Quelle anzeigen

Beschreibung:

In diesem Artikel wird beschrieben, wie eine WireGuard-Verbindung zwischen zwei LANCOM R&S®Unified Firewalls eingerichtet werden kann.

Eine Verbindungsüberwachung ist in WireGuard nicht implementiert. Dadurch wird eine Verbindung nach dem Aufbau immer als aktiv angezeigt, auch wenn diese gar nicht zustande gekommen ist.

Der WireGuard-Standard sieht aktuell keine Verwendung mit mehreren WAN-Verbindungen vor. Es ist daher nicht möglich eine dedizierte WAN-Verbindung für eine WireGuard-Verbindung auszuwählen. Aus diesem Grund ist auf einer Unified Firewall mit mehr als einer Internet-Verbindung keine Daten-Übertragung über die WireGuard-Verbindung möglich, da die Unified Firewall die Antwort-Pakete über eine andere Internet-Verbindung sendet als eingehende Pakete.

Voraussetzungen:

Zwei LANCOM R&S®Unified Firewalls ab LCOS FX 10.12
Bereits eingerichtete und funktionsfähige Internet-Verbindung samt lokalem Netzwerk auf den Unified Firewalls
Web-Browser zur Konfiguration der Unified Firewall.

Es werden folgende Browser unterstützt:
- Google Chrome
- Chromium
- Mozilla Firefox

Vorgehensweise:

Die Konfiguration der WireGuard-Verbindungen muss auf den beiden Unified Firewalls parallel ausgeführt werden (Schritte 1.1 und 1.2 sowie 2.1 und 2.2), da der Public-Key jeweils auf der anderen Unified Firewall hinterlegt werden muss. Zur besseren Übersichtlichkeit wird die Einrichtung jedoch getrennt beschrieben.

1. Konfiguration von WireGuard auf der Firewall-1:

1.1 Konfiguration des WireGuard-Interfaces auf der Firewall-1:

Für jede WireGuard-Konfiguration (WireGuard-Verbindung genannt) muss ein eigenes WireGuard-Interface erstellt werden. Es ist aber möglich, in einer WireGuard-Konfiguration mehrere Peers anzugeben.

1.1.1 Verbinden Sie sich per Webinterface mit der Firewall-1 und wechseln in das Menü Netzwerk → WireGuard-Interfaces. Klicken Sie anschließend auf das "Plus-Zeichen", um ein neues WireGuard-Interface zu erstellen.

Web Interface Netzwerk Dropdown Menü

1.1.2 Klicken Sie auf Erstellen, um das Interface anzulegen.

WireGuard Interface Neuer Eintrag

1.2 Konfiguration der WireGuard-Verbindung auf der Firewall-1:

1.2.1 Wechseln Sie in das Menü VPN → WireGuard und klicken auf das "Plus-Zeichen", um eine WireGuard-Verbindung zu erstellen.

VPN Dropdown Menü WireGuard

1.2.2 Passen Sie die folgenden Parameter an:

Name: Vergeben Sie einen aussagekräftigen Namen für die WireGuard-Verbindung (in diesem Beispiel WG-Firewall-1).
Interface: Wählen Sie im Dropdownmenü das in Schritt 1.1 erstellte WireGuard-Interface aus.
Adresse: Vergeben Sie eine IP-Adresse aus einem bisher nicht verwendeten IP-Adressbereich (in diesem Beispiel 192.168.222.1).

Der Port zählt bei Erstellen mehrerer Wireguard-Verbindungen automatisch hoch.

VPN WireGuard Konfiguration

1.2.3 Wechseln Sie in den Reiter Authentifizierung und klicken auf die Schaltfläche Schlüsselpaar erzeugen. Dadurch werden der Private-Key und der Public-Key automatisch erzeugt.

VPN WireGuard Authentifizierung

1.2.4 Klicken Sie auf Public-Key kopieren und speichern diesen in einer Text-Datei ab.

VPN WireGuard Public Key

1.2.5 Wechseln Sie zurück auf den Reiter Peers und klicken auf das "Plus-Zeichen", um die Verbindungs-Parameter für die Gegenseite anzugeben.

VPN WireGuard Peers Erstellen

1.2.6 Passen Sie die folgenden Parameter an und klicken auf OK:

Name: Vergeben Sie einen aussagekräftigen Namen für die Verbindung zur Gegenseite (in diesem Beispiel WG-Firewall-2).
Remote-Adresse: Tragen Sie die IP-Adresse ein, unter welcher die Gegenseite im Internet erreichbar ist (in diesem Beispiel wird ein Transfer-Netzwerk verwendet und die Firewall-2 hat in diesem die IP-Adresse 192.168.168.254)
Remote-Port: Tragen Sie den Port 51820 ein. Sollten Sie in Schritt 1.2.4 einen anderen Port gewählt haben oder dieser durch Erstellen mehrerer Wireguard-Verbindungen automatisch auf einen höheren Port gesetzt worden sein, müssen Sie diesen hier entsprechend hinterlegen.
Public-Key: Tragen Sie den in Schritt 2.2.4 kopierten Public-Key der Firewall-2 ein.
Keep-Alive: Tragen Sie den Wert 25 ein, damit die Firewall-1 die Verbindung aufbaut und die Verbindung dauerhaft aufrechterhalten wird (Keep-Alive-Wert von 25 Sekunden).
Erlaubte IP-Adressen: Tragen Sie ein oder mehrere IP-Netzwerke der Gegenseite in CIDR-Schreibweise (Classless Inter Domain Routing) ein, welche über die WireGuard-Verbindung mit den lokalen Netzwerken kommunizieren sollen (in diesem Beispiel 192.168.1.0/24).

Es können mehrere Peers in einer WireGuard-Konfiguration hinterlegt werden (diese können auch parallel aufgebaut werden). So können mehrere Unified Firewalls angebunden werden, ohne dass für jede Firewall eine eigene Konfiguration erstellt werden muss. Es ist allerdings sinnvoll eine neue WireGuard-Konfiguration zu erstellen, wenn der Datenverkehr aufgeteilt werden soll (etwa bei Anbindung verschiedener Dienstleister).

VPN WireGuard Peers Konfiguration

1.2.7 Klicken Sie abschließend auf Erstellen.

VPN WireGuard Peers Menü

1.3 Datenverkehr zwischen dem lokalen Netzwerk und dem WireGuard-Netzwerk erlauben:

Wiederholen Sie die folgenden Schritte für jedes weitere lokale oder entfernte Netzwerk, welches über den WireGuard-Tunnel kommunizieren soll.

1.3.1 Klicken Sie auf das Symbol zum Erstellen eines Netzwerks.

Netzwerk erstellen über GUI

1.3.2 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

Name: Vergeben Sie einen aussagekräftigen Namen für das Netzwerk (in diesem Beispiel WireGuard-Netzwerk).
Interface: Wählen Sie im Dropdown-Menü das in Schritt 1.1 erstellte WireGuard-Interface aus.
Netzwerk-IP: Klicken Sie in das Feld, damit das in Schritt 1.2.6 unter Erlaubte IP-Adressen hinterlegte Netzwerk angezeigt wird und wählen dieses aus (in diesem Beispiel 192.168.1.0/24). Haben Sie dort mehrere Netzwerke hinterlegt, werden alle angezeigt und Sie müssen eines davon auswählen.

WireGuard Netzwerk Einstellungen

1.3.3 Klicken Sie auf dem Desktop auf das Objekt für das lokale Netzwerk (in diesem Beispiel INTRANET), wählen das Verbindungs-Werkzeug aus und klicken auf das Objekt für das in Schritt 1.3.2 erstellte WireGuard-Netzwerk.

GUI Verbindung WireGuard und INTRANET

1.3.4 Fügen Sie die für die Kommunikation erforderlichen Protokolle hinzu.

Verbindung WireGuard WAN Regeln Konfiguration Liste Protokolle Erlauben

1.3.5 Klicken Sie auf Erstellen, damit die Verbindungs-Regeln angelegt werden.

Verbindung WireGuard WAN Regeln

1.3.6 Klicken Sie abschließend auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.

GUI Aktivierungsknopf

2. Konfiguration von WireGuard auf der Firewall-2:

2.1 Konfiguration des WireGuard-Interfaces auf der Firewall-2:

2.1.1 Verbinden Sie sich per Webinterface mit der Firewall-2 und wechseln in das Menü Netzwerk → WireGuard-Interfaces. Klicken Sie anschließend auf das "Plus-Zeichen", um ein neues WireGuard-Interface zu erstellen.

Netzwerk Dropdown Menü Wireguard

2.1.2 Klicken Sie auf Erstellen, um das Interface anzulegen.

WireGuard Interface Neuer Eintrag

2.2 Konfiguration der WireGuard-Verbindung auf der Firewall-2:

2.2.1 Wechseln Sie in das Menü VPN → WireGuard und klicken auf das "Plus-Zeichen", um eine WireGuard-Verbindung zu erstellen.

