Blog,
VPN Wireguard
Als leicht zu installierendes und zuverlässiges VPN hat sich bei uns Wireguard bewährt. Ein grosser Vorteil ist, dass nur ein UDP Port verwendet wird, welcher sich von aussen nicht einfach identifizieren lässt. Wir verwenden es nicht nur zur Verbindung mit dem Firmennetzwerk, sondern auch als Zugang zu unseren Servern. Dadurch können wir nur die absolut nötigen Ports über das WAN zugänglich machen. Der Zugriff auf alle anderen Dienste, z.B. zum Warten der Docker Container, erfolgt über die VPN Verbindung.
Installation
Windows
Es gibt ein Installationsprogramm, welches eine grafische Benutzeroberfläche zur Verfügung stellt.
Linux
Man folgt der sehr guten Anleitung hier.
VLAN Organisation
Wir haben für die VLANs einen eigenen IP Bereich vorgesehen, das heisst dass jedes VPN-fähige Gerät eine fest zugeordnete IP Adresse hat.
Eine Möglichkeit für eine Art DHCP ist in Arbeit.
Wird eine Wireguard Konfiguration aktiviert, wird eine virtuelle Schnittstelle mit der vorgegeben IP implementiert.
Mit ipconfig
bzw. ifconfig
kann man sich dessen vergewissern.
Mit dem Eintrag Allowed IPs
in der Wireguard Konfiguration bestimmt man, welches Netz über diese Schnitstelle erreicht werden kann.
Damit der Datenverkehr für diese IPs tatsächlich über die virtuelle Schnittstelle erfolgt, muss die Routingtabelle
auch jene Einträge haben. Mit dem WBefehl
netstat -rn
oder
route print
kann man sich unter Windows die Routingtabelle anzeigen lassen.