wireguard installieren und konfigurieren
0. Architektur
Annahme: Die zentrale Site ("Home Base") nutzt im LAN den IP-Adressbereich 192.168.1.0/24.
Die (verschlüsselte) Kommunikation zwischen (z.B. mobilen) Endgeräten und dem Server in der Home Base soll über das private Netzwerk 10.0.1.0/24 stattfinden.
1. Installation
apt-get update && apt-get install -y wireguard wireguard-tools
2. IP Forwarding (auf dem Server) einschalten
cat >> /etc/sysctl.conf << "EOFSYS" net.ipv4.ip_forward=1 EOFSYS echo 1 > /proc/sys/net/ipv4/ip_forward
3. Schlüssel produzieren
cd /etc/wireguard umask 077 wg genkey | sudo tee privatekey.server | wg pubkey | sudo tee pubkey.server wg genkey | sudo tee privatekey.client1 | wg pubkey | sudo tee pubkey.client1 wg genkey | sudo tee privatekey.client2 | wg pubkey | sudo tee pubkey.client2 ...
4. Service (auf dem Server) generieren
ip link add dev wg0 type wireguard ip address add dev wg0 10.0.1.1/24 # Server-Adresse ip link set up dev wg0 wg set wg0 private-key /etc/wireguard/privatekey.server touch /etc/wireguard/wg0.conf ; wg-quick save wg0
5. Clients beim Server bekannt machen
cat >> /etc/wireguard/wg0.conf << "EOFWGCONF" DNS = 9.9.9.9 # oder welcher auch immer... PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE [Peer] EOFWGCONF echo "PublicKey = $(cat /etc/wireguard/pubkey.client1)" >> /etc/wireguard/wg0.conf echo "AllowedIPs = 10.0.1.2/24" EOFWGCONF