VPN Dropdown Menü WireGuard

2.2.2 Passen Sie die folgenden Parameter an:

Name: Vergeben Sie einen aussagekräftigen Namen für die WireGuard-Verbindung (in diesem Beispiel WG-Firewall-2).
Interface: Wählen Sie im Dropdownmenü das in Schritt 2.1 erstellte WireGuard-Interface aus.
Adresse: Vergeben Sie eine IP-Adresse aus dem auf der Firewall-1 in Schritt 1.2.2 verwendeten IP-Adressbereich (in diesem Beispiel 192.168.222.2).

Der Port zählt bei Erstellen mehrerer Wireguard-Verbindungen automatisch hoch.

VPN WireGuard Konfiguration

2.2.3 Wechseln Sie in den Reiter Authentifizierung und klicken auf die Schaltfläche Schlüsselpaar erzeugen. Dadurch werden der Private-Key und der Public-Key automatisch erzeugt.

VPN WireGuard Authentifizierung

2.2.4 Klicken Sie auf Public-Key kopieren und speichern diesen in einer Text-Datei ab.

VPN WireGuard Public Key

2.2.5 Wechseln Sie zurück auf den Reiter Peers und klicken auf das "Plus-Zeichen", um die Verbindungs-Parameter für die Gegenseite anzugeben.

VPN WireGuard Peers Erstellen

2.2.6 Passen Sie die folgenden Parameter an und klicken auf OK:

Name: Vergeben Sie einen aussagekräftigen Namen für die Verbindung zur Gegenseite (in diesem Beispiel WG-Firewall-1).
Public-Key: Tragen Sie den in Schritt 1.2.4 kopierten Public-Key der Firewall-1 ein.
Erlaubte IP-Adressen: Tragen Sie ein oder mehrere IP-Netzwerke der Gegenseite in CIDR-Schreibweise ein, welche über die WireGuard-Verbindung mit den lokalen Netzwerken kommunizieren sollen (in diesem Beispiel 172.16.253.0/24).

Die Parameter Remote-Adresse und Remote-Port müssen hier nicht angegeben werden, da die Verbindung von der Firewall-2 angenommen wird. Dadurch kann auch kein Wert für Keep Alive angegeben werden.

VPN WireGuard Peer Konfiguration

2.2.7 Klicken Sie abschließend auf Erstellen.

VPN WireGuard Peers Menü

2.3 Datenverkehr zwischen dem lokalen Netzwerk und dem WireGuard-Netzwerk erlauben:

Wiederholen Sie die folgenden Schritte für jedes weitere lokale bzw. entfernte Netzwerk, welches über den WireGuard-Tunnel kommunizieren soll.

2.3.1 Klicken Sie auf das Symbol zum Erstellen eines Netzwerks.

Netzwerk erstellen über GUI

2.3.2 Passen Sie die folgenden Parameter an und klicken auf Erstellen:

Name: Vergeben Sie einen aussagekräftigen Namen für das Netzwerk (in diesem Beispiel WireGuard-Netzwerk).
Interface: Wählen Sie im Dropdown-Menü das in Schritt 2.1 erstellte WireGuard-Interface aus.
Netzwerk-IP: Klicken Sie in das Feld, damit das in Schritt 2.2.6 unter Erlaubte IP-Adressen hinterlegte Netzwerk angezeigt wird und wählen dieses aus (in diesem Beispiel 172.23.253.0/24). Haben Sie dort mehrere Netzwerke hinterlegt, werden alle angezeigt und Sie müssen eines davon auswählen.

WireGuard Netzwerk Einstellungen

2.3.3 Klicken Sie auf dem Desktop auf das Objekt für das lokale Netzwerk (in diesem Beispiel INTRANET), wählen das Verbindungs-Werkzeug aus und klicken auf das Objekt für das in Schritt 2.3.2 erstellte WireGuard-Netzwerk.

GUI Verbindung WireGuard und INTRANET

2.3.4 Fügen Sie die für die Kommunikation erforderlichen Protokolle hinzu.

Verbindung WireGuard WAN Regeln Konfiguration Liste Protokolle Erlauben

2.3.5 Klicken Sie auf Erstellen, damit die Verbindungs-Regeln angelegt werden.

Verbindung WireGuard WAN Regeln Konfiguration

2.3.6 Klicken Sie abschließend auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.

GUI Aktivierungsknopf

3. Status der WireGuard-Verbindung aufrufen:

3.1 Wechseln Sie in das Menü Monitoring & Statistiken → WireGuard-Status.

Monitoring WireGuard Status

3.2 In dem Menü WireGuard-Status wird unter Anderem die IP-Adresse der entfernten Unified Firewall, die Anzahl der empfangenen und gesendeten Pakete sowie die erlaubten Netzwerke angezeigt:

WireGuard-Status auf der Firewall-1:

WireGuard Status Menü

WireGuard-Status auf der Firewall-2:

WireGuard Status Menü