usługi prawne, ochrona danych, bezpieczne systemy informatyczne

ich war hier: WireGuard

Version [3068]

Dies ist eine alte Version von WireGuard erstellt von WojciechLisiewicz am 2021-03-26 15:41:48.

 

VPNs mit WireGuard

die schnelle Alternative zu alten VPN-Technologien

Eine Diskussion über Vor- und Nachteile dieses (auf jeden Fall spannenden) Projektes wird hier nicht geführt. Es hat auf jeden Fall einige Vorteile, die wir gern nutzen. Selbstverständlich muss man alles richtig einstellen, damit WireGuard
  1. überhaupt funktioniert
  2. keine Sicherheitslücken entstehen


A. WireGuard mit OPNsense
Die Beschreibung unter https://docs.opnsense.org/manual/how-tos/wireguard-client.html und auf den anderen OPNsense-Seiten zu WireGuard ist alles sehr gut beschrieben. Wenn man die Schritte befolgt, funktioniert alles in der Regel gut.
Einige Probleme mit DNS gab es dennoch:

1. Einwahl ins lokale LAN hinter OPNsense
Der Zugriff auf die Geräte hinter OPNsense funktioniert bereits, nachdem man die Beschreibung bis einschließlich "Step 2b" umgesetzt hat. Man kann dann problemlos auf Geräte im lokalen Netzwerk zugreifen. Bei eingeschalteter WG-verbindung ist aber kein Zugriff (vom Client aus - getestet mit einem Macbook) auf Internet möglich.
Die Einstellungen im WG-Client haben dann keinen Einfluss darauf - was im unten markierten Bereich eingegeben wird, ist egal:

#client config macbook
[Interface]
PrivateKey = <xxx>
ListenPort = 52011
Address = 10.10.10.11/32
DNS = <x.x.x.x>

[Peer]
PublicKey = <xxx>
AllowedIPs = 0.0.0.0/0
Endpoint = my domain.com:51821
PersistentKeepalive = 25



2. Schritt 2c nicht vergessen
Ohne die unter Schritt 2c beschriebene Zuordnung zum WG-Interface funktionierte nicht mal das Routing nach außen. Kann eventuell an der Multi-WAN-Konfiguration liegen, die hier vorlag.

Befolgt man "Step 2c" (in unserem Fall bis einschließlich Festlegung des dynamischen Gateways), wird bei bestehender Verbindung ein Zugriff auf das Internet möglich - zumindest unabhängig von der Einstellung zum DNS-Server.
Verweist der DNS-Eintrag im Client (siehe oben) aber auf den lokalen OPNsense-DNS (Beispiel: 10.1.0.1), funktioniert DNS beim Client nicht. Nimmt man im Client den eigenen DNS, ist alles kein Problem:
  • Zugriff auf LAN einer OPN funktioniert,
  • Zugriff auf das Internet beim eingeschalteten Tunnel funktioniert,
  • Internet-Zugriff scheint gar nicht über den Tunnel zu laufen (weniger Datendurchsatz, als vorher)
Für unseren Bedarf ist das OK, weil WG eher für sicheren Zugriff auf LAN-Geräte gedacht ist - aber sich auch für den Internet-Zugriff hinter der OPNsense zu verstecken müssen wir noch feilen...
Insofern führte die Beschreibung bei uns (multi-WAN?) zu keinem vollen Erfolg im Hinblick auf DNS.

Wichtig: jegliche Änderungen der Einstellungen - auch Routen und Firewall-Regeln etc. - wirken erst dann, nachdem unter VPN => WireGuard => General die Funktionalität aus- und wieder eingeschaltet wurde...

to be continued
Auf dieser Seite sind keine Kommentare vorhanden
Valid XHTML  |  Valid CSS  |  Powered by WikkaWiki