Description:
WireGuard ist ein einfaches und schlankes VPN-Protokoll, das insbesondere auf Benutzerfreundlichkeit, Geschwindigkeit und ein minimalistisches Design ausgelegt ist. Im Gegensatz dazu handelt es sich bei IKEv2/IPSec um ein von der IETF standardisiertes Protokoll mit zahlreichen Erweiterungen und hoher Flexibilität, was jedoch auch eine erhöhte Komplexität mit sich bringt. IKEv2/IPSec bietet Krypto-Agilität, das heißt, die eingesetzten Verschlüsselungsverfahren sind frei wählbar und werden während der Verbindung ausgehandelt. Bei WireGuard hingegen sind der Schlüsselaustausch mittels Curve25519 sowie die Verschlüsselung mittels ChaCha20-Poly1305 fest vorgegeben. Die Authentifizierung erfolgt ausschließlich über Public-/Private-Key, während IKEv2/IPSec verschiedene Methoden wie Preshared-Key, Zertifikat oder EAP unterstützt. Darüber hinaus ermöglicht IKEv2/IPSec diverse Erweiterungen, beispielsweise RADIUS oder Zwei-Faktor-Authentifizierung, welche bei WireGuard nicht verfügbar sind. Die Übertragung bei WireGuard erfolgt ausschließlich über UDP.
Aufgrund der vielfältigen Konfigurations- und Einsatzmöglichkeiten im LCOS empfiehlt LANCOM Systems weiterhin IKEv2/IPSec als Standardprotokoll für die Filialvernetzung und SD-WAN-Anwendungen. Hinzu kommt, dass LANCOM Router-Plattformen nicht über Hardware-Beschleunigung für ChaCha20-Poly1305 verfügen. Die Verschlüsselung für WireGuard-Verbindungen erfolgt daher in Software und führt zu einem geringeren Datendurchsatz im Vergleich zu IKEv2/IPSec. Für Szenarien mit hoher VPN-Durchsatzleistung empfiehlt LANCOM Systems daher ebenfalls IKEv2/IPSec.
WireGuard ist eine sinnvolle Ergänzung für einfache Anwendungsfälle, bei denen überwiegend grundlegende, verschlüsselte Verbindungen benötigt werden. Auch in Situationen, in denen das VPN-Protokoll beispielsweise von einem Dienstleister oder VPN-Provider vorgegeben wird, bietet WireGuard Vorteile.
Dieser Artikel beschreibt die Einrichtung einer WireGuard-Verbindung zwischen zwei LANCOM Routern.
Information regarding licensing:
WireGuard wird als VPN-Tunnel betrachtet und fließt entsprechend in die Lizenzzählung des Routers ein. Der Lizenzpool wird gemeinsam mit anderen VPN-Tunneln wie IKEv2/IPSec oder PPTP-MPPE genutzt. Eine WireGuard-Lizenz wird angerechnet, sobald Daten über den WireGuard-Tunnel übertragen werden. Die Anzahl der konfigurierbaren WireGuard-Tunnel ist unbegrenzt. Zusätzliche WireGuard-Lizenzen können über die VPN-Option erworben werden.
Beispiel:
Verfügt ein Router über eine Lizenz für fünf VPN-Tunnel und sind bereits drei IPSec-Tunnel aktiv, können noch zwei weitere WireGuard-Tunnel genutzt werden.
Requirements:
- LCOS ab Version 10.94 (download aktuelle Version)
- LANtools ab Version 10.94 (download aktuelle Version)
Scenario:
- Ein Unternehmen möchte seinen Mitarbeitern in der Filiale Zugriff auf das Firmennetzwerk in der Zentrale per WireGuard Site-to-Site Verbindung ermöglichen.
- Die Zentrale verfügt über einen LANCOM Router als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 81.81.81.1.
- Die Filiale verfügt ebenfalls über einen LANCOM Router als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 81.81.81.2.
- Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.1.0/24.
- Das lokale Netzwerk der Filiale hat den IP-Adressbereich 192.168.2.0/24.
