Beschreibung:

In diesem Artikel wird beschrieben, wie eine WireGuard-Verbindung zwischen einer LANCOM R&S®Unified Firewall und einer AVM FRITZ!Box eingerichtet werden kann.

Eine Verbindungsüberwachung ist in WireGuard nicht implementiert. Dadurch wird eine Verbindung nach dem Aufbau immer als aktiv angezeigt, auch wenn diese gar nicht zustande gekommen ist.

Der WireGuard-Standard sieht aktuell keine Verwendung mit mehreren WAN-Verbindungen vor. Es ist daher nicht möglich eine dedizierte WAN-Verbindung für eine WireGuard-Verbindung auszuwählen. Aus diesem Grund ist auf einer Unified Firewall mit mehr als einer Internet-Verbindung keine Daten-Übertragung über die WireGuard-Verbindung möglich, da die Unified Firewall die Antwort-Pakete über eine andere Internet-Verbindung sendet als eingehende Pakete. 


Voraussetzungen:

  • Eine LANCOM R&S®Unified Firewall mit LCOS FX ab Version 10.12 
  • Eine AVM FRITZ!Box mit WireGuard-Unterstützung und FRITZ!OS ab Version 7.39
  • Bereits eingerichtete und funktionsfähige Internet-Verbindung samt lokalem Netzwerk auf der Unified Firewall sowie der FRITZ!Box
  • Beliebiger Web-Browser zur Konfiguration der FRITZ!Box
  • Web-Browser zur Konfiguration der Unified Firewall 

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox


Vorgehensweise:

Die Konfiguration der WireGuard-Verbindungen muss auf der Unified Firewall sowie der FRITZ!Box parallel ausgeführt werden (Schritte 1.1 und 1.2 sowie 2.5 - 2.8), da der Public-Key jeweils auf dem anderen Gerät hinterlegt werden muss. Zur besseren Übersichtlichkeit wird die Einrichtung jedoch getrennt beschrieben.

1. Konfiguration von WireGuard auf der Unified Firewall:

1.1 Konfiguration des WireGuard-Interfaces auf der Unified Firewall:

Für jede WireGuard-Konfiguration (WireGuard-Verbindung genannt) muss ein eigenes WireGuard-Interface erstellt werden. Es ist aber möglich, in einer WireGuard-Konfiguration mehrere Peers anzugeben.

1.1.1 Verbinden Sie sich per Webinterface mit der Unified Firewall und wechseln in das Menü Netzwerk → WireGuard-Interfaces. Klicken Sie anschließend auf das "Plus-Zeichen", um ein neues WireGuard-Interface zu erstellen.

Dialog zum Hinzufügen von neuen Wireguard-Interfaces im Netzwerk

1.1.2 Klicken Sie auf Erstellen, um das Interface anzulegen.

Konfiguration eines neuen Wireguard-Interface


1.2 Konfiguration der WireGuard-Verbindung auf der Unified Firewall:

1.2.1 Wechseln Sie in das Menü VPN → WireGuard und klicken auf das "Plus-Zeichen", um eine WireGuard-Verbindung zu erstellen.

Auf des Dialogs zum Erstellen einer neuen WireGuard VPN-Verbindung

1.2.2 Passen Sie die folgenden Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen für die WireGuard-Verbindung (in diesem Beispiel WG-UF).
  • Interface: Wählen Sie im Dropdownmenü das in Schritt 1.1 erstellte WireGuard-Interface aus.
  • Adresse: Vergeben Sie eine IP-Adresse aus einem bisher nicht verwendeten IP-Adressbereich (in diesem Beispiel 192.168.222.1).

Der Port zählt bei Erstellen mehrerer Wireguard-Verbindungen automatisch hoch.

Konfiguration einer neuen WireGuard VPN-Verbindung

1.2.3 Wechseln Sie in den Reiter Authentifizierung und klicken auf die Schaltfläche Schlüsselpaar erzeugen. Dadurch werden der Private-Key und der Public-Key automatisch erzeugt.

