Freifunk-Gateway aufsetzen/wireguard: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „== Wireguard == Alternativ zum oben beschriebenen GRE Protokoll kann ein Babel Tunnel auch mit dem Wireguard Protokoll aufgebaut werden. Insbesondere ist dies…“) |
(Dinge) |
||
Zeile 1: | Zeile 1: | ||
== Wireguard == | == Wireguard == | ||
Wireguard benötigt nur an einem Ende eine feste IP Adresse. Außerdem kann es leicht hinter NAT betrieben werden, da UDP verwendet wird. | |||
Dafür ist das Protokoll etwas komplizierter (und verschlüsselt) und dadurch auch etwas langsamer. Dennoch lassen sich je nach Hardware einige hundert MBit/s erreichen. | |||
=== Installation === | === Installation === | ||
Wireguard ist eine recht junge Software und deshalb noch nicht in | Wireguard ist eine recht junge Software und deshalb meist noch nicht in Upstream Kernels enthalten. | ||
In debian gibt es ein Paket, dass dynamisch zum Kernel ein passendes Wireguard-Modul kompiliert. Dieses ist nur in den ''unstable'' Repositories enthalten. | |||
In die APT Paketverwaltung muss daher eine Quelle für "unstable" eingebunden werden. Diese wird über apt-preferences so weit abgewertet, dass nicht das gesamte System auf unstable geupdated wird. | |||
Eine schöne Anleitung dafür gibt es auf der [https://www.wireguard.com/install/#debian-module-tools Wireguard Webseite] | |||
< | <pre> | ||
echo "deb | ~# echo "deb http://deb.debian.org/debian/ unstable main" > /etc/apt/sources.list.d/unstable.list | ||
printf 'Package: *\nPin: release a=unstable\nPin-Priority: | ~# printf 'Package: *\nPin: release a=unstable\nPin-Priority: 90\n' > /etc/apt/preferences.d/limit-unstable | ||
apt | ~# apt update | ||
apt | ~# apt install wireguard | ||
</ | </pre> | ||
=== Interface anlegen === | === Interface anlegen === | ||
Die Schnittstellenkonfiguration sollte weitgehend genauso aussehen, wie bei GRE beschrieben. Auch die beiden fürs Gateway reservierten IP-Adressen (IPv4 | Die Schnittstellenkonfiguration sollte weitgehend genauso aussehen, wie bei GRE beschrieben. Auch die beiden fürs Gateway reservierten IP-Adressen (IPv4 sowie die möglichst zufällig generierte Link-Local-Adresse) können sowohl für GRE, als auch für Wireguard gleichzeitig verwendet werden. | ||
<pre> | |||
auto <IFNAME> | |||
iface <IFNAME> inet6 static | |||
address fe80::IRGENDWAS/64 | |||
# initialize wireguard | |||
pre-up ip link add $IFACE type wireguard | |||
pre-up wg setconf $IFACE /etc/wireguard/$IFACE.conf | |||
post-down ip link del $IFACE | |||
# Enable Multicast for Babel | |||
pre-up ip link set dev $IFACE multicast on | |||
# iif rules | |||
post-up ip -6 rule add iif $IFACE table fff | |||
pre-down ip -6 rule add iif $IFACE table fff | |||
iface <IFNAME> inet static | |||
address 10.83.252.x/32 | |||
scope link | |||
# iif rules | |||
post-up ip -4 rule add iif $IFACE table fff | |||
</ | pre-down ip -4 rule add iif $IFACE table fff | ||
</pre> | |||
Hierbei | Hierbei muss die zum Interface gehörende Wireguard-Konfiguration unter '''/etc/wireguard/<IFNAME>.conf abgespeichert werden. | ||
< | <pre> | ||
[Interface] | |||
PrivateKey = UBnpiQhEz2S192d8nmFmr2rm3+NKpKiBy28fyVa3s= | |||
ListenPort = 51820 | |||
[Peer] | |||
PublicKey = ZAleBcuJ4O9m2hfmz5bnqM0POCAIHQSsnWVBzreJaWw= | |||
AllowedIPs = 0.0.0.0/0, ::/0 | |||
</pre> | |||
Dabei ist "PrivateKey" der eigene private Schlüssel, "PublicKey" der öffentliche Schlüssel der Gegenstelle. "ListenPort" ist der Port, auf dem die Pakete der Gegenstelle empfangen werden. "AllowedIPs" sind alle IPs IPv4 und IPv6. | Dabei ist "PrivateKey" der eigene private Schlüssel, "PublicKey" der öffentliche Schlüssel der Gegenstelle. "ListenPort" ist der Port, auf dem die Pakete der Gegenstelle empfangen werden. "AllowedIPs" sind alle IPs IPv4 und IPv6. |
Version vom 23. Juni 2019, 13:31 Uhr
Wireguard
Wireguard benötigt nur an einem Ende eine feste IP Adresse. Außerdem kann es leicht hinter NAT betrieben werden, da UDP verwendet wird.
