Ubuntu LTS 20.04 als Wireguard Server

Einen Ubuntu Server als Wirguard Server einrichten

<<< Wireguard auf dem Raspberry Pi <<< | >>> VPN mit Wireguard und Pi-hole >>>

In diesem Beitrag habe ich bereits die Bereitstellung eines Raspberry Pi als Wireguard Peer, an einem Egde Standort beschrieben.
Hier soll es nun um die „Gegenstelle“ in der Company, einem Lab, einem Cloud Netz oder einem anderen beliebigen Standort gehen, zu welchem ein Tunnel unter Verwendung von Wireguard benötigt wird. Das Paket Wireguard ist in Ubuntu 20.04 Kernel 5.4.0-58 bereits als Repository verfügbar und muss deshalb nur installiert werden, weshalb ich diesen Abschnitt kurz halte. Wer die Details der Konfiguration benötigt, kann sich auch meinen anderen Beitrag dazu anschauen, hier habe ich die einzelnen Parameter näher erläutert. Diese sind prinzipiell für jedes OS und auch jedes Unix Derivat identisch, allein die Installation von Wireguard unterscheidet sich.

Voraussetzungen:

  • Installiertes OS Ubuntu LTS 20.04
  • Netzwerk-Konfiguration abgeschlossen wie im Schema beschrieben, mit der lokalen IP 10.150.150.10/24.
  • Der Server hat Internet Zugriff via https
  • Der Server ist aus dem Internet auf dem UDP Port 51238 erreichbar.

Installation Wireguard auf Ubuntu LTS 20.04

  1. Zunächst natürlich ein Update des Systems:
  2. Jetzt die Installation von Wireguard:

Damit ist die Installation auch schon abgeschlossen!

Vorbereitung des Systems

  1. Zuerst öffnen wir mal den UDP Port, falls UFW aktiv ist:

    und prüfen anschließend den Status:

  2. Jetzt müssen wir doch das IP Forwarding einschalten. Dazu editieren wir die entsprechende System Konfigurationsdatei mit:

    Suchen jetzt nach der Zeile:

    und ändern diese in:

    Mit STRG+O -> ENTER speichern und mit STRG+X verlassen wir den Editor wieder…

    Diese Einstellung übernehmen wir jetzt noch mit:

Damit sind die Vorbereitungen abgeschlossen.

Konfiguration von Wireguard auf Ubuntu LTS 20.04

  1. Jetzt wechseln wir ins Wireguard Verzeichnis, setzen dort die Rechte für das Verzeichnis (umask…) und erstellen dann das Schlüsselpaar:

    und wir lassen uns die Schlüssel zum Abspeichern anzeigen…

    Später, wenn man nicht mehr als su eleviert ist aber Root Rechte hat, mit:

    und

  2. Jetzt erstellen wir die Konfigurationsdatei

    und befüllen sie gemäß dem obigen Netzwerk Design…

    Hinweise:
    Mit AllowedIPs = 172.20.20.11/32,192.168.100.0/24 lassen wir Pakete vom Wireguard Interface des Raspi 172.20.20.11/32 und alle Clients aus dem Edge Netz 192.168.100.0/24 zu.
    Mit PostUp = iptables… leiten wir die Anfragen aus dem Edge Netz in das Lab Netz weiter und führen ein NAT durch, damit Systeme aus dem Lab erfolgreich auf die Anfragen von Clients aus dem Edge Netz antworten können.

  3. Die Konfiguration auf dem Raspi, an unserer Edge Site, sieht passend dazu so aus:

    Mit AllowedIPs = 172.20.20.0/24,10.150.150.0/24,10.1.110.0/24 routen wir alle Pakete, in diese Netze, direkt am Raspi, für alle Clients aus dem Edge Netz 192.168.100.0/24, direkt in den Wireguard Tunnel.
    Mit DNS = 10.1.110.1 lassen wir DNS Anfragen für bestimmte Domain Namen auf dem DNS Server im Lab auflösen. Hierzu ist dann noch ein DNS Forwarding einzurichten, was wir noch auf dem Raspi, unter Verwendung von Pi-hole realisieren werden. Dieser Beitrag erläutert das genauer…

Test der Kommunikation über Wireguard

Die Konfiguration von Wireguard ist auf beiden Seiten abgeschlossen, also muss jetzt zunächst mal die Verbindung getestet werden.

  1. Zuerst aktivieren man den Wireguard Tunnel auf beiden Seiten, falls nicht schon geschehen:

    2. Die Ausgabe sollte bei erfolgreichem Start von Wireguard in etwa so aussehen…

  2. Jetzt den Status des Tunnels prüfen mit:

    3. Wenn der Tunnel erfolgreich hergestellt wurde, sieht man anhand der markierten Zeile bereits eingehenden und ausgehenden Traffic…

    Wenn die Zeile keinerlei Traffic ausgibt, kann man davon ausgehen, dass der Tunnel nicht zustande gekommen ist. Hier kann man zunächst mit

    den Status des Wireguard Service prüen, eventuell gibt es hier schon Hinweise.

    Meine Erfahrung zeigt mir aber, dass es sich in 90% der Fälle um folgende Fehler handelt und diese immer zuerst doppelt zu prüfen sind:

    • Der Wireguard Server wird nicht via UDP auf dem entsprechend gewählten Port erreicht –> DNAT an der Standort-Firewall prüfen
    • In der Konfigurationsdatei wurden die AllowedIPs nicht gemäß dem Design konfiguriert
    • IP Konfiguration passt nicht zum Design –> Konfigurationsdatei prüfen und ggfs. anpassen.
    • IP Forwarding wurde nicht eingeschaltet
    • Client / Server Firewall (UFW, SELINUX, Windows Firewall etc.) lässt keine Kommunikation auf dem gewählten UDP Port zu
    • Kopierfehler oder logisches Vertauschen von Public und Private Key an den Systemen

      • Alles Fehler, die mir selbst schon unterlaufen sind und erst nach Stunden auffielen.
      Deshalb wichtig, immer ans Design halten, konzentrieren und manchmal tat’s auch ’ne Tasse Kaffee und ein freier Kopf! 😉

      Hinweis: Diese beiden Befehle werdet ihr jetzt vermutlich häufig brauchen:
      Anpassen der Konfiguration:


      und nach jeder Änderung der Konfiguration muss der Wireguard Tunnel mit

      neu gestartet werden.

    Sind dann alle Fehler behoben und der Wireguard Server und auch die „dahinter“ liegenden Systeme via PING erreichbar, kann man sich dem Thema DNS an der Edge Site widmen, worauf ich in einem weiteren Beitrag näher eingehen werden.

Ein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Ähnliche Beiträge

Andere Beiträge

cropped-Fortinet
Fortigate custom and local NTP Server
cropped-Fortinet
Fortigate Reset Admin Passwort
cropped-Fortinet
Fortigate IPSec Tunnel to a specific VDOM
cropped-Fortinet
Fortigate – Error -30 Unable to receive SSL VPN tunnel IP address