[Eisfair] wireguard, Beispiele?

Hendrik Orep hendrik.orep at mailbox.org
Di Mai 14 00:09:29 CEST 2019 

Hallo Alex,

Am 13.05.19 um 15:01 schrieb Alex Busam:
> Hallo,
> 
> ich versuche mich gerade an wireguard. Hat das jemand am Laufen? Es gibt
> ja eine pre-alpha-version eines Windows-clients
> https://www.heise.de/newsticker/meldung/VPN-Software-WireGuard-jetzt-als-Pre-Alpha-Version-fuer-Windows-verfuegbar-4419936.html

habe WireGuard zwar nicht auf Eisfair sondern nur auf anderem Linux (und
FreeBSD, testweise auch Android) am laufen, aber die Konfiguration
müsste bei dem Eisfair-Paket ja ähnlich sein.

> 
> W_1_ADDR: ist das die lokale Adresse eines wireguard-Subnetzes
> (virtuelle NIC) auf dem eis?

Ja, inkl. Netzgröße (Beispiel: 2001:DB8::1/64).

> Ist es auch korrekt, dass in und aus diesem
> Netz Routen angelegt werden müssen/können?
Kommt drauf an :). Wenn du nur die Gegenstelle und diese nur vom Eisfair
erreichen willst, brauchst du keine Routen anlegen, da der Eisfair und
die Gegenstelle ja quasi im selben Netz sind. Wenn auch noch weitere
Ziele von der Gegenstelle oder zu der Gegenstelle erreicht werden
sollen, sind (auf beiden Seiten) weitere Routen nötig.
Hier kommt es darauf an, wie das Eisfair-Paket genau aufgebaut ist, denn
eventuell werden diese Routen beim Setzen des Parameters
WIREGUARD_%_PEER_%_ALLOWEDIPS (s.u.) automatisch generiert.

Allerdings scheint das Paket laut der Doku auch die Möglichkeit zu
bieten, NAT einzurichten (WIREGUARD_%_MASQ_IF). Dann wären auf
Eisfair-Seite bei einem einfachen Client-Server-Szenario keine weiteren
Routen nötig.

> 
> w_1_PEER_1_ALLOWEDIPS: erlaubte, öffentliche IPs des entsprechenden
> Clients? Das verstehe ich gar nicht. Die ist ja an jedem Gate (zuhause,
> DSL mit dynamischer IP, Hotspots, WLANs.....) eine andere Adresse.

Das bezieht sich auf nicht auf die "öffentliche" IP, sondern ie im
Tunnel verwendeten Adressen, d.h. welche Source-Adressen IP-Pakete haben
dürfen, die (im Tunnel) von diesem Peer kommen. Wenn der Peer z.B. ein
Laptop ist, wird sollte der in der Regel nur Pakete mit der auf dem
WireGuard-Interface konfigurierten Adresse absenden (Beispiel:
AllowedIPs = 2001:DB8::42/128). Wenn aber z.B. der gesamte Verkehr über
die Gegenstelle laufen soll, kommen von dort zwangsläufig Pakete mit
allen möglichen im Internet verwendeten IP-Adressen als Source-Adresse
an (dann sollte beispielsweise AllowedIPs = ::/0 gesetzt werden).

> Vermutlich würden mir ein paar Beispielkonfigurationen weiterhelfen. Hat
> damit jemand Erfahrung?
Leider nicht auf Eisfair. Wenn du magst, poste doch mal, was du genau
vorhast/erreichen möchtest, eventuell kann ich dir dann trotzdem ein
paar Tipps geben.

Beste Grüße
Hendrik

Mehr Informationen über die Mailingliste Eisfair