Dafür ist das Protokoll etwas komplizierter (und verschlüsselt) und dadurch auch etwas langsamer. Dennoch lassen sich je nach Hardware einige hundert MBit/s erreichen.
Installation
Wireguard ist eine recht junge Software und deshalb meist noch nicht in Upstream Kernels enthalten. In debian gibt es ein Paket, dass dynamisch zum Kernel ein passendes Wireguard-Modul kompiliert. Dieses ist nur in den unstable Repositories enthalten.
In die APT Paketverwaltung muss daher eine Quelle für "unstable" eingebunden werden. Diese wird über apt-preferences so weit abgewertet, dass nicht das gesamte System auf unstable geupdated wird.
Eine schöne Anleitung dafür gibt es auf der Wireguard Webseite
~# echo "deb http://deb.debian.org/debian/ unstable main" > /etc/apt/sources.list.d/unstable.list ~# printf 'Package: *\nPin: release a=unstable\nPin-Priority: 90\n' > /etc/apt/preferences.d/limit-unstable ~# apt update ~# apt install wireguard
Interface anlegen
Die Schnittstellenkonfiguration sollte weitgehend genauso aussehen, wie bei GRE beschrieben. Auch die beiden fürs Gateway reservierten IP-Adressen (IPv4 sowie die möglichst zufällig generierte Link-Local-Adresse) können sowohl für GRE, als auch für Wireguard gleichzeitig verwendet werden.
auto <IFNAME> iface <IFNAME> inet6 static address fe80::IRGENDWAS/64 # initialize wireguard pre-up ip link add $IFACE type wireguard pre-up wg setconf $IFACE /etc/wireguard/$IFACE.conf post-down ip link del $IFACE # Enable Multicast for Babel pre-up ip link set dev $IFACE multicast on # iif rules post-up ip -6 rule add iif $IFACE table fff pre-down ip -6 rule add iif $IFACE table fff iface <IFNAME> inet static address 10.83.252.x/32 scope link # iif rules post-up ip -4 rule add iif $IFACE table fff pre-down ip -4 rule add iif $IFACE table fff
Hierbei muss die zum Interface gehörende Wireguard-Konfiguration unter /etc/wireguard/<IFNAME>.conf abgespeichert werden.
[Interface] PrivateKey = UBnpiQhEz2S192d8nmFmr2rm3+NKpKiBy28fyVa3s= ListenPort = 51820 [Peer] PublicKey = ZAleBcuJ4O9m2hfmz5bnqM0POCAIHQSsnWVBzreJaWw= AllowedIPs = 0.0.0.0/0, ::/0
Dabei ist "PrivateKey" der eigene private Schlüssel, "PublicKey" der öffentliche Schlüssel der Gegenstelle. "ListenPort" ist der Port, auf dem die Pakete der Gegenstelle empfangen werden. "AllowedIPs" sind alle IPs IPv4 und IPv6.
Die Schlüssel können mit folgender Aufrufkette in zwei Dateien "wg-private.key" und "wg-public.key" im aktuellen Verzeichnis erzeugt werden. Diese Schlüssel sollten außerhalb des Servers gesichert werden! Danach können die beiden Dateien gelöscht werden.
wg genkey | tee wg-private.key | wg pubkey > wg-public.key
Weil in der Konfigurationsdatei der geheime private Schlüssel im Klartext steht, empfiehlt es sich anderen Nutzern außer "root" das Lesen zu verbieten.
chmod go-r /etc/wireguard/<DEVICENAME>.conf
Abschließend müssen auch Wireguard Interfaces genauso wie GRE Interfaces in die Datei "/etc/default/babeld" eingefügt werden.
Tests
Nach Aufruf von "ifconfig" sollten wir einen Eintrag für den Tunnel (in diesem Beispiel wg-test) vorfinden.
Der Aufruf "wg show" gibt etwas aus, mindestens den Namen der konfigurierten Interfaces, deren Ports und Keys. Falls auch die Gegenstelle schon erreichbar ist, werden weitere Informationen angezeigt. Beispiel:
interface: wg-test public key: PecwpxwnSKPs4Gp39gvQzxdbZxQBCupB5Oo9OVM/5ko= private key: (hidden) listening port: 51820 peer: ZAleBcuJ4O9m2hfmz5bnqM0POCAIHQSsnWVBzreJaWw= endpoint: 193.202.123.89:51820 allowed ips: 0.0.0.0/0, ::/0 latest handshake: 37 seconds ago transfer: 125.24 MiB received, 140.72 MiB sent
Ob das Wireguard Modul geladen ist, kann mit dem Aufruf "lsmod | grep wireguard" ermittelt werden. Beispiel:
wireguard 221184 0 ip6_udp_tunnel 16384 1 wireguard udp_tunnel 16384 1 wireguard