Open Source: Schnelles und einfaches VPN mit Wireguard

VPN-Verbindungen selbst aufzusetzen, kann mühsam sein. Auch ist die Verbindung oft langsam. Wireguard ändert das.

Eine Anleitung von veröffentlicht am
Das Wireguard-Maskottchen ist ein Drache.
Das Wireguard-Maskottchen ist ein Drache. (Bild: ROSLAN RAHMAN/AFP via Getty Images)

Viele VPN-Techniken, allen voran IPsec und OpenVPN, sind seit Jahren weit verbreitet und werden millionenfach genutzt. Beide Techniken gelten aber nicht nur als veraltet und deshalb schwer an moderne Einsatzszenarien oder kryptografische Protokolle anpassbar, sondern auch als sehr langsam. Das von Hauptentwickler Jason Donenfeld initiierte Wireguard soll damit aufräumen und eine schnelle, moderne VPN-Technik liefern.

Inhalt:
  1. Open Source: Schnelles und einfaches VPN mit Wireguard
  2. Clients und Peers sind schnell eingerichtet

Der wohl größte Vorteil von Wireguard im Vergleich zu bisherigen Lösungen besteht vor allem in der extrem geringen Anzahl an Codezeilen der Technik. So umfasst die Kernel-Technik selbst nur etwa 4.000 Zeilen Code. Die bisher zur Verfügung stehenden Alternativen wie OpenVPN oder auch IPSec umfassen dagegen mehrere Hunderttausend Zeilen Code.

Eine der grundlegenden Ideen von Wireguard ist, die Technik als normale Netzwerkschnittstelle des Systems bereitzustellen. Sämtliche Werkzeuge, die bisher etwa Schnittstellen wie eth0 und wlan0 verwalten, können so auch theoretisch sehr einfach die Wireguard-Schnittstelle wg0 verwalten. Verschiedene Userspace-Dienste wie zum Beispiel Systemd-Networkd haben ihren Code bereits angepasst. Inzwischen finden sich auch GUI-Werkzeuge für den Linux-Network-Manager.

Zur Identifizierung von Rechnern untereinander nutzt Wireguard lediglich öffentliche Schlüssel, analog zu SSH, wodurch etwa auf eine Zertifikatsinfrastruktur verzichtet werden kann. Der Aufbau ermöglicht darüber hinaus theoretisch ein Peer-to-Peer-Netzwerk vieler verschiedener Rechner, die sich nur über ihre Schlüssel identifizieren und diese unabhängig voneinander akzeptieren können. Das klassische und bekannte Client-Server-Modell existiert in Wireguard genau genommen also nicht. Der Einfachheit halber benutzen wir dieses hier aber weiter.

Von der Kommandozeile zum eigenen VPN

Stellenmarkt
  1. Systemadministration (m/w/d) Netzwerke und IT-Sicherheit
    Fachhochschule Südwestfalen, Hagen, Meschede
  2. Leitung IT-Infrastruktur und Basisdienste / Rechenzentrum (d/m/w)
    THD - Technische Hochschule Deggendorf, Deggendorf
Detailsuche

Die Nutzung von Wireguard ist dabei denkbar einfach: Die Software muss installiert werden, Schlüssel müssen erstellt, verteilt und dann noch akzeptiert werden. Darüber hinaus muss eigentlich nur das genutzte Subnetz korrekt gewählt werden.

Wie bereits erwähnt, ist Wireguard schon längere Zeit im Hauptzweig des Linux-Kernels vorhanden. Die Wireguard-Community pflegt darüber hinaus zahlreiche weitere Implementierungen für andere Betriebssysteme. Wir konzentrieren uns für die Erklärung hier zunächst auf Linux.

Sinnvollerweise wird die Konfiguration in dem Ordner /etc/wireguard durchgeführt. Dort erstellen wir unsere Schüssel:

  1. wg genkey > privatekey
  2. wg pubkey < privatekey > pubkey

Dann folgt die Konfiguration der eigentlichen Netzwerkschnittstelle beispielsweise in /etc/wireguard/wg0.conf

  1. [Interface]
  2. Address = 10.0.0.1/24
  3. ListenPort = 51820
  4. PrivateKey = PRIVATER_SCHLÜSSEL

WireGuard im Einsatz

In der Konfigurationsdatei ist nun die Adresse der Schnittstelle samt dem Subnetz festgelegt sowie der für das VPN genutzte Port 51820. Der private Schlüssel wie auch die Konfigurationsdatei selbst sollten dabei bestenfalls nur vom Root-Nutzer genutzt werden können.

  1. sudo chmod 600 /etc/wireguard/wg0.conf /etc/wireguard/privatekey

Zum Starten der Verbindung liefert das Wireguard-Team eine eigene kleine Werkzeugsammlung mit. Alternativ dazu kann die Schnittstelle auch manuell konfiguriert und gestartet werden.

  1. sudo wg-quick up wg0

Der Status der Verbindung lässt sich dann selbst schnell testen:

  1. sudo wg show wg0

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Clients und Peers sind schnell eingerichtet 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Ubisoft
Avatar statt Assassin's Creed

E3 2021 Als wichtigste Neuheit hat Ubisoft ein Spiel auf Basis von Avatar vorgestellt - und Assassin's Creed muss mit Valhalla in die Verlängerung.

Ubisoft: Avatar statt Assassin's Creed
Artikel
  1. Fifa, Battlefield und Co.: Der EA-Hack startete mit Cookies für 10 US-Dollar
    Fifa, Battlefield und Co.
    Der EA-Hack startete mit Cookies für 10 US-Dollar

    Die Hacking-Gruppe erklärt dem Magazin Motherboard Schritt für Schritt, wie der Hack auf EA gelang. Die primäre Fehlerquelle: der Mensch.

  2. Extraction: Rainbow Six und der Kampf gegen Außerirdische
    Extraction
    Rainbow Six und der Kampf gegen Außerirdische

    E3 2021 Es ist ein ungewöhnlicher Ableger für Siege: Ubisoft hat Rainbow Six Extraction vorgestellt, das auf den Kampf gegen KI-Aliens setzt.

  3. Onlinetickets: 17-Jähriger betrügt Bahn um 270.000 Euro
    Onlinetickets
    17-Jähriger betrügt Bahn um 270.000 Euro

    Mit illegal erworbenen Onlinetickets soll ein 17-Jähriger die Bahn um 270.000 Euro geprellt haben. Entdeckt wurde er nur durch Zufall.

katze_sonne 04. Jun 2021 / Themenstart

Ja, nein, vielleicht. Hängt von ab, *was* du machen willst. Wireguard agiert auf OSI...

teleborian 04. Jun 2021 / Themenstart

Mit Allowed IP habe ich schon viel herumgespielt und leider habe ich der Verwendung...

teleborian 04. Jun 2021 / Themenstart

Ich habe lange mit Tinc gearbeitet, das Tool funktioniert sehr ähnlich um ein VPN zu...

benba 02. Jun 2021 / Themenstart

Quelle: WireGuard . com #cryptokey-routing Betrachtet als Server/Client (Datenfluss...

MartinVerges 02. Jun 2021 / Themenstart

Mit Tailscale wird die Administration von Wireguard zentral verwaltet. Dank RBAC können...

Kommentieren


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ • Amazon: PC-Spiele reduziert (u. a. C&C: Remastered Collection 9,99€) [Werbung]
    •  /