UTM/VPN/WireGuard-Peer v12.2.2: Unterschied zwischen den Versionen

Aktuelle Version vom 15. Mai 2023, 15:15 Uhr

notempty

Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty

Der Artikel für die neueste Version steht hier

notempty

Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht

Peer (Roadwarrior) zu einer Wireguard Verbindung hinzufügen

Letzte Anpassung zur Version: 12.2.2

Neu:

Neue Funktion
aktualisiert

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

-

Peer (Gegenstelle) hinzufügen Existiert bereits eine WireGuard Verbindung, bei der die UTM als Server dient, lässt sich eine weitere Gegenstelle (Peer) hinzufügen, die auf dem selben Port läuft und das selbe Zertifikat zur Authentisierung der Verbindung verwendet, wie eine bereits bestehende Verbindung. Für weitere Gegenstellen (Peers) wird deren eigener öffentlicher Schlüssel, sowie ein eigener PSK benötigt. → VPN →WireGuard Schaltfläche Peer hinzufügen der gewünschten Verbindung


Beschriftung	Wert	Beschreibung
Name	peer-rw-c	Bezeichnung der Gegenstelle (hier: Ein Roadwarrior)
Erlaubte IPs:	Site-to-Site » ✕10.2.0.0/16 » ✕fd00:b:0:0::/64	Site-to-Site Lokale Netz IP der Gegenstelle
Erlaubte IPs:	» ✕10.0.1.201/32» ✕fd00:0:0:0::C9/128	IP aus dem Transfer Netz (» ✕…/32 bzw. » ✕…128) Ein Roadwarrior verwendet ausschließlich die Tunnel-IP
Endpunkt:	Site-to-Site c.vpn.anyideas.de:51820	Site-to-Site Öffentliche IP oder im öffentlichen DNS auflösbarer FQDN mit Listening-Port der Gegenstelle
Endpunkt:		Kann frei bleiben, wenn von der UTM aus keine Verbindung initiiert werden soll
Öffentlicher Schlüssel:	x25519_c_rw.vpn	Öffentlicher Schlüssel der Gegenstelle im Format x25519. Es sind nur solche Schlüssel auswählbar, die über keinen privaten Schlüssel verfügen. Öffentlicher Schlüssel vorhanden, aber nicht auswählbar? Es lassen sich nur Schlüssel auswählen, für die auf diesem Interface nocht keine Verbindung besteht. Der PublicKey muss innerhalb einer Verbindung eindeutig sein, da das Routing eingehender Pakete darüber durchgeführt wird. Soll für einen Peer der gleiche PublicKey z.B. für ein Fallback verwendet werden, muss dafür eine weitere WireGuard Verbindung angelegt werden.
		Site-to-Site Liegt der öffentliche Schlüssel der Gegenstelle noch nicht vor, kann mit dieser Schaltfläche der Import der Schlüsselverwaltung geöffnet werden.
		Liegt der öffentliche Schlüssel des Roadwarriors noch nicht vor, kann mit dieser Schaltfläche der Import der Schlüsselverwaltung geöffnet werden. Wir empfehlen, das Schlüsselpaar für den Roadwarrior auf der UTM zu erstellen und anschließend sicher zu verwahren. Vorgehen: Schaltfläche betätigen. Dies öffnet die Schlüsselverwaltung und den Import Dialog Import Dialog Schließen Schaltfläche Schlüssel hinzufügen Aussagekräftigen Namen wählen Als Typ: das Formt X25519 wählen und Speichern Öffentlichen und Privaten Teil des Schlüssels im Format RAW exportieren (Das Format ist wichtig, da es in der Konfigurationsdatei des Roadwarriors benötigt wird) Anschließend den öffentlichen Teil des Schlüssels wieder importieren (Dieser Vorgang ist erforderlich, da im Auswahldialog des Assistenten nur Schlüssel ohne privaten Schlüssel-Teil angeboten werden) Die Schlüsselverwaltung kann nun geschlossen werden und der soeben importierte öffentliche Schlüssel kann als öffentlicher Schlüssel des Peers ausgewählt werden. Der private Schlüssel-Teil wird auf der Gegenstelle benötigt. Er kann im WireGuard Client unter PrivateKey eingetragen werden.
Pre-Shared Key:	…QxJqz22W4/FWipaxs=	Pre-Shared Key zur weiteren Absicherung der Verbindung (optional)
Pre-Shared Key:		Erzeugt einen sehr starken Pre-Shared Key Der Pre-Shared Key muss an beiden Enden der VPN-Verbindung identisch sein!
Keepalive:	Aus	Sendet regelmäßig ein Signal. Dadurch werden Verbindungen auf NAT-Routern offen gehalten. Ein Die Aktivierung wird empfohlen.
Keepalive:	25	Abstand in Sekunden, in dem ein Signal gesendet wird
Netzwerkobjekte generieren:	Nein » ✕net-wg-rw-c0 » ✕net-wg-rw-c1	Erzeugt bei Aktivierung Ja Netzwerkobjekte (IPv4 und ggf IPv6) für die Gegenstelle (hier: für einen Roadwarrior) Der automatische Vorschlag kann auch geändert werden.
Netzwerkgruppe:	wg0-networks	Ordnet die neu angelegten Netzwerkobjekte einer Netzwerkgruppe zu

