Beschreibung:
In diesem Artikel wird beschrieben, wie eine WireGuard-Verbindung zwischen einer LANCOM R&S®Unified Firewall und einer AVM FRITZ!Box eingerichtet werden kann.
Eine Verbindungsüberwachung ist in WireGuard nicht implementiert. Dadurch wird eine Verbindung nach dem Aufbau immer als aktiv angezeigt, auch wenn diese gar nicht zustande gekommen ist.
Voraussetzungen:
- Eine LANCOM R&S®Unified Firewall mit LCOS FX ab Version 10.12
- Eine AVM FRITZ!Box mit WireGuard-Unterstützung und FRITZ!OS ab Version 7.39
- Bereits eingerichtete und funktionsfähige Internet-Verbindung samt lokalem Netzwerk auf der Unified Firewall sowie der FRITZ!Box
- Beliebiger Web-Browser zur Konfiguration der FRITZ!Box
- Web-Browser zur Konfiguration der Unified Firewall
Es werden folgende Browser unterstützt:- Google Chrome
- Chromium
- Mozilla Firefox
Vorgehensweise:
Die Konfiguration der WireGuard-Verbindungen muss auf der Unified Firewall sowie der FRITZ!Box parallel ausgeführt werden (Schritte 1.1 und 1.2 sowie 2.5 - 2.8), da der Public-Key jeweils auf dem anderen Gerät hinterlegt werden muss. Zur besseren Übersichtlichkeit wird die Einrichtung jedoch getrennt beschrieben.
1. Konfiguration von WireGuard auf der Unified Firewall:
1.1 Konfiguration des WireGuard-Interfaces auf der Unified Firewall:
Für jede WireGuard-Konfiguration (WireGuard-Verbindung genannt) muss ein eigenes WireGuard-Interface erstellt werden. Es ist aber möglich, in einer WireGuard-Konfiguration mehrere Peers anzugeben.
1.1.1 Verbinden Sie sich per Webinterface mit der Unified Firewall und wechseln in das Menü Netzwerk → WireGuard-Interfaces. Klicken Sie anschließend auf das "Plus-Zeichen", um ein neues WireGuard-Interface zu erstellen.
1.1.2 Klicken Sie auf Erstellen, um das Interface anzulegen.
1.2 Konfiguration der WireGuard-Verbindung auf der Unified Firewall:
1.2.1 Wechseln Sie in das Menü VPN → WireGuard und klicken auf das "Plus-Zeichen", um eine WireGuard-Verbindung zu erstellen.
1.2.2 Passen Sie die folgenden Parameter an:
- Name: Vergeben Sie einen aussagekräftigen Namen für die WireGuard-Verbindung (in diesem Beispiel WG-UF).
- Interface: Wählen Sie im Dropdownmenü das in Schritt 1.1 erstellte WireGuard-Interface aus.
- Adresse: Vergeben Sie eine IP-Adresse aus einem bisher nicht verwendeten IP-Adressbereich (in diesem Beispiel 192.168.222.1).
Der Port zählt bei Erstellen mehrerer Wireguard-Verbindungen automatisch hoch.
1.2.3 Wechseln Sie in den Reiter Authentifizierung und klicken auf die Schaltfläche Schlüsselpaar erzeugen. Dadurch werden der Private-Key und der Public-Key automatisch erzeugt.
1.2.4 Klicken Sie auf Public-Key kopieren und speichern diesen in einer Text-Datei ab.
1.2.5 Wechseln Sie zurück auf den Reiter Peers und klicken auf das "Plus-Zeichen", um die Verbindungs-Parameter für die Gegenseite anzugeben.
1.2.6 Passen Sie die folgenden Parameter an und klicken auf OK:
- Name: Vergeben Sie einen aussagekräftigen Namen für die Verbindung zur Gegenseite (in diesem Beispiel WG-FRITZ!Box).
- Remote-Adresse: Tragen Sie die IP-Adresse oder den DynDNS-Namen ein, unter welcher die Gegenseite im Internet erreichbar ist (in diesem Beispiel eine Adresse des AVM DynDNS-Dienstes myfritz.net)
- Remote-Port: Tragen Sie den Port 51820 ein. Sollten Sie in Schritt 1.2.4 einen anderen Port gewählt haben oder dieser durch Erstellen mehrerer Wireguard-Verbindungen automatisch auf einen höheren Port gesetzt worden sein, müssen Sie diesen hier entsprechend hinterlegen.
- Public-Key: Tragen Sie den in Schritt 2.8 kopierten PublicKey der FRITZ!Box ein.
- Keep-Alive: Tragen Sie den Wert 25 ein, damit die Unified Firewall die Verbindung aufbaut und die Verbindung dauerhaft aufrechterhalten wird (Keep-Alive-Wert von 25 Sekunden).
- Erlaubte IP-Adressen: Tragen Sie ein oder mehrere IP-Netzwerke der Gegenseite in CIDR-Schreibweise (Classless Inter Domain Routing) ein, welche über die WireGuard-Verbindung mit den lokalen Netzwerken kommunizieren sollen (in diesem Beispiel 192.168.178.0/24).
