Installation

wireguard.png

Wireguard ist eine sehr effiziente OpenSource-Variante zum Aufbau einer VPN-Verbindung in die Uni Koblenz. Download-Links und viele Installationshinweise finden Sie unter https://www.wireguard.com/install/

Bitte beachten Sie, dass Sie, falls Sie Wireguard auf mehreren Geräten gleichzeitig nutzen möchten, für jedes dieser Geräte eine eigene Konfigurationsdatei benötigen.

Aus Sicherheitsgründen sollten Sie die heruntergeladene Konfigurationsdatei wie ein Passwort behandeln und auf keinen Fall weitergeben! Aus den gleichen Gründen ist die Konfiguration - oder der angezeigte QR-Code -  nur im Augenblick der Erstellung herunterzuladen, nicht mehr im Nachhinein. Sollten Sie die Datei verlieren, löschen Sie die erstellte Konfiguration und erzeugen Sie eine neue.

Installationsanleitungen 


Achtung: Zur Nutzung von Wireguard sind Administrations-Rechte auf Ihrem Rechner erforderlich!

  1. Downloaden und installieren Sie die Windows-Wireguard-Software.
  2. Klicken Sie auf diesen Link, um in Ihrem Profilbereich eine Konfigurationsdatei zu erstellen. Zum Erstellen der Konfigurationsdatei schreiben Sie in die Eingabezeile unter "Neue Verbindung einrichten" einen Kommentar zur Gerätezuordnung und klicken auf "Einrichten". Im dann erscheinenden Fenster, das auch den QR-Code des Schlüssels enthält (den Sie unter Windows nicht benötigen), finden Sie einen Link zum Herunterladen der Konfiguration-Datei ("wg-UniKoblenz.conf").
  3. Starten Sie Wireguard und importieren Sie die im vorigen Schritt heruntergeladene Datei. Die Schaltfläche dazu sehen Sie im Fenster von Wireguard.
    Achtung: Wenn Sie mehrere Downloads starten, wird die Download-Datei automatisch umbenannt, z.B. in "wg-UniKoblenz (1).conf". Die so umbenannten Dateien lassen sich aufgrund der Klammern nicht in Wireguard importieren. Benennen Sie die betreffende Datei vor einem Import in Wireguard daher sinnvoll um.
  4. Sie finden Wireguard nun unten rechts in der Taskbar (evtl. zusammengefasst hinter dem Pfeil). Dort starten (Butten "activate") und stoppen (Button "deactivate") Sie die VPN-Verbindung. Das Bild zeigt eine aktivierte Verbindung.
  5. Sollten Sie innerhalb von Windows auch das Subsystem for Linux (WSL) verwenden, ist es evtl. notwendig, den Haken bei "Blockiere Verkehr außerhalb des Tunnels" (Tunnel bearbeiten) zu deaktivieren!

Das Wireguard Statusfenster, mit dem die Verbindung aktiviert und deaktiviert werden kann. Sie öffen das Fenster durch einen Klick auf das Wire-Guard Icon in der Toolbar. Alternativ können Sie die Verbindung durch einen Klick mit der rechten Maustaste auf das Icon steuern.
Arbeiten Sie als Nutzer, der kein Computer-Administrator ist, sind nach dem Import der Konfiguration folgende Schritte notwendig:
    1. Als Administrator die Computerverwaltung öffnen und den aktuellen Nutzer zur Gruppe der Netzwerkkonfigurationsoperatoren hinzufügen.
    2. Als Administrator den Registry-Editor öffnen (Windows-Symbol -> Eingabe von "regedit") und unter HKLM\Software einen Schlüssel WireGuard anlegen. Darunter einen DWord-Wert LimitedOperatorUI mit Wert 1 erzeugen.
    3. Das System neustarten.

macOS ab Version 10.14 (Mojave)

  1. Installieren Sie die Wireguard-Software aus dem AppStore
  2. Laden Sie die  Konfigurationsdatei aus Ihrem Profilbereich herunter.
  3. Starten Sie Wireguard und fügen Sie einen neuen Tunnel hinzu, indem Sie die heruntergeladene Konfiguration auswählen.
  4. Erlauben Sie das Hinzufügen der VPN-Verbindung.
  5. Oben rechts in der Menüleiste finden Sie nun das Wireguard-Icon, über das Sie die Verbindung starten und stoppen können.

macOS 10.13 (High Sierra) oder kleiner

Installieren Sie wireguard per Homebrew, siehe  https://www.wireguard.com/install/ ganz unten ("macOS Homebrew and MacPorts – Basic CLI").

