WireGuard ist der “neue” VPN Server von Heute! Nicht das er als Open Source sowieso schon bei mir gewonnen hat, sondern er ist auch ein Leichtgewicht. Der schlanke SourceCode bringt ihm zusätzlich Performance, sodass wir alles an Board haben was wir brauchen.

Zusammengefasst, WireGuard ist ein sehr einfacher, sehr sicherer und sehr schneller VPN Server für alle möglichen Plattformen und Betriebssystemen.

Im letzten Video habe ich euch gezeigt wie man eine Client to Site Verbindung herstellt und habe euch die Konfiguration dazu hier im Blog aufgeschlüsselt. (WireGuard Client VPN)
Jetzt zeige ich euch wie man eine Site-to-Site VPN Verbindung herstellt und dann die Netzwerke auf der gegenüberliegenden Seite erreicht.

Anleitung: WireGuard Site-to-Site VPN Server

Schritt 1: Auf dem SERVER1 und SERVER2 ausführen

sh -c "echo 'deb http://deb.debian.org/debian buster-backports main contrib non-free' > /etc/apt/sources.list.d/buster-backports.list"
apt update
apt install linux-headers-$(uname --kernel-release)
apt install wireguard
nano /etc/sysctl.conf
# <- entfernen bei der Zeile "net.ipv4.ip_forward=1" und speichern
sysctl -p 
cd /etc/wireguard/
umask 077; wg genkey | tee privatekey | wg pubkey > publickey
cat privatekey
cat publickey
chmod 600 /etc/wireguard/privatekey

Schritt 2: Nur auf SERVER1 ausführen

Konfigurationsdatei anlegen
nano /etc/wireguard/wg0.conf

[Interface] 
PrivateKey = <Dein privater Schlüssel [privatekey SERVER 1]> 
Address = 172.31.0.1/24
SaveConfig = true 
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
ListenPort = 51820

[Peer]
 PublicKey = <Öffentlicher Schlüssel von [SERVER 2]>
 AllowedIPs = 192.168.0.0/24, 172.31.0.0/24
 PersistentKeepalive = 25

In den Zeilen PostUP & PostDown das Interface anpassen wie es zu eurem System passt. Hier steht jetzt eth0, das kann aber bei euch anders sein. Prüfen könnt Ihr das mit “ip a

Schritt 3: Nur auf SERVER2 ausführen

Konfigurationsdatei anlegen
nano /etc/wireguard/wg0.conf

[Interface] 
PrivateKey = <Dein privater Schlüssel [privatekey SERVER 2]> 
Address = 172.31.0.2/24 
SaveConfig = true 
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer] 
PublicKey = <Öffentlicher Schlüssel von [SERVER 1]> 
Endpoint = <ServerIP oder Domain/FQDN>:51820 
AllowedIPs = 10.0.0.0/8, 172.31.0.0/24
PersistentKeepalive = 25

Schritt 4: Auf SERVER1 und SERVER2 ausführen

wg-quick up wg0
wg
##Das zeigt dir den Status der Verbindung an

Das wg-quick Kommando startet die Wireguard Verbindung mit der entsprechend hinterlegten Konfiguration, welche wir im vorherigen Schritt erstellt haben. Wenn eure Konfigurationsdatei anders heißen sollte, müsst Ihr den Befehl natürlich anpassen. wg0 ist hier nur als Beispiel genommen.

Schritt 5: Autostart (Server1 & Server2)

Wenn WireGuard automatisch mit dem System starten soll, dann folgenden Befehl absetzen.

systemctl enable wg-quick@wg0

Schritt 6: Routing

Ihr müsst natürlich auf beiden Seiten für das Routing sorgen. Hier ein Auszug aus dem Video wie das Routing in der Fritzbox aussehen könnte.

Fritzbox Routing

Das könnte dich auch interessieren:

5 Tipps für mehr Besucher auf der Webseite
PfSense installieren & konfigurieren. Einfach erklärt. Wie gehe ich vor?!
Die ersten 1000 YouTube Abonnenten. Wie hab ich es geschafft?

Du brauchst weitere Hilfe oder Lösungsansätze im Umgang mit WireGuard? Du benötigst Troubleshooting Tipps oder allgemeine Hilfe? Dann kontaktiere mich über die Kommentare oder schreibe mir direkt eine Nachricht.

dennis schröder