlüssel muss bereits vorliegen. <br>Ggf. kann er hier importiert werden. {{info| Der öffentliche Teil des Schlüssels für Standort B wurde am Standort A bereits für die Konfiguration benötigt.<br>Wurde der private Schlüssel an Standort B nicht eben dort lokal erzeugt, kann er hier (mit privatem und öffentlichem Teil) importiert werden.<br>Dazu muss der Dialog ''Schlüssel hinzufügen'' geschlossen werden und in der ebenfalls geöffneten Schlüsselverwaltung der private Schlüssel importiert werden. <br>Der Assistent kann anschließend fortgesetzt werden.}}
| The private key must already exist. <br>If necessary, it can be imported here. {{info| The public part of the key for location B was already needed at location A for the configuration. }} }}
{{var | Schritt2 B--Bild
| UTM_v12.4_VPN_Wireguard_B_Step2.png
| UTM_v12.4_VPN_Wireguard_B_Step2-en.png }}
{{var | Schritt2 B--Name--desc
| Bezeichnung der Gegenstelle (Hier: Standort A)
| Description of remote terminal (here: Location A) }}
{{var | Erlaubte IPs B--S2S--desc
| '''Site to Site - S2S'''<br>Lokale Netz IP der Gegenstelle (Hier: Standort A)
| '''Site to Site - S2S'''<br>Local network IP of remote terminal (here: Location A) }}
{{var | Endpunkt B--desc
| Öffentliche IP oder im öffentlichen DNS auflösbarer FQDN der Gegenstelle (Hier: Standort A)
| Public IP or within the public DNS resolvable FQDN of the remote terminal (here: Location A) }}
{{var | Endpunkt B--Hinweis
| Wird nicht benötigt, wenn ausschließlich die Gegenstelle (Hier: Standort A) die Verbindung initiieren soll
| Is not required, if only the remote terminal (here: Location A) initiates the connection }}
{{var | Endpunkt Port B--desc
| Listening-Port der Gegenstelle (Hier: Standort A)
| Listening-port of the remote terminal (here: Location A) }}
{{var | Öffentlicher Schlüssel B--desc
| Öffentlicher Schlüssel der Gegenstelle (Hier: Standort A) im Format x25519.<br>Es sind nur solche Schlüssel auswählbar, die über '''keinen''' privaten Schlüssel verfügen.
| Public key of the remote terminal (here: Location A) in x25519 format.<br>Only keys that have '''no'''private key are selectable. }}
{{var | Schritt3 B--Bild
| UTM v12.2.3 VPN Wireguard B Step3.png
| UTM v12.2.2 VPN Wireguard B Step3-en.png }}
{{var | Schnittstelle
| Schnittstelle:
| Interface: }}
{{var | Schnittstelle--desc
| Name der Schnittstelle, die für die Verbindung angelegt wird (automatische Vorgabe, kann nicht geändert werden)
| Name of the interface that will be created for the connection (automatic default, cannot be changed) }}
{{var | Assistent aktualisiert
| Assistent aktualisiert:
| The wizard updates: }}
{{var | neu--Anzeige Schnittstelle
| Der Schnittstellenname wird im Assistenten mit angezeigt
| The interface name is displayed with in the wizard }}
{{var | import-Zwischenablage
| Export und Import der Schlüssel ist auch über die Zwischenablage möglich
| Export and import of the keys is also possible via the clipboard }}
{{var | neu--keepalive einstellbar
| Der Zeitraum für das [[#keepalive| Keepalive-Signal]] ist konfigurierbar
| The time period for the [[#keepalive| Keepalive signal]] is configurable }}
{{var | neu--Routen zu peer
| Es können automatisch Routen zu den VPN-Netzwerken erstellt werden
| Automatic routes to the VPN networks can be created }}
{{var | neu ab
| neu ab
| new as of }}
{{var | Keepalive-Sekunden--desc
| Abstand in Sekunden, in dem ein Signal gesendet wird
| Interval in seconds at which a signal is sent }}
{{var | Routen zu Peers erstellen
| Routen zu den Netzwerken des Peers erstellen:
| Create routes to the peer's networks: }}
{{var | Routen zu Peers erstellen--desc
| {{Hinweis-neu|!|gr}} Aktivierung {{ButtonAn|{{#var:ein}} }} wird empfohlen.<br>Es werden Routen zu den Netzwerken / Hosts erstellt, die in Schritt 2 unter  ''Erlaubte IPs'' eingetragen wurden mit der Schnittstelle als Gateway, die in Schritt 1 angezeigt wurde.
