Unterstützung von WireGuard für den einfachen Aufbau von VPN-Verbindungen

Einführung

WireGuard(R) ist eine leicht verständliche und moderne VPN-Lösung. Es setzt sich zum Ziel, schneller, einfacher und schlanker als IPSec zu sein. Im Gegensatz zu IPSec und OpenVPN wird auf eine reduzierte Anzahl von (state-of-the-art) Kryptografiemethoden gesetzt.

WireGuard(R) ist im Regelfall einfacher zu konfigurieren als andere Lösungen und überzeugt durch einen schnellen Verbindungsaufbau.

Für die Verbindung von Einzelgeräten mit einem Netzwerk über VPN gibt es für die meisten Betriebssysteme Apps oder Programme von WireGuard(R) selbst.

WireGuard ist ein eingetragenes Warenzeichen von Jason A. Donenfeld (https://www.wireguard.com).

Grundsätzlich ist WireGuard nicht kompatibel zu anderen VPN-Protokollen. D.h. Verbindungen zu IPSec, OpenVPN...-Gegenstellen (auch so konfigurierten FRITZ!Box-Produkten) sind nicht möglich.

WireGuard arbeitet – wie andere VPN-Verfahren auch – auf dem Layer 3 des OSI-Schichtmodells und unterstützt grundsätzlich IPv4 und IPv6. Das Konzept basiert auf einer Peer-to-Peer-Architektur. Die VPN-Verbindung wird über den Austausch von öffentlichen Schlüsseln der Gegenstellen ermöglicht, mit deren Hilfe IP-Pakete in UDP gekapselt und verschlüsselt versendet werden.

Im Wesentlichen konfiguriert man ein WireGuard-Interface also mit dem eigenen privaten Schlüssel und den zu verwendenden öffentlichen Schlüsseln der Gegenstellen und sendet dann Pakete darüber – und muss natürlich auf der Gegenstelle dasselbe "getan haben".  

WireGuard selbst enthält keine Mechanismen zur Schlüsselverteilung, ein oft kritisierter und "komplizierender" Punkt an IPSec. Beide Parteien benötigen also die öffentlichen Schlüssel der jeweiligen Gegenstelle und können dann "einfach" Pakete verschlüsselt über das entsprechend eingerichtete Interface senden.

Das Konzept für die FRITZ!Box sieht allerdings vor, dass für die Einrichtung einer Verbindung beide Schlüsselpaare auf der FRITZ!Box generiert werden können und alle nötigen Einwahldaten (privater und öffentlicher Schlüssel des Einwählenden, öffentlicher Schlüssel der FRITZ!Box, Adresse, Algorithmen...) clientseitig per Datei oder QR-Code z. B. in der WireGuard App importiert werden. Für verschiedene Verbindungen, auch für dasselbe Gerät, wird dann aber auch jedes Mal ein neuer privater Schlüssel für die Verbindung generiert. Lassen Sie also QR-Code oder Konfigurationsdatei nicht in die Hände Unbefugter gelangen, da diese sonst unter Umständen die konfigurierte VPN-Verbindung nutzen können. 

Es ist nicht vorgesehen, dass zu einem FRITZ!Box-Benutzer sowohl die herkömmliche (IPSec) als auch die WireGuard-Einwahl möglich ist. Eine WireGuard-Konfiguration ist einem Gerät zugeordnet, nicht einem Nutzer. Es gibt also auch keine Nutzerzuordnung oder nutzerbezogene Authentifizierung für WireGuard-Verbindungen.

Hardware-unterstützte Ver- und Entschlüsselung wird aktuell für WireGuard nicht unterstützt.

Für eine sinnvolle Erreichbarkeit Ihrer FRITZ!Box über WireGuard VPN benötigen Sie eine MyFRITZ!-Adresse (durch Registrierung Ihrer FRITZ!Box bei MyFRITZ!Net) – oder eine DynDNS-Adresse eines Drittanbieters für Ihre FRITZ!Box.   

Wireguard-Verbindung – Einzelgerät

Zur Anbindung eines Einzelgerätes per WireGuard VPN (in etwa vergleichbar mit der bekannten "Benutzereinwahl" per IPSec VPN)  benötigt man die entsprechende WireGuard App bzw. das WireGuard-Programm für das jeweilige Betriebssystem (bis möglicherweise WireGuard auch mit Betriebssystem-Bordmitteln angeboten wird). Im einfachsten und naheliegenden Fall konfiguriert man die WireGuard-Verbindung also auf der FRITZ!Box, fotografiert mit der WireGuard App den erzeugten QR-Code ab (oder importiert die erzeugte Datei) – und fertig ist die WireGuard VPN-Einrichtung.

Einrichtung

Auf der FRITZ!Box-Oberfläche finden Sie unter Internet > Freigaben > VPN (WireGuard) eine Übersicht über eingerichtete WireGuard-Verbindungen. Ein Klick auf „Neue Verbindung einrichten“ startet den Konfigurationsassistenten.

  • Wählen Sie den Punkt „vereinfachte Einrichtung“ für die einfache Konfiguration von VPN-Verbindungen von Einzelgeräten in das Heimnetz. Smartphones und Tablets verbinden Sie komfortabel per QR-Code – sonstige Clients per Konfigurationsdatei.
  • Wählen Sie den Punkt „Benutzerdefinierte Einrichtung“ zur Verbindung von Netzwerken, Firmenanbindungen, Anbindungen an einen WireGuard-Server sowie zur Kommunikation mit Dritten. Für eine LAN-LAN-Verbindung zweier FRITZ!Box-Produkte erstellen Sie hier eine Konfiguration, die Sie auf der zweiten FRITZ!Box importieren.

Bitte beachten Sie, dass die Verbindungskonfiguration – QR-Code oder Konfigurations-Datei – aus Sicherheitsgründen nicht dauerhaft auf der FRITZ!Box gespeichert wird. Daher die Verbindung am besten sofort komplett einrichten. Es kann natürlich jederzeit eine neue WireGuard-VPN-Verbindung generiert werden. 

Lassen Sie QR-Code oder Konfigurationsdatei nicht in die Hände Unbefugter gelangen, da diese sonst unter Umständen die konfigurierte VPN-Verbindung nutzen können.