Open Source: Schnelles und einfaches VPN mit Wireguard

VPN-Verbindungen selbst aufzusetzen, kann mühsam sein. Auch ist die Verbindung oft langsam. Wireguard ändert das.

Eine Anleitung von veröffentlicht am
Das Wireguard-Maskottchen ist ein Drache.
Das Wireguard-Maskottchen ist ein Drache. (Bild: ROSLAN RAHMAN/AFP via Getty Images)

Viele VPN-Techniken, allen voran IPsec und OpenVPN, sind seit Jahren weit verbreitet und werden millionenfach genutzt. Beide Techniken gelten aber nicht nur als veraltet und deshalb schwer an moderne Einsatzszenarien oder kryptografische Protokolle anpassbar, sondern auch als sehr langsam. Das von Hauptentwickler Jason Donenfeld initiierte Wireguard soll damit aufräumen und eine schnelle, moderne VPN-Technik liefern.

Inhalt:
  1. Open Source: Schnelles und einfaches VPN mit Wireguard
  2. Clients und Peers sind schnell eingerichtet

Der wohl größte Vorteil von Wireguard im Vergleich zu bisherigen Lösungen besteht vor allem in der extrem geringen Anzahl an Codezeilen der Technik. So umfasst die Kernel-Technik selbst nur etwa 4.000 Zeilen Code. Die bisher zur Verfügung stehenden Alternativen wie OpenVPN oder auch IPSec umfassen dagegen mehrere Hunderttausend Zeilen Code.

Eine der grundlegenden Ideen von Wireguard ist, die Technik als normale Netzwerkschnittstelle des Systems bereitzustellen. Sämtliche Werkzeuge, die bisher etwa Schnittstellen wie eth0 und wlan0 verwalten, können so auch theoretisch sehr einfach die Wireguard-Schnittstelle wg0 verwalten. Verschiedene Userspace-Dienste wie zum Beispiel Systemd-Networkd haben ihren Code bereits angepasst. Inzwischen finden sich auch GUI-Werkzeuge für den Linux-Network-Manager.

Zur Identifizierung von Rechnern untereinander nutzt Wireguard lediglich öffentliche Schlüssel, analog zu SSH, wodurch etwa auf eine Zertifikatsinfrastruktur verzichtet werden kann. Der Aufbau ermöglicht darüber hinaus theoretisch ein Peer-to-Peer-Netzwerk vieler verschiedener Rechner, die sich nur über ihre Schlüssel identifizieren und diese unabhängig voneinander akzeptieren können. Das klassische und bekannte Client-Server-Modell existiert in Wireguard genau genommen also nicht. Der Einfachheit halber benutzen wir dieses hier aber weiter.

Von der Kommandozeile zum eigenen VPN

Stellenmarkt
  1. Wissenschaftlicher Mitarbeiter (m/w/d) für den Bereich Künstliche Intelligenz in der zivilen Sicherheitsforschung
    Präsidium der Bayerischen Bereitschaftspolizei, Rosenheim
  2. Systems Engineer (m/w/d) - Microsoft SQL Server
    OEDIV KG, Bielefeld
Detailsuche

Die Nutzung von Wireguard ist dabei denkbar einfach: Die Software muss installiert werden, Schlüssel müssen erstellt, verteilt und dann noch akzeptiert werden. Darüber hinaus muss eigentlich nur das genutzte Subnetz korrekt gewählt werden.

Wie bereits erwähnt, ist Wireguard schon längere Zeit im Hauptzweig des Linux-Kernels vorhanden. Die Wireguard-Community pflegt darüber hinaus zahlreiche weitere Implementierungen für andere Betriebssysteme. Wir konzentrieren uns für die Erklärung hier zunächst auf Linux.