Konfiguration der Authentifizierung für die neue WireGuard VPN-Verbindung

1.2.4 Klicken Sie auf Public-Key kopieren und speichern diesen in einer Text-Datei ab.

Public-Key der neuen WireGuard VPN-Verbindung kopieren

1.2.5 Wechseln Sie zurück auf den Reiter Peers und klicken auf das "Plus-Zeichen", um die Verbindungs-Parameter für die Gegenseite anzugeben.

Konfiguration der Peers für die neue WireGuard VPN-Verbindung

1.2.6 Passen Sie die folgenden Parameter an und klicken auf OK:

  • Name: Vergeben Sie einen aussagekräftigen Namen für die Verbindung zur Gegenseite (in diesem Beispiel WG-FRITZ!Box).
  • Remote-Adresse: Tragen Sie die IP-Adresse oder den DynDNS-Namen ein, unter welcher die Gegenseite im Internet erreichbar ist (in diesem Beispiel eine Adresse des AVM DynDNS-Dienstes myfritz.net)
  • Remote-Port: Tragen Sie den Port 51820 ein. Sollten Sie in Schritt 1.2.4 einen anderen Port gewählt haben oder dieser durch Erstellen mehrerer Wireguard-Verbindungen automatisch auf einen höheren Port gesetzt worden sein, müssen Sie diesen hier entsprechend hinterlegen.
  • Public-Key: Tragen Sie den in Schritt 2.8 kopierten PublicKey der FRITZ!Box ein.
  • Keep-Alive:  Tragen Sie den Wert 25 ein, damit die Unified Firewall die Verbindung aufbaut und die Verbindung dauerhaft aufrechterhalten wird (Keep-Alive-Wert von 25 Sekunden).
  • Erlaubte IP-Adressen: Tragen Sie ein oder mehrere IP-Netzwerke der Gegenseite in CIDR-Schreibweise (Classless Inter Domain Routing) ein, welche über die WireGuard-Verbindung mit den lokalen Netzwerken kommunizieren sollen (in diesem Beispiel 192.168.178.0/24).

Es können mehrere Peers in einer WireGuard-Konfiguration hinterlegt werden (diese können auch parallel aufgebaut werden). So können mehrere Gegenstellen angebunden werden, ohne dass für jede Gegenstelle eine eigene Konfiguration erstellt werden muss. Es ist allerdings sinnvoll eine neue WireGuard-Konfiguration zu erstellen, wenn der Datenverkehr aufgeteilt werden soll (etwa bei Anbindung verschiedener Dienstleister).

Konfiguration der Peers für die neue WireGuard VPN-Verbindung

1.2.7 Klicken Sie abschließend auf Erstellen.

Erstellte WireGuard VPN-Verbindung speichern


1.3 Datenverkehr zwischen dem lokalen Netzwerk und dem WireGuard-Netzwerk erlauben:

Wiederholen Sie die folgenden Schritte für jedes weitere lokale oder entfernte Netzwerk, welches über den WireGuard-Tunnel kommunizieren soll.

1.3.1 Klicken Sie auf das Symbol zum Erstellen eines Netzwerks.

Netzwerk in Desktop-Oberfläche der Unfied Firewall erstellen

1.3.2 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen für das Netzwerk (in diesem Beispiel WireGuard-Netzwerk).
  • Interface: Wählen Sie im Dropdown-Menü das in Schritt 1.1 erstellte WireGuard-Interface aus.
  • Netzwerk-IP: Klicken Sie in das Feld, damit das in Schritt 1.2.6 unter Erlaubte IP-Adressen hinterlegte Netzwerk angezeigt wird und wählen dieses aus (in diesem Beispiel 192.168.178.0/24). Haben Sie dort mehrere Netzwerke hinterlegt, werden alle angezeigt und Sie müssen eines davon auswählen.

Dialog zur Erstellung eines neuen WireGuard-Netzwerks

1.3.3 Klicken Sie auf dem Desktop auf das Objekt für das lokale Netzwerk (in diesem Beispiel INTRANET), wählen das Verbindungs-Werkzeug aus und klicken auf das Objekt für das in Schritt 1.3.2 erstellte WireGuard-Netzwerk.

