Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- open:it:vpn [2024/12/21 09:48] – [Schlüssel generieren] Kai
+++ open:it:vpn [2024/12/22 20:23] (aktuell) – [Schlüssel generieren] Kai
@@ Zeile 17: / Zeile 17: @@
 <WRAP important>
 Für den Server und für jeden Client wird je ein privater und ein daran gebundener öffentlicher Schlüssel generiert. Für die Funktionalität dürfen sie weder vertauscht noch verändert werden. \\
-Der private Schlüssel ist sicherheitsrelevant und sollte entsprechend behandelt werden. \\
+Der jeweils private Schlüssel (Server und Clients) ist sicherheitsrelevant und sollte entsprechend behandelt werden. \\
+Schlüssel bedeutet hier: eine lange Zeichenkette, ähnlich einem Passwort. Die Datei dient als Speicher für diese Zeichenkette. \\
 </WRAP>
-Die Schlüssel können prinzipiell auf einem beliebigen (Linux-)Rechner generiert werden. \\
+Die Schlüsseldateien können beliebig benannt werden. Z.B. Username, PC-Name eines Laptops, etc. \\
+Eine eindeutige Bezeichnung hilft die Schlüssel zu identifizieren, wenn z.B. Freigaben erteilt oder entzogen werden müssen. \\
 Eine Kopie der Schlüssel/Keys wird in den im folgenden genannten Verzeichnissen abgelegt. \\
-Die Generierung erfolgt hier als root (ohne sudo)\\
 **Server-Schlüssel - privat (key)**
@@ Zeile 28: / Zeile 29: @@
   sudo chmod 0400 /etc/wireguard/server.key
 **Server-Schlüssel öffentlich (pub) aus dem privaten Schlüssel generieren**
-  cat /etc/wireguard/server.key | wg pubkey | sudo tee /etc/wireguard/server.pub
+  sudo cat /etc/wireguard/server.key | wg pubkey | sudo tee /etc/wireguard/server.pub
-**Client-Schlüssel - privat (key)**
+**Client-Schlüssel - privat (key)** \\
+Werden die Client-Schlüssel auf dem Server generiert, dann sollten diese in das Unterverzeichnis Clients gelegt werden. In diesem Fall muss der geheime private Schlüssel zum Client transferiert werden.\\
+Besser ist es daher, die Client-Schlüssel auf dem Client-System zu erstellen und nur den öffentlichen Schlüssel zum Server zu transferieren. \\
   sudo mkdir -p /etc/wireguard/clients
-  wg genkey | tee /etc/wireguard/clients/client1.key
+  sudo wg genkey | tee /etc/wireguard/clients/client1.key
 **Client-Schlüssel öffentlich (pub) aus dem privaten Schlüssel generieren**
-  cat /etc/wireguard/clients/client1.key | wg pubkey | tee /etc/wireguard/clients/client1.pub
+  sudo cat /etc/wireguard/clients/client1.key | wg pubkey | tee /etc/wireguard/clients/client1.pub
-Client1 kann beliebig benannt werden - z.B. mit dem Namen eines Users oder eines Laptops. Eine eindeutige Bezeichnung hilft die Schlüssel zu identifizieren, wenn Freigaben erteilt oder entzogen werden müssen.
 **Zur Nutzung werden die Schlüssel wie folgt hinterlegt:**\\
@@ Zeile 49: / Zeile 50: @@
   * privater Key des Clients
   * öffentlicher Key des Servers
 ===== Server einrichten =====
@@ Zeile 78: / Zeile 78: @@
   AllowedIPs = 10.8.0.3/32
+Muss ein einzelner Peer gelöscht werden:
+  wg set <interface> peer <key> remove
+interfache z.B. wg0 \\
 ==== Tunnel, Port-Forwarding ====
@@ Zeile 128: / Zeile 132: @@
 ===== Linux Client einrichten =====
   sudo apt install wireguard-tools
+**Schlüssel generieren**\\
+siehe [[#Schlüssel generieren|Schlüssel generieren]] \\
 **Konfigurationsdatei erstellen. **\\
 Diese Datei kann auch für den Import mit einem entsprechenden Client-Programm genutzt werden - Windows oder Linux.
+<WRAP important>
+ACHTUNG: In dieser Datei ist der private Schlüssel enthalten, sie ist daher sicherheitsrelevant und sollte entsprechend behandelt werden.
+</WRAP>
   sudo nano /etc/wireguard/client1.conf