Sinnvollerweise wird die Konfiguration in dem Ordner /etc/wireguard durchgeführt. Dort erstellen wir unsere Schüssel:

  1. wg genkey > privatekey
  2. wg pubkey < privatekey > pubkey

Dann folgt die Konfiguration der eigentlichen Netzwerkschnittstelle beispielsweise in /etc/wireguard/wg0.conf

  1. [Interface]
  2. Address = 10.0.0.1/24
  3. ListenPort = 51820
  4. PrivateKey = PRIVATER_SCHLÜSSEL

WireGuard im Einsatz

In der Konfigurationsdatei ist nun die Adresse der Schnittstelle samt dem Subnetz festgelegt sowie der für das VPN genutzte Port 51820. Der private Schlüssel wie auch die Konfigurationsdatei selbst sollten dabei bestenfalls nur vom Root-Nutzer genutzt werden können.

  1. sudo chmod 600 /etc/wireguard/wg0.conf /etc/wireguard/privatekey

Zum Starten der Verbindung liefert das Wireguard-Team eine eigene kleine Werkzeugsammlung mit. Alternativ dazu kann die Schnittstelle auch manuell konfiguriert und gestartet werden.

  1. sudo wg-quick up wg0

Der Status der Verbindung lässt sich dann selbst schnell testen:

  1. sudo wg show wg0

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Clients und Peers sind schnell eingerichtet 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Netflix
Warum so viele Serien nur zwei Staffeln lang laufen

Die Superhelden-Serie Jupiter's Legacy war bei ihrem Start ein Erfolg bei Netflix. Jetzt wurde sie eingestellt. Wie entscheidet Netflix, ob eine Serie verlängert wird?
Von Peter Osteried

Netflix: Warum so viele Serien nur zwei Staffeln lang laufen
Artikel
  1. Livewire One: Erste Details zu Harleys neuem Elektromotorrad
    Livewire One
    Erste Details zu Harleys neuem Elektromotorrad

    Im Mai hat Harley-Davidson eine eigene Elektromarke vorgestellt. Deren erstes Elektromotorrad soll bald kommen.

  2. Model S Plaid: Teslas Knight Rider-Lenkrad könnte ergonomischer Krampf sein
    Model S Plaid
    Teslas Knight Rider-Lenkrad könnte ergonomischer Krampf sein

    Das D-förmige Lenkrad im neuen Tesla Model S sorgt für Kontroversen. Erste Fahrer haben es ausprobiert und sind nicht glücklich damit.

  3. Nach Aukey und Mpow: Amazon verbannt Hersteller Ravpower aus seinem Angebot
    Nach Aukey und Mpow
    Amazon verbannt Hersteller Ravpower aus seinem Angebot

    Amazon verbannt mit Ravpower einen weiteren chinesischen Hersteller von seinem Marktplatz. Grund scheint erneut Betrug mit Fake-Reviews zu sein.

katze_sonne 04. Jun 2021 / Themenstart

Ja, nein, vielleicht. Hängt von ab, *was* du machen willst. Wireguard agiert auf OSI...

teleborian 04. Jun 2021 / Themenstart

Mit Allowed IP habe ich schon viel herumgespielt und leider habe ich der Verwendung...

teleborian 04. Jun 2021 / Themenstart

Ich habe lange mit Tinc gearbeitet, das Tool funktioniert sehr ähnlich um ein VPN zu...

benba 02. Jun 2021 / Themenstart

Quelle: WireGuard . com #cryptokey-routing Betrachtet als Server/Client (Datenfluss...

MartinVerges 02. Jun 2021 / Themenstart

Mit Tailscale wird die Administration von Wireguard zentral verwaltet. Dank RBAC können...

Kommentieren


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • PS5 bei o2 mit Mobilfunkvertrag bestellbar • Xbox Series X bei MM bestellbar 499,99€ • Breaking Deals bei MM (u. a. LG 75" Nanocell 8K 2.699€) • Corsair 32GB DDR4-3600 Kit 182,90€ • PCGH Gaming-PC i7 RX 6800 XT 2.500€ • Rabatte auf Geschenkkarten bei Amazon [Werbung]
    •  /