[Eisfair] OpenVPN versus WireGuard

[Ulrich Hupe]

Ja, das Beispiel war doch schon mal hilfreich !
könnte man glatt in die Doku nehmen. :-)

> Hier ein Beispiel in deinem Fall:
> 
> Konfig für den EIS-Server:
> 
> START_WIREGUARD='yes'
> WIREGUARD_N='1'
> WIREGUARD_1_ACTIVE='yes'
> WIREGUARD_1_NAME='wgnet'
> WIREGUARD_1_PRIVATE_KEY='SERVER_PRIVATE_KEY'
> WIREGUARD_1_PUBLIC_KEY='SERVER_PUBLIC_KEY'
> WIREGUARD_1_ADDR='10.0.0.1/24'
> WIREGUARD_1_PORT='51820'
> WIREGUARD_1_MTU='1320'
> WIREGUARD_1_PEER_N='1'
> WIREGUARD_1_PEER_1_ACTIVE='yes'
> WIREGUARD_1_PEER_1_NAME='Tablet'
> WIREGUARD_1_PEER_1_PRIVATE_KEY='TABLET_PRIVATE_KEY'
> WIREGUARD_1_PEER_1_PUBLIC_KEY='TABLET_PUBLIC_KEY'
> WIREGUARD_1_PEER_1_PRESHARED_KEY='TABLET_PRESHARED_KEY'
> WIREGUARD_1_PEER_1_ALLOWEDIPS='10.0.0.2/24'
> WIREGUARD_1_PEER_1_ENDPOINT=''
> WIREGUARD_1_PEER_1_KEEPALIVE=''
> 
> Konfig für das Tablet:
> 
> [Interface]
> PrivateKey=Tablet_PRIVATE_KEY
> Address=10.0.0.2/24
> MTU=1320
> 
> [Peer]
> PublicKey=SERVER_PUBLIC_KEY
> PresharedKey=TABLET_PRESHARED_KEY
> AllowedIPs=10.0.0.0/24
> Endpoint=IP-EISFAIR-SERVER/DNS-NAME-DES-EISFAIR-SERVER:51820
> PersistentKeepalive=25
> 
> 
> Mit dieser Konfig müsstest du nun eine Verbindung von Tablet zum Eisfair 
> aufbauen können.
> Console:
> wg
> ping 10.0.0.1
> ping 10.0.0.2
> 
> 
> Falls das Tablet Zugang zu weiteren Geräten im Heimnetz erhalten soll 
> ist die Konfig fürs Tablet anzupassen:
> AllowedIPs=10.0.0.0/24,IP-NETZ/NETZMASKE
> 
> als Beispiel AllowedIPs=10.0.0.0/24,192.168.178.0/24
> 
> 
> GANZ WICHTIG: Das eisfair-WireGuard Paket macht kein NAT!!!
> Das heißt pingt das Tablet die IP-Adresse des Routers an (ping 
> 192.168.178.1) passiert folgenden mit dem Paket (Vereinfacht dargestellt)
> 1. Tablet (10.0.0.2) -> Server (10.0.0.1)
> 2. Server (10.0.0.2) Routet das Paket weiter an Router (192.168.178.1)
> Es wird aber keine Ping-Antwort kommen, da der Router keine route zum 
> Netz 10.0.0.0/24 kennt. Also am besten im Default-Gatway eine Route zu 
> 10.0.0.0/24 über die IP-Adresse des Eisfair-Server anlegen und schon 
> kann das Heimnetz die WireGuard-Clients erreichen.
> 
> Es ist wichtig beim Routing beide Wege zu betrachten.
> 1. Wie läuft ein Paket von Wireguard-Client zu einem Heimnetz-Gerät
> 2. Wie läuft ein Paket von Heimnetz-Gerät zu einem Wireguard-Client
> 
> 
> Falls jemand Bock hat, kann mir gerne eine Anleitung zu senden da baue 
> ich die in die Doku ein.

###########################

Hier meine Eistellungen als konkretes Beispiel:

START_WIREGUARD='yes'
WIREGUARD_N='2'
WIREGUARD_1_ACTIVE='yes'
WIREGUARD_1_NAME='wgeis'
WIREGUARD_1_PRIVATE_KEY='aIKYmN...code......x0w='
WIREGUARD_1_PUBLIC_KEY='fOix3B14C...code...6NWU='
WIREGUARD_1_ADDR='10.64.154.1/24'
WIREGUARD_1_PORT='51820'
WIREGUARD_1_MTU='1320'
WIREGUARD_1_PEER_N='1'
WIREGUARD_1_PEER_1_ACTIVE='yes'
WIREGUARD_1_PEER_1_NAME='Ulrich'
WIREGUARD_1_PEER_1_PRIVATE_KEY='uLhT...code...A0o='
WIREGUARD_1_PEER_1_PUBLIC_KEY='oidA.....codi..I2w='
WIREGUARD_1_PEER_1_PRESHARED_KEY='2BG...code...60E='
WIREGUARD_1_PEER_1_ALLOWEDIPS='10.64.154.2/24'
WIREGUARD_1_PEER_1_ENDPOINT=''
WIREGUARD_1_PEER_1_KEEPALIVE=''

Die conf Daten habe ich dann in einer txt Datei zusammengesetzt:

[Interface]
PrivateKey=uLh.......A0o=
Address=10.64.154.2/24
MTU=1320

[Peer]
PublicKey=fOix3B......6NWU=
PresharedKey=2BG.......60E=
AllowedIPs=10.64.154.0/24
Endpoint=meine.dynIP.de:51820
PersistentKeepalive=25

Mit einem QR code generator im Netz (war einfacher) zu einem QR code 
gebastelt.
ausgedruckt, eingescannt und schwupps hatte ich eine Verbindung.

OK, Das könnte man natürlich über das Menue noch generieren und 
exportieren. (ä. wie beim openVPN)
Kaum jemand gibt die Schlüssel per Hand ein

#############################

mein Fehler:
Peer bei WG ist kein peering wie bei openVPN,
und das NAT sollte man sich auch ansehen.

ok, das war's (erstmal)
Danke und Gruß

Ulrich