Heute m\u00f6chte ich dar\u00fcber berichten, was f\u00fcr ein gro\u00dfartiges Tool wireguard ist. Ich beschreibe hier, was es macht, wie man es konfiguriert und welche M\u00f6glichkeiten sich daraus ergeben. <\/p> \n\n\n\n
Wireguard wird gerne als das neue, schnelle VPN des Linux Kernels beschrieben. Dabei gibt es aber zwei Probleme. Patches liegen f\u00fcr den mainline Linux Kernel schon seit einiger Zeit vor. Dennoch dauern die Diskussionen um eine Aufnahme weiter an, da wireguard eine neue crypto-api einf\u00fchren m\u00f6chte. Zweitens vermuten Menschen unter VPN eine L\u00f6sung, die einen Client mit einem Netz oder zwei Netze untereinander verbindet, dies leistet wireguard aber gar nicht von Haus aus. <\/p> \n\n\n\n
WireGuard\u00ae<\/sup> is an extremely simple yet fast and modern VPN that utilizes state-of-the-art cryptography<\/a><\/strong>. It aims to be faster<\/a>, simpler<\/a>, leaner, and more useful than IPsec, while avoiding the massive headache. <\/p> wireguard.com
<\/cite><\/blockquote>\n\n\n\nDie wireguard Entwickler sind da schon etwas pr\u00e4ziser, was die Software macht. Sie stellt eine Punkt-zu-Punkt Verbindung zwischen zwei Interfaces zweier an das Internet angeschlossener Ger\u00e4te her. Die Authentifizierung erfolgt dabei mit einem public\/private Key-Verfahren \u00e4hnlich zu SSH. Dabei kommen moderne, gut auditierte Kryptofunktionen wie Noise protocol framework<\/a>, Curve25519<\/a>, ChaCha20<\/a>, Poly1305<\/a>, BLAKE2<\/a>, SipHash24<\/a>, HKDF<\/a> zum Einsatz. Und diese werden auch automatisch ohne Benutzerinteraktion mit sicheren Einstellungen benutzt. <\/p> \n\n\n\n
Mit OpenVPN gemein hat wireguard, dass es sich genauso einfach und komfortabel durch (NAT-)Firewalls durchschleusen l\u00e4sst. Ein einzelner, frei konfigurierbarer UDP Port reicht hier aus. <\/p> \n\n\n\n
Und das schlie\u00dft den Funktionsumfang f\u00fcr das Tool auch schon ab. <\/p> \n\n\n\n
wireguard installieren<\/h2>\n\n\n\n
Sp\u00e4ter wird es gen\u00fcgen, auf jedem unixoiden System, die „wireguard-tools“ zu installieren und das mitgelieferte Kernelmodul zu laden. Solange dies nicht der Fall ist, muss man je nach Distribution etwas basteln. Fedora hat es bereits in RPM Fusion<\/a> drin, f\u00fcr die meisten andere Systeme findet sich ein Fingerzeig auf der Webseite des Projekts<\/a>. Bei Debian<\/a> und Raspbian<\/a> kann man sich das Paket gut aus unstable pinnen. <\/p> \n\n\n\n
Den Raspberry Pi erw\u00e4hne ich nicht umsonst, denn darauf teste ich wireguard derzeit als VPN Gateway. Insbesondere m\u00f6chte ich die beworbene, hohe Geschwindigkeit testen. Hier gibt es allerdings zu beachten, dass man den Kernel der Raspbian Paketquellen verwendet und nicht jenen, den rpi-update zieht. F\u00fcr letzteren kann man sich zwar auch die Quellen und Header besorgen, allerdings bekam ich so immer ein angeblich nicht zur Architektur passendes Kernelmodul (.ko) raus. <\/span> <\/p> \n\n\n
[ 2422.674108<\/span>] wireguard: version magic '4.19.30+ mod_unload modversions ARMv6 p2v8 '<\/span> should be '4.19.30-v7+ SMP mod_unload modversions ARMv7 p2v8 '<\/span><\/code><\/span>Code-Sprache:<\/span> JavaScript<\/span> (<\/span>javascript<\/span>)<\/span><\/small><\/pre>\n\n\nwireguard konfigurieren<\/h2>\n\n\n\n
