WireGuard-Installation auf dem USG

razor
10. Januar 2023
11. Januar 2023
5.553 mal gelesen
8 Kommentare

Was wollen wir?
Sicheren Zugriff auf das (private) Netz hinter einem USG-Pro-4 (UGW4) oder USG-3P (UGW3).

Warum wollen wir das?
Wie die Vergangenheit deutlich gezeigt hat haben wenigstens einige private Geräte wie z.B. NAS oder Controller zur Heimautomatisierung oder ähnliches immer wieder Sicherheitslücken, welche auch schon erfolgreich ausgenutzt wurden. So etwas passiert häufig, wenn diese Geräte für alle und jeden über eine simple Portfreigabe im Internet erreichbar und nur mit den "internen Sicherheitsmechanismen" geschützt sind, welche oft nicht ausreichen. Vielleicht möchte man auch einen Dienst aus dem (heimischen) LAN verwenden, welchen man nicht veröffentlichen möchte oder sollte, wie z.B. ein pi-hole.
Daher sollten solche Services nicht direkt von außen erreicht werden können oder man möchte das einfach nicht.
Leider werden wohl weder das USG-Pro-4 noch das USG-3P das dafür nötige Update von Ubiquiti erhalten, was ich sehr schade finde.

Aber auch dafür gibt es eine Lösung, welche ich schon länger im Einsatz habe. Und jetzt übersteht sie sogar einen Reboot und auch ein Provisioning - und vielleicht auch ein Update. Das konnte ich aber nicht testen, da ich dafür nicht genug Hardware habe.

Und wie geht das genau?
Hinweis: Ich gehe davon aus, dass
rudimentäre Linux-Kenntnisse vorhanden sind, um sich auf dem USG "fortzubewegen" (cd, ls u.ä.).

das USG selbst Zugriff auf das Internet hat.

klar / bekannt ist, wie man eine ssh-Verbindung zum USG aufbauen kann.

der Editor vi benutzt werden kann.

klar / bekannt ist, wie man per (Win)scp Dateien auf das USG übertragen kann (Alternative zu 3. & 4.).

es keine Überschneidungen bei den (V)LANs aller beteiligten Parteien gibt.

nur Site-2-Site-Verbindungen hergestellt werden sollen (Road-Worrior-Szenario folgt).
alle Netze mit allen Netzen kommunizieren können sollen.

Folgende Netzwerk-Konfigurationen nehme ich für meine Konfiguration an:
Alice
Netze

10.10.101.0/24

10.10.105.0/24

WireGuard Gateway-IPs

192.168.179.5/32 (Alice <-> Bob)

192.168.179.9/32 (Alice <-> Charlie)

private key: alice_private_key (Datei: /config/auth/wireguard/wg_private.key)

public key: alice_public_key (Datei: /config/auth/wireguard/wg_public.key)
DNS: alice.ubiquiti-networks-forum.de

Bob
Netz

192.168.2.0/24

WireGuard Gateway-IPs
192.168.179.6/32 (Bob <-> Alice)

192.168.179.13/32 (Bob <-> Charlie)

private key: bob_private_key (Datei: /config/auth/wireguard/wg_private.key)

public key: bob_public_key (Datei: /config/auth/wireguard/wg_public.key)
DNS: bob.ubiquiti-networks-forum.de

Charlie
Netze
10.10.191.0/24

10.10.192.0/24

WireGuard Gateway-IPs

192.168.179.10/32 (Charlie <-> Alice)

192.168.179.14/32 (Charlie <-> Bob)

private key: charlie_private_key (Datei: /config/auth/wireguard/wg_private.key)

public key: charlie_public_key (Datei: /config/auth/wireguard/wg_public.key)
DNS: charlie.ubiquiti-networks-forum.de

Transfer-Netze
Alice <-> Bob: 192.168.179.4/30

Alice <-> Charlie: 192.168.179.8/30

Bob <-> Charlie: 192.168.179.12/30

Ich werde hier nicht auf die Konfiguration der Firewall eingehen, um z.B. VLANs gegeneinander abzusichern o.ä.

Freundlicherweise hat WireGuard selbst auf GitHub schon mehr oder weniger alles bereitgestellt, um das umzusetzen.
Bevor wir aber "ins Eingemachte" gehen sollten wir uns im GitHub-Repository umsehen, unter welchem Link das aktuelle WireGuard-Debian-Paket zu bekommen ist. Dabei hilft ein Blick auf DIESE Seite. Hier sind alle Releases für die unterstützten Geräte gelistet. Das aktuelle Release ist vom 02. Juli 2022 - ja: auch schon 'was älter. Hier die aktuellen Links:
USG-3P (UGW3): https://github.com/WireGuard/w…0220627-v1.0.20210914.deb

USG-Pro-4 (UGW4): https://github.com/WireGuard/w…0220627-v1.0.20210914.deb

Und los geht's auf den Reitern oben:
Server vorbereiten

Server konfigurieren

Disclaimer:
Alle Anleitungen/Tutorials sind nach bestem Wissen und Gewissen verfasst, gehen immer von den definierten Software/Firmware-Versionen aus und sind auf das englische GUI ausgelegt.
Es gibt keine Garantie auf Erfolg. Im Falle eines Misserfolges hilft aber die Community hier sicherlich weiter.
Keiner der Autoren oder der Betreiber des Forums ist für die aus der Nutzung resultierenden Probleme/Herausforderungen verantwortlich.
Jegliche hier beschriebenen Schritte erfolgen ausnahmslos in eigener Verantwortung des Durchführenden.
Eltern haften für ihre Kinder.
- VPN
- USG
- wireguard
2

Teilen

Zitieren

Inhalt melden

Zunächst bereiten wir die WireGuard-Server vor, um sie dann zu konfigurieren.

Hier werden wir

WireGuard herunterladen und installieren und
das Schlüssel-Paar aus privatem und öffentlichem Schlüssel generieren.

Nachdem man sich via ssh am USG angemeldet hat und zum Benutzer root geworden (sudo su -) ist kann es auch schon losgehen.

Um sich den Download zu "sparen" könnte man mit einem der folgenden Befehle prüfen, ob WireGuard schon / noch auf dem USG installiert ist:

Code

root@USG:~# which wg
root@USG:~# wg show

Das kann man sich natürlich sparen, wenn man weiß, dass WireGuard (noch) nicht installiert ist.

Ich habe das notwendige Paket mit dem folgenden Befehl für mein UniFi-Gateway-4 nach /tmp/wg.deb heruntergeladen und im Anschluss daran installiert:

Code

curl -sL https://github.com/WireGuard/wireguard-vyatta-ubnt/releases/download/1.0.20220627-1/ugw4-v1-v1.0.20220627-v1.0.20210914.deb -o /tmp/wg.deb && dpkg -i /tmp/wg.deb

Nun sollten die oben genannten Befehle eine andere Ausgabe bringen:

Code

root@USG:~# which wg
/usr/bin/wg
root@USG:~# wg help
Usage: wg <cmd> [<args>]

Available subcommands:
  show: Shows the current configuration and device information
  showconf: Shows the current configuration of a given WireGuard interface, for use with `setconf'
  set: Change the current configuration, add peers, remove peers, or change peers
  setconf: Applies a configuration file to a WireGuard interface
  addconf: Appends a configuration file to a WireGuard interface
  syncconf: Synchronizes a configuration file to a WireGuard interface
  genkey: Generates a new private key and writes it to stdout
  genpsk: Generates a new preshared key and writes it to stdout
  pubkey: Reads a private key from stdin and writes a public key to stdout
You may pass `--help' to any of these subcommands to view usage.

Alles anzeigen

Damit ist nun klar, dass WireGuard installiert ist und auch verwendet werden kann.

