Quelle anzeigen

Beschreibung:

In diesem Artikel wird beschrieben, wie eine WireGuard-Verbindung zwischen einer LANCOM R&S®Unified Firewall und dem WireGuard Client für Windows eingerichtet werden kann.

Eine Verbindungsüberwachung ist in WireGuard nicht implementiert. Dadurch wird eine Verbindung nach dem Aufbau immer als aktiv angezeigt, auch wenn diese gar nicht zustande gekommen ist.

Der WireGuard-Standard sieht aktuell keine Verwendung mit mehreren WAN-Verbindungen vor. Es ist daher nicht möglich eine dedizierte WAN-Verbindung für eine WireGuard-Verbindung auszuwählen. Aus diesem Grund ist auf einer Unified Firewall mit mehr als einer Internet-Verbindung keine Daten-Übertragung über die WireGuard-Verbindung möglich, da die Unified Firewall die Antwort-Pakete über eine andere Internet-Verbindung sendet als eingehende Pakete.

Voraussetzungen:

LANCOM R&S®Unified Firewall ab LCOS FX 10.12
WireGuard Windows Client
Bereits eingerichtete und funktionsfähige Internet-Verbindung samt lokalem Netzwerk auf der Unified Firewall
Web-Browser zur Konfiguration der Unified Firewall.

Es werden folgende Browser unterstützt:
- Google Chrome
- Chromium
- Mozilla Firefox

Szenario:

1. Die Unified Firewall ist direkt mit dem Internet verbunden und verfügt über eine öffentliche IPv4-Adresse:

Ein Unternehmen möchte seinen Außendienst-Mitarbeitern den Zugriff auf das Firmennetzwerk per WireGuard Client-to-Site Verbindung ermöglichen.
Dazu ist auf den Notebooks der Außendienst-Mitarbeiter der WireGuard-Client installiert.
Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 81.81.81.1.
Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.1.0/24.
Die Unified Firewall verwendet für die WireGuard-Verbindung die virtuelle IP-Adresse 10.0.5.1, während der WireGuard-Client die virtuelle IP-Adresse 10.0.5.40 verwendet.

Szenario-Grafik für eine WireGuard-Verbindung zwischen einer Unified Firewall mit direkt angebunder Internet-Verbindung und einem Windows Notebook

2. Die Unified Firewall geht über einen vorgeschalteten Router ins Internet:

Ein Unternehmen möchte seinen Außendienst-Mitarbeitern den Zugriff auf das Firmennetzwerk per WireGuard Client-To-Site Verbindung ermöglichen.
Dazu ist auf den Notebooks der Außendienst-Mitarbeiter der WireGuard-Client installiert.
Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und einen vorgeschalteten Router, welcher die Internet-Verbindung herstellt. Der Router hat die feste öffentliche IP-Adresse 81.81.81.1.
Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.1.0/24.
Die Unified Firewall verwendet für die WireGuard-Verbindung die virtuelle IP-Adresse 10.0.5.1, während der WireGuard-Client die virtuelle IP-Adresse 10.0.5.40 verwendet.

Szenario-Grafik für eine WireGuard-Verbindung zwischen einer Unified Firewall mit Internet-Verbindung über einen vorgeschalteten Router und einem Windows Notebook

Vorgehensweise:

Die Einrichtung ist bei Szenario 1 und 2 grundsätzlich gleich. Bei Szenario 2 muss zusätzlich ein Portforwarding auf dem vorgeschalteten Router eingerichtet werden (der Standard-Port für WireGuard ist 51820, bei weiteren WireGuard-Verbindungen wird der Port hochgezählt).

Die Konfiguration der WireGuard-Verbindungen muss auf der Unified Firewall sowie auf dem Software-Client parallel ausgeführt werden (Schritte 1.1 und 1.2 sowie 2.), da der Public-Key auf der Unified Firewall sowie in dem Software-Client hinterlegt werden muss. Zur besseren Übersichtlichkeit wird die Einrichtung jedoch getrennt beschrieben.

