Allgemeine Fragen zu Wireguard (Sammlung)

**BlackSpy** · 10. Mai 2023

Da nach den neusten FW Updates für UDM/Pro nun Wireguard ein Thema ist, wollte ich hier einen allgemeinen Post starten, wo Wireguard fragen rein kommen.

Ich selbst muss mich auch erst in WG einarbeiten.

Grade mit den Config Dateien kann man viel anstellen und natürlich auch viel Unfug treiben.

Von mir eine allgemeine Frage:

Es scheint mir möglich zB WG Client auf dem Smartphone/Laptop laufen zu lassen und nur den Traffic zum WG Server, ins eigene Netz zu Tunneln. Der Rest läuft ganz normal über das Netz.

Korrekt? wenn ja wie setzt man es am besten um?

**BlackSpy** · 10. Mai 2023

Link Sammlung:

Beitrag

RE: VPN via Wireguard nur für bestimmte Netze

Ja. WENN der DNS die öffentlichen Hosts auflöst, ist es unter gewissen Umständen (die wir nicht kennen) sogar ratsam, es unter allowed einzutragen, als den google DNS unter DNS Server.

skippa78

10. Mai 2023

Thema

Wireguard läuft nicht mehr

Hallo Leute,

geht euer Wirguard auf der UDM SE noch ? Erst ist aus auf meinem iPad ausgefallen und jetzt geht gar kein Gerät mehr. Habe die config gelöscht und neu hinzugefügt... nix.
Verbindung steht, aber keine Daten. Es besteht eine VPN aber es werden keine Daten geroutet .

Network 7.4.150

ubiquiti-networks-forum.de/attachment/19465/

tomtim

28. April 2023

**skippa78** · 10. Mai 2023

Code

[Interface]
PrivateKey = <PrivateKey>
Address = <VPN-Netz>/32
DNS = <DNS-Server-IP>


[Peer]
PublicKey =<PublicKey>
AllowedIPs = <Netz1>/24,<Netz2>/24,[...],<DNS-Server-IP>/32
Endpoint = <DynDNS-Adresse>:<WG-Port>

Für den Fall, dass der lokale DNS öffentliche Hostnamen auflösen kann.

Edit: Falls der DNS-Server sich in den schon genannten Netzen unter AllowedIPs befindet, muss er natürlich dort nicht explizit genannt werden.

**jkasten** · 10. Mai 2023

Gute Idee! Gerade die Config sorgt ja regelmäßig für Verwirrung.

Hier meine Config:

Code

[Interface]
PrivateKey = xxxxxxxxxxxxxx
Address = 192.168.4.3/32
DNS = 192.168.3.240


[Peer]
PublicKey = xxxxxxxxxxxxxx
AllowedIPs = 192.168.4.1/32, 192.168.4.3/32, 0.0.0.0/1, 128.0.0.0/1
Endpoint = xxxxxxxxxxxx:23425

**skippa78** · 10. Mai 2023

Zitat von jkasten
Gute Idee! Gerade die Config sorgt ja regelmäßig für Verwirrung.

Hier meine Config:
Code
[Interface]
PrivateKey = xxxxxxxxxxxxxx
Address = 192.168.4.3/32
DNS = 192.168.3.240


[Peer]
PublicKey = xxxxxxxxxxxxxx
AllowedIPs = 192.168.4.1/32, 192.168.4.3/32, 0.0.0.0/1, 128.0.0.0/1
Endpoint = xxxxxxxxxxxx:23425

Und die lässt den Traffic für ALLES durch das VPN laufen. Das kann in gewissen Fällen auch sinnvoll sein. Man kann es aber im Übrigen auch anders schreiben.

Wichtig ist noch zu wissen, dass es KEINE Config gibt, die für jeden und jeden Anwendungsfall passt. Das hier sind alles nur Beispiele. Man muss sich selbst überlegen, was man tun möchte. Das Denken kann niemand für den anderen tun.

**BlackSpy** · 10. Mai 2023

Wird hier ersteinmal ein wenig durcheinander sein, könnte man aber ein Wiki draus machen.

Finde das wäre auch wichtig:

Hinter einer Firewall oder NAT könnte es nützlich sein in der Client Konfig unter Peer:

Code

[Peer]
PersistentKeepalive = 25

Zu zufügen.

**skippa78** · 10. Mai 2023

Abseits von der Config wäre noch zu erwähnen, dass man das VPN auch mit LAN-Out Regeln in einem Unifi-Router reglementieren kann.

**BlackSpy** · 10. Mai 2023

Was hat es mit dem PresharedKey auf sich? und wie verwendet man ihn?

Bisher war immer nur vom PublicKey und PrivatKey die Rede.

**skippa78** · 10. Mai 2023

Pre-Shared Key gehört zu L2TP VPN und nicht zu Wireguard. Wie kommst du drauf?

**BlackSpy** · 10. Mai 2023

Gibt es schon, warte ich suche einen Link, klingt interessant

WireGuard VPN - Security Tips | Ubuntu

Ubuntu is an open source software operating system that runs from the desktop, to the cloud, to all your internet connected things.

ubuntu.com

**skippa78** · 10. Mai 2023

Ich meine in Bezug auf Unifi. Da ist der bei Wireguard nicht nutzbar, soweit ich weiß.

**BlackSpy** · 10. Mai 2023

Das wäre schade. Bin zZ im Urlaub kann daher erst in der Firma am 19.5 die neue FW einspielen und testen.

Grundsätzlich halte ich es für eine gute Idee mit dem Zusatz key.

**skippa78** · 10. Mai 2023

Habe mich auch vertan. Er ist nutzbar. Es hat bloß am Anfang nicht funktioniert und ich habe nicht getestet, ob es jetzt funktioniert. Ich hatte das im Kopf falsch verdrahtet.

**razor** · 12. Mai 2023

Zitat von skippa78

Habe mich auch vertan. Er ist nutzbar. Es hat bloß am Anfang nicht funktioniert und ich habe nicht getestet, ob es jetzt funktioniert. Ich hatte das im Kopf falsch verdrahtet.

Geht. Habe ich mit einer Site im Einsatz.

Willkommen! Melden Sie sich an oder registrieren Sie sich.

Allgemeine Fragen zu Wireguard (Sammlung)

4 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 109

Wer war online 167