WireGuard VPN mit OPNsense einrichten - Schritt fuer Schritt
WireGuard VPN mit OPNsense einrichten
WireGuard ist ein modernes VPN-Protokoll, das durch Einfachheit, Geschwindigkeit und starke Kryptografie ueberzeugt. OPNsense unterstuetzt WireGuard nativ.
Warum WireGuard?
| Eigenschaft | WireGuard | OpenVPN |
|---|---|---|
| Geschwindigkeit | Sehr hoch | Mittel |
| Codeumfang | ~4.000 Zeilen | ~100.000 Zeilen |
| Einrichtung | Einfach | Komplex |
| Kryptografie | Modern (ChaCha20) | Variabel |
| Mobile Nutzung | Exzellent | Gut |
Voraussetzungen
- OPNsense 21.1 oder neuer
- Plugin
os-wireguardinstalliert - Feste oeffentliche IP oder DynDNS
Server-Konfiguration in OPNsense
1. Plugin installieren
Navigiere zu System > Firmware > Plugins und installiere os-wireguard.
2. Server-Instanz erstellen
Unter VPN > WireGuard > Instances:
- Name: wg0
- Listen Port: 51820
- Tunnel Address: 10.10.10.1/24
- DNS: Leer lassen oder internen DNS eintragen
OPNsense generiert automatisch ein Schluesselpaar (privat/oeffentlich).
3. Firewall-Regeln erstellen
Zwei Regeln sind noetig:
WAN-Regel (WireGuard-Port oeffnen): - Interface: WAN - Protocol: UDP - Destination Port: 51820 - Action: Pass
WireGuard-Interface-Regel (Tunnel-Traffic): - Interface: WireGuard (wg0) - Source: 10.10.10.0/24 - Action: Pass
4. Peer (Client) hinzufuegen
Unter VPN > WireGuard > Peers:
- Name: Handy, Laptop, etc.
- Public Key: Vom Client generiert
- Allowed IPs: 10.10.10.2/32 (eindeutige IP pro Client)
- Endpoint: Leer lassen (Client verbindet sich zum Server)
Client-Konfiguration
Auf dem Client (App fuer Windows, macOS, Linux, Android, iOS):
[Interface]
PrivateKey = <CLIENT_PRIVATE_KEY>
Address = 10.10.10.2/24
DNS = 10.10.10.1
[Peer]
PublicKey = <SERVER_PUBLIC_KEY>
Endpoint = deine-domain.de:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25
Tipp: Mit
AllowedIPs = 0.0.0.0/0wird der gesamte Traffic durch den Tunnel geleitet (Full Tunnel). Fuer Split Tunnel nur die gewuenschten Netzwerke eintragen, z.B.192.168.1.0/24, 10.10.10.0/24.
Testen
- Verbindung auf dem Client aktivieren
- Unter VPN > WireGuard > Diagnostics pruefen ob der Handshake stattfindet
- Ping auf die Tunnel-IP:
ping 10.10.10.1 - Ping auf interne Ressourcen:
ping 192.168.1.1
Fazit
WireGuard in OPNsense ist in wenigen Minuten eingerichtet und bietet hervorragende Performance. Fuer den Remote-Zugriff auf dein Heimnetzwerk ist es die ideale Loesung.