1. Konfiguration von WireGuard auf der Unified Firewall:

1.1 Konfiguration des WireGuard-Interfaces auf der Unified Firewall:

Für jede WireGuard-Konfiguration (WireGuard-Verbindung genannt) muss ein eigenes WireGuard-Interface erstellt werden. Es ist aber möglich, in einer WireGuard-Konfiguration mehrere Peers anzugeben.

1.1.1 Verbinden Sie sich per Webinterface mit der Unified Firewall und wechseln in das Menü Netzwerk → WireGuard-Interfaces. Klicken Sie anschließend auf das "Plus-Zeichen", um ein neues WireGuard-Interface zu erstellen.

Erstellen eines neuen WireGuard-Interfaces im Konfigurations-Menü der Unified Firewall

1.1.2 Klicken Sie auf Erstellen, um das Interface anzulegen.

Speichern des Interfaces im Konfigurations-Dialog zum Erstellen eines neuen WireGuard-Interfaces

1.2 Konfiguration der WireGuard-Verbindung auf der Unified Firewall:

1.2.1 Wechseln Sie in das Menü VPN → WireGuard und klicken auf das "Plus-Zeichen", um eine WireGuard-Verbindung zu erstellen.

Erstellen einer WireGuard-Verbindung im Konfigurations-Menü der Unified Firewall

1.2.2 Passen Sie die folgenden Parameter an:

Name: Vergeben Sie einen aussagekräftigen Namen für die WireGuard-Verbindung (in diesem Beispiel WG-Firewall).
Interface: Wählen Sie im Dropdownmenü das in Schritt 1.1 erstellte WireGuard-Interface aus.
Adresse: Vergeben Sie eine IP-Adresse aus einem bisher nicht verwendeten IP-Adressbereich (in diesem Beispiel 10.0.5.1).

Der Port zählt bei Erstellen mehrerer Wireguard-Verbindungen automatisch hoch.

Konfigurations-Dialog für die allgemeinen Parameter der WireGuard-Verbindung (Name, Interface und Adresse)

1.2.3 Wechseln Sie in den Reiter Authentifizierung und klicken auf die Schaltfläche Schlüsselpaar erzeugen. Dadurch werden der Private-Key und der Public-Key automatisch erzeugt.

Schlüsselpaar (Private-Key und Public-Key) zur Authentifizierung erzeugen

1.2.4 Klicken Sie auf Public-Key kopieren und speichern diesen in einer Text-Datei ab.

Public-Key kopieren

1.2.5 Wechseln Sie zurück auf den Reiter Peers und klicken auf das "Plus-Zeichen", um die Verbindungs-Parameter für die Gegenseite anzugeben.

Peer für die WireGuard-Verbindung im Konfigurations-Menü der Unified Firewall erstellen

1.2.6 Passen Sie die folgenden Parameter an und klicken auf OK:

Name: Vergeben Sie einen aussagekräftigen Namen für die Verbindung zur Gegenseite (in diesem Beispiel WG-C2S-Windows).
Public-Key: Tragen Sie den im WireGuard Windows Client kopierten Public-Key ein (siehe Schritt 2.2).
Erlaubte IP-Adressen: Tragen Sie die in Schritt 2.3 vergebene IP-Adresse des WireGuard Windows Clients in CIDR-Schreibweise (Classless Inter Domain Routing) ein, welche über die WireGuard-Verbindung mit den lokalen Netzwerken kommunizieren soll (in diesem Beispiel 10.0.5.40/32).

Es können mehrere Peers in einer WireGuard-Konfiguration hinterlegt werden (diese können auch parallel aufgebaut werden). So können mehrere WireGuard-Clients angebunden werden, ohne dass für jeden Client eine eigene Konfiguration erstellt werden muss.

Konfigurations-Menü für die Parameter des WireGuard-Peers in der Unified Firewall

1.2.7 Klicken Sie abschließend auf Erstellen.

Speichern der WireGuard-Verbindung

1.3 Datenverkehr zwischen dem lokalen Netzwerk und dem WireGuard-Netzwerk erlauben:

Wiederholen Sie die folgenden Schritte für jedes weitere lokale oder entfernte Netzwerk, welches über den WireGuard-Tunnel kommunizieren soll.