Es können mehrere Peers in einer WireGuard-Konfiguration hinterlegt werden (diese können auch parallel aufgebaut werden). So können mehrere Gegenstellen angebunden werden, ohne dass für jede Gegenstelle eine eigene Konfiguration erstellt werden muss. Es ist allerdings sinnvoll eine neue WireGuard-Konfiguration zu erstellen, wenn der Datenverkehr aufgeteilt werden soll (etwa bei Anbindung verschiedener Dienstleister).
1.2.7 Klicken Sie abschließend auf Erstellen.
1.3 Datenverkehr zwischen dem lokalen Netzwerk und dem WireGuard-Netzwerk erlauben:
Wiederholen Sie die folgenden Schritte für jedes weitere lokale oder entfernte Netzwerk, welches über den WireGuard-Tunnel kommunizieren soll.
1.3.1 Klicken Sie auf das Symbol zum Erstellen eines Netzwerks.
1.3.2 Passen Sie die folgenden Parameter an und klicken auf Erstellen:
- Name: Vergeben Sie einen aussagekräftigen Namen für das Netzwerk (in diesem Beispiel WireGuard-Netzwerk).
- Interface: Wählen Sie im Dropdown-Menü das in Schritt 1.1 erstellte WireGuard-Interface aus.
- Netzwerk-IP: Klicken Sie in das Feld, damit das in Schritt 1.2.6 unter Erlaubte IP-Adressen hinterlegte Netzwerk angezeigt wird und wählen dieses aus (in diesem Beispiel 192.168.178.0/24). Haben Sie dort mehrere Netzwerke hinterlegt, werden alle angezeigt und Sie müssen eines davon auswählen.
1.3.3 Klicken Sie auf dem Desktop auf das Objekt für das lokale Netzwerk (in diesem Beispiel INTRANET), wählen das Verbindungs-Werkzeug aus und klicken auf das Objekt für das in Schritt 1.3.2 erstellte WireGuard-Netzwerk.
1.3.4 Fügen Sie die für die Kommunikation erforderlichen Protokolle hinzu.
1.3.5 Klicken Sie auf Erstellen, damit die Verbindungs-Regeln angelegt werden.
1.3.6 Klicken Sie abschließend auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.
2. Konfiguration von WireGuard auf der FRITZ!Box:
2.1 Wechseln Sie in der Konfigurationsoberfläche der FRITZ!Box in das Menü Internet → Freigaben.
2.2 Wechseln Sie in den Reiter VPN (WireGuard) und klicken auf Verbindung hinzufügen.
2.3 Wählen Sie die Option Netzwerke koppeln oder spezielle Verbindungen herstellen aus und klicken auf Weiter.
2.4 Passen Sie die benutzerdefinierten Einstellungen wie folgt an und klicken auf Weiter:
- Wurde diese WireGuard®-Verbindung bereits auf der Gegenstelle erstellt? - Nein
- Soll die neue WireGuard®-Verbindung gleichzeitig zu einer bestehenden Verbindung der Gegenstelle genutzt werden? - Ja
- Soll die Einstellungsdatei der Gegenstelle importiert und automatisch um die neue Verbindung erweitert werden? - Nein
2.5 Passen Sie die folgenden Parameter an:
- Name der WireGuard®-Verbindung: Vergeben Sie einen aussagekräftigen Namen für die WireGuard-Verbindung (in diesem Beispiel WireGuard-UF).
- Öffentlicher Schlüssel: Tragen Sie den in Schritt 1.2.4 kopierten Public Key der Unified Firewall ein.
2.6 Passen Sie die folgenden Parameter an und klicken auf Fertigstellen:
- Internet-Adresse: Tragen Sie die öffentliche IP-Adresse oder den DynDNS-Namen sowie den WireGuard-Port der Unified Firewall in dem Format <IP-Adresse/DynDNS-Name:Port> ein (in diesem Beispiel 81.81.81.1:51820).
- Entferntes Netzwerk: Tragen Sie die Netz-Adresse des Netzwerks in der Unified Firewall ein (in diesem Beispiel 172.16.253.0).
- Subnetzmaske: Tragen Sie die Subnetzmaske des Netzwerks in der Unified Firewall ein (in diesem Beispiel 255.255.255.0).
2.7 Klicken Sie auf Einstellungen herunterladen und speichern die Einstellungs-Datei ab. Klicken Sie dann auf Schließen.
2.8 Öffnen Sie die in Schritt 2.7 gespeicherte Konfigurations-Datei in einem Text-Editor und kopieren den PublicKey. Dieser muss auf der Unified Firewall in Schritt 1.2.6 als Public-Key hinterlegt werden.
2.9 Die Konfigurationsschritte auf der FRITZ!Box sind damit abgeschlossen.
3. Status der WireGuard-Verbindung auf der Unified Firewall auslesen:
Status-Informationen (z.B. übertragenes Datenvolumen) können Sie auf der Unified Firewalll in dem Menü Monitoring & Statistiken → WireGuard-Status einsehen.
