Open Source: Schnelles und einfaches VPN mit Wireguard

VPN-Verbindungen selbst aufzusetzen, kann mühsam sein. Auch ist die Verbindung oft langsam. Wireguard ändert das.

Eine Anleitung von veröffentlicht am
Das Wireguard-Maskottchen ist ein Drache.
Das Wireguard-Maskottchen ist ein Drache. (Bild: ROSLAN RAHMAN/AFP via Getty Images)

Viele VPN-Techniken, allen voran IPsec und OpenVPN, sind seit Jahren weit verbreitet und werden millionenfach genutzt. Beide Techniken gelten aber nicht nur als veraltet und deshalb schwer an moderne Einsatzszenarien oder kryptografische Protokolle anpassbar, sondern auch als sehr langsam. Das von Hauptentwickler Jason Donenfeld initiierte Wireguard soll damit aufräumen und eine schnelle, moderne VPN-Technik liefern.

Inhalt:
  1. Open Source: Schnelles und einfaches VPN mit Wireguard
  2. Clients und Peers sind schnell eingerichtet

Der wohl größte Vorteil von Wireguard im Vergleich zu bisherigen Lösungen besteht vor allem in der extrem geringen Anzahl an Codezeilen der Technik. So umfasst die Kernel-Technik selbst nur etwa 4.000 Zeilen Code. Die bisher zur Verfügung stehenden Alternativen wie OpenVPN oder auch IPSec umfassen dagegen mehrere Hunderttausend Zeilen Code.

Eine der grundlegenden Ideen von Wireguard ist, die Technik als normale Netzwerkschnittstelle des Systems bereitzustellen. Sämtliche Werkzeuge, die bisher etwa Schnittstellen wie eth0 und wlan0 verwalten, können so auch theoretisch sehr einfach die Wireguard-Schnittstelle wg0 verwalten. Verschiedene Userspace-Dienste wie zum Beispiel Systemd-Networkd haben ihren Code bereits angepasst. Inzwischen finden sich auch GUI-Werkzeuge für den Linux-Network-Manager.

Zur Identifizierung von Rechnern untereinander nutzt Wireguard lediglich öffentliche Schlüssel, analog zu SSH, wodurch etwa auf eine Zertifikatsinfrastruktur verzichtet werden kann. Der Aufbau ermöglicht darüber hinaus theoretisch ein Peer-to-Peer-Netzwerk vieler verschiedener Rechner, die sich nur über ihre Schlüssel identifizieren und diese unabhängig voneinander akzeptieren können. Das klassische und bekannte Client-Server-Modell existiert in Wireguard genau genommen also nicht. Der Einfachheit halber benutzen wir dieses hier aber weiter.

Von der Kommandozeile zum eigenen VPN

Stellenmarkt
  1. Projektmanager*in (w/m/d) Datenmanagement für On-Demand-Angebote
    Berliner Verkehrsbetriebe (BVG), Berlin
  2. IT Projektmanager (w/m/d) internationaler Großkunde im E-Commerce
    Bechtle direct GmbH, Neckarsulm
Detailsuche

Die Nutzung von Wireguard ist dabei denkbar einfach: Die Software muss installiert werden, Schlüssel müssen erstellt, verteilt und dann noch akzeptiert werden. Darüber hinaus muss eigentlich nur das genutzte Subnetz korrekt gewählt werden.

Wie bereits erwähnt, ist Wireguard schon längere Zeit im Hauptzweig des Linux-Kernels vorhanden. Die Wireguard-Community pflegt darüber hinaus zahlreiche weitere Implementierungen für andere Betriebssysteme. Wir konzentrieren uns für die Erklärung hier zunächst auf Linux.

Sinnvollerweise wird die Konfiguration in dem Ordner /etc/wireguard durchgeführt. Dort erstellen wir unsere Schüssel:

  1. wg genkey > privatekey
  2. wg pubkey < privatekey > pubkey

Dann folgt die Konfiguration der eigentlichen Netzwerkschnittstelle beispielsweise in /etc/wireguard/wg0.conf

  1. [Interface]
  2. Address = 10.0.0.1/24
  3. ListenPort = 51820
  4. PrivateKey = PRIVATER_SCHLÜSSEL

WireGuard im Einsatz

In der Konfigurationsdatei ist nun die Adresse der Schnittstelle samt dem Subnetz festgelegt sowie der für das VPN genutzte Port 51820. Der private Schlüssel wie auch die Konfigurationsdatei selbst sollten dabei bestenfalls nur vom Root-Nutzer genutzt werden können.

  1. sudo chmod 600 /etc/wireguard/wg0.conf /etc/wireguard/privatekey

Zum Starten der Verbindung liefert das Wireguard-Team eine eigene kleine Werkzeugsammlung mit. Alternativ dazu kann die Schnittstelle auch manuell konfiguriert und gestartet werden.

  1. sudo wg-quick up wg0

Der Status der Verbindung lässt sich dann selbst schnell testen:

  1. sudo wg show wg0

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Clients und Peers sind schnell eingerichtet 
  1. 1
  2. 2
  3.  


katze_sonne 04. Jun 2021

Ja, nein, vielleicht. Hängt von ab, *was* du machen willst. Wireguard agiert auf OSI...

teleborian 04. Jun 2021

Mit Allowed IP habe ich schon viel herumgespielt und leider habe ich der Verwendung...

teleborian 04. Jun 2021

Ich habe lange mit Tinc gearbeitet, das Tool funktioniert sehr ähnlich um ein VPN zu...

benba 02. Jun 2021

Quelle: WireGuard . com #cryptokey-routing Betrachtet als Server/Client (Datenfluss...

MartinVerges 02. Jun 2021

Mit Tailscale wird die Administration von Wireguard zentral verwaltet. Dank RBAC können...



Aktuell auf der Startseite von Golem.de
Reddit
IT-Arbeiter automatisiert seinen Job angeblich vollständig

Ein anonymer IT-Spezialist will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
Artikel
  1. Firmware: Windows 11 startet mit Coreboot
    Firmware
    Windows 11 startet mit Coreboot

    Einem Microsoft-Entwickler ist es nun aber gelungen, Windows 11 auf komplett freier Firmware zu starten.

  2. VR/AR: Apples Headset soll über 2.000 US-Dollar kosten
    VR/AR
    Apples Headset soll über 2.000 US-Dollar kosten

    Der lange Entwicklungsprozess und die verwendeten Komponenten sollen den Preis von Apples VR-Headset in die Höhe schrauben.

  3. Exynos 2200: Samsung-Chip mit Xclipse/RDNA2-Grafik ist da
    Exynos 2200
    Samsung-Chip mit Xclipse/RDNA2-Grafik ist da

    Erstmals Raytracing für Smartphones: Der Exynos 2200 nutzt Radeon-Technik samt ARMv9-Kernen, einem AV1-Decoder und schnellem 5G-Modem.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 12GB bei Mindfactory 1.699€ • MindStar (u.a. GTX 1660 6GB 499€) • Samsung Gaming-Monitre (u.a. G5 32" Curved 299€) • Sony Fernseher & Kopfhörer zu Bestpreisen • RTX 2060 12GB 569€ • Bosch Professional • CyberGhost VPN 1,89€/Monat [Werbung]
    •  /