Als nächstes muss wenigstens ein Schlüsselpaar - bestehend aus private key (gaaaaaanz wichtig und sicher aufbewahren) und dem zugehörigen public key - für jedes am VPN beteiligte Gateway erzeugt werden. Das kann gleich auf dem USG gemacht werden:

Code

cd /config/auth
umask 077
mkdir wireguard
cd wireguard
wg genkey > wg_private.key
wg pubkey < wg_private.key > wg_public.key

Die Dateinamen für den private key (hier: wg_private.key) und den public key (hier: wg_public.key) sind frei wählbar, sollten aber der Einfachheit halber nur aus den Buchstaben a-z und den Ziffern 0-9 und _ oder - bestehen und am besten keine Leerzeichen (sog. white spaces) beinhalten.

Das Schlüsselpaar sollte unbedingt unter /config/auth gespeichert werden, da dieser Pfad einen Reboot übersteht. Um auch nach einem Update oder Schlimmeren alles zusammen zu haben sollte man wenigstens den private key auch nochmal sicher an einem anderen Ort außerhalb des USGs aufbewahren - der public key läßt sich immer wieder aus dem private key ableiten. Es handelt sich hierbei um symmetrische Schlüssel. Die erzeugten Schlüssel-Dateien kann man sich einfach mit cat /config/auth/wireguard/wg_private.key und cat /config/auth/wireguard/wg_public.key anzeigen lassen und wegsichern.

Disclaimer:

Alle Anleitungen/Tutorials sind nach bestem Wissen und Gewissen verfasst, gehen immer von den definierten Software/Firmware-Versionen aus und sind auf das englische GUI ausgelegt.

Es gibt keine Garantie auf Erfolg. Im Falle eines Misserfolges hilft aber die Community hier sicherlich weiter.

Keiner der Autoren oder der Betreiber des Forums ist für die aus der Nutzung resultierenden Probleme/Herausforderungen verantwortlich.

Jegliche hier beschriebenen Schritte erfolgen ausnahmslos in eigener Verantwortung des Durchführenden.

Eltern haften für ihre Kinder.

Nachdem nun

WireGuard auf den Servern (USGs) installiert ist und
ein Schlüssel-Paar auf jedem Server generiert wurde

können wir uns um die Konfiguration des Servers selbst kümmern.

Diese Konfiguration muss sich natürlich bei den Beteiligten (hier: Alice, Bob & Charlie) an einigen Stellen unterscheiden:

es können nicht beide Server im Transfer-Netz dieselbe IP-Adresse haben - das geht schlicht nicht,
Alice wird bei Bob keine IPs von Charlie erreichen können - auch nicht via Bob, quasi als Fall-Back-Lösung und
jede Site-2-Site-Verbindung läuft auf einem anderen Port.

Als erstes bilde ich hier die Beispiel-Konfiguration aus dem WireGuard-GitHub-Repo ab, danach folgen die Konfigurationen (config.gateway.json) für die Server bei Alice, Bob und Charlie:

Code: Beispiel-Konfiguration

{
  "firewall": {
    "name": {
      "WAN_LOCAL": {
        "rule": {
          "20": {
            "action": "accept",
            "description": "WireGuard",   //You will see this in the WAN_LOCAL overview in the controller
            "destination": {
                    "port": "51820"   //Firewall port - can be customised, adjust listen port accordingly
            },
            "protocol": "udp"
          }
        }
      }
    },
    "group": {
      "network-group": {
        "remote_user_vpn_network": {
          "description": "Remote User VPN subnets",
          "network": [
            "10.16.1.0/24"   //Subnet assigned to wireguard clients
          ]
        }
      }
    }
  },
  "interfaces": {
    "wireguard": {
      "wg0": {
        "address": [
          "10.16.1.1/24"   //USG gateway address in wireguard subnet
        ],
        "firewall": {
          "in": {
            "name": "LAN_IN"
          },
          "local": {
            "name": "LAN_LOCAL"
          },
          "out": {
            "name": "LAN_OUT"
          }
        },
        "listen-port": "51820",   //Listen port - can be customised, adjust firewall port accordingly
        "mtu": "1500",
        "peer": [{
          "wZ0j/CM/nJ6tdIxFTtBLOxbIoTNoK0Tjn49rZgasLUM=": {   //Peer 1 Public Key
            "allowed-ips": [
              "10.16.1.50/32"   //Peer IP address
            ],
            "persistent-keepalive": 25
          }
        },
        {
          "wZ0j/CM/nJ6tdIxFTtBLOxbIoTNoK0Tjn49rZgasLUM=": {   //Peer 2 public key
            "allowed-ips": [
              "10.16.1.51/32"
            ],
            "persistent-keepalive": 25
          }
        },
        {
          "wZ0j/CM/nJ6tdIxFTtBLOxbIoTNoK0Tjn49rZgasLUM=": {   //Peer 3 public key
            "allowed-ips": [
              "10.16.1.52/32"
            ],
            "persistent-keepalive": 25
          }
        },
        {
          "wZ0j/CM/nJ6tdIxFTtBLOxbIoTNoK0Tjn49rZgasLUM=": {   //Peer 4 public key
            "allowed-ips": [
              "10.16.1.53/32"
            ],
            "persistent-keepalive": 25
          }
        },
        {
          "wZ0j/CM/nJ6tdIxFTtBLOxbIoTNoK0Tjn49rZgasLUM=": {   //Peer 5 public key
            "allowed-ips": [
              "10.16.1.54/32"
            ],
            "persistent-keepalive": 25
          }
        }],
        "private-key": "/config/auth/wireguard/wg_private.key",   //Server key
        "route-allowed-ips": "true"
      }
    }
  }
}

Alles anzeigen

Verbindung zwischen Alice und Bob:

Code: config.gateway.json von Alice zu Bob

Folgt...

Code: config.gateway.json von Bob zu Alice

Folgt...

Verbindung zwischen Alice & Bob, Alice & Charlie, Bob & Charlie (Full-Mesh):

Code: config.gateway.json von Alice zu Bob & Charlie

{
  "firewall": {
    "name": {
      "WAN_LOCAL": {
        "rule": {
          "104": {
            "action": "accept",
            "description": "WireGuard to Bob",
            "destination": {
                    "port": "51824"
            },
            "protocol": "udp"
          },
          "108": {
            "action": "accept",
            "description": "WireGuard to Charlie",
            "destination": {
                    "port": "51828"
            },
            "protocol": "udp"
          }
        }
      }
    }
  },
  "interfaces": {
    "wireguard": {
      "wg4": {
        "address": [
          "192.168.179.5/30"
        ],
        "firewall": {
          "in": {
            "name": "LAN_IN"
          },
          "local": {
            "name": "LAN_LOCAL"
          },
          "out": {
            "name": "LAN_OUT"
          }
        },
        "listen-port": "51824",
        "mtu": "1500",
        "peer": [{
          "bob_public_key": {
            "allowed-ips": [
              "192.168.179.4/30",
              "192.168.2.0/24"
            ],
            "endpoint": "bob.ubiquiti-networks-forum.de:51824",
            "persistent-keepalive": 25
          }
        }],
        "private-key": "/config/auth/wireguard/wg_private.key",
        "route-allowed-ips": "true"
      },
      "wg8": {
        "address": [
          "192.168.179.9/30"
        ],
        "firewall": {
          "in": {
            "name": "LAN_IN"
          },
          "local": {
            "name": "LAN_LOCAL"
          },
          "out": {
            "name": "LAN_OUT"
          }
        },
        "listen-port": "51828",
        "mtu": "1500",
        "peer": [{
          "charlie_public_key": {
            "allowed-ips": [
              "192.168.179.8/30",
              "10.10.191.0/24",
              "10.10.192.0/24"
            ],
            "endpoint": "charlie.ubiquiti-networks-forum.de:51828",
            "persistent-keepalive": 25
          }
        }],
        "private-key": "/config/auth/wireguard/wg_private.key",
        "route-allowed-ips": "true"
      }
    }
  }
}