| {{Hinweis-neu|!|gr}} Activation {{ButtonAn|{{#var:ein}} }} is recommended.<br> Routes are created to the networks / hosts that were entered in step 2 under ''Allowed IPs'' with the interface as gateway that was displayed in step 1. }}
{{var | Privater Schlüssel B--Hinweis
| Der öffentliche Schlüssel wurde bereits in Standort A benötigt, daher sollte es auch bereits einen privaten Schlüssel geben. Ggf. kann der hier auch über die Zwischenablage {{Hinweis-neu|neu|12.2.3|status=update}} importiert werden.
| The public key was already needed in location A, hence there should already be a private key. If necessary, it can also be imported via the clipboard {{Hinweis-neu|neu|12.2.3|status=update}}. }}
{{var | Schlüssel hinzufügen
| Schlüssel hinzufügen
| Add key }}
{{var | Schlüssel exportieren
| Schlüssel exportieren
| Export key }}
{{var | Schlüssel exportieren--desc
| Exportiert den Schlüssel im ''.pem''-Format
| Export key in ''.pem'' format }}
{{var | Zwischenablage verwenden
| Zwischenablage verwenden
| Use clipboard }}
{{var | Schlüssel exportieren-copy--desc
| Kopiert den Schlüssel im ''.pem''-Format in die Zwischenablage
| Copies the key in ''.pem'' format to the clipboard }}
{{var | Schlüssel importieren
| Schlüssel importieren
| Import key }}
{{var | Schlüssel importieren--desc
| Öffnet den Dialog zum Schlüssel-Import
| Opens the key import dialog }}
{{var | Datei
| Datei
| file }}
{{var | Datei--desc
| Importiert einen Schlüssel aus einer ''.pem''-Datei
| Import key from ''.pem'' file }}
{{var | Zwischenablage
| Zwischenablage
| Clipboard }}
{{var | Zwischenablage--Bild
| UTM v12.2.3 Schlüssel importieren copy.png
| UTM v12.2.3 Schlüssel importieren copy-en.png }}
{{var | Zwischenablage--cap
|
|  }}
{{var | Zwischenablage--desc
| Importiert einen Schlüssel aus der Zwischenablage.<br>Hier muss ein Name für den Schlüssel vergeben werden.
| Imports a key from the clipboard.<br>A name for the key must be assigned here. }}
{{var | Öffentlicher Schlüssel vorhanden
| Öffentlicher Schlüssel vorhanden, aber nicht auswählbar
| Public key present but not selectable }}
{{var | Hinweis anzeigen
| Hinweis anzeigen
| Display hint }}
{{var | Öffentlicher Schlüssel vorhanden--desc
| Es lassen sich nur Schlüssel auswählen, für die auf diesem Interface nocht keine Verbindung besteht. Der PublicKey muss innerhalb einer Verbindung eindeutig sein, da das Routing eingehender Pakete darüber durchgeführt wird.<br>Soll für einen Peer der gleiche PublicKey z.B. für ein Fallback verwendet werden, muss dafür eine weitere WireGuard Verbindung angelegt werden.
