Konfiguration Wireguard

Zitat von Borgqueen

Wenn ich auch Mal wieder was zum Thema beitragen darf.

Am liebsten ist mir alles was ich rein per ssh und Konsole konfigurieren kann und es danach auch noch funktioniert am liebsten.
Bei Web-Portale die auf Systemdateien zugreifen können wird es mir stets mulmig in der Magengegend ob die im schlimmsten Fall gehackt werden können.

Dann findest du im Netz ganz viele Beispiele zur Conf.-Datei.

Die UI lässt man i.d.R. local laufen. D.h. Du kannst nur auf die Web-Oberfläche zugreifen, wenn du selbst mit deinem WireGuard verbunden bist.

Von mir aus könnt ihr euch auch noch Wordpress dahinter schnallen… mir macht das nix.

Aber da solche Anleitungen in der Mehrheit von Unerfahrenen befolgt werden, teile ich hier mit, was ich davon halte.

Zudem hatte Bud diesen Fehler, weil er sich an diese fiasko'sche anleitung gehalten hat.

Für die, die meine Kritik nicht verstehen:

Es geht um Punkte 4-5 der Anleitung – NICHT, ich wiederhole, NICHT um wireguard-ui.

OK. Das kann ich nachvollziehen.

Ja. Man hätte in die Anleitung durchaus die Empfehlung einbauen können, die GUI nicht ständig laufen zu lassen, sondern nur bei Bedarf zu starten und danach wieder abzuschalten. (Dazu braucht man dann auch keinen service. Oder mobile Clients)

Das Management der Keys etc bei Wireguard ist ja durchaus lästig, Meshes sind damit eher schwierig, sondern eher ein Stern machbar. Daher gibt es zahlreiche controllerbasierte VPNs auf Wireguardbasis, die diesen lästigen Teil übernehmen und deutlich angenehmer zu konfigurieren sind.

Wenn Du OSS, selbst hosted und Konsole haben willst, wäre https://github.com/juanfont/headscale wohl hier ideal (mit Tailscale Clients nutzbar). Wenn man doch noch eine GUI haben will, dann https://github.com/ifargle/headscale-webui .

Wenn Du noch ein OSI Layer tiefer gehen willst, dann kann man https://www.zerotier.com/ nehmen, mit selbst hostbarem Controller https://github.com/key-networks/ztncui .

Wireguard can be a right pain, however i use two docker containers and it became a breeze and you can throw up instances really quickly. To be fair i run 4 dockers as i use NPM for SSL certs and proxying and 1 Authelia Docker to put the webui behind 2FA) however technically you can spin up the 2 dockers for Wireguard and Wireguard UI, do all your config in the ui (including downloading the connection files or scanning QR codes if mobile) and then just stop the wireguard UI docker until you need to add delete or make other changes. Doing it the latter way would take no time at all (up and running in less than 5 mins) and i can post the working docker run commands if any one is interested.

Zitat von Borgqueen

Wenn ich auch Mal wieder was zum Thema beitragen darf.

Am liebsten ist mir alles was ich rein per ssh und Konsole konfigurieren kann und es danach auch noch funktioniert am liebsten.
Bei Web-Portale die auf Systemdateien zugreifen können wird es mir stets mulmig in der Magengegend ob die im schlimmsten Fall gehackt werden können.

Ich kann Dir wg-quick empfehlen für einfache use-cases, das ist gleich bei der wireguard Installation bei Debian dabei: https://wiki.debian.org/WireGu…figuration_-_Debian_Peers

Das erstellen der Schlüsselpaare kann man z.B. per Bash-Script automatisieren und in die WireGuard-Config schreiben lassen, nach reload des wg-quick@<interface>.service Dienstes ist ein neu hinzugefügter Peer aktiv auf dem Server. Per qrencode lässt sich die Clientconfig auch sehr einfach auf Mobile-Devices übertagen. Habe ich so im Einsatz und einfacher geht es kaum (imho).

Zitat von Borgqueen

Hallo VeePay,

Ich bekam bedingt Deiner Zeilen folgendes:

Da gefällt meinem Rechner Zuhause (Debian 12) irgendwas nicht.

Wie bereits erwähnt nutze ich nur die UFW und nicht iptables

Das PostUp bzw PostDown muss in eine Zeile in der wg-config, z.B.

PostUP = ufw route allow in on wg0 out on eth0; iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE; ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

ufw ist auch nur ein Frontend für iptables/nftables nur nebenbei..

Gruß

Irrwisch