5
Wireguard setup und connection absichern und prüfen
Hallo community,
nachdem ich es gestern hinbekommen habe Wireguard (Point-to-site) auf der OPNsense und einem iOS device erfolgreich zu konfigurieren, möchte mich bei euch mal erkundigen wie ihr in euren Setups bzgl. Security settings vorgeht. So viel kann man da ja glaube ich auch gar nicht machen. Ich habe folgende Optionen bisher im Einsatz:
Ich habe gesehen, dass es noch weitere Möglichkeiten im Setup gibt, ist da noch etwas zu empfehlen? Anschließend dazu die Frage, wie kann ich sicherstellen, dass meine Connection auch wirklich verschlüsselt ist? Gibt es da Tools für?
Danke für euer Feedback!
nachdem ich es gestern hinbekommen habe Wireguard (Point-to-site) auf der OPNsense und einem iOS device erfolgreich zu konfigurieren, möchte mich bei euch mal erkundigen wie ihr in euren Setups bzgl. Security settings vorgeht. So viel kann man da ja glaube ich auch gar nicht machen. Ich habe folgende Optionen bisher im Einsatz:
- Standard Port geändert, Port wird nachts geschlossen
- PSK in Nutzung
- Setup auf OPNsense mit Interface entsprechend engen FW Regeln
- Gibt es bei der Wahl des ddns Anbieters etwas zu beachten?
Ich habe gesehen, dass es noch weitere Möglichkeiten im Setup gibt, ist da noch etwas zu empfehlen? Anschließend dazu die Frage, wie kann ich sicherstellen, dass meine Connection auch wirklich verschlüsselt ist? Gibt es da Tools für?
Danke für euer Feedback!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 3990212800
Url: https://administrator.de/contentid/3990212800
Ausgedruckt am: 16.04.2024 um 11:04 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
der die Verbindung mitschneidet. Mit WireShark oder ähnlichem.
Dobby
Ich habe gesehen, dass es noch weitere Möglichkeiten im Setup gibt, ist da noch etwas zu empfehlen?
Anschließend dazu die Frage, wie kann ich sicherstellen, dass meine Connection auch wirklich verschlüsselt ist?
Das modem am Switch anschließen und dann dort auch den router/firewall und dann noch einen PC oder Laptopder die Verbindung mitschneidet. Mit WireShark oder ähnlichem.
Gibt es da Tools für?
TCPDump oder WireSharkDobby
Es wäre doch viel sinnvoller bei IOS und auch allen anderen OS immer die onboard VPNs und deren Clients zu nutzen die so oder so an Bord sind. Es hat ja einen tieferen Sinn das IOS und auch andere OS embeddete VPN Clients mitliefern, da diese immer optimal und performant ins OS integriert sind!
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Es erspart einem die überflüssige Frickelei mit externen 3rd Party VPN Clients die nicht sein müsste und ist die deutlich elegantere und auch sicherere VPN Lösung.
Um die Verschlüsselung zu verifizieren haben OPNsense wie auch pfSense im Diagnostics Menü eine Paket Capture Funktion. Mit denen kannst du die Tunneldaten mitsniffern und versuchen irgendwelchen Klartext zu lesen. Solltest du als Firewall Admin eigentlich auch wissen zumindestens wenn du die Setup Menüs deiner eigenen Firewall kennst oder wenigstens einmal angesehen hast?!
Kannst du Klartext im VPN lesen, verschlüsselt dein an sich überflüssiges WG nicht. Einfache Logik!
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Es erspart einem die überflüssige Frickelei mit externen 3rd Party VPN Clients die nicht sein müsste und ist die deutlich elegantere und auch sicherere VPN Lösung.
Um die Verschlüsselung zu verifizieren haben OPNsense wie auch pfSense im Diagnostics Menü eine Paket Capture Funktion. Mit denen kannst du die Tunneldaten mitsniffern und versuchen irgendwelchen Klartext zu lesen. Solltest du als Firewall Admin eigentlich auch wissen zumindestens wenn du die Setup Menüs deiner eigenen Firewall kennst oder wenigstens einmal angesehen hast?!
