Konfiguration Wireguard

  • Hallo zusammen,


    Frage zu Wireguard (habe bis dato keine Erfahrung damit).


    Habe ich es soweit richtig verstanden, dass ich auf jeden Rechner auf dem ich Wireguard nutzen möchte die *.key und *.pub für Client & Server erzeugen und konfigurieren muss, wenn alle zukünftig über Wireguard kommunizieren sollen?


    Das würde dann beudeuten, dass jeder der Rechner zwar selbst ein Wireguard-Server ist aber eine Liste von *.pub der restlichen Rechner hat auf die er zugreifen darf/kann/soll.


    Oder habe ich da was missverstanden?

    Ich bin der Anfang, das Ende, die Eine, die Viele ist.

    Ich bin die Borg.

  • Nicht ganz. Du erzeugst nur auf deinem Wireguard Server die .key und .pub und ergänzt deine Wireguard-Conf auf dem Server.

    Auf dem Endgerät lädst du dir den Client runter und importierst eine Conf.-Datei.

    Um das alles etwas zu vereinfachen gibt es auf Git eine Wireguard-UI um die ganze config über den Webbrowser zu konfigurieren und auf dem Endgerät via QR-Code einzurichten.


    Hier ist z.b. eine Anleitung

    https://adminforge.de/linux-allgemein/vpn/wireguard-vpn-server-mit-web-interface-einrichten/

  • Hier kann man sich auch mal testweise ein paar Beispiel-Configs generieren lassen: https://www.wireguardconfig.com/
    Ob ich die dann unbedingt produktiv verwenden würde... ich weiß nicht. Aber so bekommt man eine gute Vorstellung davon, wo welche Config hin muss.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

  • Nach dieser versuche ich es schon seit geraumer Zeit, kann mich aber nichts ins GUI einloggen. Es erscheint kurz „Login Successfully“, aber ein Login findet nicht statt.

    Den Server neu aufsetzten hat nichts gebraucht. Restart des wireguard-ui hat nichts gebracht. - Nach weiteren Lösungsansätzen suche ich.

    [RS] 2000 G9 | 500 G8 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

  • Code
    sudo service wgui-web restart

    Mach nen Neustart vom Service.

    Beim Serverneustart startet er die ui nicht automatisch nei

    Ich heule! ;(

    Ich will gar nicht aufzählen, was ich schon alles versucht habe und wie lang ich recherchiert habe... Und wieder stell ich mir die Frage: Woher soll man soetwas wissen? :|

    [RS] 2000 G9 | 500 G8 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

  • Ich heule! ;(

    Ich will gar nicht aufzählen, was ich schon alles versucht habe und wie lang ich recherchiert habe... Und wieder stell ich mir die Frage: Woher soll man soetwas wissen? :|

    Hättest doch gleich gefragt :D

    Das Problem hatte ich ebenfalls aber bin recht schnell auf den Neustart vom Service gekommen ;)

  • aber bin recht schnell auf den Neustart vom Service gekommen ;)

    Ich ja eigentlich auch, aber mittels sudo systemctl restart wgui.path und sudo systemctl restart wgui.service - was keine Änderung brachte.

    Gut ist aber, dass mein Tunnel (zum Smartphone) zwar offensichtlich schon steht, aber nicht funktioniert und auch nicht im WG-UI bei Status auftaucht ^^

    ah shit, here we go again.

    [RS] 2000 G9 | 500 G8 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

  • Wie verträgt sich folgende Einstellungen


    Quote
    Damit die VPN Clients auch ins Internet können, tragen wir bei Post Up Script diese Zeile ein (anstelle eth0 trage dein öffentliches Interface vom Server ein:(

    iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Bei Post Down Script (anstelle eth0 trage dein öffentliches Interface vom Server ein:(

    iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE Save anklicken Im Menü auf Wireguard Clients gehen

    Wenn ich die UFW-Firewall vewende und nicht iptables?

    Ich bin der Anfang, das Ende, die Eine, die Viele ist.

    Ich bin die Borg.

  • Code
    PostUP:
    ufw route allow in on wg0 out on eth0; iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE; ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
    
    PostDOWN:
    ufw route delete allow in on wg0 out on eth0; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
  • Code
    PostUP:
    ufw route allow in on wg0 out on eth0; iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE; ip6tables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
    
    PostDOWN:
    ufw route delete allow in on wg0 out on eth0; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE; ip6tables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

    Danke für die passenden Zeilen für UFW

    Ich bin der Anfang, das Ende, die Eine, die Viele ist.

