[Eisfair] WireGuard Paketabkündigung

Nelson Matias nelson at anires.de
Fr Jan 30 15:54:07 CET 2026 

Hallo Marcus,

Am 30.01.2026 um 13:50 schrieb Marcus Röckrath:
>>> Das Thema ist nicht neu:
>>> https://lists.spline.inf.fu-berlin.de/pipermail/eisfair/2022->> January/046936.html
>>
>> Das in dem Beitrag genannte Problem hatte ich auch.
>> Das jetzige Wireguard-Paket ruf wg mit allen Parametern direkt auf und
>> nutzt keine wg-conf-Datei. Denn diese könnte ich einfach von der
>> Gegenstelle nehmen und auf dem Eis nutzen.
> 
> Wenn man von irgendwoher eine fertige wg-conf-Datei hat, kann man die wohl
> importieren.

Ich habe die Wireguard Implementierungen von verschiedenen anderen 
Herstellern gesehen und da wird so gut wie immer eine conf-Datei für die 
Gegenstelle angeboten. Als Nutzer muss man so gut wie immer nur eine 
Seite der Verbindung konfigurieren und bekommt dann die Konfiguration 
der anderen Seite geliefert.

> Nur muss man die erstmal haben oder manuell erzeugen.

Die ist eigentlich integraler Bestandteil des ganzen Wireguard-Systems. 
Eben für die Portabilität und eine einfache Konfiguration.

> Der ansatz des wireguard-Paketes war eher der, auf dem eis als Zentrale
> Verbindungen vorzubereiten und dann auch auf einer Gegenstelle einzurichten.

Der Ansatz von Wireguard ist es aber eben keine Server/Client Struktur 
zu haben, sondern zwei gleiche Gegenstücke. Es gibt keinen Client, der 
sich beim Server melden muss. Beide können eigenständig die Verbindung 
etablieren.

In der Praxis wird es wohl immer das eine Gerät geben, dass stationär 
die Verbindung erhält und keine Verbindungen selber initiiert. Aber das 
liegt eher daran, dass ich bei einem mobilen Gerät eher selten eine 
dyndns-Adresse habe. Somit kann hier nur das mobile Gerät die Verbindung 
initiieren.

Und gerade beim von dir genannten Ansatz wäre es gut die conf-Dateien zu 
erstellen. Zum einen um die Verbindung vom "Server" zu Geräten mit 
dyndns-Adresse auch nach einem IP-Wechsel wiederherzustellen. Und zum 
anderen um die Konfiguration der Gegenstellen zu vereinfachen.

>> Vielleicht geht es aber direkt mit wg. In dem Fall würde dann das
>> wireguard-tools-Paket reichen.
> 
> Das war der Grund, warum ich Sebastian gebeten hatte, weiterhin die Binaries
> zur Verfügung zu stellen.   

Ich habe jetzt schon mal eine WireGuard-Verbindung mit dem 
NetworkManager (NM) hin gebracht. Leider kann ich aktuell noch nicht das 
Routing testen. Aber ich kann über die Wireguard-Verbindung ein ssh auf 
meinem Fli4l machen.

Ich würde aber vorschlagen zum wireguard-tools-Paket noch ein require 
auf das networkmanager-tui-Paket zu setzen. Es ist viel leichter die 
Wireguard-Verbindung im tui einzurichten.
Und es gibt dann auch eine conf-Datei in
/etc/NetworkManager/system-connections

-- 
Gruß

Nelson

Mehr Informationen über die Mailingliste Eisfair