| Only keys for which there is not yet a connection on this interface can be selected. The PublicKey must be unique within a connection, as the routing of incoming packets is carried out via it. <br>If the same PublicKey is to be used for a peer, e.g. for a fallback, another WireGuard connection must be created for this. }}
{{var | display
| Wireguard Roadwarrior VPN (S2E)
| Wireguard Roadwarrior VPN (S2E) }}
{{var | head
| Roadwarrior VPN (S2E) mit Wireguard konfigurieren
| Configure Roadwarrior VPN (S2E) with Wireguard }}
{{var | 1=WireGuard Verbindung erstellen--desc
| 2=* Eine WireGuard Verbindung stellt den Zugang für ggf. mehrere Peers zur Verfügung
* Jede Verbindung wird mit einem eigenen Schlüsselpaar gesichert
* Alle Peers (hier: Roadwarrior) einer Verbindung verwenden dessen öffentlichen Schlüssel
<li class="list--element__alert list--element__warning">Jeder '''Peer/Roadwarrior benötigt ein eigenes Schlüsselpaar''', um sich zu authentifizieren<br>Zusätzlich sollte jeder Peer mit einem starken PSK abgesichert werden
</li> | 3=* A WireGuard connection provides access for multiple peers if necessary
* Each connection must be secured with an own key pair
* All peers (here: roadwarrior) of a connection use its public key
<li class="list--element__alert list--element__warning">Each '''Peer/Roadwarrior needs its own key pair''' to authenticate itself.<br> Additionally, each peer should be secured with a strong PSK. }}
{{var | Konfiguration an Standort A
| Konfiguration UTM
| Configuration UTM }}
{{var | Standort A
| UTM Netzwerk
| UTM network }}
{{var | Schritt2--Bild
| UTM v12.2.3 VPN Wireguard RW Step2.png
| UTM v12.2.3 VPN Wireguard RW Step2-en.png }}
{{var | peer--val
| peer-rw
| peer-rw }}
{{var | Erlaubte IPsv4--val
| 10.0.1.201/32
| 10.0.1.201/32 }}
{{var | Erlaubte IPsv6--val
| fd00:0:0:0::C9/128
| fd00:0:0:0::C9/128 }}
{{var | Erlaubte IPs--desc
| IP aus dem Transfer Netz (''{{cb|…/32}} bzw. {{cb|…128}}'')
| IP from the transfer network (''{{cb|.../32}} or {{cb|...128}}'') }}
{{var | Erlaubte IPs--S2E--desc
| Ein Roadwarrior verwendet ausschließlich die Tunnel-IP
| A roadwarrior uses only the tunnel IP }}
{{var | Endpunkt--val
|
|  }}
{{var | Endpunkt--desc
| Wird nicht benötigt, da ausschließlich die Gegenstelle (der Roadwarrior) die Verbindung initiieren soll
| Is not needed, because only the remote terminal (the roadwarrior) initiates the connection }}
{{var | Öffentlicher Schlüssel--desc
| Öffentlicher Schlüssel des Roadwarriors im Format x25519<br>Es sind nur solche Schlüssel auswählbar, die über '''keinen''' privaten Schlüssel verfügen.
| Public key of the roadwarrior in x25519 format.<br>Only keys that have '''no'' private key can be selected. }}
{{var | Öffentlicher Schlüssel--Hinweis-Import
| Liegt der öffentliche Schlüssel des Roadwarriors noch nicht vor, kann mit dieser Schaltfläche der Import der Schlüsselverwaltung geöffnet werden.
|If the public key of the roadwarrior is not yet known, this button can be used to open the import of the key management. }}
{{var | Schlüsselpaar für Roadwarrior erstellen
| Schlüsselpaar für Roadwarrior erstellen
| Create key pair for the roadwarrior }}
{{var | Schlüsselpaar für Roadwarrior erstellen--desc
| Wir empfehlen, das Schlüsselpaar für den Roadwarrior auf der UTM zu erstellen und anschließend sicher zu verwahren.<br>Vorgehen:<br>
# Schaltfläche {{Button||mw}} betätigen. Dies öffnet die Schlüsselverwaltung und den Import Dialog
# Import Dialog {{Button|Schließen}}
# Schaltfläche {{Button|Schlüssel hinzufügen|+}}
# Aussagekräftigen Namen wählen
# Als {{b|Typ:}} das Formt {{Button|X25519|dr}} wählen und {{Button|Speichern}}
# '''Öffentlichen und Privaten Teil ''' des Schlüssels im Format {{Button|RAW|d}} exportieren<br>(Das Format ist wichtig, da es in der Konfigurationsdatei des Roadwarriors benötigt wird)
<!-- # Diesen Schlüssel jetzt aus der Schlüsselverwaltung wieder löschen {{Button||trash}} -->
# Anschließend den '''öffentlichen Teil''' des Schlüssels wieder importieren<br>(Dieser Vorgang ist erforderlich, da im Auswahldialog des Assistenten nur Schlüssel '''ohne''' privaten Schlüssel-Teil angeboten werden)
# Die Schlüsselverwaltung kann nun geschlossen werden und der soeben importierte öffentliche Schlüssel kann als öffentlicher Schlüssel des Peers ausgewählt werden.<br>Der '''private Schlüssel-Teil''' wird auf der Gegenstelle benötigt. Er kann im WireGuard Client unter ''PrivateKey'' eingetragen werden.
