Hallo
Habe ein Netz wo Opensense mit WireGuard läuft, hätte gerne den Clodrouter angebunden
Bin es aber nicht instande.
Kann mir wär auf die Beine helfen
Wozu? Mehr Hintergrundinfos bitte.
Moin Andreas,
ich habe eine sehr ähnliche Konfiguration bei mir laufen.
Fritzbox, Proxmox mit VM PFSENSE und darüber habe ich die Anbindung erstellt. War eigentlich sehr einfach. In dieser Anleitung sind die Grundlagen alles genau erklärt.
Da steht alles drin, du musst es nur auf deine VM WG (Opensense) übertragen.
Die Opensense baut die Verbindung zum CloudRouter auf.
Wo ist den genau das Problem?
Was genau willst du m machen?
Ein paar mehr Informationen wären toll 
Von der einfachen Übernahme der Anleitung würde ich persönlich abraten.
Siehe meine Kommentare in:
Du weißt aber das die FB speziell ist, was WG und S2S usw. angeht…
Falls du mich meintest - ja, weiß ich. Dennoch gehört der PrivateKey der Fritte nicht auf ein anderes System. Zudem: auch die Fritte kann mit zwei Schlüsselpaaren umgehen.
Also laut den Fehlern, die ich so höre, kann sie das eben nicht… Aber mit dem PrivateKey hast du recht.
Also ich habe Wiregurard S2S zwischen pfsense und Fritte laufen. Mit zwei Schlüsselpaaren.
- die Fritte hat den eigenen PrivateKey und den PublicKey der pfsense
- die pfsense hat den eigenen PrivateKey und den PublicKey der Fritte
und das läuft so seit mehr als einem Jahr.
Ja, das sind für mich keine 2 Schlüsselpaare. Wenn ich mehr als einen PrivKey auf der FB habe, dann ist das für ein 2. Keypair
Ja, da hast du recht. Die Fritte kann nur einen PrivateKey verwalten. Das stimmt. Aber umso wichtiger ist es dass dann dieser eine PrivateKey eben genau nicht auch noch auf einem anderen System liegt. Der darf dann nur auf der Fritte vorhanden sein und meinetwegen noch als Backup an einem sicheren Ort im LAN der Fritte.
Deswegen eben die asymmetrischen Schlüsselpaare bei meiner Konfiguration. Für den erfolgreichen Verbindungsaufbau sind da ja eben zwei Schlüsselpaare erforderlich, wobei der PrivateKey eben unterschiedlich ist und jeweils nur auf einem der Systeme vorhanden ist.
Das macht das ganze ungleich sicherer als das was da im Video vorgeschlagen wird. Der Nachteil ist halt dass es komplexer ist und daher für viele User schon nicht mehr verständlich. An anderer Stelle in einem Beitrag hier schrieb Dennis, dass viele seiner User nicht einmal eine IP-Adresse korrekt schrieben können würden. Wenn diese User die Zielgruppe für das Video sind, dann verstehe ich warum Dennis das so macht. Für mich ist das jedoch keine Option.
Hallo
Habe erst jetzt wieder Zeit
Router ist eine Opensense die das Internet verwaltet und da ist auch Wireguarde drauf ,
Die soll sich mit dem Cloudrouter verbinden
Wozu, weshalb, warum? Du hast doch auf der sense schon Wireguard! Der Cloudrouter ist auch nur Wireguard. Also warum ein zweites Wireguard wenn du schon eines hast?
Dann könnte ich Home und Vereinsnetz über eine VPN verbinden
Home- und Vereinsnetz solltest du doch auch so bereits per Wireguard verbinden können. Das geht auch direkt ohne den Umweg über einen Cloud-Router und zwar selbst dann, wenn bei einem oder beiden Standorten DS-Lite oder CGNAT im Spiel sein sollte.
Da du aber partout keine aussagefähigen Infos rausrückst, kann man dir auch nicht weiterhelfen.
Bei WireGuard hast du immer min. 2 Private-Keys… Sonst funktioniert das ja gar nicht. 
Keine Ahnung was Dennis da genau erzählt hat…
Auf Empfangsseite benötige ICH einen Private Key. Auf der sendenen Seite brauche ICH KEINEN Private.
Private Key ist zum entschlüsseln..
Also nochmal „Cloud Router benötigen auf dem Peer nicht zwangsmäßig einen Private Key“. Es reicht ein Public Key.
Das WG-Interface des Cloudrouters wird doch wohl einen normalen WG-Privatekey haben?!
Ja das „VPN Gateway“ hat natürlich einen Private Key und zwar IMMER - sonst geht es nicht.
Die „PEERS“ von einem VPN Gateway benötigen dagegen nur einen Private Key wenn der von der Webseite genutzt werden soll. Man kann aber auch einfach nur einen Public Key da rein hämmern und fertig.
Im Video um das es geht (https://www.youtube.com/watch?v=6Bd-Excz0UA) wird auf Dennis Cloud-Router ein Schlüsselpaar erzeugt und auf eine frische Fritte ohne vorherige Wireguard-Verbindung übertragen. Konkret wird der PrivateKey, der auf dem Cloud-Router erzeugt wurde, so somit auch der PrivateKey der Fritte.
Daher gibt es, geht man exakt nach dem Video vor, nur ein Schlüsselpaar, welches dupliziert wird und daher dann auf beiden Systemen, an beiden Enden des Tunnels, identisch vorliegt.
Genau daran entstand meine Kritik und meine Abneigung dagegen, das so wie im Video gezeigt, 1zu1 umzusetzen.
Ein PrivateKey sollte auf keinen Fall auf der Gegenstelle des Tunnels erzeugt werden und dort vorliegen. Konkret: der PrivateKey der Fritte muss (soll er nicht von Tag 1 an als kompromittiert betrachtet werden) auch auf der Fritte erzeugt werden, oder zumindest im LAN der Fritte. Nur der PublicKey geht rüber auf die Gegenstelle.
Dieses Prinzip wird hier durchbrochen.
1 „Gefällt mir“
Achso, sein WG-Config-Generator meinst du…
Da ist das in der generierten Konfiguration aber bestimmt nicht der gleiche Privkey wie auf dem WG-Interface vom Router selbst…
Aber ich versteh was du meinst