netzer2021
Goto Top

Wireguard setup und connection absichern und prüfen

Hallo community,

nachdem ich es gestern hinbekommen habe Wireguard (Point-to-site) auf der OPNsense und einem iOS device erfolgreich zu konfigurieren, möchte mich bei euch mal erkundigen wie ihr in euren Setups bzgl. Security settings vorgeht. So viel kann man da ja glaube ich auch gar nicht machen. Ich habe folgende Optionen bisher im Einsatz:

  • Standard Port geändert, Port wird nachts geschlossen
  • PSK in Nutzung
  • Setup auf OPNsense mit Interface entsprechend engen FW Regeln
  • Gibt es bei der Wahl des ddns Anbieters etwas zu beachten?

Ich habe gesehen, dass es noch weitere Möglichkeiten im Setup gibt, ist da noch etwas zu empfehlen? Anschließend dazu die Frage, wie kann ich sicherstellen, dass meine Connection auch wirklich verschlüsselt ist? Gibt es da Tools für?

Danke für euer Feedback!

Content-Key: 3990212800

Url: https://administrator.de/contentid/3990212800

Printed on: February 1, 2023 at 07:02 o'clock

Mitglied: 108012
108012 Sep 19, 2022 at 20:31:57 (UTC)
Goto Top
Hallo,

Ich habe gesehen, dass es noch weitere Möglichkeiten im Setup gibt, ist da noch etwas zu empfehlen?


Anschließend dazu die Frage, wie kann ich sicherstellen, dass meine Connection auch wirklich verschlüsselt ist?
Das modem am Switch anschließen und dann dort auch den router/firewall und dann noch einen PC oder Laptop
der die Verbindung mitschneidet. Mit WireShark oder ähnlichem.

Gibt es da Tools für?
TCPDump oder WireShark

Dobby
Member: aqui
aqui Sep 19, 2022 updated at 21:50:54 (UTC)
Goto Top
Es wäre doch viel sinnvoller bei IOS und auch allen anderen OS immer die onboard VPNs und deren Clients zu nutzen die so oder so an Bord sind. Es hat ja einen tieferen Sinn das IOS und auch andere OS embeddete VPN Clients mitliefern, da diese immer optimal und performant ins OS integriert sind!
https://administrator.de/tutorial/pfsense-vpn-mit-l2tp-ipsec-protokoll-f ...
https://administrator.de/tutorial/ipsec-vpn-fuer-mobile-benutzer-auf-der ...
Es erspart einem die überflüssige Frickelei mit externen 3rd Party VPN Clients die nicht sein müsste und ist die deutlich elegantere und auch sicherere VPN Lösung.

Um die Verschlüsselung zu verifizieren haben OPNsense wie auch pfSense im Diagnostics Menü eine Paket Capture Funktion. Mit denen kannst du die Tunneldaten mitsniffern und versuchen irgendwelchen Klartext zu lesen. Solltest du als Firewall Admin eigentlich auch wissen zumindestens wenn du die Setup Menüs deiner eigenen Firewall kennst oder wenigstens einmal angesehen hast?!
Kannst du Klartext im VPN lesen, verschlüsselt dein an sich überflüssiges WG nicht. Einfache Logik! face-wink
Member: netzer2021
netzer2021 Sep 22, 2022 at 14:29:37 (UTC)
Goto Top
danke für das Feedback.

Ich steh gerade etwas auf dem Schlauch. Habe mir das Paket Capture mal angesehen und ausprobiert.

Ausgewählt habe ich Interface WAN und mein WG. IPV4, no host address WG port, level of detail full. Ich sehe lediglich vom WAN etwas, WG interface taucht nichts auf. Ich hatte erwartet, dass ich die ip meines WG devices mit einer entsprechenden Dest IP sehen kann ähnlich wie das auch im livelog der Firewall auftaucht. Ist dem nicht so? Oder ist meine public IP immer die ausgehende IP in diesem Fall?
Member: netzer2021
netzer2021 Oct 26, 2022 at 13:59:16 (UTC)
Goto Top
Auch wenn der Thread ein wenig älter ist. Ich habe aktuell funtionirende Wireguard Verbindungen von diversen Geräten einrichten können.

Aktuell kämpfe ich allerdings mit meinem MacBook. Auf diesen sind drei user accounts, ein administrativer, zwei mit unterschiedlichen Apple IDs. Alle drei sollen Wireguard per App nutzen können. Für die beiden nicht admins habe ich das gestern mal getestet. Einzeln und direkt nach der Einrichtung ist auch alles fein, logge ich mich dann allerdings mit dem anderen User ein erscheint:


was sich mit einem Blick in den keychain auch bestätigen lässt. Der Eintrag ist immer nur für den zuletzt eingerichteten User ersichtlich. Kann ich diesen nicht einfach unter system statt login kopieren? Wobei ich schon per VPN jedem User eine eigene IP zuweisen möchte.

Bisher habe ich keine Ansätze für eine Lösung ausmachen können. Ist hier vielleicht jemand der sich auskennt oder eine Idee hat?

Vielen Dank!
Member: netzer2021
Solution netzer2021 Oct 26, 2022 at 16:25:37 (UTC)
Goto Top
Hab jetzt eine Lösung die da heißt,

lege pro User einen WG Eintrag an und (wichtig) speicher die Connection unter verschiedenen Namen.

So wird bei mir aktuell zwar jedem User jede Verbindung per se angezeigt, Details sehen und ausführen kann er aber nur seine eigene.