Desktop-Icon des neuens WireGuard-Netzweks auf dem Desktop der Konfigurationsoberfläche

1.3.4 Fügen Sie die für die Kommunikation erforderlichen Protokolle hinzu.

Konfiguration der Verbindung zwischen INTRANET und WireGuard-Netzwerk Auswahl der erlaubten Protokolle und Dienste

1.3.5 Klicken Sie auf Erstellen, damit die Verbindungs-Regeln angelegt werden.

Speichern der erstellten Verbindung zwischen INTRANET und WireGuard-Netzwerk

1.3.6 Klicken Sie abschließend auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.

Aktivieren der geänderten Konfiguration auf dem Desktop



2. Konfiguration von WireGuard auf der FRITZ!Box:

2.1 Wechseln Sie in der Konfigurationsoberfläche der FRITZ!Box in das Menü Internet → Freigaben.

Menü für Freigaben in FritzBox-Konfiguration aufrufen

2.2 Wechseln Sie in den Reiter VPN (WireGuard) und klicken auf Verbindung hinzufügen.

Registerkarte VPN WireGuard auswählen

2.3 Wählen Sie die Option Netzwerke koppeln oder spezielle Verbindungen herstellen aus und klicken auf Weiter.

Startseite des Assistent zur Verbindungskonfiguration

2.4 Passen Sie die benutzerdefinierten Einstellungen wie folgt an und klicken auf Weiter:

  • Wurde diese WireGuard®-Verbindung bereits auf der Gegenstelle erstellt? - Nein
  • Soll die neue WireGuard®-Verbindung gleichzeitig zu einer bestehenden Verbindung der Gegenstelle genutzt werden? - Ja
  • Soll die Einstellungsdatei der Gegenstelle importiert und automatisch um die neue Verbindung erweitert werden? - Nein

Festlegen benutzerdefinieter Einstellungen im Assistent

2.5 Passen Sie die folgenden Parameter an:

  • Name der WireGuard®-Verbindung: Vergeben Sie einen aussagekräftigen Namen für die WireGuard-Verbindung (in diesem Beispiel WireGuard-UF).
  • Öffentlicher Schlüssel: Tragen Sie den in Schritt 1.2.4 kopierten Public Key der Unified Firewall ein.

Vergabe des Verbindungsnamens und öffentlichen Schlüssels im Assistent

2.6 Passen Sie die folgenden Parameter an und klicken auf Fertigstellen:

  • Internet-Adresse: Tragen Sie die öffentliche IP-Adresse oder den DynDNS-Namen sowie den WireGuard-Port der Unified Firewall in dem Format <IP-Adresse/DynDNS-Name:Port> ein (in diesem Beispiel 81.81.81.1:51820).
  • Entferntes Netzwerk: Tragen Sie die Netz-Adresse des Netzwerks in der Unified Firewall ein (in diesem Beispiel 172.16.253.0).
  • Subnetzmaske: Tragen Sie die Subnetzmaske des Netzwerks in der Unified Firewall ein (in diesem Beispiel 255.255.255.0).

Eingabe der Gateway-IP-Adresse und lokalen Netzwerkparameter im Assistent

2.7 Klicken Sie auf Einstellungen herunterladen und speichern die Einstellungs-Datei ab. Klicken Sie dann auf Schließen.

Verbindungs-Assistent abschließen und Verbindung speichern

2.8 Öffnen Sie die in Schritt 2.7 gespeicherte Konfigurations-Datei in einem Text-Editor und kopieren den PublicKey. Dieser muss auf der Unified Firewall in Schritt 1.2.6 als Public-Key hinterlegt werden.

Modifikation der Konfigurations-Datei im Text-Editor

2.9 Die Konfigurationsschritte auf der FRITZ!Box sind damit abgeschlossen.



3. Status der WireGuard-Verbindung auf der Unified Firewall auslesen:

Status-Informationen (z.B. übertragenes Datenvolumen) können Sie auf der Unified Firewalll in dem Menü Monitoring & Statistiken → WireGuard-Status einsehen.