Wireguard - Client- und Netzwerk-Konfiguration

Es gibt 6 Antworten in diesem Thema, welches 594 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

  • Hallo in die Runde,


    nach dem ich zum Jahreswechsel auf ein UCG-Ultra umgestiegen bin, habe ich meine Wireguard-Funktion aus einer VM auf das Gateway umgezogen. Dabei habe ich mehrere Fragen die ich mir leider nicht selber beantworten konnte:


    1.) Ein Wireguard Client hat automatisch vollen Zugriff auf alle Clients im "Default" Netzwerk - Kann man das unterbinden / Granularer steuern? In den Firewall-Regeln tauch VPN bzw. das VPN Netzwerk nicht automatisch auf und daher bin ich mir unsicher, wie man sich der Hersteller hier die Konfiguration "wünscht".


    2.) Das Hinzufügen eines Clients mit Pre-Shared Key funktioniert bei mir die automatische Konfiguration per QR scheinbar nicht. Lass ich die Option weg geht es. Ist das ein Bug?


    Ich hoffe, dass ich diese Frage im Forum nicht existieren und ich sie per Suche nicht gefunden habe.

    Danke im Voraus!


    Gruß

    Erdnuckl

  • Das Hinzufügen eines Clients mit Pre-Shared Key funktioniert bei mir die automatische Konfiguration per QR scheinbar nicht. Lass ich die Option weg geht es. Ist das ein Bug?

    Wohl dann aber in deiner Client Software....

    Hab mir grade den QR code angeschaut... der ist identisch mit der conf zum download. und in beiden ist der Presharedkey mit drinnen.

    Einmal editiert, zuletzt von gierig ()

  • Das ist ein Feature welches ich mir auch wünsche, eine Zuteilung eines VPN-Users in ein VLAN.


    Evtl. per Firewall rule?

    Wie soll ein VPN User in ein VLAN gestopft werden? Der ist ja nun mal im VPN Netz ... da geroutet wird kommt natürlich die Firewall ins Spiel ...


    Per Default ohne alles kann jeder VPN CLient auf alle Adressen in jedem VLAN. Man kann es wie swag vorschlägt machen und mehrere WG Server für unterschiedliche Gruppen von Usern machen. Da jeder WG Client aber seine eigene IP hat, könnte man es auch darüber regeln oder eine Kombination aus beiden.


    Für die Kommunikation des Clients mit einem Gerät in einem lokalen Netzwerk, wird auch der Rückweg für die Antwortpakete benötigt. Man kann also alles von lokalen Server (Source) zu VPN Client IP (Target) Dropen. Das sollte helfen und hat schon früher funktioniert. Irgendwie war ja immer etwas unklar wo die VPN Clients in der Firewall eingebunden waren. Bei der neuen ZBF gibts ja zumindest eine Zone VPN wenn ich nicht irre.

  • Ich vermute die waren im lan local (nun gateway) DoPe hattest Du das mal ausprobiert?

    Ich hab das nie ganz untersucht aber mit kurz mal rumprobieren war nicht so richtig klar erkennbar wo die Clients an die Firewall getüddelt sind. Wäre auch denkbar, dass die schon immer in einer "Zone" hingen, die in der GUI nicht konfigurierbar ist. Ich habe in der Regel einfach den Rückweg blockiert. Also eine Regel die related und allowed vom Zielnetz zum WG Clientnetz oder auch konkrete Client IP dropped und vor der üblichen alle IPs dürfen allen IPs antworten.