Zuerst generieren wir uns f\u00fcr jedes teilnehmende Ger\u00e4t einen Satz aus public und private key. Diese Schl\u00fcssel k\u00f6nnen wir auf einem beliebigen Ger\u00e4t erstellen. Die Dateien m\u00fcssen nicht auf den beteiligten Systemen liegen bleiben, weil die enthaltenen Strings in die Konfigurationsdateien geschrieben werden. Desgalb sollten die Configs auf dem System vor Zugriffen durch unprivilegierte Nutzer gesch\u00fctzt werden. <\/p> \n\n\n
root@battery:~ $ mkdir wgkeys\nroot@battery:~ $ cd wgkeys \nroot@battery:~\/wgkeys $ wg genkey > server_private.key \nWarning: writing to world accessible file.\nConsider setting the umask to 077 and trying again.\n\nroot@battery:~\/wgkeys $ wg pubkey > server_public.key < server_private.key<\/span>\nroot<\/span>@battery:<\/span>~\/wgkeys<\/span> $ wg<\/span> genkey<\/span> ><\/span> client1_private.key \nWarning: writing to world accessible file.\nConsider setting the umask to 077 and trying again.\nroot@battery:~\/wgkeys $ wg pubkey > client1_public.key < client1_private.key<\/span>\nroot<\/span>@battery:<\/span>~\/wgkeys<\/span> $ ls<\/span>\nclient1_private.key<\/span> client1_public.key<\/span> server_private.key<\/span> server_public.key<\/span><\/span><\/code><\/span>Code-Sprache:<\/span> HTML, XML<\/span> (<\/span>xml<\/span>)<\/span><\/small><\/pre>\n\n\nNun k\u00f6nnen wir auf dem Server die Konfigurationsdatei unter \/etc\/wireguard\/wg0.conf erstellen. <\/p> \n\n\n
[Interface]\nAddress = 192.168.128.1\/24,fd16:b3a5:697e:5324::1\/64\nListenPort = 51820\nPrivateKey = <server-private-key<\/span>><\/span>\n\n[Peer]\n# Client 1\nPublicKey = <client1-public-key<\/span>><\/span>\nAllowedIPs = 192.168.128.10, fd16:b3a5:697e:5324::10\n\n[Peer]\n# Client 2\nPublicKey = <client2-public-key<\/span>><\/span>\nAllowedIPs = 192.168.128.20, fd16:b3a5:697e:5324::20<\/code><\/span>Code-Sprache:<\/span> HTML, XML<\/span> (<\/span>xml<\/span>)<\/span><\/small><\/pre>\n\n\nAuf dem Client kommt die Datei an den gleichen Ort. <\/p> \n\n\n
[Interface]\nAddress = 192.168.128.11\/24,fd16:b3a5:697e:5324::11\/64\nDNS = 192.168.125.1\nPrivateKey = <client1-private-key<\/span>><\/span>\n\n[Peer]\n# Battery\nPublicKey = <server-public-key<\/span>><\/span>\nEndpoint = vpn.commander1024.de:51820\nAllowedIPs = 192.168.128.0\/24, fd16:b3a5:697e:5324::0\/64, 192.168.xxx.0\/24, 192.168.125.1\/32, 192.168.yyy.0\/24, 2001:xyz:xyaz:xxx::\/64, 2001:xyz:xyz:yyy::\/64, \n\n# This is for if you're behind a NAT and\n# want the connection to be kept alive.\nPersistentKeepalive = 25<\/code><\/span>Code-Sprache:<\/span> HTML, XML<\/span> (<\/span>xml<\/span>)<\/span><\/small><\/pre>\n\n\nwireguard starten und Status \u00fcberpr\u00fcfen<\/h2>\n\n\n\n
Wenn der Raspberry Pi in einem Netz hinter der Firewall oder dem „Router“ steht, muss dort selbstverst\u00e4ndlich der gew\u00e4hlte Port des Servers noch an seine internen IPs weitergeleitet werden. In diesem Fall w\u00e4re dies der Port UDP 51820. Das Stichwort in den meisten Heimroutern sollte „Port-forwarding“ sein. <\/p> \n\n\n
root@battery:~# wg-quick up wg0<\/span>\nmscholz@Warrior:~# sudo wg-quick up wg0<\/span><\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\nNun k\u00f6nnen wir den Status des Dienstes sowie der (nicht) verbundenen Peers mit dem tool wg abrufen. <\/p> \n\n\n