Procedure:
Die Konfiguration der WireGuard-Verbindungen muss auf den beiden LANCOM Routern parallel ausgeführt werden (Schritte 1.3 - 1.6 sowie 2.3 - 2.6), da der Public-Key jeweils auf dem anderen Router hinterlegt werden muss. Weiterhin muss auf beiden Routern der gleiche Preshared Key eingetragen werden. Zur besseren Übersichtlichkeit wird die Einrichtung jedoch getrennt beschrieben.
1. Konfiguration auf dem LANCOM Router in der Zentrale:
1.1 Verbinden Sie sich mit dem LANCOM Router in der Zentrale per LANconfig und wechseln in das Menü VPN → WireGuard. Aktivieren Sie WireGuard und die Cookie Challenge.
Der WireGuard-Handshake ist sehr rechenintensiv. Angreifer könnten daher versuchen durch sehr viele gleichzeitige Handshake-Anfragen den Router zu überlasten und dadurch zu verlangsamen oder zum Absturz zu bringen (sogenannte "CPU-exhaustion attack").
Eine Schutzmaßnahme für solche Angriffe stellt die Cookie Challenge dar. Dadurch muss ein Angreifer für jede Handshake-Anfrage einen zusätzlichen Netzwerk-Roundtrip durchführen und das Cookie beantworten. Dies erhöht die Kosten für den Angriff erheblich und macht ihn weniger effektiv.
LANCOM Systems empfiehlt daher, die Option Cookie Challenge immer zu aktivieren.
.2 Wechseln Sie in das Menü Verbindungs-Liste.
1.3 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an:
- Verbindung: Vergeben Sie einen aussagekräftigen Namen für die WireGuard-Verbindung (in diesem Beispiel WG-FILIALE).
- Remote Gateway: Tragen Sie die öffentliche IP-Adresse oder den DynDNS-Namen des Routers in der Filiale ein (in diesem Beispiel 81.81.81.2).
- Local Private Key: Klicken Sie auf Schlüssel erzeugen, damit der Router einen Private Key für sich selbst erzeugt.
- Preshared Key: Klicken Sie auf Schlüssel erzeugen, damit der Router einen Preshared-Key erzeugt. Dieser ist optional und dient der zusätzlichen Absicherung. Der Preshared-Key muss in Schritt 2.3 auf dem Router in der Filiale hinterlegt werden.
Der Peer Private Key muss im LANCOM Router nur dann erstellt werden, wenn dieser ein WireGuard-Profil für den Peer erstellen und dieses als Konfiguration oder als QR-Code bereitstellen soll. Er ist für die Funktion im LCOS nicht erforderlich und wird nur in der Konfiguration gespeichert, damit die Konfiguration für die Gegenseite ggf. zu einem späteren Zeitpunkt erneut angezeigt bzw. generiert werden kann.
Für jede neue WireGuard-Verbindung muss ein separater Lokaler Port verwendet werden, also z.B. 51821 für die zweite Verbindung, 51822 für die dritte Verbindung usw..
1.4 Klicken Sie auf Peer Konfig erzeugen, um den Public Key auszulesen.
1.5 Kopieren Sie den Public Key (Local). Dieser muss auf dem Router in der Filiale in Schritt 2.6 angegeben werden.
1.6 Tragen Sie in das Feld Peer Public Key den in Schritt 2.5 kopierten Public Key vom Router in der Filiale ein.
1.7 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.
1.8 Klicken Sie auf Hinzufügen, um einen neuen Routing-Eintrag zu erstellen.
1.9 Passen Sie die folgenden Parameter an:
- IP-Adresse: Tragen Sie die Netzadresse des IP-Adressbereichs in der Filiale ein (in diesem Beispiel 192.168.2.0).
- Netzmaske: Tragen Sie die Subnetzmaske des IP-Adressbereichs in der Filiale ein (in diesem Beispiel 255.255.255.0).
