WireGuard Server mit OPNSense Part II – Clients

WireGuard Server mit OPNSense Part II – Clients

Im zweiten Teil werden wir uns ansehen wie die Konfiguration des WireGuard Clients aussehen soll.

Exemplarisch werde ich die Verwendung des Windows Clients zeigen. Die Clients unter anderen Betriebssystemen funktionieren aber ähnlich. Den WireGuard Client kann man hier herunterladen.
Installieren und dann die Software starten. Einmal links unten auf den Pfeil neben „Add Tunnel“ klicken und „Add Empty Tunnel“ wählen.

Wie wir sehen werden die Felder „Public key“ und „PrivateKey“ beim erstellen des neuen Tunnel direkt generiert. In das Feld „Name“ tragen wir einen Namen für den Tunnel ein. In der Regel verwende ich zwei Tunnel. Einen der den kompletten Traffic durch den Tunnel schiebt und einen zweiten der nur den Zugriff auf die Netze hinter dem Tunnel bereitstellt. Entsprechend passe ich die Namensgebung an.

Beispielhaft hier zwei Konfigurationen:

[Interface]
PrivateKey = IRGENDWAS
Address = 100.65.0.2/32
DNS = 10.11.1.2

[Peer]
PublicKey = IRGENDWAS
PresharedKey = IRGENDWAS
AllowedIPs = 0.0.0.0/0
Endpoint = vpn.domain.tld:51820

Diese Konfiguration schickt alle Daten (0.0.0.0/0) über das WireGuard interface. Außerdem wird ein DNS-Server aus dem Tunnel verwendet.

[Interface]
PrivateKey = IRGENDWAS
Address = 100.65.0.2/32

[Peer]
PublicKey = IRGENDWAS
PresharedKey = IRGENDWAS
AllowedIPs = 10.11.0.0/16, 10.12.0.0/16
Endpoint = vpn.domain.tld:51820

Diese Konfiguration schickt nur die Pakete die an 10.11.0.0/16 und 10.12.0.0/16 adressiert sind durch das WireGuard interface. Es ist kein spezieller DNS-Server angegeben weshalb der aus dem Netz mit dem man verbunden ist verwendet wird.

  • „PrivateKey“: Der Privatekey wird beim erstellen der neuen Konfiguration automatisch generiert.
  • „Address“: Hier müsst ihr die Adresse eintragen, die ihr in der OPNsense für den Client hinterlegt habt.
  • „PublicKey“: Hier müsst ihr den PublicKey eurer OPNsense eintragen. Den findet ihr unter VPN -> WireGuard -> Local -> Euer Server
  • „PresharedKey“: Hier muss der PSK eingetragen werden der auch in der OPNsense für den Client hinterlegt worden ist.
  • „AllowedIPs“: Hier tragt ihr die Netze ein die durch den Tunnel erreicht werden sollen.
  • „Endpoint“: Hier müsst ihr die externe Adresse der OPNsense Eintragen.

Das war es dann auch schon. Viel Spaß mit WireGuard!