Wireguard-VPN einrichten

Ab Version 7.2 unterstützt DEFENDO mit Wireguard eine weitere VPN-Alternative, mit der sich sowohl Clients als auch VPN-Router anbinden lassen. Das Protokoll selbst unterscheidet dabei nicht zwischen Client und Server. Verfügen beide Kommunikationspartner über eine definierte IP-Adresse oder einen DNS-Namen, ist der Verbindungsaufbau in beide Richtungen möglich.

Wie im DEFENDO üblich, wird auch Wireguard-VPN mit Hilfe von Schnittstellen konfiguriert. In jeder einzelnen Wireguard-Schnittstelle kann eine beliebige Zahl von Verbindungen konfiguriert werden. Häufig ist es aber sinnvoll, mit mehreren Wireguard-Schnittstellen zu arbeiten. Da sich in jeder Wireguard-Schnittstelle eigene Firewall-Regeln konfigurieren lassen, können durch die Nutzung mehrerer Wireguard-Schnittstellen unterschiedliche Zugriffsberechtigungen festgelegt werden.

In diesem Abschnitt geht es darum, Wireguard auf dem DEFENDO so zu konfigurieren, dass andere Systeme eine Verbindung zum DEFENDO aufbauen können. Es kann sich dabei um Clients wie z.B. Smartphones handeln aber auch um DEFENDOs in Außenstellen oder andere VPN-Router. Sofern die Gegenstelle über IP oder DNS-Eintrag auf einem definierten Wireguard-Port ansprechbar ist, kann DEFENDO auch eine ausgehende Verbindung initiieren.

Legen Sie für die zukünftige Wireguard-Schnittstelle zunächst im Menü "Definitionen > Protokolle" ein neues Protokoll an. Fügen Sie als "Signatur" einen Eintrag mit "Protokoll" "udp" und dem gewünschten Zielport hinzu. Im Menü "Module > Firewall > Regeln" muss jetzt der Zugriff aus dem Internet auf den Wireguard-Server freigegeben werden. Wählen Sie die Internet-Schnittstelle und konfigurieren Sie eine eingehende Firewall-Regel mit dem zuvor angelegten Protokoll.

Erzeugen Sie dann das Schlüsselpaar für die Wireguard-Schnittstelle. Legen Sie dazu im Menü "System > Zertifikatsverwaltung > Schlüsselbund" einen neuen Eintrag vom Typ "X25519-Schlüssel (Wireguard)" an und generieren Sie das Schlüsselpaar. Anders als X.509-Zertifikate läuft dieser Schlüssel nicht ab, trotzdem sollten die Schlüssel regelmäßig erneuert werden.

Im Menü "Module > Netzwerk > Schnittstellen" können Sie jetzt die neue Wireguard-Schnittstelle anlegen. Wählen Sie als "Schnittstellentyp" "Wireguard (wg)", vergeben Sie eine beliebige Zahl als "Schnittstellen-Nummer" und legen Sie eine passende "Firewall-Vertrauensstufe" fest.

In der Folgemaske wählen Sie bitte bei "Privater Schlüssel" den zuvor angelegten privaten Schlüssel aus. Unter "Lokaler Port" tragen Sie die im zuvor angelegten Protokoll konfigurierte Portnummer ein. Mit "Übernehmen" wird die Schnittstelle angelegt.

Wechseln Sie jetzt auf den Reiter (Tab) "Verbindungen". Legen Sie neue Verbindungen bevorzugt mit den Assistenten "Neue Verbindung zu Client anlegen mit Konfigurationsexport für Client" bzw. "Neue Verbindung zu Router anlegen mit Konfigurationsexport für Gegenstelle" an. Der Assistent für Clients geht davon aus, dass stets der Client die Verbindung zum DEFENDO aufbaut. Ferner wird eine IP-Adresse abgefragt, die der Client auf seiner Wireguard-Schnittstelle konfigurieren soll. Der Assistent für Router fragt zusätzliche Parameter ab. Sofern der Router über eine feste IP-Adresse verfügt, ist auch ein Verbindungsaufbau vom DEFENDO zum Router möglich. Ferner geht der Assistent davon aus, dass das Ziel der VPN-Verbindung ein Netzwerk hinter dem Router und nicht der Router selbst ist. Der Assistent erzeugt eine vollständige Wireguard-Konfigurationsdatei inklusive neuem privaten Schlüssel für die Gegenstelle. Diese kann heruntergeladen oder als QR-Code von einem Smartphone eingelesen werden. Das manuelle Anlegen einer neuen Verbindung direkt in der Tabelle "Gegenstellen" ist nur dann sinnvoll, wenn die Gegenstelle den eigenen privaten Schlüssel selbst generiert.

Abschließend starten Sie bitte Wireguard im Menü "System > Dienste"

Als Client baut stets der DEFENDO die Verbindung zum Wireguard-Server auf. Ein eingehender Verbindungsaufbau ist nicht vorgesehen. Die Konfiguration ist in diesem Fall deutlich einfacher, da die Konfiguration der Firewall entfällt. Wir empfehlen die Verwendung einer eigenen Wireguard-Schnittstelle für jede Verbindung.

Falls Sie von der Gegenstelle eine vollständige Wireguard-Konfiguartionsdatei inklusive privatem Schlüssel erhalten haben, entfällt auch die Schlüsselerzeugung. Andernfalls bitte wie oben beschrieben einen neuen X25519-Schlüssel für die zukünftige Wireguard-Schnittstelle erzeugen und den zugehörigen öffentlichen Schlüssel der Gegenstelle mitteilen.

Legen Sie nun bitte im Menü "Module > Netzwerk > Schnittstellen" eine neue Wireguard-Schnittstelle an. Wählen Sie als "Schnittstellentyp" "Wireguard (wg)", vergeben Sie eine beliebige Zahl als "Schnittstellen-Nummer" und legen Sie eine passende "Firewall-Vertrauensstufe" fest.

Wenn Sie von der Gegenstelle eine vollständige Wireguard-Konfigurationsdatei erhalten haben, können Sie diese in der Folgemaske importieren. Wählen Sie andernfalls den zuvor generierten privaten Schlüssel aus und konfigurieren Sie die Verbindung nach den Vorgaben der Gegenstelle.

Abschließend starten Sie bitte Wireguard im Menü "System > Dienste"

Damit Benutzer ohne Administrator-Berechtigung den Wireguard-Client unter Windows starten dürfen, müssen folgende Anpassungen durchgeführt werden:

• reg add HKLM\Software\WireGuard /v LimitedOperatorUI /t REG_DWORD /d 1 /f
• Den Benutzer in die lokale Gruppe "Netzwerkkonfigurations-Operatoren" aufnehmen