Erfahrung mit Wireguard?

G

Gummiente

Active member
Registriert
23 Juni 2008
Beiträge
3.683
Anlässlich Release von Debian 11 habe ich ein wenig mit Wireguard herumgespielt. Hat jemand hier Erfahrung damit?

In Stichworten hier mal einige Punkte die mir aufgefallen sind.

- Debian ist fett geworden. 512 MB RAM wird als nicht mehr ausreichend für eine normale Installation angesehen sondern gerade noch ausreichend für eine Low Memory Sparinstallation

- iptables ist out, nftables ist in. iptables-translate ist noch unausgereift und spukt fehlerhafte "Übersetzung" aus die nicht funktioniert. Bei der Suche finden sich unzählige iptables Kochrezepte aber kaum etwas für nftables. Komisch da nftables schon einige Jahre auf dem Buckel hat.

- Wireguard als Server gibt mir noch einige Rätsel auf. Wie Benutzer verwalten? Baut man fertige Konfigfiles und verteilt sie an die Nutzer? Wie identifiziert man wer sich eingeloggt hat, wie löscht man Nutzer, wie ändert man Nutzer? Wie verhindert man Brute Force Attacken auf den offenen UDP Port auf den Wireguard horcht? Wie erfasst man Statistiken z.B. via Munin?

Hat jemand Wireguard als Server laufen und hat die Fragen gelöst?
 
Wireguard läuft bei mir auf den Pi-hole's und zusätzlich als Test auf den Fritz!Boxen...

Mit der Configfile auf dem Server legst du quasi die "Benutzer" als Peers an, die Configs werden dann eben bei diesen Benutzern eingespielt damit sie sich verbinden können - die verbundenen Peers lassen sich auch anzeigen - soll ein Zugriff entfernt werden --> Peereintrag in der Serverconfig löschen und Dienst neustarten, fertig
 
Bisher war ich von OpenVPN halt gewohnt, ein Konfigfile für alle bereitzustellen und dem Nutzer nur ihre eigene Benutzername und Passwort mitzuteilen. Da konnte ich dann sehen wer sich gerade eingeloggt hat und gegebenenfalls Passwort ändern oder Benutzer löschen.

Jetzt bekommt jeder eigene für ihn zugeschnittene Konfigfile und ich muss Buch führen wer welche Konfigfile bekommen hat?
 
Genau, du legst in der Serverconfig die Peers (Clients) an - dort vergibst du ja sinnvollerweise gleich die Namen der Clients...

Es hat ja jeder Nutzer quasi die gleiche Config was die Verbindung zum Server angeht, nur die Keys und ggf. die Passphrase sind halt unterschiedlich
 
Gummiente schrieb:
- Wireguard als Server gibt mir noch einige Rätsel auf. Wie Benutzer verwalten? Baut man fertige Konfigfiles und verteilt sie an die Nutzer? Wie identifiziert man wer sich eingeloggt hat, wie löscht man Nutzer, wie ändert man Nutzer? Wie verhindert man Brute Force Attacken auf den offenen UDP Port auf den Wireguard horcht? Wie erfasst man Statistiken z.B. via Munin?
Hat jemand Wireguard als Server laufen und hat die Fragen gelöst?
Zum Vergrößern anklicken....

Ja, als Identifikator könntest du den Public-Key des Clients verwenden. Wenn der Traffic nicht passend zum Key reinkommt wird nichts passieren. Brute Force bei der langen Keylänge halte ich für unwahrscheinlich.

Wer gerade angemeldet ist siehst du wenn du "wg" eingibst. Dort siehst du auch Trafficstatistiken. Ich verwende zwar kein Munin, aber Telegraf für die Dateneinlieferung, der auch alle Statistiken ausliest:

https://github.com/influxdata/telegraf/blob/master/plugins/inputs/wireguard/README.md
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben