WireGuard: Authentifizierung
WireGuard: Authentifizierung
Hallo,
ich habe heute WireGuard auf einer FritzBox und einem Android-Telefon in Betrieb genommen. Bevor ich das auch auf den mobilen Debian-PCs mache, würde ich gern eine Unklarheit beseitigen.
Mir ist aufgefallen, dass die einzige Sicherheit im Schlüsselpaar besteht. Der "Client"-Schlüssel lässt sich anscheinend nicht mit einer Passphrase sichern.
Verliere ich also mein mobiles Gerät, haben die Fieslinge nicht nur mein Notebook, sondern auch den Zugriff auf mein Heim-Netzwerk. Das scheint mir, vorsichtig ausgedrückt, nicht zuende gedacht. IPSec und OpenVPN machen das anders und meiner Auffassung nach besser.
Wo ist hier mein Denkfehler?
ich habe heute WireGuard auf einer FritzBox und einem Android-Telefon in Betrieb genommen. Bevor ich das auch auf den mobilen Debian-PCs mache, würde ich gern eine Unklarheit beseitigen.
Mir ist aufgefallen, dass die einzige Sicherheit im Schlüsselpaar besteht. Der "Client"-Schlüssel lässt sich anscheinend nicht mit einer Passphrase sichern.
Verliere ich also mein mobiles Gerät, haben die Fieslinge nicht nur mein Notebook, sondern auch den Zugriff auf mein Heim-Netzwerk. Das scheint mir, vorsichtig ausgedrückt, nicht zuende gedacht. IPSec und OpenVPN machen das anders und meiner Auffassung nach besser.
Wo ist hier mein Denkfehler?
Re: WireGuard: Authentifizierung
Es gibt bei WireGuard noch einen psk-Schlüssel und die AllowedIPs (in der config). Was AVM bzw. die FritzBox aus/mit WireGuard gemacht hat, weiß ich nicht, weil ich WG mit der FB nicht benutze.jochen02 hat geschrieben:25.07.2023 20:36:34Mir ist aufgefallen, dass die einzige Sicherheit im Schlüsselpaar besteht.
Ja, wenn Du den Verlust des Notebooks erst spät merkst, hast Du evtl. ein Problem.
Re: WireGuard: Authentifizierung
Sowohl OpenVPN als auch IPSEC bringen, wenn du sie als permanenten Tunnel im Hintergrund aktivieren willst, die gleichen Probleme mit sich.
Ich möchte auf dem Handy - aus Komfortgründen - nicht jedes Mal beim VPN starten unständlich ein kompliziertes 15stelliges Passwort eingeben müssen.
Ob du bei Verlust deinen User auf dem Server sperrst oder dein Wireguard-Peer deaktivierst, das kommt letztlich auf‘s selbe.
Re: WireGuard: Authentifizierung
Ach so, das ist nicht mein use case. Ich baue eine VPN-Verbindung immer nur nach Bedarf auf.bluestar hat geschrieben:25.07.2023 21:38:22Sowohl OpenVPN als auch IPSEC bringen, wenn du sie als permanenten Tunnel im Hintergrund aktivieren willst, die gleichen Probleme mit sich.
Ich kann damit leben. Außerdem fiel mir auf, dass bei der Android-"App" nicht mal sichtbar ist, ob eine Verbindung steht, oder nicht. Nachdem ich die Verbindung auf der FritzBox deaktiviert hatte, war es weiterhin möglich, sie auf dem Client zu aktivieren -- keine Fehlermeldung.Ich möchte auf dem Handy - aus Komfortgründen - nicht jedes Mal beim VPN starten unständlich ein kompliziertes 15stelliges Passwort eingeben müssen.
Für mich sieht es so aus, als würde man hier eine längere Entwicklungszeit von OpenVPN durchaus merken.
Re: WireGuard: Authentifizierung
Benutzt Du OpenVPN auf deiner FritzBox?jochen02 hat geschrieben:25.07.2023 21:57:41... auf der FritzBox ...
Für mich sieht es so aus, als würde man hier eine längere Entwicklungszeit von OpenVPN durchaus merken.
Re: WireGuard: Authentifizierung
Das scheint ein Android Problem zu sein, auf meinen iOS Geräten kommt eine Fehlermeldung.jochen02 hat geschrieben:25.07.2023 21:57:41Nachdem ich die Verbindung auf der FritzBox deaktiviert hatte, war es weiterhin möglich, sie auf dem Client zu aktivieren -- keine Fehlermeldung.
Wireguard und OpenVPN bzw. IPSEC sind nur schwer vergleichbar. Die Konzepte dahinter unterscheiden sich halt grundlegend, Wireguard kann ja auch keinen IP Pool serverseitig an Clients verteilen.
Re: WireGuard: Authentifizierung
Mit sichtbar meinst du ob der Server erreichbar ist oder ob überhaupt WG gestartet ist? Neuere Androids sollten ein Schlüsselsymbol bei aktivem VPN anzeigen.jochen02 hat geschrieben:25.07.2023 21:57:41Ich kann damit leben. Außerdem fiel mir auf, dass bei der Android-"App" nicht mal sichtbar ist, ob eine Verbindung steht, oder nicht. Nachdem ich die Verbindung auf der FritzBox deaktiviert hatte, war es weiterhin möglich, sie auf dem Client zu aktivieren -- keine Fehlermeldung.
