[Eisfair] Wireguard auf dem Eis
Sebastian Ertz
sebastian.ertz at tk-ertz.de
Do Jan 29 12:59:19 CET 2026
Hallo Marcus,
Am Thu, 29 Jan 2026 12:14:37 +0100 schrieb Marcus Röckrath:
> Sebastian Ertz wrote:
>
>> Ich habe damals das WireGuard Paket gemacht weil ich es brauchte. Ich
>> habe es versucht so einfach wie möglich zu gestalten. Aber ohne wissen
>> wie wireguard funktioniert ist es nicht so trivial (Routing usw.). Hier
>> ein Beispiel für einen Roadwarrior:
>
> Ich bin froh, dass das auf der Fritzbox schmerzlos ist, abgesehen davon,
> dass mein eis bicht mehr 24/7 läuft - auch nicht, wenn ich unterwegs
> bin.
>
>> WIREGUARD_1_ADDR='172.18.171.1/24'
>
>> WIREGUARD_1_PEER_1_ALLOWEDIPS='172.18.171.10/32'
>
> Wirklich unterschiedlich große Netzwerke? Kommt mir komisch vor.
>
>> AllowedIPs = 172.18.171.0/24
Also, ich versuche jetzt WireGuard zu erklären.
1. Es gibt die IP-Adress-Schicht.
2. Es gibt die Verschlüsselungs-Schicht.
(Aus Verständnisgründen werde ich nun von Server und Clients sprechen,
obwohl es bei WireGuard nicht wirlich Server/Client gibt)
Das Server Interface hat die Adresse: 172.18.171.1/24
Der Server Interafce hat das Routing: 172.18.171.0/24
Der Client 1 Interface hat die Adresse: 172.18.171.10/32
Der Client 1 Interafce hat das Routing: 172.18.171.0/24
Der Client 2 Interface hat die Adresse: 172.18.171.20/32
Der Client 1 Interafce hat das Routing: 172.18.171.0/24
Jetzt zur Verschlüsselungsschicht:
Damit Pakete von den Clients zum Server und vom Server angenommen werden
muss der Server den PUBLIC_KEY und ALLOWED_IP (optional wenn vergeben den
PRESHARED_KEY) von den Clients haben.
Also hat der Server folgende peers:
[Peer]
PublicKey = PUBLIC_KEY von Client 1
AllowedIPs = 172.18.171.10/32
[Peer]
PublicKey = PUBLIC_KEY von Client 1
AllowedIPs = 172.18.171.20/32
Damit Pakete vom Server zum Client und vom Client angenommen werden muss
der Client den PUBLIC_KEY und ALLOWED_IP (optional wenn vergeben den
PRESHARED_KEY) vom Server haben.
Also hat der Client 1 folgende peers:
[Peer]
PublicKey = PUBLIC_KEY von Server
AllowedIPs = 172.18.171.0/24
Endpoint = server-ip:51820
Also hat der Client 2 folgende peers:
[Peer]
PublicKey = PUBLIC_KEY von Server
AllowedIPs = 172.18.171.0/24
Endpoint = server-ip:51820
Im obigen Beispiel kann Client 1 über Server Client 2 z.b. anpingen.
WICHTIG: Man muss IMMER aus beiden Richtungen schauen!!!
Beispiel Client 1 pingt Client 2 an.
1. Client 1: ping -c 172.18.171.20
2. Client 1: Quell IP-Adresse 172.18.171.10 sende Paket an 172.18.171.20
(Client 1: AllowedIPs = 172.18.171.0/24 -> Server)
3. Server: Darf 172.18.171.10 mich erreichen (Ja, weil ALLOWED_IP ==
172.18.171.10)
3. Server: Wo soll Paket an 172.18.171.20 hin? Ah an Client 2
4. Server: Sendet Paket weiter an 172.18.171.20
5. Client 2: Darf 172.18.171.20 mich erreichen (Ja, weil ALLOWED_IP ==
172.18.171.0/24
6. Client 2: Sende antwort an 172.18.171.10
7. Client 2: Quell IP-Adresse 172.18.171.20 sende Paket an 172.18.171.10
(Client 2: Peer AllowedIPs = 172.18.171.0/24 -> Server)
8. Server: Darf 172.18.171.20 mich erreichen (Ja, weil ALLOWED_IP ==
172.18.171.20)
9. Server: Wo soll Paket an 172.18.171.20 hin? Ah an Client 2
10. Server: Sendet Paket weiter an 172.18.171.10
11. Client 2: Darf 172.18.171.10 mich erreichen (Ja, weil ALLOWED_IP ==
172.18.171.0/24
Ich hoffe das war verständlich.
Ich werde vermutlich das Paket beerdigen. Dafür habe ich einen einfachen
Grund: Das Paket abstrahiert die reine wireguard config... + wenig mehr.
Und wenn man sich mit dem Thema WireGuard nicht auseinandergesetzt hat.
Wird die eingestellte Konfig nicht funktionieren.
Bin mir noch sehr unschlüssig ob ich es entfernen soll. Mit dem
NetworkManager kann man out-of-the-box wireguard machen. Aber ob der
einfache zu konfigurieren ist, bezweifele ich.
Gruß
Sebastian
Mehr Informationen über die Mailingliste Eisfair