[Eisfair] OpenVPN versus WireGuard

[Sebastian Ertz]

Hallo Ulrich,

ich bin der Ersteller des Pakets WireGuard. Und ja, OpeneVPN bekommt man 
erst mal schneller zum laufen.

Am 04.01.22 um 12:05 schrieb Ulrich Hupe:
>>> open VPN war hingegen total easy!
>> Sag das nicht. ;-)
>> _Was_ genau funkt nicht?
>> Bist Du auf eis (oder auf einer andere Plattform)?
> 
> Das Problem liegt natürlich daran, daß wg anders funktioniert als 
> openVPN; das muß man erst mal "verstehen".
> 
> Ich habe erst mal versucht eine einfache Verbindung im lokalen Netz zu 
> schalten.
> Allerdings gab ich dann erst mal bei der Konfiguration auf, bzw. die 
> Konfiguration von openVPN empfand ich logischer, oder einfacher.....
> 
> Auf dem EIS64 befindet sich das Paket wireguard Vers. 3.2.0 mit 
> folgender Konfiguration:
> 
> START_WIREGUARD='yes'
> WIREGUARD_N='1'
> WIREGUARD_1_ACTIVE='yes'
> WIREGUARD_1_NAME='wg-tablet'
> WIREGUARD_1_PRIVATE_KEY='CGv9SA7MAxyz.........  ..I3m8W4='
> WIREGUARD_1_PUBLIC_KEY='0YEMH45ROhxyz...........bNvqQuTE='
> WIREGUARD_1_ADDR='192.168.154.153/24'
> WIREGUARD_1_PORT=''
> WIREGUARD_1_MTU='1420'
> WIREGUARD_1_PEER_N='0'
> WIREGUARD_1_PEER_1_ACTIVE='no'
> 
> keys und adresse wurden in dem Menue generiert.
> 
> Auf einem Tablet habe ich WireGuard für Android v1.0.202...... installiert.
> Nun kann ich bei + : von einem Archiv importieren, den QR Code scannen, 
> oder neu erstellen.
> 
> Nun könnte ich ja den QR-code mit qrgenerate erstellen, wenn ich die 
> conf Datei finden würde (etc/wireguard/tunnel.conf  o.ä.), gibts aber 
> nicht.
> Bei der manuellen Erstellung habe ich mir dann nach einer gefühlten 
> Ewigkeit ein Bier geholt....

Aus der Eisfair-Config wird direkt die Konfig für das WireGuard 
Interface erzeugt. Deswegen gibt keine /etc/wireguard/*.conf Dateien.


Hier ein Beispiel in deinem Fall:

Konfig für den EIS-Server:

START_WIREGUARD='yes'
WIREGUARD_N='1'
WIREGUARD_1_ACTIVE='yes'
WIREGUARD_1_NAME='wgnet'
WIREGUARD_1_PRIVATE_KEY='SERVER_PRIVATE_KEY'
WIREGUARD_1_PUBLIC_KEY='SERVER_PUBLIC_KEY'
WIREGUARD_1_ADDR='10.0.0.1/24'
WIREGUARD_1_PORT='51820'
WIREGUARD_1_MTU='1320'
WIREGUARD_1_PEER_N='1'
WIREGUARD_1_PEER_1_ACTIVE='yes'
WIREGUARD_1_PEER_1_NAME='Tablet'
WIREGUARD_1_PEER_1_PRIVATE_KEY='TABLET_PRIVATE_KEY'
WIREGUARD_1_PEER_1_PUBLIC_KEY='TABLET_PUBLIC_KEY'
WIREGUARD_1_PEER_1_PRESHARED_KEY='TABLET_PRESHARED_KEY'
WIREGUARD_1_PEER_1_ALLOWEDIPS='10.0.0.2/24'
WIREGUARD_1_PEER_1_ENDPOINT=''
WIREGUARD_1_PEER_1_KEEPALIVE=''

Konfig für das Tablet:

[Interface]
PrivateKey=Tablet_PRIVATE_KEY
Address=10.0.0.2/24
MTU=1320

[Peer]
PublicKey=SERVER_PUBLIC_KEY
PresharedKey=TABLET_PRESHARED_KEY
AllowedIPs=10.0.0.0/24
Endpoint=IP-EISFAIR-SERVER/DNS-NAME-DES-EISFAIR-SERVER:51820
PersistentKeepalive=25


Mit dieser Konfig müsstest du nun eine Verbindung von Tablet zum Eisfair 
aufbauen können.
Console:
wg
ping 10.0.0.1
ping 10.0.0.2


Falls das Tablet Zugang zu weiteren Geräten im Heimnetz erhalten soll 
ist die Konfig fürs Tablet anzupassen:
AllowedIPs=10.0.0.0/24,IP-NETZ/NETZMASKE

als Beispiel AllowedIPs=10.0.0.0/24,192.168.178.0/24


GANZ WICHTIG: Das eisfair-WireGuard Paket macht kein NAT!!!
Das heißt pingt das Tablet die IP-Adresse des Routers an (ping 
192.168.178.1) passiert folgenden mit dem Paket (Vereinfacht dargestellt)
1. Tablet (10.0.0.2) -> Server (10.0.0.1)
2. Server (10.0.0.2) Routet das Paket weiter an Router (192.168.178.1)
Es wird aber keine Ping-Antwort kommen, da der Router keine route zum 
Netz 10.0.0.0/24 kennt. Also am besten im Default-Gatway eine Route zu 
10.0.0.0/24 über die IP-Adresse des Eisfair-Server anlegen und schon 
kann das Heimnetz die WireGuard-Clients erreichen.

Es ist wichtig beim Routing beide Wege zu betrachten.
1. Wie läuft ein Paket von Wireguard-Client zu einem Heimnetz-Gerät
2. Wie läuft ein Paket von Heimnetz-Gerät zu einem Wireguard-Client


Falls jemand Bock hat, kann mir gerne eine Anleitung zu senden da baue 
ich die in die Doku ein.

Habe letztes Jahr lange mit Derya telefoniert wegen QR-Codes und so. 
Werde das auch mal in Angriff nehmen.

Gruß
Sebastian