Allgemeine Fragen zu Wireguard (Sammlung)

**BlackSpy** · May 10, 2023 at 9:58 AM

Da nach den neusten FW Updates für UDM/Pro nun Wireguard ein Thema ist, wollte ich hier einen allgemeinen Post starten, wo Wireguard fragen rein kommen.

Ich selbst muss mich auch erst in WG einarbeiten.

Grade mit den Config Dateien kann man viel anstellen und natürlich auch viel Unfug treiben.

Von mir eine allgemeine Frage:

Es scheint mir möglich zB WG Client auf dem Smartphone/Laptop laufen zu lassen und nur den Traffic zum WG Server, ins eigene Netz zu Tunneln. Der Rest läuft ganz normal über das Netz.

Korrekt? wenn ja wie setzt man es am besten um?

**BlackSpy** · May 10, 2023 at 10:06 AM

Link Sammlung:

Post

RE: VPN via Wireguard nur für bestimmte Netze

Ja. WENN der DNS die öffentlichen Hosts auflöst, ist es unter gewissen Umständen (die wir nicht kennen) sogar ratsam, es unter allowed einzutragen, als den google DNS unter DNS Server.

skippa78

May 10, 2023 at 10:00 AM

Thread

Wireguard läuft nicht mehr

Hallo Leute,

geht euer Wirguard auf der UDM SE noch ? Erst ist aus auf meinem iPad ausgefallen und jetzt geht gar kein Gerät mehr. Habe die config gelöscht und neu hinzugefügt... nix.

Verbindung steht, aber keine Daten. Es besteht eine VPN aber es werden keine Daten geroutet .

Network 7.4.150

Dream Machine Special Edition (UDM-SE) offen integriert Privat

tomtim

April 28, 2023 at 12:44 PM

skippa78 · May 10, 2023 at 10:06 AM

Code

[Interface]
PrivateKey = <PrivateKey>
Address = <VPN-Netz>/32
DNS = <DNS-Server-IP>


[Peer]
PublicKey =<PublicKey>
AllowedIPs = <Netz1>/24,<Netz2>/24,[...],<DNS-Server-IP>/32
Endpoint = <DynDNS-Adresse>:<WG-Port>

Für den Fall, dass der lokale DNS öffentliche Hostnamen auflösen kann.

Edit: Falls der DNS-Server sich in den schon genannten Netzen unter AllowedIPs befindet, muss er natürlich dort nicht explizit genannt werden.

jkasten · May 10, 2023 at 10:17 AM

Gute Idee! Gerade die Config sorgt ja regelmäßig für Verwirrung.

Hier meine Config:

Code

[Interface]
PrivateKey = xxxxxxxxxxxxxx
Address = 192.168.4.3/32
DNS = 192.168.3.240


[Peer]
PublicKey = xxxxxxxxxxxxxx
AllowedIPs = 192.168.4.1/32, 192.168.4.3/32, 0.0.0.0/1, 128.0.0.0/1
Endpoint = xxxxxxxxxxxx:23425

skippa78 · May 10, 2023 at 10:18 AM

Quote from jkasten
Gute Idee! Gerade die Config sorgt ja regelmäßig für Verwirrung.
Hier meine Config:
Code
[Interface]
PrivateKey = xxxxxxxxxxxxxx
Address = 192.168.4.3/32
DNS = 192.168.3.240


[Peer]
PublicKey = xxxxxxxxxxxxxx
AllowedIPs = 192.168.4.1/32, 192.168.4.3/32, 0.0.0.0/1, 128.0.0.0/1
Endpoint = xxxxxxxxxxxx:23425

Und die lässt den Traffic für ALLES durch das VPN laufen. Das kann in gewissen Fällen auch sinnvoll sein. Man kann es aber im Übrigen auch anders schreiben.

Wichtig ist noch zu wissen, dass es KEINE Config gibt, die für jeden und jeden Anwendungsfall passt. Das hier sind alles nur Beispiele. Man muss sich selbst überlegen, was man tun möchte. Das Denken kann niemand für den anderen tun.

**BlackSpy** · May 10, 2023 at 10:31 AM

Wird hier ersteinmal ein wenig durcheinander sein, könnte man aber ein Wiki draus machen.

Finde das wäre auch wichtig:

Hinter einer Firewall oder NAT könnte es nützlich sein in der Client Konfig unter Peer:

Code

[Peer]
PersistentKeepalive = 25

Zu zufügen.

skippa78 · May 10, 2023 at 10:35 AM

Abseits von der Config wäre noch zu erwähnen, dass man das VPN auch mit LAN-Out Regeln in einem Unifi-Router reglementieren kann.

**BlackSpy** · May 10, 2023 at 4:22 PM

Was hat es mit dem PresharedKey auf sich? und wie verwendet man ihn?

Bisher war immer nur vom PublicKey und PrivatKey die Rede.

skippa78 · May 10, 2023 at 8:38 PM

Pre-Shared Key gehört zu L2TP VPN und nicht zu Wireguard. Wie kommst du drauf?

**BlackSpy** · May 10, 2023 at 8:57 PM

Gibt es schon, warte ich suche einen Link, klingt interessant

https://ubuntu.com/server/docs/wireguard-vpn-security

skippa78 · May 10, 2023 at 8:58 PM

Ich meine in Bezug auf Unifi. Da ist der bei Wireguard nicht nutzbar, soweit ich weiß.

**BlackSpy** · May 10, 2023 at 9:04 PM

Das wäre schade. Bin zZ im Urlaub kann daher erst in der Firma am 19.5 die neue FW einspielen und testen.

Grundsätzlich halte ich es für eine gute Idee mit dem Zusatz key.

skippa78 · May 10, 2023 at 9:09 PM

Habe mich auch vertan. Er ist nutzbar. Es hat bloß am Anfang nicht funktioniert und ich habe nicht getestet, ob es jetzt funktioniert. Ich hatte das im Kopf falsch verdrahtet.

**razor** · May 12, 2023 at 6:27 PM

Quote from skippa78

Habe mich auch vertan. Er ist nutzbar. Es hat bloß am Anfang nicht funktioniert und ich habe nicht getestet, ob es jetzt funktioniert. Ich hatte das im Kopf falsch verdrahtet.

Geht. Habe ich mit einer Site im Einsatz.

Allgemeine Fragen zu Wireguard (Sammlung)

RE: VPN via Wireguard nur für bestimmte Netze

Wireguard läuft nicht mehr

Participate now!

Users Viewing This Thread