@@ Zeile 891: / Zeile 891: @@
 {{var	| head
 		| Peer (Roadwarrior) zu einer Wireguard Verbindung hinzufügen
-		| Add peer (Roadwarrior) to an existing WireGuard connection }}
+		| Add  peer to an existing WireGuard conection }}
 {{var	| Peer hinzufügen
 		| Peer (Gegenstelle) hinzufügen
-		| Add peer (remote terminal) }}
+		| Add (remote terminal) Peer }}
 {{var	| Peer hinzufügen--desc
 		| Existiert bereits eine WireGuard Verbindung, bei der die UTM als Server dient, lässt sich eine weitere Gegenstelle (Peer) hinzufügen, die auf dem selben Port läuft und das selbe Zertifikat zur Authentisierung der Verbindung verwendet, wie eine bereits bestehende Verbindung.
@@ Zeile 904: / Zeile 904: @@
 		| 3={{Menu|VPN|WireGuard}} Button {{Button||+}} <span class=Hover>Add peer</span> of the connection you want to use }}
 {{var	| Peer hinzufügen--Bild
-		| UTM v12.4 VPN Wireguard Peer hinzufügen.png
+		| UTM v12.2.3 VPN Wireguard Peer hinzufügen.png
-		| UTM v12.4 VPN Wireguard Peer hinzufügen-en.png }}
+		| UTM v12.2.3 VPN Wireguard Peer hinzufügen-en.png }}
 {{var	| Peer hinzufügen--cap
 		|
@@ Zeile 922: / Zeile 922: @@
 		| Public key of the remote terminal in the x25519 format.<br>Only keys that have '''no''' private key can be selected. }}
 {{var	| Netzwerkobjekte C generieren--desc
-		| Erzeugt bei Aktivierung {{ButtonAn|Ja}} Netzwerkobjekte (IPv4 und ggf IPv6) für die Gegenstelle
+		| Erzeugt bei Aktivierung {{ButtonAn|Ja}} Netzwerkobjekte (IPv4 und ggf IPv6) für die Gegenstelle (hier: für einen Roadwarrior)<br>Der automatische Vorschlag kann auch geändert werden.
-		| When activated {{ButtonAn|Ja}} network objects (IPv4 and if necessary IPv6) for the remote terminal are generated }}
+		| Generates network objects (IPv4 and if necessary IPv6) for the remote terminal (here: for a roadwarrior) on activation {{ButtonAn|Yes}}.<br>The automatic suggestion can be changed. }}
 {{var	| Erlaubte IPs--S2S--desc
 		| Lokale Netz IP der Gegenstelle
@@ Zeile 934: / Zeile 934: @@
 		| A roadwarrior uses only the tunnel IP }}
 {{var	| Endpunkt--val
-		| c.vpn.anyideas.de
+		| c.vpn.anyideas.de:51820
-		| c.vpn.anyideas.de }}
+		| c.vpn.anyideas.de:51820 }}
 {{var	| Endpunkt--desc
 		| Öffentliche IP oder im öffentlichen DNS auflösbarer FQDN mit Listening-Port der Gegenstelle
@@ Zeile 943: / Zeile 943: @@
 		| If the public key of the remote terminal is not yet known, this button can be used to open the import of the key management. }}
 {{var	| Netzwerkobjekte generieren
-		| Netzwerkobjekte für den Peer erstellen:
+		| Netzwerkobjekte generieren:
-		| Generate network objects for peer: }}
+		| Generate network objects: }}
 {{var	| Netzwerkgruppe
 		| Netzwerkgruppe:
@@ Zeile 951: / Zeile 951: @@
 		| Ordnet die neu angelegten Netzwerkobjekte einer Netzwerkgruppe zu
 		| Assigns the newly created network objects to a network group }}
-{{var	| Endpunkt Port aus Verbindung--desc
-		| Der Port wird bereits durch die Einstellungen der übergeordneten Verbindung festgelegt und ist hier vorgegeben
-		| The port is already defined by the settings of the parent connection and is predefined here }}
-{{var	| Servernetzwerke freigeben
-		| Servernetzwerke freigeben:
-		| Share server networks: }}
-{{var	| Servernetzwerke freigeben--desc
-		| Netzwerke auf (lokaler) Serverseite, auf die der WireGuard-Tunnel '''dieses''' Peers prinzipiell zugreifen kann.
-		| Networks on the (local) server side to which the WireGuard tunnel of '''this''' peer can access in principle. }}
-{{var	| Routen zu den Peers
-		| Routen zu den Netzwerken des Peers erstellen / entfernen:
-		| Create / remove routes to the peer's networks: }}
-{{var	| Routen zu den Peers--desc
-		| Erstellt bei Aktivierung {{ButtonAn|{{#var:ja}} }} Routen zu den Netzwerken des Peers
-		| Creates on activation {{ButtonAn|{{#var:yes}} }} routes to the peer's networks }}
-{{var	| Routen zu den Peers--CLI
-		| CLI-Befehl für jedes Element aus ''Erlaubte IPs'': {{Kasten| route new src "" router "wg0" dst "{{cb|Erlaubte IP}}"|blau}}
-		| CLI command for each element from ''Allowed IPs'': {{Kasten| route new src "" router "wg0" dst "{{cb|Allowed IP}}"|blau}} }}
-{{var	| Netzwerkobjekte für den Peer
-		| Netzwerkobjekte für den Peer:
-		| Network objects for the peer: }}
-{{var	| Netzwerkobjekte für den Peer--desc
-		| Der automatische Vorschlag (wg-net-''Peer-Name'') kann auch geändert werden
-		| The automatic default name (wg-net-''Peer-Name'') can be changed }}