open:it:vpn
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
| open:it:vpn [2024/10/01 09:40] – Kai | open:it:vpn [2024/12/22 20:23] (aktuell) – [Schlüssel generieren] Kai | ||
|---|---|---|---|
| Zeile 17: | Zeile 17: | ||
| <WRAP important> | <WRAP important> | ||
| Für den Server und für jeden Client wird je ein privater und ein daran gebundener öffentlicher Schlüssel generiert. Für die Funktionalität dürfen sie weder vertauscht noch verändert werden. \\ | Für den Server und für jeden Client wird je ein privater und ein daran gebundener öffentlicher Schlüssel generiert. Für die Funktionalität dürfen sie weder vertauscht noch verändert werden. \\ | ||
| - | Der private Schlüssel ist sicherheitsrelevant und sollte entsprechend behandelt werden. \\ | + | Der jeweils |
| + | Schlüssel bedeutet hier: eine lange Zeichenkette, | ||
| </ | </ | ||
| - | Die Schlüssel | + | Die Schlüsseldateien |
| + | Eine eindeutige Bezeichnung hilft die Schlüssel zu identifizieren, | ||
| Eine Kopie der Schlüssel/ | Eine Kopie der Schlüssel/ | ||
| - | Die Generierung erfolgt hier als root (ohne sudo)\\ | ||
| **Server-Schlüssel - privat (key)** | **Server-Schlüssel - privat (key)** | ||
| wg genkey | sudo tee / | wg genkey | sudo tee / | ||
| Leserechte des privaten Server-Keys auf root begrenzen | Leserechte des privaten Server-Keys auf root begrenzen | ||
| - | chmod 0400 / | + | |
| **Server-Schlüssel öffentlich (pub) aus dem privaten Schlüssel generieren** | **Server-Schlüssel öffentlich (pub) aus dem privaten Schlüssel generieren** | ||
| - | cat / | + | |
| - | **Client-Schlüssel - privat (key)** | + | **Client-Schlüssel - privat (key)** |
| + | Werden die Client-Schlüssel auf dem Server generiert, dann sollten diese in das Unterverzeichnis Clients gelegt werden. In diesem Fall muss der geheime private Schlüssel zum Client transferiert werden.\\ | ||
| + | Besser ist es daher, die Client-Schlüssel auf dem Client-System zu erstellen und nur den öffentlichen Schlüssel zum Server zu transferieren. \\ | ||
| sudo mkdir -p / | sudo mkdir -p / | ||
| - | wg genkey | tee / | + | |
| **Client-Schlüssel öffentlich (pub) aus dem privaten Schlüssel generieren** | **Client-Schlüssel öffentlich (pub) aus dem privaten Schlüssel generieren** | ||
| - | cat / | + | |
| - | + | ||
| - | Client1 kann beliebig benannt werden - z.B. mit dem Namen eines Users oder eines Laptops. Eine eindeutige Bezeichnung hilft die Schlüssel zu identifizieren, | + | |
| **Zur Nutzung werden die Schlüssel wie folgt hinterlegt: | **Zur Nutzung werden die Schlüssel wie folgt hinterlegt: | ||
| Zeile 49: | Zeile 50: | ||
| * privater Key des Clients | * privater Key des Clients | ||
| * öffentlicher Key des Servers | * öffentlicher Key des Servers | ||
| - | |||
| ===== Server einrichten ===== | ===== Server einrichten ===== | ||
| Zeile 78: | Zeile 78: | ||
| AllowedIPs = 10.8.0.3/32 | AllowedIPs = 10.8.0.3/32 | ||
| + | Muss ein einzelner Peer gelöscht werden: | ||
| + | |||
| + | wg set < | ||
| + | interfache z.B. wg0 \\ | ||
| ==== Tunnel, Port-Forwarding ==== | ==== Tunnel, Port-Forwarding ==== | ||
| Zeile 90: | Zeile 94: | ||
| Änderungen übernehmen | Änderungen übernehmen | ||
| - | sysctl -p | + | |
| === Ubuntu === | === Ubuntu === | ||
| Ist die Netzverwaltung auf dem Server mit Netplan realisiert, siehe: \\ | Ist die Netzverwaltung auf dem Server mit Netplan realisiert, siehe: \\ | ||
| Zeile 128: | Zeile 132: | ||
| ===== Linux Client einrichten ===== | ===== Linux Client einrichten ===== | ||
| sudo apt install wireguard-tools | sudo apt install wireguard-tools | ||
| + | |||
| + | |||
| + | **Schlüssel generieren**\\ | ||
| + | siehe [[# | ||
| **Konfigurationsdatei erstellen. **\\ | **Konfigurationsdatei erstellen. **\\ | ||
| Diese Datei kann auch für den Import mit einem entsprechenden Client-Programm genutzt werden - Windows oder Linux. | Diese Datei kann auch für den Import mit einem entsprechenden Client-Programm genutzt werden - Windows oder Linux. | ||
| + | <WRAP important> | ||
| + | ACHTUNG: In dieser Datei ist der private Schlüssel enthalten, sie ist daher sicherheitsrelevant und sollte entsprechend behandelt werden. | ||
| + | </ | ||
| sudo nano / | sudo nano / | ||
| Zeile 151: | Zeile 162: | ||
| PersistentKeepalive = 25 | PersistentKeepalive = 25 | ||
| - | Unter DNS ist die IP-Adresse für den Internetzugang auf dem Server einzutragen. Da sämtliche Internetdaten durch den Tunnel geleitet werden, benötigt der Client die Route auf dem Server, wenn er parallel eine Internetverbindung nutzen möchte((Webseiten aufrufen, E-Mail abrufen, etc.)). | + | Unter DNS ist die IP-Adresse für den Internetzugang auf dem Server einzutragen. Da sämtliche Internetdaten durch den Tunnel geleitet werden, benötigt der Client die Route auf dem Server, wenn er parallel eine Internetverbindung nutzen möchte((Webseiten aufrufen, E-Mail abrufen, etc.)). |
| + | Ist die DNS-Adresse des Servers nicht bekannt, kann diese wie folgt abgerufen werden: | ||
| + | |||
| + | cat / | ||
| ==== Wireguard starten ==== | ==== Wireguard starten ==== | ||
open/it/vpn.1727768442.txt.gz · Zuletzt geändert: 2024/10/01 09:40 von Kai