WireGuard: Über die Grundkonfiguration hinaus

 (sloonz.github.io)
3 Punkte von GN⁺ 2024-11-25 | 1 Kommentare | Auf WhatsApp teilen

  • Grundkonfiguration

    • Erfahrungsbericht über den Versuch, OpenVPN durch WireGuard zu ersetzen.
    • Zusammenfassung der Grundkonfiguration:
      • Erstellen eines Schlüsselpaars jeweils für Server und Client.
      • Festlegen des VPN-Netzwerks und der IP-Adressen.
      • Schreiben und Ausführen der Konfigurationsdateien für Server und Client.
      • Mit Netzwerk-Namespaces lassen sich VPN- und Internetverbindung voneinander trennen.

  • NAT

    • Behebung von Problemen mit einigen Anwendungen, die hinter NAT nicht funktionieren.
    • Mit UPnP lassen sich NAT-Probleme lösen.
    • Da WireGuard standardmäßig kein UPnP unterstützt, ist eine manuelle Konfiguration erforderlich.
    • Durch Installation und Konfiguration von miniupnpd kann UPnP-Funktionalität hinzugefügt werden.

  • IPv6

    • Der bessere Weg, NAT-Probleme zu lösen, besteht darin, NAT gar nicht zu verwenden.
    • Mit IPv6 lassen sich öffentlich routbare Adressen ohne NAT zuweisen.
    • Wenn Server und Client IPv6-Adressen erhalten, können sie auch ohne NAT kommunizieren.
    • Mit einer IPv6-Konfiguration ist der Zugriff aus dem öffentlichen Internet auch ohne UPnP möglich.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-11-25
Hacker-News-Kommentare

  • Jemand versucht, einen privaten Server einzurichten und Dienste bereitzustellen, die über das Web erreichbar sind. Das Zuordnen von Subdomains zu Diensten mit Caddy hat funktioniert, aber Tailscale Magic DNS unterstützt keine Subdomains. Um das zu lösen, soll pihole eingerichtet werden, um einen privaten DNS-Server zu erstellen. Es wird gefragt, ob das eine Einschränkung von WireGuard ist

  • Es wurde eine nützliche Seite für die WireGuard-Konfiguration gefunden: Procustodibus Wireguard Topologies

  • Wenn man dynamische DNS-Einträge einrichtet, die einen Hostnamen auf die dynamische IP des Heimnetzwerks abbilden, wird die Nutzung eines privaten VPN möglich. Dadurch lassen sich lokale Dienste aus der Ferne erreichen, ohne sie dem öffentlichen Internet auszusetzen

  • Es gibt ein Missverständnis, dass bei WireGuard NAT zwingend erforderlich sei. Tatsächlich funktioniert normales Subnetz-Routing gut, wenn der Zielhost den WireGuard-Server als Gateway erkennt. Es reicht aus, auf dem Standardrouter eine statische Route einzurichten

  • Es wird gefragt, ob es ein gutes Buch gibt, das die Prinzipien, die Implementierung und die Konfiguration von WireGuard behandelt. Zu IPSEC gebe es viele Bücher, zu WireGuard jedoch kaum welche

  • Es wird als seltsam empfunden, dass es bei WireGuard keine einfache Möglichkeit gibt, den gesamten Traffic mit Ausnahme bestimmter IPs durch den Tunnel zu leiten. Stattdessen müsse man programmatisch eine Liste aller CIDRs außer den betreffenden IPs erzeugen

  • Das Fehlen von RBAC wird bedauert. WireGuard ist zwar schneller als OpenVPN, aber wegen RBAC müsse für Mitarbeitende und Auftragnehmer OpenVPN verwendet werden

  • WireGuard wird zusammen mit IPv6 verwendet, aber Prefix Delegation für IPv6 funktioniert nicht. Gewünscht ist, dass Geräte wie in einem normalen Ethernet-Subnetz ihre eigenen Adressen auswählen und ändern können

  • Bei WireGuard funktioniert Port Forwarding ohne Masquerading nicht richtig. Um die Quell-IP beizubehalten, muss AllowedIPs um 0.0.0.0/0 ergänzt werden, doch das verhindert, dass Antworten der Anwendung zur Quelle zurückgelangen

  • Es wird eine Infrastruktur auf Basis von IPv6 aufgebaut. Dabei sollen die moderne Kryptografie und das zustandslose Design von WireGuard genutzt werden, ohne das WireGuard-Adressschema zu übernehmen, also unter Beibehaltung des IPv6-Adressschemas