| We recommend creating the key pair for the Roadwarrior on the UTM and then storing it securely.<br>Approach:<br>
# Click the {{Button||mw}} button. This opens the key management and the import dialog
# Import dialog {{Button|Close}}
# Button {{Button|Add key|+}}
# Choose a unique name
# Select as {{b|Type:}} the format {{button|X25519|dr}} and {{button|Save}}
# Export '''private part and public part''' of the key in the {{Button|RAW|d}} format<br>(The format is important, because it's needed in the configuration file of the roadwarrior.)
<!-- # Now, delete this key from the key management again {{button|trash}} -->
# Afterwards import the '''public part''' of the key again<br>(This process is necessary, because in the selection dialog of the assistant only keys '''without''' private key part are available. <br>The '''private part''' of the key is used in the counterpart device. It can be entered in the WireGuard Client under ''PrivateKey''. }}
 
{{var | Schritt3--Bild
| UTM v12.2.3 VPN Wireguard RW Step3.png
| UTM v12.2.3 VPN Wireguard RW Step3-en.png }}
{{var | Roadwarrior Konfiguration
| Konfiguration Roadwarrior
| Configuration roadwarrior }}
{{var | Client Download
| Client Download
| Download client }}
{{var | Client Download--desc
| Download des Clients unter https://www.wireguard.com/install
| Download the client under  https://www.wireguard.com/install }}
{{var | Client-Konfig
| Konfiguration des WireGuard Clients
| WireGuard configuration client }}
{{var | Client-Konfig--desc
| Client öffnen und eine leeren Tunnel hinzufügen
| Open client and add a blank tunnel }}
{{var | Client-Konfig--Hinweis
| Die Einträge in der Konfig-Datei beginnen jeweils nach einem Gleicheitszeichen gefolgt von einem Leerzeichen
| The entries in the config file each start after an equals sign followed by a space. }}
{{var |
|
|  }}
{{var |
|
|  }}
{{var | Client-Konfig--Bild
| Windows WireGuard Tunnel bearbeiten.png
| Windows WireGuard Tunnel bearbeiten.png }}
{{var | Client-Konfig--cap
| Anzeige der Konfig-Datei im Windows Client ({{Button|Bearbeiten|class=border-color__blau}})
| Display the config file in the Windows client ({{Button|Edit|class=border-color__blau}} }}
{{var | Name
| Name
| Name }}
{{var | Name--val
| wg-vpn-UTM_Netzwerk
| wg-vpn-UTM_Network }}
{{var | Name--desc
| Frei wählbarer Name (ohne Leerzeichen)
| Freely selectable name (without spaces) }}
{{var | Client--Öffentlicher Schlüssel
| Wird automatisch aus dem PrivateKey berechnet
| Calculated automatically from the PrivateKey }}
{{var | Konfigurationsfenster
| Konfigurationsfenster
| Configuration window }}
{{var | Client-PrivateKey--desc
| Beim Anlegen eines leeren Tunnels wird automatisch ein PrivateKey vergeben
| When creating a blank tunnel, a PrivateKey is assigned automatically }}
{{var | Client-PrivateKey--Hinweis
| Wir empfehlen den PrivatKey bereits auf der UTM zu erstellen. So ist er an sicherer Stelle verwahrt. <br>Der PrivateKey kann auf der UTM im RAW-Format exportiert und anschließend hier eingetragen werden.