root@battery:~# wg\ninterface: wg0\n public key: <server-public-key<\/span>><\/span>\n private key: (hidden)\n listening port: 51820\n\npeer: <client1-public-key<\/span>><\/span>\n endpoint: 109.91.240.102:12813\n allowed ips: 192.168.128.11\/32, fd16:b3a5:697e:5324::11\/128\n latest handshake: 3 seconds ago\n transfer: 66.75 KiB received, 400.19 KiB sent\n\npeer: <client2-public-key<\/span>><\/span>\n endpoint: 109.40.3.183:3779\n allowed ips: 192.168.128.21\/32, fd16:b3a5:697e:5324::21\/128\n latest handshake: 39 seconds ago\n transfer: 676 B received, 1.51 KiB sent\n\npeer: <client3-public-key<\/span>><\/span>\n allowed ips: 192.168.128.10\/32, fd16:b3a5:697e:5324::10\/128\n\n\nmscholz@Warrior:~# sudo wg\ninterface: wg0\n public key: <client1-public-key<\/span>><\/span>\n private key: (hidden)\n listening port: 51244\n\npeer: <server-public-key<\/span>><\/span>\n endpoint: 109.91.240.102:51820\n allowed ips: 192.168.128.0\/24, fd16:b3a5:697e:5324::0\/64, 192.168.xxx.0\/24, 192.168.125.1\/32, 192.168.yyy.0\/24, 2001:xyz:xyaz:xxx::\/64, 2001:xyz:xyz:yyy::\/64\n latest handshake: 25 seconds ago\n transfer: 156.29 KiB received, 31.00 KiB sent\n persistent keepalive: every 25 seconds<\/code><\/span>Code-Sprache:<\/span> HTML, XML<\/span> (<\/span>xml<\/span>)<\/span><\/small><\/pre>\n\n\nInstallation absichern und Autostart einrichten<\/h3>\n\n\n\n
Zuerst sch\u00fctzen wir die Daten vor Zugriff durch andere lokale Benutzer. <\/p> \n\n\n
root@battery:~# chown -R root:root \/etc\/wireguard\/<\/span>\nroot@battery:~# chmod -R og-rwx \/etc\/wireguard\/*<\/span><\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\nNun aktivieren wir den Autostart des Dienstes durch systemd, falls gew\u00fcnscht. <\/p> \n\n\n
root@battery:~# systemctl enable wg-quick@wg0.service<\/span><\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\nStarten und Stoppen kann man wireguard nun wie jeden anderen systemd Service. <\/p> \n\n\n
root@battery:~# systemctl start wg-quick@wg0.service<\/span>\nroot@battery:~# systemctl stop wg-quick@wg0.service<\/span><\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\nNun k\u00f6nnen sich Client und Server jeweils gegenseitig pingen. Nicht aber die Clients untereinander oder mit anderen Netzen. Alles weitere m\u00fcssen nun andere Tools und Systemdienste erledigen. <\/p> \n\n\n\n
Routing und NAT Setup<\/h2>\n\n\n\n
Dazu schalten wir IP-Fowarding f\u00fcr IPv4 und IPv6 ein: <\/p> \n\n\n
root@battery:~ $ sysctl net.ipv4.ip_forward=1\nnet.ipv4.ip_forward = 1\nroot@battery:~ $ sysctl net.ipv6.conf.all.forwarding=1 \nnet.ipv6.conf.all.forwarding = 1<\/code><\/span><\/pre>\n\n\nUm die \u00c4nderungen permanent zu machen, \u00e4ndern wir diese Zeilen in \/etc\/sysctl.d\/99-sysctl.conf: <\/p> \n\n\n
# Uncomment the next line to enable packet forwarding for IPv4<\/span>\nnet.ipv4.ip_forward = 1<\/span>\n\n# Uncomment the next line to enable packet forwarding for IPv6<\/span>\n# Enabling this option disables Stateless Address Autoconfiguration<\/span>\n# based on Router Advertisements for this host<\/span>\nnet.ipv6.conf.all.forwarding=1<\/span><\/code><\/span>Code-Sprache:<\/span> PHP<\/span> (<\/span>php<\/span>)<\/span><\/small><\/pre>\n\n\n