Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Verständnisfrage zu Wireguard
5 views
Skip to first unread message
Jan Novak
May 3, 2023, 9:24:05 AM5/3/23
to
Hallo,
wireguard funktioniert hier im privaten Umfeld seit langem.
Nun wollen wir das in Zukunft auch in der Firma einsetzen (openVPN
Ersatz weil Firewall Tausch).
Was mich nun verwundert:
Wenn ich einem Mitarbeiter "seine" Tunnel Config sende, z.B. per Mail
und jemand in den Besitz der Konfig kommt, hat er Zugriff auf unser
Netz, da es bei Wireguard scheinbar keine Passwortabfrage gibt. Der
"shared key" ist ja nur wieder ein Hash, welcher das Passwort nicht
ersetzt, bzw. danach fragt.
Hinzu kommt: der Tunnel kann ja mehrfach von verschiedenen Clients
genutzt werden kann, also habe ich gar keine Kontrolle darüber!?
Gibt es eine Möglichkeit, dass der Tunnel mit einem Passwort versehen
ist und der User beim Verbinden danach gefragt wird?
Jan
wireguard funktioniert hier im privaten Umfeld seit langem.
Nun wollen wir das in Zukunft auch in der Firma einsetzen (openVPN
Ersatz weil Firewall Tausch).
Was mich nun verwundert:
Wenn ich einem Mitarbeiter "seine" Tunnel Config sende, z.B. per Mail
und jemand in den Besitz der Konfig kommt, hat er Zugriff auf unser
Netz, da es bei Wireguard scheinbar keine Passwortabfrage gibt. Der
"shared key" ist ja nur wieder ein Hash, welcher das Passwort nicht
ersetzt, bzw. danach fragt.
Hinzu kommt: der Tunnel kann ja mehrfach von verschiedenen Clients
genutzt werden kann, also habe ich gar keine Kontrolle darüber!?
Gibt es eine Möglichkeit, dass der Tunnel mit einem Passwort versehen
ist und der User beim Verbinden danach gefragt wird?
Jan
Sven Hartge
Jul 31, 2023, 3:06:48 AM7/31/23
to
Jan Novak <rep...@gmail.com> wrote:
> Wenn ich einem Mitarbeiter "seine" Tunnel Config sende, z.B. per Mail
> und jemand in den Besitz der Konfig kommt, hat er Zugriff auf unser
> Netz, da es bei Wireguard scheinbar keine Passwortabfrage gibt. Der
> "shared key" ist ja nur wieder ein Hash, welcher das Passwort nicht
> ersetzt, bzw. danach fragt.
> Hinzu kommt: der Tunnel kann ja mehrfach von verschiedenen Clients
> genutzt werden kann, also habe ich gar keine Kontrolle darüber!?
> Gibt es eine Möglichkeit, dass der Tunnel mit einem Passwort versehen
> ist und der User beim Verbinden danach gefragt wird?
Nein, das ist bei Wireguard nicht vorgesehen.
> Wenn ich einem Mitarbeiter "seine" Tunnel Config sende, z.B. per Mail
> und jemand in den Besitz der Konfig kommt, hat er Zugriff auf unser
> Netz, da es bei Wireguard scheinbar keine Passwortabfrage gibt. Der
> "shared key" ist ja nur wieder ein Hash, welcher das Passwort nicht
> ersetzt, bzw. danach fragt.
> Hinzu kommt: der Tunnel kann ja mehrfach von verschiedenen Clients
> genutzt werden kann, also habe ich gar keine Kontrolle darüber!?
> Gibt es eine Möglichkeit, dass der Tunnel mit einem Passwort versehen
> ist und der User beim Verbinden danach gefragt wird?
S°
--
Sigmentation fault. Core dumped.
Sven Hartge
Jul 31, 2023, 5:22:53 AM7/31/23
to
konfigurieren ja nur den eigenen privaten und den entfernten
öffentlichen Schlüssel, über welchen dann der minimale Handshake
erfolgt.
Mehr ist nicht vorgesehen und auch der Grund, warum das Protokoll so
leichtgewichtig ist.
Jan Novak
Jul 31, 2023, 6:04:25 AM7/31/23
to
Am 31.07.23 um 11:22 schrieb Sven Hartge:
danke für die Nachricht. Wir haben jetzt eine Mischkonfiguration mit
openVPN für die Clients und wireguard für Server 2 Server Verbindungen.
> Als Nachtrag: Wireguard ist praktisch "stateless", beide Seiten
> konfigurieren ja nur den eigenen privaten und den entfernten
> öffentlichen Schlüssel, über welchen dann der minimale Handshake
> erfolgt.
>
> Mehr ist nicht vorgesehen und auch der Grund, warum das Protokoll so
> leichtgewichtig ist.
Das stimmt. Und es läuft sehr stabil, auch bei Leitungsunterbrechungen
ist es sofort wieder da.
Jan
>>> Gibt es eine Möglichkeit, dass der Tunnel mit einem Passwort versehen
>>> ist und der User beim Verbinden danach gefragt wird?
>
>> Nein, das ist bei Wireguard nicht vorgesehen.
Hallo Sven,
>>> ist und der User beim Verbinden danach gefragt wird?
>
>> Nein, das ist bei Wireguard nicht vorgesehen.
danke für die Nachricht. Wir haben jetzt eine Mischkonfiguration mit
openVPN für die Clients und wireguard für Server 2 Server Verbindungen.
> Als Nachtrag: Wireguard ist praktisch "stateless", beide Seiten
> konfigurieren ja nur den eigenen privaten und den entfernten
> öffentlichen Schlüssel, über welchen dann der minimale Handshake
> erfolgt.
>
> Mehr ist nicht vorgesehen und auch der Grund, warum das Protokoll so
> leichtgewichtig ist.
ist es sofort wieder da.
Jan
0 new messages