| We recommend creating the PrivateKey on the UTM to store it securely. <br>The PrivateKey can be exported on the UTM in RAW format and then entered here. }}
{{var | Client-Address--desc
| Tunnel-IP für den Roadwarrior
| Tunnel IP for the roadwarrior }}
{{var | Client-PublicKey--desc
| PublicKey der UTM
| PublicKey of the UTM }}
{{var | Client-PresharedKey--desc
| PresharedKey aus der UTM
| PresharedKEy from the UTM }}
{{var | Client-AllowedIPs--desc
| Lokale Netz-IPs hinter der UTM
| Local net IPs behind the UTM }}
{{var | Vorlage einer Konfigurationsdatei zum kopieren
| Vorlage einer Konfigurationsdatei zum kopieren
| Template of a configuration file to make a copy }}
{{var | Endpoint--desc
| IP/Hostname der UTM:Port der WG Instanz
| IP/Hostname of the UTM :PPort of the WG instance }}
 
 
{{var | display
| Wireguard Peer hinzufügen
| Wireguard add peer }}
{{var | head
| Peer (Roadwarrior) zu einer Wireguard Verbindung hinzufügen
| Add  peer to an existing WireGuard conection }}
{{var | Peer hinzufügen
| Peer (Gegenstelle) hinzufügen
| Add (remote terminal) Peer }}
{{var | Peer hinzufügen--desc
| Existiert bereits eine WireGuard Verbindung, bei der die UTM als Server dient, lässt sich eine weitere Gegenstelle (Peer) hinzufügen, die auf dem selben Port läuft und das selbe Zertifikat zur Authentisierung der Verbindung verwendet, wie eine bereits bestehende Verbindung.
<p>Für weitere Gegenstellen (Peers) wird deren eigener öffentlicher Schlüssel, sowie ein eigener PSK benötigt.</p>
| If a WireGuard connection already exists in which the UTM serves as a server, an additional peer can be added that runs on the same port. It uses the same certificate to authenticate the connection as an existing connection.
<p>For additional remote terminals (peers), their own public key is required, as well as their own PSK.</p> }}
{{var | 1=Peer hinzufügen--Menu
| 2={{Menu|VPN|WireGuard}} Schaltfläche {{Button||+}} <span class=Hover>Peer hinzufügen</span> der gewünschten Verbindung
| 3={{Menu|VPN|WireGuard}} Button {{Button||+}} <span class=Hover>Add peer</span> of the connection you want to use }}
{{var | Peer hinzufügen--Bild
| UTM v12.2.3 VPN Wireguard Peer hinzufügen.png
| UTM v12.2.3 VPN Wireguard Peer hinzufügen-en.png }}
{{var | Peer hinzufügen--cap
|
|  }}
{{var | Roadwarrior
| Roadwarrior
| Roadwarrior }}
{{var | Name-PeerC--desc
| Bezeichnung der Gegenstelle (hier: Ein Roadwarrior)
| Description of the remote terminal (here: a roadwarrior) }}
{{var | Endpunkt RW--desc
| Kann frei bleiben, wenn von der UTM aus keine Verbindung initiiert werden soll
| Can remain blank if no connection is to be initiated from the UTM }}
{{var | Öffentlicher Schlüssel C--desc
| Öffentlicher Schlüssel der Gegenstelle im Format x25519.<br>Es sind nur solche Schlüssel auswählbar, die über '''keinen''' privaten Schlüssel verfügen.
| Public key of the remote terminal in the x25519 format.<br>Only keys that have '''no''' private key can be selected. }}
{{var | Netzwerkobjekte C generieren--desc
| Erzeugt bei Aktivierung {{ButtonAn|Ja}} Netzwerkobjekte (IPv4 und ggf IPv6) für die Gegenstelle (hier: für einen Roadwarrior)<br>Der automatische Vorschlag kann auch geändert werden.