1.3.1 Klicken Sie auf das Symbol zum Erstellen eines Hosts.

Schaltfläche zum Erstellen eines Host-Objektes betätigen

1.3.2 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

Name: Vergeben Sie einen aussagekräftigen Namen für den Host (in diesem Beispiel WG-Windows).
Interface: Wählen Sie im Dropdown-Menü das in Schritt 1.1 erstellte WireGuard-Interface aus.
Netzwerk-IP: Klicken Sie in das Feld, damit die in Schritt 1.2.6 unter Erlaubte IP-Adressen hinterlegte IP-Adresse angezeigt wird und wählen dieses aus (in diesem Beispiel 10.0.5.40).

Parameter für den Host im Konfigurations-Dialog hinterlegen

1.3.3 Klicken Sie auf dem Desktop auf das Objekt für das lokale Netzwerk (in diesem Beispiel INTRANET), wählen das Verbindungs-Werkzeug aus und klicken auf das Objekt für den in Schritt 1.3.2 erstellten WireGuard-Host.

Erstellen einer Verbindung zwischen dem lokalen Netzwerk und dem Host-Objekt auf dem Desktop der Unified Firewall

1.3.4 Fügen Sie die für die Kommunikation erforderlichen Protokolle hinzu.

Verbindungs-Regeln für die Verbindung zwischen dem lokalen Netzwerk und dem Host-Objekt Auswahlliste für verschiedene Dienste und Protokolle

1.3.5 Klicken Sie auf Erstellen, damit die Verbindungs-Regeln angelegt werden.

Speichern der Verbindungs-Regeln

1.3.6 Klicken Sie abschließend auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.

Übernahme der vorgenommenen Änderungen über die Schaltfläche Aktivieren

2. Konfiguration des WireGuard Windows Client:

2.1 Starten Sie den WireGuard-Client in Windows und klicken auf Tunnel hinzufügen → Einen leeren Tunnel hinzufügen.

Einen neuen Tunnel im WireGuard-Client für Windows hinzufügen

2.2 Vergeben Sie einen aussagekräftigen Namen für den Tunnel (in diesem Beispiel WireGuard-Client-UF) und speichern den Öffentlichen Schlüssel (Public Key) in einer Text-Datei ab.

Der Private Key und Public Key werden automatisch generiert.

Name für die Verbindung m WireGuard-Client erstellen

2.3 Ergänzen Sie die Konfigurations-Datei, indem Sie die Schablone einfügen und die Parameter anpassen. Klicken Sie anschließend auf Speichern:

Address: Vergeben Sie eine IP-Adresse in CIDR-Schreibweise die Sie in Schritt 1.2.6 für den WireGuard-Client vergeben haben (in diese Beispiel 10.0.5.40/32).
PublicKey: Tragen Sie den in Schritt 1.2.4 kopierten Public Key der Unified Firewall ein.
AllowedIPs: Tragen Sie ein IP-Netzwerk der Unified Firewall in CIDR-Schreibweise ein, mit dem der WireGuard-Client kommunizieren soll (in diesem Beispiel 192.168.1.0/24). Es können auch mehrere Netzwerke eingetragen werden, indem diese durch ein Komma voneinander separiert werden (z.B. 192.168.1.0/24, 192.168.2.0/24).
Endpoint: Tragen Sie die IP-Adresse oder den DNS-Namen der Unified Firewall im Internet sowie den verwendeten Port in der Syntax <IP-Adresse oder DNS-Name der Unified Firewall im Internet>:<WireGuard Port> (in diesem Beispiel 81.81.81.1:51820).
PersistentKeepalive: Tragen Sie den Wert 25 ein, damit der WireGuard-Client die Verbindung 25 Sekunden ohne Datenverkehr aufrecht erhält.

Address = <IP-Adresse>

[Peer]

PublicKey = <Public Key>

AllowedIPs = <IP-Netzwerk>

Endpoint = <IP-Adresse>:<Port>

PersistentKeepalive = 25

Ergänzen der Konfigurations-Datei im WireGuard-Client

2.4 Klicken Sie auf Aktivieren, damit die WireGuard-Verbindung aufgebaut wird.

Aktivietren der Konfiguration im WireGuard-Client