netzer2021
Goto Top

Wireguard Setup mit Preshared Keys

Hallo Community,

ich bin gerade dabei einen Proxmox LXC aufzusetzen was mir bisher auch gelungen ist. Heißt ich habe auf meiner OPNsense NAT forwarding eingerichtet, Firewall auf Proxmox als auch auf dem LXC eingerichtet. Abschließend LXC mit wg0 eingerichtet sowie zwei clients erfolgreich verbunden. Internet access und Zugriff auf interne DIenste wie Vaultwarden, Nextcloud etc. funktioniert.

Ich wollte nun mein setup mit einem preshared key pro client erweitern. Generiert wurde dieser mit: "wg genpsk". Dazu auf meinem Server die wg0 config angepasst und entsprechend den term: PresharedKey = .... in jedem Peer setup hinzugefügt. Config neugeladen: ohne error Meldung etc. scheinbar also alles gut. Auf meinen Clients (iPhone und MacBook) entsprechend den preshared key aufgenommen.

Ergebnis: Es kommt keine Verbindung mehr zustande.

Dazu meine Fragen:
  • Ist ein presharedkey für höhere Sicherheit wirklich notwendig, da es optional ist scheint mir diese usecase ggf. nicht wirklich relevant?
  • Was mache ich in meinem Setup falsch? Wo kann ich ggf. logfiles sehen? In der interface config section auf dem server hat der preshared key ja nichts verloren. Muss ich ggf. das command "wg set wg0 peer..." mit dem preshared key erweitern?

danke euch für tips.

Content-Key: 8138357731

Url: https://administrator.de/contentid/8138357731

Printed on: May 18, 2024 at 06:05 o'clock

Member: aqui
aqui Aug 14, 2023 at 18:05:58 (UTC)
Goto Top
Was mache ich in meinem Setup falsch?
Merkzettel: VPN Installation mit Wireguard
Lesen und verstehen! face-wink
Member: netzer2021
netzer2021 Aug 14, 2023 at 19:47:06 (UTC)
Goto Top
Hi @aqui,
danke für den sehr gut geschriebenen Link, dem ich einige ergänzende Erklärungen und „aha‘s“ aber auch einige „so hab ich es gemacht“ entnehmen konnte.
Was ich aber vermisse ist eine Aussage zu den PresharedKeys, habe ich da irgendwas übersehen oder ist das indirekt irgendwo inbegriffen? In meiner OPNsense Installation hatte ich übrigens auch die PresharedKeys im Einsatz.
Mitglied: 7907292512
7907292512 Aug 15, 2023 updated at 08:42:57 (UTC)
Goto Top
Zitat von @netzer2021:
Dazu meine Fragen:
  • Ist ein presharedkey für höhere Sicherheit wirklich notwendig, da es optional ist scheint mir diese usecase ggf. nicht wirklich relevant?
Wenn du für die Zeit der praxisrelevanten Quantenkryptographie vorsorgen willst dann ja, ansonsten zur Zeit nein.

"One can also generate a pre-shared key to add an additional layer of symmetric-key cryptography to be mixed into the already existing public-key cryptography, for post-quantum resistance. "
https://de.m.wikipedia.org/wiki/Post-Quanten-Kryptographie

* Was mache ich in meinem Setup falsch?
Wir sehen ja dein Setup nicht, 99% der Fehler bei Wireguard sind auf fehlerhaftes Eintragen der Schlüssel zurückzuführen.
Wo kann ich ggf. logfiles sehen? In der interface config section auf dem server hat der preshared key ja nichts verloren.
Braucht man nicht nur die Schlüssel korrekt eintragen und es läuft!
Muss ich ggf. das command "wg set wg0 peer..." mit dem preshared key erweitern?
Nein das muss man nur wenn man das Interface manuell anlegt
Du hast wohl die Config am WG-Server nicht korrekt "reloaded" so dass der Key halt noch nicht greift oder er eben nicht mit dem des Peer übereinstimmt. Das würde bei dann aber als Kopf-Tischkante-Syndrom bezeichnen.

Gruß siddius
Member: aqui
aqui Aug 15, 2023, updated at Aug 18, 2023 at 07:35:47 (UTC)
Goto Top
Ohne einen preshared Key, und damit sind immer die klassisch per
wg genkey | tee server_private.key | wg pubkey > server_public.key 
wg genkey | tee client1_private.key | wg pubkey > client1_public.key 
erzeugten gemeint, funktioniert Wireguard generell ja gar nicht.
Die Frage ist also was du mit der doch etwas wirr formulierten Frage wirklich meinst? ­čĄö So richtig folgen kann man dir leider nicht?! face-sad

Kollege @7907292512 hat ja schon alles Relevante zur Thematik gesagt...
  • Korrekte Public und Private Keys eintragen wie im o.a. Tutorial beschrieben
  • wg-quick up wg0 aktiviert deinen Server oder Client.
  • Solltest du etwas an den Keys oder generell der Konfig Datei /etc/wireguard/wg0.conf verändert haben, musst du zwingend wg-quick down wg0 und danach wieder ein wg-quick up wg0 ausführen damit die Änderungen aktiviert werden. (Siehe @7907292512)
  • Wenn du auf dem Server oder Client Wireguard als Dienst (Daemon) mit systemctl enable wg-quick@wg0.service eingerichtet hast, reicht stattdessen (wg-quick...) auch ein systemctl restart wg-quick@wg0.service
  • Fertisch!
Einfache WG Konfig Logik! ­čśë
Member: netzer2021
Solution netzer2021 Aug 18, 2023 at 04:50:43 (UTC)
Goto Top
Dann lass ich meine config nach so. Danke fürs Feedback