| Generates network objects (IPv4 and if necessary IPv6) for the remote terminal (here: for a roadwarrior) on activation {{ButtonAn|Yes}}.<br>The automatic suggestion can be changed. }}
{{var | Erlaubte IPs--S2S--desc
| Lokale Netz IP der Gegenstelle
| Local net IP of the remote terminal }}
{{var | Erlaubte IPs--S2E--desc
| IP aus dem Transfer Netz (''{{cb|…/32}} bzw. {{cb|…128}}'')
| IP of the transfer network (''{{cb|…/32}} or {{cb|…128}}'') }}
{{var | Erlaubte IPs--S2E--Hinweis
| Ein Roadwarrior verwendet ausschließlich die Tunnel-IP
| A roadwarrior uses only the tunnel IP }}
{{var | Endpunkt--val
| c.vpn.anyideas.de:51820
| c.vpn.anyideas.de:51820 }}
{{var | Endpunkt--desc
| Öffentliche IP oder im öffentlichen DNS auflösbarer FQDN mit Listening-Port der Gegenstelle
| Public IP or within the public DNS resolvable FQDN with listening-port of the remote terminal }}
{{var | Öffentlicher Schlüssel--Hinweis-Import-S2S
| Liegt der öffentliche Schlüssel der Gegenstelle noch nicht vor, kann mit dieser Schaltfläche der Import der Schlüsselverwaltung geöffnet werden.
| If the public key of the remote terminal is not yet known, this button can be used to open the import of the key management. }}
{{var | Netzwerkobjekte generieren
| Netzwerkobjekte generieren:
| Generate network objects: }}
{{var | Netzwerkgruppe
| Netzwerkgruppe:
| Network group: }}
{{var | Netzwerkgruppe--desc
| Ordnet die neu angelegten Netzwerkobjekte einer Netzwerkgruppe zu
| Assigns the newly created network objects to a network group }}
 


</div>{{select_lang}}
</div>{{select_lang}}

Aktuelle Version vom 15. Mai 2023, 15:15 Uhr





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht




















































































































































































De.png
En.png
Fr.png






Peer (Roadwarrior) zu einer Wireguard Verbindung hinzufügen
Letzte Anpassung zur Version: 12.2.2
Neu:
  • Neue Funktion
    aktualisiert
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
 -


Peer (Gegenstelle) hinzufügen

Existiert bereits eine WireGuard Verbindung, bei der die UTM als Server dient, lässt sich eine weitere Gegenstelle (Peer) hinzufügen, die auf dem selben Port läuft und das selbe Zertifikat zur Authentisierung der Verbindung verwendet, wie eine bereits bestehende Verbindung.

Für weitere Gegenstellen (Peers) wird deren eigener öffentlicher Schlüssel, sowie ein eigener PSK benötigt.

→ VPN →WireGuard Schaltfläche Peer hinzufügen der gewünschten Verbindung

UTM v12.2.2 VPN WireGuard Verbindung.png
Beschriftung Wert Beschreibung UTM v12.2.3 VPN Wireguard Peer hinzufügen.png
Name peer-rw-c Bezeichnung der Gegenstelle (hier: Ein Roadwarrior)
Erlaubte IPs: Site-to-Site »10.2.0.0/16 »fd00:b:0:0::/64 Site-to-Site
Lokale Netz IP der Gegenstelle
Roadwarrior»10.0.1.201/32»fd00:0:0:0::C9/128 Roadwarrior
IP aus dem Transfer Netz (»…/32 bzw. »…128)
  • Ein Roadwarrior verwendet ausschließlich die Tunnel-IP
    • Endpunkt: Site-to-Site
    c.vpn.anyideas.de:51820    		 Site-to-Site
    Öffentliche IP oder im öffentlichen DNS auflösbarer FQDN mit Listening-Port der Gegenstelle
    Roadwarrior
            		Roadwarrior
    Kann frei bleiben, wenn von der UTM aus keine Verbindung initiiert werden soll
    Öffentlicher Schlüssel: x25519_c_rw.vpn Öffentlicher Schlüssel der Gegenstelle im Format x25519.