Alles anzeigen

Code: config.gateway.json von Bob zu Alice & Charlie

{
  "firewall": {
    "name": {
      "WAN_LOCAL": {
        "rule": {
          "104": {
            "action": "accept",
            "description": "WireGuard to Alice",
            "destination": {
                    "port": "51824"
            },
            "protocol": "udp"
          },
          "112": {
            "action": "accept",
            "description": "WireGuard to Charlie",
            "destination": {
                    "port": "51832"
            },
            "protocol": "udp"
          }
        }
      }
    }
  },
  "interfaces": {
    "wireguard": {
      "wg4": {
        "address": [
          "192.168.179.6/30"
        ],
        "firewall": {
          "in": {
            "name": "LAN_IN"
          },
          "local": {
            "name": "LAN_LOCAL"
          },
          "out": {
            "name": "LAN_OUT"
          }
        },
        "listen-port": "51824",
        "mtu": "1500",
        "peer": [{
          "bob_public_key": {
            "allowed-ips": [
              "192.168.179.4/30",
              "10.10.101.0/24",
              "10.10.105.0/24"
            ],
            "endpoint": "alice.ubiquiti-networks-forum.de:51824",
            "persistent-keepalive": 25
          }
        }],
        "private-key": "/config/auth/wireguard/wg_private.key",
        "route-allowed-ips": "true"
      },
      "wg12": {
        "address": [
          "192.168.179.13/30"
        ],
        "firewall": {
          "in": {
            "name": "LAN_IN"
          },
          "local": {
            "name": "LAN_LOCAL"
          },
          "out": {
            "name": "LAN_OUT"
          }
        },
        "listen-port": "51832",
        "mtu": "1500",
        "peer": [{
          "charlie_public_key": {
            "allowed-ips": [
              "192.168.179.12/30",
              "10.10.191.0/24",
              "10.10.192.0/24"
            ],
            "endpoint": "charlie.ubiquiti-networks-forum.de:51832",
            "persistent-keepalive": 25
          }
        }],
        "private-key": "/config/auth/wireguard/wg_private.key",
        "route-allowed-ips": "true"
      }
    }
  }
}

Alles anzeigen

Code: config.gateway.json von Charlie zu Alice & Bob

{
  "firewall": {
    "name": {
      "WAN_LOCAL": {
        "rule": {
          "108": {
            "action": "accept",
            "description": "WireGuard to Alice",
            "destination": {
                    "port": "51828"
            },
            "protocol": "udp"
          },
          "112": {
            "action": "accept",
            "description": "WireGuard to Bob",
            "destination": {
                    "port": "51812"
            },
            "protocol": "udp"
          }
        }
      }
    }
  },
  "interfaces": {
    "wireguard": {
      "wg8": {
        "address": [
          "192.168.179.10/30"
        ],
        "firewall": {
          "in": {
            "name": "LAN_IN"
          },
          "local": {
            "name": "LAN_LOCAL"
          },
          "out": {
            "name": "LAN_OUT"
          }
        },
        "listen-port": "51828",
        "mtu": "1500",
        "peer": [{
          "alice_public_key": {
            "allowed-ips": [
              "192.168.179.8/30",
              "10.10.101.0/24",
              "10.10.105.0/24"
            ],
            "endpoint": "alice.ubiquiti-networks-forum.de:51828",
            "persistent-keepalive": 25
          }
        }],
        "private-key": "/config/auth/wireguard/wg_private.key",
        "route-allowed-ips": "true"
      },
      "wg12": {
        "address": [
          "192.168.179.14/30"
        ],
        "firewall": {
          "in": {
            "name": "LAN_IN"
          },
          "local": {
            "name": "LAN_LOCAL"
          },
          "out": {
            "name": "LAN_OUT"
          }
        },
        "listen-port": "51832",
        "mtu": "1500",
        "peer": [{
          "charlie_public_key": {
            "allowed-ips": [
              "192.168.179.12/30",
              "192.168.2.0/24"
            ],
            "endpoint": "bob.ubiquiti-networks-forum.de:51832",
            "persistent-keepalive": 25
          }
        }],
        "private-key": "/config/auth/wireguard/wg_private.key",
        "route-allowed-ips": "true"
      }
    }
  }
}

