Diese Informationen basieren auf den KB Artikel: Einrichtung einer WireGuard-Verbindung zwischen einer LANCOM R&S®Unified Firewall und dem WireGuard Client für Windows wurde jedoch um einige wichtige Informationen ergänzt, die ein besseres Verständnis ermöglichen und zusätzliche Fragen beantworten.

Wichtige Hinweise vorab:

Der WireGuard-Standard sieht aktuell keine Verwendung mit mehreren WAN-Verbindungen vor. Es ist daher nicht möglich eine dedizierte WAN-Verbindung für eine WireGuard-Verbindung auszuwählen. Aus diesem Grund ist auf einer Unified Firewall mit mehr als einer Internet-Verbindung keine Daten-Übertragung über die WireGuard-Verbindung möglich, da die Unified Firewall die Antwort-Pakete über eine andere Internet-Verbindung sendet als eingehende Pakete. 

Eine Verbindungsüberwachung ist in WireGuard nicht implementiert. Dadurch wird eine Verbindung nach dem Aufbau immer als aktiv angezeigt, auch wenn diese gar nicht zustande gekommen ist.

Technische Voraussetzungen:

• LANCOM R&S®Unified Firewall ab LCOS FX 10.12
• WireGuard Windows Client
• Bereits eingerichtete und funktionsfähige Internet-Verbindung samt lokalem Netzwerk auf der Unified Firewall
• Web-Browser zur Konfiguration der Unified Firewall.

Vorgaben und Anforderungen

1. Die Unified Firewall ist direkt mit dem Internet verbunden und verfügt über eine öffentliche IPv4-Adresse:

• Eine Schule möchte Ihrem Kollegium externen Zugriff auf das interne Schülernetzwerk per WireGuard Client-to-Site Verbindung ermöglichen.
• Dazu ist auf den Notebooks der Lehrkräfte der WireGuard-Client installiert.
• Die Schule verfügt über eine Unified Firewall als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 91.91.91.91.
• Das lokale Schülernetzwerk der Schule hat den IP-Adressbereich 192.168.111.0/24.
• Die Unified Firewall verwendet für die WireGuard-Verbindung die virtuelle IP-Adresse 10.0.1.1, während der WireGuard-Client die virtuelle IP-Adresse 10.0.1.11 verwendet.

1. WireGuard Interface und Verbindung in LANCOM R&S erstellen

Für jede WireGuard-Konfiguration (WireGuard-Verbindung genannt) muss ein eigenes WireGuard-Interface erstellt werden. Es ist aber möglich, in einer WireGuard-Konfiguration mehrere Peers anzugeben.

ACHTUNG!

Verbinden Sie sich per Webinterface mit der Unified Firewall und wechseln in das Menü Netzwerk → WireGuard-Interfaces. Klicken Sie anschließend auf das „Plus-Zeichen“, um ein neues WireGuard-Interface zu erstellen.

Klicken Sie auf Erstellen, um das Interface anzulegen.

Wechseln Sie in das Menü VPN → WireGuard und klicken auf das „Plus-Zeichen“, um eine WireGuard-Verbindung zu erstellen.

Passen Sie die folgenden Parameter an:

• Name: Vergeben Sie einen aussagekräftigen Namen für die WireGuard-Verbindung (in diesem Beispiel WG-Firewall).
• Interface: Wählen Sie im Dropdownmenü das in Schritt 1.1 erstellte WireGuard-Interface aus.
• Adresse: Vergeben Sie eine IP-Adresse aus einem bisher nicht verwendeten IP-Adressbereich von der Lancom Firewall (in diesem Beispiel 10.0.1.1).

Wechseln Sie in den Reiter Authentifizierung und klicken auf die Schaltfläche Schlüsselpaar erzeugen. Dadurch werden der Private-Key und der Public-Key automatisch erzeugt.

Klicken Sie auf Public-Key kopieren und speichern diesen in einer Text-Datei ab! Dieser wird für den WireGuard Client unter Windows benötigt!

Hier unterbrechen wir die Einrichtung an der LANCOM UF da wir für den die weitere Konfiguration den öffentlichen Schlüssel (Public Key) des zu verbindenden WireGuard Client unter Windows benötigen!

2. WireGuard Client unter Windows grundlegende Einrichtung

Starten Sie den WireGuard-Client in Windows und klicken auf Tunnel hinzufügen → Einen leeren Tunnel hinzufügen.

