Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Verständnisfrage zu Wireguard

5 views
Skip to first unread message

Jan Novak

unread,
May 3, 2023, 9:24:05 AM5/3/23
to
Hallo,

wireguard funktioniert hier im privaten Umfeld seit langem.
Nun wollen wir das in Zukunft auch in der Firma einsetzen (openVPN
Ersatz weil Firewall Tausch).

Was mich nun verwundert:
Wenn ich einem Mitarbeiter "seine" Tunnel Config sende, z.B. per Mail
und jemand in den Besitz der Konfig kommt, hat er Zugriff auf unser
Netz, da es bei Wireguard scheinbar keine Passwortabfrage gibt. Der
"shared key" ist ja nur wieder ein Hash, welcher das Passwort nicht
ersetzt, bzw. danach fragt.

Hinzu kommt: der Tunnel kann ja mehrfach von verschiedenen Clients
genutzt werden kann, also habe ich gar keine Kontrolle darüber!?

Gibt es eine Möglichkeit, dass der Tunnel mit einem Passwort versehen
ist und der User beim Verbinden danach gefragt wird?

Jan

Sven Hartge

unread,
Jul 31, 2023, 3:06:48 AM7/31/23
to
Jan Novak <rep...@gmail.com> wrote:

> Wenn ich einem Mitarbeiter "seine" Tunnel Config sende, z.B. per Mail
> und jemand in den Besitz der Konfig kommt, hat er Zugriff auf unser
> Netz, da es bei Wireguard scheinbar keine Passwortabfrage gibt. Der
> "shared key" ist ja nur wieder ein Hash, welcher das Passwort nicht
> ersetzt, bzw. danach fragt.

> Hinzu kommt: der Tunnel kann ja mehrfach von verschiedenen Clients
> genutzt werden kann, also habe ich gar keine Kontrolle darüber!?

> Gibt es eine Möglichkeit, dass der Tunnel mit einem Passwort versehen
> ist und der User beim Verbinden danach gefragt wird?

Nein, das ist bei Wireguard nicht vorgesehen.



--
Sigmentation fault. Core dumped.

Sven Hartge

unread,
Jul 31, 2023, 5:22:53 AM7/31/23
to
Als Nachtrag: Wireguard ist praktisch "stateless", beide Seiten
konfigurieren ja nur den eigenen privaten und den entfernten
öffentlichen Schlüssel, über welchen dann der minimale Handshake
erfolgt.

Mehr ist nicht vorgesehen und auch der Grund, warum das Protokoll so
leichtgewichtig ist.

Jan Novak

unread,
Jul 31, 2023, 6:04:25 AM7/31/23
to
Am 31.07.23 um 11:22 schrieb Sven Hartge:
>>> Gibt es eine Möglichkeit, dass der Tunnel mit einem Passwort versehen
>>> ist und der User beim Verbinden danach gefragt wird?
>
>> Nein, das ist bei Wireguard nicht vorgesehen.

Hallo Sven,

danke für die Nachricht. Wir haben jetzt eine Mischkonfiguration mit
openVPN für die Clients und wireguard für Server 2 Server Verbindungen.

> Als Nachtrag: Wireguard ist praktisch "stateless", beide Seiten
> konfigurieren ja nur den eigenen privaten und den entfernten
> öffentlichen Schlüssel, über welchen dann der minimale Handshake
> erfolgt.
>
> Mehr ist nicht vorgesehen und auch der Grund, warum das Protokoll so
> leichtgewichtig ist.


Das stimmt. Und es läuft sehr stabil, auch bei Leitungsunterbrechungen
ist es sofort wieder da.

Jan

0 new messages