5
Wireguard Setup mit Preshared Keys
Hallo Community,
ich bin gerade dabei einen Proxmox LXC aufzusetzen was mir bisher auch gelungen ist. Heißt ich habe auf meiner OPNsense NAT forwarding eingerichtet, Firewall auf Proxmox als auch auf dem LXC eingerichtet. Abschließend LXC mit wg0 eingerichtet sowie zwei clients erfolgreich verbunden. Internet access und Zugriff auf interne DIenste wie Vaultwarden, Nextcloud etc. funktioniert.
Ich wollte nun mein setup mit einem preshared key pro client erweitern. Generiert wurde dieser mit: "wg genpsk". Dazu auf meinem Server die wg0 config angepasst und entsprechend den term: PresharedKey = .... in jedem Peer setup hinzugefügt. Config neugeladen: ohne error Meldung etc. scheinbar also alles gut. Auf meinen Clients (iPhone und MacBook) entsprechend den preshared key aufgenommen.
Ergebnis: Es kommt keine Verbindung mehr zustande.
Dazu meine Fragen:
danke euch für tips.
ich bin gerade dabei einen Proxmox LXC aufzusetzen was mir bisher auch gelungen ist. Heißt ich habe auf meiner OPNsense NAT forwarding eingerichtet, Firewall auf Proxmox als auch auf dem LXC eingerichtet. Abschließend LXC mit wg0 eingerichtet sowie zwei clients erfolgreich verbunden. Internet access und Zugriff auf interne DIenste wie Vaultwarden, Nextcloud etc. funktioniert.
Ich wollte nun mein setup mit einem preshared key pro client erweitern. Generiert wurde dieser mit: "wg genpsk". Dazu auf meinem Server die wg0 config angepasst und entsprechend den term: PresharedKey = .... in jedem Peer setup hinzugefügt. Config neugeladen: ohne error Meldung etc. scheinbar also alles gut. Auf meinen Clients (iPhone und MacBook) entsprechend den preshared key aufgenommen.
Ergebnis: Es kommt keine Verbindung mehr zustande.
Dazu meine Fragen:
- Ist ein presharedkey für höhere Sicherheit wirklich notwendig, da es optional ist scheint mir diese usecase ggf. nicht wirklich relevant?
- Was mache ich in meinem Setup falsch? Wo kann ich ggf. logfiles sehen? In der interface config section auf dem server hat der preshared key ja nichts verloren. Muss ich ggf. das command "wg set wg0 peer..." mit dem preshared key erweitern?
danke euch für tips.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8138357731
Url: https://administrator.de/contentid/8138357731
Printed on: April 27, 2024 at 14:04 o'clock
5 Comments
Latest comment
Was mache ich in meinem Setup falsch?
Merkzettel: VPN Installation mit WireguardLesen und verstehen!
Hi @aqui,
danke für den sehr gut geschriebenen Link, dem ich einige ergänzende Erklärungen und „aha‘s“ aber auch einige „so hab ich es gemacht“ entnehmen konnte.
Was ich aber vermisse ist eine Aussage zu den PresharedKeys, habe ich da irgendwas übersehen oder ist das indirekt irgendwo inbegriffen? In meiner OPNsense Installation hatte ich übrigens auch die PresharedKeys im Einsatz.
danke für den sehr gut geschriebenen Link, dem ich einige ergänzende Erklärungen und „aha‘s“ aber auch einige „so hab ich es gemacht“ entnehmen konnte.
Was ich aber vermisse ist eine Aussage zu den PresharedKeys, habe ich da irgendwas übersehen oder ist das indirekt irgendwo inbegriffen? In meiner OPNsense Installation hatte ich übrigens auch die PresharedKeys im Einsatz.
Zitat von @netzer2021:
Dazu meine Fragen:
Wenn du für die Zeit der praxisrelevanten Quantenkryptographie vorsorgen willst dann ja, ansonsten zur Zeit nein.Dazu meine Fragen:
- Ist ein presharedkey für höhere Sicherheit wirklich notwendig, da es optional ist scheint mir diese usecase ggf. nicht wirklich relevant?
"One can also generate a pre-shared key to add an additional layer of symmetric-key cryptography to be mixed into the already existing public-key cryptography, for post-quantum resistance. "
https://de.m.wikipedia.org/wiki/Post-Quanten-Kryptographie
* Was mache ich in meinem Setup falsch?
Wir sehen ja dein Setup nicht, 99% der Fehler bei Wireguard sind auf fehlerhaftes Eintragen der Schlüssel zurückzuführen.Wo kann ich ggf. logfiles sehen? In der interface config section auf dem server hat der preshared key ja nichts verloren.
Braucht man nicht nur die Schlüssel korrekt eintragen und es läuft!Muss ich ggf. das command "wg set wg0 peer..." mit dem preshared key erweitern?
Nein das muss man nur wenn man das Interface manuell anlegtDu hast wohl die Config am WG-Server nicht korrekt "reloaded" so dass der Key halt noch nicht greift oder er eben nicht mit dem des Peer übereinstimmt. Das würde bei dann aber als Kopf-Tischkante-Syndrom bezeichnen.
Gruß siddius
Ohne einen preshared Key, und damit sind immer die klassisch per
erzeugten gemeint, funktioniert Wireguard generell ja gar nicht.
Die Frage ist also was du mit der doch etwas wirr formulierten Frage wirklich meinst? 🤔 So richtig folgen kann man dir leider nicht?!
Kollege @7907292512 hat ja schon alles Relevante zur Thematik gesagt...
wg genkey | tee server_private.key | wg pubkey > server_public.key
wg genkey | tee client1_private.key | wg pubkey > client1_public.key Die Frage ist also was du mit der doch etwas wirr formulierten Frage wirklich meinst? 🤔 So richtig folgen kann man dir leider nicht?!
Kollege @7907292512 hat ja schon alles Relevante zur Thematik gesagt...
- Korrekte Public und Private Keys eintragen wie im o.a. Tutorial beschrieben
- wg-quick up wg0 aktiviert deinen Server oder Client.
- Solltest du etwas an den Keys oder generell der Konfig Datei /etc/wireguard/wg0.conf verändert haben, musst du zwingend wg-quick down wg0 und danach wieder ein wg-quick up wg0 ausführen damit die Änderungen aktiviert werden. (Siehe @7907292512)
- Wenn du auf dem Server oder Client Wireguard als Dienst (Daemon) mit systemctl enable wg-quick@wg0.service eingerichtet hast, reicht stattdessen (wg-quick...) auch ein systemctl restart wg-quick@wg0.service
- Fertisch!
Dann lass ich meine config nach so. Danke fürs Feedback