Alles anzeigen

Kommentare 8

Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.
Smileys
Standard-Kategorie

Smileys & Emotion

People & Body

Component

Animals & Nature

Food & Drink

Travel & Places

Activities

Objects

Symbols

Flags
Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.
Smileys

Standard-Kategorie

Smileys & Emotion

People & Body

Component

Animals & Nature

Food & Drink

Travel & Places

Activities

Objects

Symbols

Flags
ElectricMax 6. November 2023

Gibt es da inzwischen schon Erfahrungswerte ob die Konfiguration/Installation ein Firmware-UG übersteht?
Inhalt melden
Alho 16. September 2023

Hallo Razor.
Vielen Dank für diese Info.
Wie könnte man es umsetzen um per Wireguard VPN Client von einem Android Handy aus auf das Netz einer Unifi USG 4 Pro zu kommen?

Könntest Du hier evtl. helfen?

Vielen Dank.
Grüße
Alain
Inhalt melden
- razor 16. September 2023
  
  Hallo Alho und willkommen an Board.
  
  DAS steht auch bei mir noch aus zu adaptieren. Ich habe jetzt für mich noch das Problem gelöst, dass nach dem Provisionieren immer alles weg war, da ich das noch nicht in meine config.gateway.json überführt hatte.
  
  Das hat aber nun hervorragend geklappt und übersteht auch Reboots und nun freue ich mich schon auf diese neue Aufgabe.
  
  Du kannst ja gern schon einen Blick auf meinen UniFi-Stuff werfen: https://github.com/razorworks/unifi-stuff/
  
  Inhalt melden
- Alho 16. September 2023
  
  Klasse. Würde mich freuen, wenn Du hier eine Lösung finden könntest.
  Schönes Wochenende
  
  Alain
  
  Inhalt melden
- Alho 15. Oktober 2023
  
  Hi razor.
  Gibt’s schon Ideen oder Neuigkeiten?
  Grüße Alain
  1
  
  Inhalt melden
- razor 15. Oktober 2023
  
  Moin Alho,
  
  jo, habe ich mittleriwele auch gelöst - als Split-Tunnel und mit "all-traffic" endlich auch.
  
  Das ist aktuell aber leider weder update- noch reboot-fest. Ich bin noch dran.
  
  Inhalt melden
UweKorte 24. März 2023

Vielen Dank für die wirklich gute und ausführliche Beschreibung.

mir fehlt nur noch: wo wird die config.gateway.json gespeichert, auf der USG oder im CloudKey und in welchem Verzeichnis?

Vielen Dank für eine Rückmeldung

Uwe
Inhalt melden
- razor 12. April 2023
  
  Hallo,
  
  Ubiquiti hat das HIER zusammengefasst.
  
  Kurz: die Datei liegt auf dem Controller und wird beim Provisionieren auf das Gateway übertragen, sodass dieses damit umgehen kann.
  Am einfachsten lädst Du ein beliebiges Bild als Gebäudeplan (im Controller auf MAP wechseln und dort von Topology auf floor plan umstellen) über den Controller hoch. Damit werden dann die nötigen Verzeichnisse erstellt. Wenn Du nur eine Site im Controller verwaltest, dann müsste die config.gateway.json unter /srv/unifi/data/sites/default/ liegen.
  
  Inhalt melden

Willkommen! Melden Sie sich an oder registrieren Sie sich.

WireGuard-Installation auf dem USG

Kommentare 8

ElectricMax 6. November 2023

Alho 16. September 2023

razor 16. September 2023

Alho 16. September 2023

Alho 15. Oktober 2023

razor 15. Oktober 2023

UweKorte 24. März 2023

razor 12. April 2023

Wer ist war online

Benutzer online 102

Wer war online 247