  1. Installieren Sie die macOS-Wireguard-Statusbar
  2. Laden Sie die Konfigurationsdatei herunter und verschieben Sie sie in den Ordner /usr/local/etc/wireguard (im Finder Menü Gehe zu -> Gehe zum Ordner, dann "/usr/local/etc" eingeben und - wenn notwendig - einen neuen Ordner "wireguard" anlegen).
  3. Starten Sie die Toolbar, nun sollte das Toolbar-Icon in der Menüleiste sichtbar werden. Sie können das VPN damit starten und stoppen. Da die Toolbar nicht aus dem App-Store von einem vertrauenswürdigen Entwickler stammt, müssen Sie sie beim ersten Start evtl. mit der rechten Maustaste "öffnen" und explizit vertrauen. Sollte das nicht reichen, ändern Sie die Bedingungen für App-Downloads in den Systemeinstellungen unter "Sicherheit".

Hinweise für eine MacPorts-Installation

MacPorts verwendet das Installationsverzeichnis /opt/local statt /usr/local. Die Toolbar erwartet aber alles unter /usr/local, so dass Sie folgende symbolischen Links anlegen müssen:
 mkdir -p /usr/local/etc /usr/local/bin /opt/local/etc/wireguard
 ln -s /opt/local/etc/wireguard /usr/local/etc/
 ln -s /opt/local/bin/wg /usr/local/bin/
 ln -s /opt/local/bin/wg-quick /usr/local/bin/
 ln -s /opt/local/bin/wireguard-go /usr/local/bin/
 ln -s /opt/local/bin/bash /usr/local/bin/
    1. Installieren Sie die wireguard-Pakete für Ihre Distribution. Falls Sie wireguard nicht auf Anhieb für Ihre Distribution finden, schauen Sie bitte unter dem oben genannten Link  https://www.wireguard.com/install/  nach einer Installationsquelle für Ihre Distribution und folgen Sie der Anleitung zur Installation der notwendigen Wireguard-Pakete (unter OpenSuSE z.B.: wireguard-kmp-default und wireguard-tools)
    2. Laden Sie die im Profilbereich angebotene Konfigurationsdatei herunter und speichern Sie diese Datei z.B. unter dem Namen wg-UniKoblenz.conf  auf Ihrem Rechner unter dem Verzeichnis /etc/wireguard/ ab.
    3. Starten Sie den Tunnel mittels des Kommandos wg-quick <Name der Konfigurationsdatei> als Benutzer root oder besser via sudo (sudo führt Kommandos mit den Rechten des Benutzers root aus). Falls Sie Ihre Konfigurationsdatei wg-UniKoblenz.conf  genannt haben, lautet das Kommando folglich:
sudo wg-quick up wg-UniKoblenz

Zum Beenden der VPN-Verbindung muss folgendes Kommando verwendet werden:

sudo wg-quick down wg-UniKoblenz

Um zu sehen, ob das VPN funktioniert, können sie einfach in Ihrem Webbrowser einer Seite wie z.B. myipaddress.com oder myip.is zur Ausgabe der eigenen IP-Adresse aufrufen. Die Ausgabe sollte folgendem Muster entsprechen: 141.26.28.x

Bekannte Probleme:

Sollten Sie beim Aufruf von sudo wg-quick z.B. auf einem aktuellen Ubuntu-System die Fehlermeldung:

/usr/bin/wg-quick: line 31: resolvconf: command not found

erhalten, liegt das vermutlich daran, dass auf Ihrem Linux-System systemd zur Konfiguration von /etc/resolv.conf verwendet wird, wodurch das Kommando resolvconf nicht immer verfügbar ist. Stattdessen wird  z.B. bei Ubuntu das Kommando resolvectl zur Verfügung gestellt. Damit wg-quick das Kommando resolvconf  in diesem Fall dennoch aufrufen kann, muss in einer Konsole als Benutzer root (oder via sudo) eine Verknüpfung in Form eines symbolischen Links erstellt werden. Hierzu dient folgendes Kommando:

ln -s /usr/bin/resolvectl /usr/local/bin/resolvconf

Durch dieses Kommando wird eine Verknüpfung von /usr/local/bin/resolvconf auf die Datei /usr/bin/resolvctl eingerichtet. Ruft wg-quick das Kommando resolvconf  auf, wird dieser Name unter /usr/local/bin/resolvconf gefunden, wodurch dann das verknüpfte Kommando /usr/bin/resolvctl aufgerufen wird.