- Router: Wählen Sie im Dropdown-Menü die in den Schritten 1.3 - 1.6 erstellte WireGuard-Gegenstelle aus (in diesem Beispiel WG-FILIALE).
- IP-Maskierung: Wählen Sie die Option IP-Maskierung abgeschaltet aus.
1.10 Die Konfigurationsschritte auf dem Router in der Zentrale sind damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
2. Konfiguration auf dem LANCOM Router in der Filiale:
2.1 Verbinden Sie sich mit dem LANCOM Router in der Filiale per LANconfig und wechseln in das Menü VPN → WireGuard. Aktivieren Sie WireGuard und die Cookie Challenge.
Der WireGuard-Handshake ist sehr rechenintensiv. Angreifer könnten daher versuchen durch sehr viele gleichzeitige Handshake-Anfragen den Router zu überlasten und dadurch zu verlangsamen oder zum Absturz zu bringen (sogenannte "CPU-exhaustion attack").
Eine Schutzmaßnahme für solche Angriffe stellt die Cookie Challenge dar. Dadurch muss ein Angreifer für jede Handshake-Anfrage einen zusätzlichen Netzwerk-Roundtrip durchführen und das Cookie beantworten. Dies erhöht die Kosten für den Angriff erheblich und macht ihn weniger effektiv.
LANCOM Systems empfiehlt daher, die Option Cookie Challenge immer zu aktivieren.
2.2 Wechseln Sie in das Menü Verbindungs-Liste.
2.3 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an:
- Verbindung: Vergeben Sie einen aussagekräftigen Namen für die WireGuard-Verbindung (in diesem Beispiel WG-ZENTRALE).
- Remote Gateway: Tragen Sie die öffentliche IP-Adresse oder den DynDNS-Namen des Routers in der Zentrale ein (in diesem Beispiel 81.81.81.1).
- Local Private Key: Klicken Sie auf Schlüssel erzeugen, damit der Router einen Private Key für sich selbst erzeugt.
- Preshared Key: Kopieren Sie den in Schritt 1.3 erzeugten Preshared Key und fügen diesen hier ein.
Der Peer Private Key muss im LANCOM Router nur dann erstellt werden, wenn dieser ein WireGuard-Profil für den Peer erstellen und dieses als Konfiguration oder als QR-Code bereitstellen soll. Er ist für die Funktion im LCOS nicht erforderlich und wird nur in der Konfiguration gespeichert, damit die Konfiguration für die Gegenseite ggf. zu einem späteren Zeitpunkt erneut angezeigt bzw. generiert werden kann.
Für jede neue WireGuard-Verbindung muss ein separater Lokaler Port verwendet werden, also z.B. 51821 für die zweite Verbindung, 51822 für die dritte Verbindung usw..
2.4 Klicken Sie auf Peer Konfig erzeugen, um den Public Key auszulesen.
2.5 Kopieren Sie den Public Key (Local). Dieser muss auf dem Router in der Zentrale in Schritt 1.6 angegeben werden.
2.6 Tragen Sie in das Feld Peer Public Key den in Schritt 1.5 kopierten Public Key vom Router in der Zentrale ein.
2.7 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle.
2.8 Klicken Sie auf Hinzufügen, um einen neuen Routing-Eintrag zu erstellen.
2.9 Passen Sie die folgenden Parameter an:
- IP-Adresse: Tragen Sie die Netzadresse des IP-Adressbereichs in der Zentrale ein (in diesem Beispiel 192.168.1.0).
- Netzmaske: Tragen Sie die Subnetzmaske des IP-Adressbereichs in der Zentrale ein (in diesem Beispiel 255.255.255.0).
- Router: Wählen Sie im Dropdown-Menü die in den Schritten 2.3 - 2.6 erstellte WireGuard-Gegenstelle aus (in diesem Beispiel WG-ZENTRALE).
- IP-Maskierung: Wählen Sie die Option IP-Maskierung abgeschaltet aus.
2.10 Die Konfigurationsschritte auf dem Router in der Filiale sind damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