    Ich bin die Borg.

  • Nicht ganz. Du erzeugst nur auf deinem Wireguard Server die .key und .pub und ergänzt deine Wireguard-Conf auf dem Server.

    Ich tue mich bei Wireguard schwer mit den Begriffen Server und Client. Im Grunde kommunizieren da zwei oder mehr gleichberechtigte Partner miteinander, und jeder öffnet einen Server Port, auf dem die jeweiligen Partner als Client zugreifen.


    Deshalb ist es auch egal, wo die Keys erzeugt werden, solange am Ende jeder Knoten seinen (und nur seinen!) Private Key hat und alle anderen Knoten den zugehörigen Public Key.


    Das würde dann beudeuten, dass jeder der Rechner zwar selbst ein Wireguard-Server ist aber eine Liste von *.pub der restlichen Rechner hat auf die er zugreifen darf/kann/soll.

    Exakt so ist es richtig.


    Natürlich wird man häufig auf Konstellationen treffen, in denen es einen zentralen Knoten gibt, auf den alle zugreifen, und der dann die Daten verteilt. Der heißt dann häufig Server, aber schon Cisco nannte seine VPN Server "Concentrator", und der Begriff passt deutlich besser.

    Aber man kann mit Wireguard auch wundervolle dezentrale Netze bauen, in denen die jeweiligen Peers direkt miteinander reden. Kann aus Performance-Sicht vielleicht sogar vorteilhaft sein, wenn der Hop über den Concentrator entfällt. Schwierig wird es, wenn keiner der beiden Nodes eine öffentliche IP hat, dann ist eine zentrale Instanz, die von überall erreichbar ist, natürlich wertvoll.


    Wenn ich die UFW-Firewall vewende und nicht iptables?

    Willst du wirklich NAT verwenden? Das solltest du anhand deiner Anwendungsfälle noch mal kritisch prüfen. Das braucht man längst nicht so oft, wie es die gängigen Tutorials erwarten lassen. Eigentlich gibt es nur einen Grund dafür, nämlich Internetzugriff über VPN. In allen anderen Fällen ist es eher kontraproduktiv.

  • Mach nen Neustart vom Service.

    Beim Serverneustart startet er die ui nicht automatisch nei

    Diese Anleitung ist doch ein einziges Fiasko.

    Wer läßt denn bittschön ein Konfigurations-UI, welches nur unregelmäßig gebraucht wird, ständig mitlaufen?!

    »Hauptsache BogoMIPS!«

    Fleischfresser

    Edited once, last by Olivetti ().

  • Diese Anleitung ist doch ein einziges Fiasko.

    Wer läßt denn bittschön ein Konfigurations-UI, welches nur unregelmäßig gebraucht wird, ständig mitlaufen?!

    Und?

    Du kannst das UI lokal auf deiner WG Instanz laufen lassen, sodass es von außen nicht erreichbar ist oder deaktiviert den Service nach erfolgter Konfiguration

  • Sry aber das ist doch jedem seine Sache, ob er diesen Dienst nutzen möchte oder nicht. Hier wurde von Anfang an geschrieben, dass es die Konfiguration erleichtert und nicht mehr. Es ist schön, dass du nichts davon hältst aber andere scheinbar schon.

    Zudem habe ich Bud lediglich bei einem Fehler geholfen.


    Nichts für ungut Olivetti.

  • :whistling: Wenn ich auch Mal wieder was zum Thema beitragen darf.


    Am liebsten ist mir alles was ich rein per ssh und Konsole konfigurieren kann und es danach auch noch funktioniert am liebsten.
    Bei Web-Portale die auf Systemdateien zugreifen können wird es mir stets mulmig in der Magengegend ob die im schlimmsten Fall gehackt werden können.

    Ich bin der Anfang, das Ende, die Eine, die Viele ist.

    Ich bin die Borg.

  • Am liebsten ist mir alles was ich rein per ssh und Konsole konfigurieren kann und es danach auch noch funktioniert am liebsten.

    Endlich normale Menschen! Mir geht dieser ganze Clicki-Bunti Kram auch auf die Nerven. Von mir aus könnte auch das Infotainment System in meinem Auto eine bash als Eingabemedium haben.