  • Einbindung über QR-Code (empfohlen):
    1. Installieren Sie die Wireguard-App aus dem Google Play Store oder aus einer alternativen Paketquelle wie z.B. F-Droid. Die Wireguard-App ist kostenlos.
    2. Laden Sie mit einem Webbrowser auf Ihrem Android-Gerät die im Profilbereich angebotene Konfigurationsdatei für wireguard herunter und speichern diese (sie wird hier für Android nicht verwendet, kann aber für ein weiteres Gerät genutzt werden, wenn die beiden Geräte nicht gleichzeitig das VPN nutzen sollen). Auf der Profilseite sehen Sie einen QR-Code. Starten Sie die Wireguard-App, tippen Sie auf das "+" und wählen Sie den Punkt "Vom QR-Code scannen" aus.
  • Einbindung über den Download der Konfiguration( für Experten):
    1. Installieren Sie die Wireguard-App aus dem Google Play Store oder aus einer alternativen Paketquelle wie z.B. F-Droid. Die Wireguard-App ist kostenlos.
    2. Laden Sie mit einem Webbrowser auf Ihrem Android-Gerät die im Profilbereich angebotene Konfigurationsdatei für wireguard herunter und speichern diese unter dem Namen "wg-UniKoblenz.conf " auf Ihrem Android-Gerät, z.B. im Download-Verzeichnis. Alternativ können Sie die Datei auch z.B. auf Ihrem Desktop-Rechner aus dem Profilbereich herunterladen und in die Cloud an der Uni speichern. Auf dem Android-Smartphone können Sie mittels der Nextcloud-App dann auf diese Datei in der Cloud zugreifen.
    3. Starten Sie die Wireguard-App. Tippen Sie auf den "+" Button und wählen Sie "Aus Datei oder Archiv importieren". Anschließend wählen Sie die zuvor heruntergeladene Datei aus, wodurch Wireguard diese Datei importiert und eine neue VPN-Verbindung anlegt.  Die Datei im Download-Ordner wird anschließend nicht mehr benötigt. Nun können Sie über die App das VPN starten bzw beenden

  1. Installieren Sie Wireguard aus dem AppStore
  2. Starten Sie Wireguard, fügen Sie einen Tunnel hinzu und laden die erstellte Konfigurationsdatei aus dem Download-Ordner oder scannen Sie den angezeigten QR-Code mit der Wireguard-App.
  3. Nach der Einrichtung finden Sie dieses VPN wie gewohnt unter Einstellungen -> VPN und können es dort starten und stoppen.

 

Für Experten

Die im Profilmanagement erstellte Konfiguration leitet den gesamten Datenverkehr des Wireguard-Clients über einen Tunnel zur Uni. Das ist sinnvoll, wenn man das VPN z.B. für den Zugriff auf lizensierte Bibliotheken verwenden möchte. Es mag aber auch Nutzungsszenarien geben, in denen nur ein Teil des Datenverkehrs über die Uni umgeleitet werden soll. Der Wert des Konfigurationsparameters AllowIPs lässt sich z.B. sehr praktisch mit diesem Tool berechnen: https://www.procustodibus.com/blog/2021/03/wireguard-allowedips-calculator/

Potentielle Probleme 

Das "Internet" funktioniert nicht, wenn ich Wireguard starte.

Es gibt zwei mögliche Ursachen. Meist ist der Tunnel nicht korrekt konfiguriert. Bitte löschen Sie den importierten Tunnel in Wireguard, sowie die im Profilbereich angelegten Schlüssel. Lesen und befolgen die die Anleitung für Ihr Betriebsystem dann bitte Schritt für Schritt. Sie können keinen der angegebenen Schritte auslassen.

Unter Windows könnte zudem eine personal firewall ein Problem sein. Oft werden diese Firewalls zusammen mit einem Anti-Virus-Programm installiert. Während das Anti-Viren-Programm Sinn machen könnte, ist eine personal firewall der eingebauten Windows-Firewall meist nicht wesentlich überlegen. Bitte deinstallieren Sie sie.