Vergeben Sie einen aussagekräftigen Namen für den Tunnel (in diesem Beispiel WireGuard-Client-UF) und speichern den Öffentlichen Schlüssel (Public Key) auch in einer Text-Datei ab!

Mit dieser Informationen zum Öffentlicher Schlüssel (Public Key) – siehe Bild zweite Zeile – können wir nun die weitere Konfiguration in der LANCOM UF vornehmen.

3. WireGuard Peers in LANCOM Weboberfläche konfigurieren

Wechseln Sie zurück auf den Reiter Peers und klicken auf das „Plus-Zeichen“, um die Verbindungs-Parameter für die Gegenseite anzugeben.

Passen Sie die folgenden Parameter an und klicken auf OK:

• Name: Vergeben Sie einen aussagekräftigen Namen für die Verbindung zur Gegenseite (in diesem Beispiel WG-C2S-Windows).
• Public-Key: Tragen Sie den im WireGuard Windows Client kopierten Public-Key ein (siehe Schritt 2).
• Erlaubte IP-Adressen: Tragen Sie die in Schritt 2.3 vergebene IP-Adresse des WireGuard Windows Clients in CIDR-Schreibweise (Classless Inter Domain Routing) ein, welche über die WireGuard-Verbindung mit den lokalen Netzwerken kommunizieren soll (in diesem Beispiel 10.0.1.11/32).

Klicken Sie zum Abschluss auf ERSTELLEN.

4. Datenverkehr zwischen dem lokalen Netzwerk und dem WireGuard-Netzwerk erlauben (Regeln)

Klicken Sie auf das Symbol zum Erstellen eines Hosts.

Passen Sie die folgenden Parameter an und klicken auf Erstellen:

• Name: Vergeben Sie einen aussagekräftigen Namen für den Host (in diesem Beispiel WG-Windows).
• Interface: Wählen Sie im Dropdown-Menü das in Schritt 1.1 erstellte WireGuard-Interface aus.
• Netzwerk-IP: Klicken Sie in das Feld, damit die in Schritt 1.2.6 unter Erlaubte IP-Adressen hinterlegte IP-Adresse angezeigt wird und wählen dieses aus (in diesem Beispiel 10.0.1.11).

Fügen Sie die benötigten Protokolle hinzu und schalten NAT aus:

Klicken Sie abschließend auf Aktivieren, damit die vorgenommenen Änderungen umgesetzt werden.

5. Einrichtung des WireGuard Client für Windows abschließen

Ergänzen Sie die Konfigurations-Datei, indem Sie die Schablone einfügen und die Parameter anpassen. Klicken Sie anschließend auf Speichern:

Abschnitt Interface

• Address: Vergeben Sie eine IP-Adresse in CIDR-Schreibweise die Sie in Schritt 1.2.6 für den WireGuard-Client vergeben haben (in diese Beispiel 10.0.1.11/32).
• DNS hier den Port der Firewall wo DNS Anfragen aufgelöst werden

Abschnitt Peer

• PublicKey: Tragen Sie den in Schritt 1.2.4 kopierten Public Key der Lancom Unified Firewall ein.
• AllowedIPs: Tragen Sie ein IP-Netzwerk der Unified Firewall in CIDR-Schreibweise ein, mit dem der WireGuard-Client kommunizieren soll (in diesem Beispiel 192.168.111.0/24). Es können auch mehrere Netzwerke eingetragen werden, indem diese durch ein Komma voneinander separiert werden (z.B. 192.168.111.0/24, 192.168.2.0/24).
• Endpoint: Tragen Sie die IP-Adresse oder den DNS-Namen der Unified Firewall im Internet sowie den verwendeten Port in der Syntax <IP-Adresse oder DNS-Name der Unified Firewall im Internet>:<WireGuard Port> (in diesem Beispiel 91.91.91.91:51820).
• PersistentKeepalive: Tragen Sie den Wert 25 ein, damit der WireGuard-Client die Verbindung 25 Sekunden ohne Datenverkehr aufrecht erhält.

Schablone zum Ergänzen der Konfigurations-Datei:

Privat Key (vorgegeben)

Address = <IP-Adresse>

DNS = IP eines Interfaces für DNS Auflösung (nicht erforderlich)

[Peer]

PublicKey = <Public Key> der LANCOM UF Firewall WireGuard Verbindung

AllowedIPs = <IP-Netzwerk>

Endpoint = <IP-Adresse>:<Port>

PersistentKeepalive = 25

Klicken Sie auf Aktivieren, damit die WireGuard-Verbindung aufgebaut wird.