Bekanntermaßen nutzen wir gerne und viel VPN, unter anderem für die Inbetriebnahme, den Service oder die Migration von Kunden-Computern in der Werkstatt (siehe Für verschiedene Kunden-Szenarien VPN-Router in der Werkstatt virtualisieren). Damit es schnell und einfach geht haben wir uns bereits vor längerer Zeit eine VM-Vorlage auf Basis von OpenWrt mit WireGuard samt Dokumentation erstellt, wie das Ganze in Verbindung mit der Securepoint UTM, die es auf der Kunden-Seite gibt, eingerichtet wird.

Der Verbindungsaufbau erfolgt immer von OpenWrt aus in Richtung Securepoint UTM. WireGuard kennt zwar kein Client-Server-Modell, es ist allerdings nicht zwingend notwendig (und auch nicht überall möglich) ein Site-to-Site-VPN Vice versa einzurichten. Nachfolgend geht es also darum, das OpenWrt hinter einem NAT-Router bzw. einer Firewall betrieben wird und sich zur Gegenstelle verbindet.

Anbei nun Quick & Dirty wie wir hier Vorgehen, gerade eben erst (haus-intern) aktualisiert und getestet mit Securepoint UTM  Build 14.0.1.1 Beta-Version (NFR) und OpenWrt 24.10. Frühere Versionen funktionieren natürlich auch, die Konfiguration ist dabei auf UTM-Seite sehr ähnlich und bei OpenWrt sogar mindestens seit Version 22.x unverändert.

OpenWrt konfigurieren

• Unter “Network – Interfaces” auf “Add new interface” klicken.
• Einen Namen, z.B. wg0, eingeben und bei “Protocol” “WireGuard VPN” auswählen.
• Auf “Create interface” klicken.
• Auf der Registerkarte “General” auf “Generate new key pair” klicken um einen neuen privaten und öffentlichen Schlüssel erzeugen zu lassen.
• Bei “IP Addresses” die zweite IP-Adresse des Transfer-Netzes, z.B. “10.0.1.2/32”, eintragen.
• Zur Registerkarte “Firewall Settings” wechseln.
• “Create / Assign firewall-zone:” Aufklappen und bei “custom” einen Namen, wie z.B. “wg”, eintragen.
• Zur Registerkarte “Peers” wechseln.
• Auf “Add Peer” klicken.
• Bei “Description:” einen Namen eingeben.
• Auf “Generate new key pair” klicken, um einen neuen privaten und öffentlichen Schlüssel für die Gegenstelle zu erzeugen.
  Bemerkung: Der private Schlüssel kann gelöscht werden, sobald dieser auf der Gegenstelle eingetragen wurde.
• Auf “Generate preshared key” klicken.
• Bei “Allowed IPs” das Netzwerk der Gegenstelle, z.B. “192.168.175.0/24”, eintragen.
• “Route Allowed IPs” aktivieren.
• Bei “Endpoint Host” die öffentliche IP-Adresse oder den FQDN der Gegenstelle eintragen.
• Bei “Endpoint Port” den auf der Gegenstelle verwendeten Port, z.B. “51821”, eintragen.
• Bei “Persistent Keep Alive” den Wert “25” eintragen.
• Auf “Save” klicken.
• Zu “Network – Firewall – General Settings” wechseln, beim Eintrag “wg => lan” auf “Edit” klicken und wie folgt konfigurieren:
  Allow forward to destination zones: lan
  Allow forward from source zones: lan
• Auf “Save” klicken.
• Auf “Save & Apply” klicken.

Damit ist die eigentliche Konfiguration für das Site-to-Site-VPN auf der OpenWrt-Seite abgeschlossen. Damit die DNS-Namensauflösung funktioniert, kann man das DNS-Suffix und den DNS-Server der Gegenstelle via DHCP an die Clients auf der OpenWrt-Seite verteilen lassen:

• Unter “Network – Interfaces – lan” auf “Edit “klicken und auf die Registerkarte “DHCP Server – Advanced Settings” wechseln.
• Bei “DHCP-Options” folgendes Eintragen:

  6, <DNS-Server der Gegenstelle>, 9.9.9.9

  Bemerkung: In diesem Beispiel wird neben dem DNS-Server der Gegenstelle zusätzlich noch ein weiterer DNS-Service, hier von Quad9, übermittelt. Man könnte auch die IP-Adresse von OpenWrt eintragen. Der Hintergedanke dazu ist, funktioniert das VPN nicht würde auch überhaupt kein DNS klappen. Damit wenigstens das Internet funktioniert, sollte ein zweiter Eintrag vorhanden sein.

• Auf “Save” klicken.
• Zu “Network – DHCP and DNS” und auf der Registerkarte “General” bei “Local domain:” die DNS-Domain der Gegenstelle eintragen.
  Bemerkung: In diesem Beispiel ist es so, das alle Standorte bzw. Systeme sich in der selben DNS-Domain befinden (sollen). Das ist hilfreich, damit die Auflösung zu Ressourcen die nur mit dem Hostname angegeben sind, z.B. “\\srv01\share”, funktioniert.
• Auf “Save” klicken.
• Auf “Save & Apply” klicken.

Securepoint UTM konfigurieren

• Zu “VPN – WireGuard” wechseln.
• Auf “+ WireGuard Verbindung hinzufügen” klicken.
• Schritt 1 überspringen.
• Bei “Schritt 2 – Schnittstelle” einen Namen wie “wg_s2s”, die erste IP-Adresse aus dem Transfer-Netz (z.B. 10.0.1.1/24), den “Listening Port” (z.B. 51821) und den privaten Schlüssel wie er zuvor unter OpenWrt beim Peer generiert wurde nach einem Klick auf “Schlüsselwert direkt eingeben” hinzufügen.
• Bei “Schritt 3 – Peer” einen Namen wie z.B. “wg_openwrt” eintragen, bei “Peernetzwerke freigeben:” das Netzwerk der Gegenstelle hinzufügen, den öffentlichen Schlüssel der WireGuard-Schnittstelle von OpenWrt nach einem Klick auf “Schlüsselwert direkt eingeben” hinzufügen, bei “Pre-shared Key (optional):” diesen wie er beim Peer unter OpenWrt erzeugt wurde eintragen und “Keepalive” auf “Ein” mit dem Wert “25” setzen.
• Bei “Schritt 3 – Erweiterte Einstellungen” alles Aktivieren.

Hinweis: Bekanntermaßen sind any-Regeln nicht gut, daher sollte man diese durch ein ordentlichen Regelwerk ersetzen! Für den ersten Test können diese durchaus verwendet werden.

Sofern man nicht die implizierte Regel für WireGuard nutzt oder der Zugriff auf den Site-to-Site-Port eingeschränkt werden soll, muss man noch eine Paketfilter-Regel erstellen.

Das war es schon. Mit ein wenig Übung baut man so in wenigen Minuten ein funktionierendes Site-to-Site-VPN zwischen einer Securepoint UTM und einem OpenWrt.

Troubleshooting

Wenn es auf Anhieb nicht läuft, dann mal die UTM und OpenWrt durchstarten.

Wie hat Dir der Artikel gefallen ?

(1 Stimmen, durchschnittlich 5,00 von 5 Sternen)

Loading...

Du möchtest den Blog unterstützen ?

Neben PayPal.ME gibt es noch weitere Möglichkeiten, lies hier wie du diesen Blog unterstützen kannst.

Quellen

Securepoint – Wiki – WireGuard Site-to-Site VPN (S2S)

Andy

Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.