    Es sind nur solche Schlüssel auswählbar, die über keinen privaten Schlüssel verfügen.
  • Öffentlicher Schlüssel vorhanden, aber nicht auswählbar?
    Es lassen sich nur Schlüssel auswählen, für die auf diesem Interface nocht keine Verbindung besteht. Der PublicKey muss innerhalb einer Verbindung eindeutig sein, da das Routing eingehender Pakete darüber durchgeführt wird.
    Soll für einen Peer der gleiche PublicKey z.B. für ein Fallback verwendet werden, muss dafür eine weitere WireGuard Verbindung angelegt werden.
    • Site-to-Site
    Liegt der öffentliche Schlüssel der Gegenstelle noch nicht vor, kann mit dieser Schaltfläche der Import der Schlüsselverwaltung geöffnet werden.
    Roadwarrior
    Liegt der öffentliche Schlüssel des Roadwarriors noch nicht vor, kann mit dieser Schaltfläche der Import der Schlüsselverwaltung geöffnet werden.
    Wir empfehlen, das Schlüsselpaar für den Roadwarrior auf der UTM zu erstellen und anschließend sicher zu verwahren.
    Vorgehen:
    1. Schaltfläche betätigen. Dies öffnet die Schlüsselverwaltung und den Import Dialog
    2. Import Dialog Schließen
    3. Schaltfläche Schlüssel hinzufügen
    4. Aussagekräftigen Namen wählen
    5. Als Typ: das Formt X25519 wählen und Speichern
    6. Öffentlichen und Privaten Teil des Schlüssels im Format RAW exportieren
      (Das Format ist wichtig, da es in der Konfigurationsdatei des Roadwarriors benötigt wird)
    7. Anschließend den öffentlichen Teil des Schlüssels wieder importieren
      (Dieser Vorgang ist erforderlich, da im Auswahldialog des Assistenten nur Schlüssel ohne privaten Schlüssel-Teil angeboten werden)
    8. Die Schlüsselverwaltung kann nun geschlossen werden und der soeben importierte öffentliche Schlüssel kann als öffentlicher Schlüssel des Peers ausgewählt werden.
      Der private Schlüssel-Teil wird auf der Gegenstelle benötigt. Er kann im WireGuard Client unter PrivateKey eingetragen werden.
    Pre-Shared Key: …QxJqz22W4/FWipaxs= Pre-Shared Key zur weiteren Absicherung der Verbindung (optional)
    Erzeugt einen sehr starken Pre-Shared Key
  • Der Pre-Shared Key muss an beiden Enden der VPN-Verbindung identisch sein!
    • Keepalive: Aus Sendet regelmäßig ein Signal. Dadurch werden Verbindungen auf NAT-Routern offen gehalten. Ein Die Aktivierung wird empfohlen.
    25Link= Abstand in Sekunden, in dem ein Signal gesendet wird
    Netzwerkobjekte generieren: Nein
    »net-wg-rw-c0 »net-wg-rw-c1    		 Erzeugt bei Aktivierung Ja Netzwerkobjekte (IPv4 und ggf IPv6) für die Gegenstelle (hier: für einen Roadwarrior)
    Der automatische Vorschlag kann auch geändert werden.
    Netzwerkgruppe: wg0-networks Ordnet die neu angelegten Netzwerkobjekte einer Netzwerkgruppe zu
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/WireGuard-Peer_v12.2.2&oldid=85787