Kannst du Klartext im VPN lesen, verschlüsselt dein an sich überflüssiges WG nicht. Einfache Logik!
1
danke für das Feedback.
Ich steh gerade etwas auf dem Schlauch. Habe mir das Paket Capture mal angesehen und ausprobiert.
Ausgewählt habe ich Interface WAN und mein WG. IPV4, no host address WG port, level of detail full. Ich sehe lediglich vom WAN etwas, WG interface taucht nichts auf. Ich hatte erwartet, dass ich die ip meines WG devices mit einer entsprechenden Dest IP sehen kann ähnlich wie das auch im livelog der Firewall auftaucht. Ist dem nicht so? Oder ist meine public IP immer die ausgehende IP in diesem Fall?
Ich steh gerade etwas auf dem Schlauch. Habe mir das Paket Capture mal angesehen und ausprobiert.
Ausgewählt habe ich Interface WAN und mein WG. IPV4, no host address WG port, level of detail full. Ich sehe lediglich vom WAN etwas, WG interface taucht nichts auf. Ich hatte erwartet, dass ich die ip meines WG devices mit einer entsprechenden Dest IP sehen kann ähnlich wie das auch im livelog der Firewall auftaucht. Ist dem nicht so? Oder ist meine public IP immer die ausgehende IP in diesem Fall?
Auch wenn der Thread ein wenig älter ist. Ich habe aktuell funtionirende Wireguard Verbindungen von diversen Geräten einrichten können.
Aktuell kämpfe ich allerdings mit meinem MacBook. Auf diesen sind drei user accounts, ein administrativer, zwei mit unterschiedlichen Apple IDs. Alle drei sollen Wireguard per App nutzen können. Für die beiden nicht admins habe ich das gestern mal getestet. Einzeln und direkt nach der Einrichtung ist auch alles fein, logge ich mich dann allerdings mit dem anderen User ein erscheint:
was sich mit einem Blick in den keychain auch bestätigen lässt. Der Eintrag ist immer nur für den zuletzt eingerichteten User ersichtlich. Kann ich diesen nicht einfach unter system statt login kopieren? Wobei ich schon per VPN jedem User eine eigene IP zuweisen möchte.
Bisher habe ich keine Ansätze für eine Lösung ausmachen können. Ist hier vielleicht jemand der sich auskennt oder eine Idee hat?
Vielen Dank!
Aktuell kämpfe ich allerdings mit meinem MacBook. Auf diesen sind drei user accounts, ein administrativer, zwei mit unterschiedlichen Apple IDs. Alle drei sollen Wireguard per App nutzen können. Für die beiden nicht admins habe ich das gestern mal getestet. Einzeln und direkt nach der Einrichtung ist auch alles fein, logge ich mich dann allerdings mit dem anderen User ein erscheint:
The configuration for this tunnel cannot be found in the keychain.
In case this tunnel was created by another user, only that user can view, edit, or activate this tunnel.was sich mit einem Blick in den keychain auch bestätigen lässt. Der Eintrag ist immer nur für den zuletzt eingerichteten User ersichtlich. Kann ich diesen nicht einfach unter system statt login kopieren? Wobei ich schon per VPN jedem User eine eigene IP zuweisen möchte.
Bisher habe ich keine Ansätze für eine Lösung ausmachen können. Ist hier vielleicht jemand der sich auskennt oder eine Idee hat?
Vielen Dank!
Hab jetzt eine Lösung die da heißt,
lege pro User einen WG Eintrag an und (wichtig) speicher die Connection unter verschiedenen Namen.
So wird bei mir aktuell zwar jedem User jede Verbindung per se angezeigt, Details sehen und ausführen kann er aber nur seine eigene.
lege pro User einen WG Eintrag an und (wichtig) speicher die Connection unter verschiedenen Namen.
So wird bei mir aktuell zwar jedem User jede Verbindung per se angezeigt, Details sehen und ausführen kann er aber nur seine eigene.