Für mich sieht es so aus, als würde man hier eine längere Entwicklungszeit von OpenVPN durchaus merken.
Ersteres ist ein grundsätzliches "Problem" des Protokolls. Solange die Server IP erreichbar ist - also die Pakete zumindest theoretisch ankommen könnten, kann der Client nicht wissen, ob der Server (noch) nicht geantwortet hat oder ob die Verbindung tot ist.
Du kannst einen heartbeat setzen, dann siehst du zumindest ob der Server geantwortet hat - ist aber auch nicht immer die sinnvollste Lösung.
Re: WireGuard: Authentifizierung
Der WG-Client sollte doch mit Hilfe des handshakes wissen/mitbekommen, ob der WG-Server antwortet:reox hat geschrieben:26.07.2023 08:06:56Solange die Server IP erreichbar ist - also die Pakete zumindest theoretisch ankommen könnten, kann der Client nicht wissen, ob der Server (noch) nicht geantwortet hat oder ob die Verbindung tot ist.
Code: Alles auswählen
latest handshake: 1 minute ago
Code: Alles auswählen
Jul 26 08:29:59 xxxxxx user.debug kernel: [ 5258.716349] wireguard: wg2: Sending handshake initiation to peer 3 (109.###.###.###:*****)
Jul 26 08:29:59 xxxxxx user.debug kernel: [ 5258.729526] wireguard: wg2: Receiving handshake response from peer 3 (109.###.###.###:*****)
Re: WireGuard: Authentifizierung
ah ja natürlich. Das stimmt.mat6937 hat geschrieben:26.07.2023 08:27:16Der WG-Client sollte doch mit Hilfe des handshakes wissen/mitbekommen, ob der WG-Server antwortet:
na dann zeigt einem die App das eh auch an ob man verbunden ist. Kann natürlich sein, dass man vor kurzem einen Handshake empfangen hat aber dann der Server aus geht - man hat also keine direkte Anzeige ob der Server noch da ist.
Re: WireGuard: Authentifizierung
Ah ja, danke. Das hilft.mat6937 hat geschrieben:26.07.2023 08:27:16Der WG-Client sollte doch mit Hilfe des handshakes wissen/mitbekommen, ob der WG-Server antwortet:Code: Alles auswählen
latest handshake: 1 minute ago
Code: Alles auswählen
Jul 26 08:29:59 xxxxxx user.debug kernel: [ 5258.716349] wireguard: wg2: Sending handshake initiation to peer 3 (109.###.###.###:*****) Jul 26 08:29:59 xxxxxx user.debug kernel: [ 5258.729526] wireguard: wg2: Receiving handshake response from peer 3 (109.###.###.###:*****)
Re: WireGuard: Authentifizierung
Das würde mich im Unternehmens-Umfeld schon sehr gestört haben. Aber da bin ich inzwischen 'raus.bluestar hat geschrieben:25.07.2023 22:15:13(...) Wireguard kann ja auch keinen IP Pool serverseitig an Clients verteilen.
Re: WireGuard: Authentifizierung
Der handshake ist unabhängig von der Konfiguration des WG-Clienten. Was man aber im WG-Client konfigurieren kann, ist "persistent keepalive" und wenn der WG-Server (peer) nicht antwortet ist er i. d. R. nicht mehr erreichbar:reox hat geschrieben:26.07.2023 08:42:18... aber dann der Server aus geht - man hat also keine direkte Anzeige ob der Server noch da ist.
Code: Alles auswählen
Jul 26 08:29:59 xxxxxx user.debug kernel: [ 5258.729555] wireguard: wg2: Sending keepalive packet to peer 3 (109.###.###.###:*****)
Jul 26 08:29:59 xxxxxx user.debug kernel: [ 5258.732770] wireguard: wg2: Receiving keepalive packet from peer 3 (109.###.###.###:*****)
Android und iOS sollen das mit dem Endpoint (permanente Erreichbarkeit des WG-Servers/Peer bei Änderung der externen IP-Adresse), aber angeblich schon viel "eleganter" gelöst haben.
Re: WireGuard: Authentifizierung
Achso? Seit wann? Mein Client hängt einfach immer wenn sich die IP des Servers ändert und die einzige Lösung ist dann den Client neu zu starten.mat6937 hat geschrieben:26.07.2023 11:14:25Android und iOS sollen das mit dem Endpoint (permanente Erreichbarkeit des WG-Servers/Peer bei Änderung der externen IP-Adresse), aber angeblich schon viel "eleganter" gelöst haben.
Mein letzter Stand ist, dass man sich das selber basteln kann aber das es (zumindest in Android) noch nicht eingebaut wurde.
Re: WireGuard: Authentifizierung
"angeblich", ... ich weiß nicht mehr wo ich das gelesen habe, weil ich benutze diese OSs nicht. Mich haben nur Linux und die BSD's (bzgl. Endpoint) interessiert.