Inhaltsverzeichnis
Gehen Sie wie folgt vor, um eine Netz-zu-Netz Verbindung mit anderen Routern aufzubauen.
Stellen Sie sicher, dass die vorbereitenden Schritte alle wie im 61. Kapitel, „Vorbereiten der Konfiguration auf dem Intra2net System“ beschrieben durchgeführt wurden.
Prüfen Sie, ob der andere Router oder Firewall bereits über irgendeine andere WireGuard VPN-Verbindung, oder zumindest einen eigenen WireGuard-Schlüssel verfügt.
Fahren Sie abhängig vom Ergebnis mit einem der beiden folgenden Abschnitte fort.
Mit den folgenden Schritten wird die Verbindungskonfiguration und ein passendes Schlüsselpaar für die Gegenseite auf dem Intra2net System erzeugt:
Öffnen Sie auf dem Intra2net System das Menü "" und legen eine neue Verbindung an. Wählen Sie den Typ "" und im nächsten Schritt "".
Geben Sie den externen DNS-Hostnamen der Gegenstelle sowie die UDP-Portnummer des dortigen WireGuard-Interface ein.
Wählen Sie als nächstes die miteinander zu verbindenden Netze der beiden Seiten aus.
Konfigurieren Sie die Rechte für von der Gegenseite eingehende Verbindungen. Achten Sie insbesondere darauf keine zu freizügige Firewall-Regelliste zu wählen und nur die Verbindungen zuzulassen, die tatsächlich benötigt werden. Legen Sie im Zweifelsfall eine dedizierte Firewall-Regelliste für diese VPN-Verbindung an.
Als letztes haben Sie die Möglichkeit, die Aktivierung zu konfigurieren. Eine passiv/manuell gestartete Verbindung bleibt erst mal offline und wird dann bei Bedarf gestartet. Dies geht zum einen über die Hauptseite, durch ein von dieser Seite aus zu sendendes IP-Paket oder durch ein Handshake der Gegenseite.
Bei einer immer gestarteten Verbindung versucht das Intra2net System ständig die Verbindung aufzubauen und offen zu halten. Gerade bei letzterem sollte auch ein Keepalive konfiguriert werden, welches eine einmal geöffnete Verbindung ständig online hält.
Exportieren Sie die Verbindungkonfiguration über einen Klick auf "Download". Es handelt sich um eine vollständige Konfiguration für ein WireGuard-Interface inkl. privatem Schlüssel. Transferieren Sie diese zur Gegenseite.
Die Konfiguration enthält den Privaten Schlüssel und Pre-Shared Key und sollte daher nur verschlüsselt übertragen werden.
Importieren Sie die Konfigurationsdatei auf dem anderen Routers oder Firewall.
Unter Linux wird die Datei normalerweise als
/etc/wireguard/wg0.confabgelegt.Abhängig vom jeweiligen Produkt kann es auch sein, dass Sie die Daten aus der Konfigurationsdatei über einzelne Punkte in einer Oberfläche konfigurieren müssen. Konsultieren im Zweifelsfall die Dokumentation des Produkts.
Soll die VPN-Verbindung ständig online sein, so wird empfohlen die Verbindung so zu konfigurieren, dass sie von beiden Seiten aus aufgebaut werden kann. Dies erhöht die Stabilität und sorgt im Fall einer Unterbrechung für einen schnelleren Wiederaufbau der Verbindung.