Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Generelle Verständnisfrage zu Wireguard
« previous
next »
Print
Pages: [
1
]
Author
Topic: Generelle Verständnisfrage zu Wireguard (Read 747 times)
bforpc
Full Member
Posts: 144
Karma: 1
Generelle Verständnisfrage zu Wireguard
«
on:
May 03, 2023, 03:24:07 pm »
Hallo,
wireguard funktioniert hier im privaten Umfeld seit langem.
Nun wollen wir das in Zukunft auch in der Firma einsetzen (openVPN Ersatz weil Firewall Tausch).
Was mich nun verwundert:
Wenn ich einem Mitarbeiter "seine" Tunnel Config sende, z.B. per Mail und jemand in den Besitz der Konfig kommt, hat er Zugriff auf unser Netz, da es bei Wireguard scheinbar keine Passwortabfrage gibt. Der "shared key" ist ja nur wieder ein Hash, welcher das Passwort nicht ersetzt, bzw. danach fragt.
Hinzu kommt: der Tunnel kann ja mehrfach von verschiedenen Clients genutzt werde, also habe ich gar keine Kontrolle darüber!?
Gibt es eine Möglichkeit, dass der Tunnel mit einem Passwort versehen ist und der User beim Verbinden danach gefragt wird?
Bfo
Logged
Patrick M. Hausen
Hero Member
Posts: 6871
Karma: 577
Re: Generelle Verständnisfrage zu Wireguard
«
Reply #1 on:
May 03, 2023, 03:32:28 pm »
Man kann zusätzlich zum Public/Private Key Paar noch ein Preshared Secret konfigurieren. Das wird aber nicht abgefragt sondern kommt ebenfalls in die Config.
M.E. ist Wireguard für Remote Access im Firmenkontext ungeeignet. Es gibt kein IP-Adress-Pool Management, kein XAUTH, LDAP, oder sonst eine Möglichkeit der externen Authentifizierung ...
Wir verwenden nach wie vor OpenVPN aus diesem Grund. Zusätzlich zu gültigen Zertifikaten werden Benutzername und PW über unseren Domänencontroller abgefragt. Key kompromittiert oder Mitarbeiter geht --> Account im AD deaktivieren --> dicht.
Ich finde Wireguard klasse, benutze es aber nur für Site-2-Site Tunnel oder im privaten Umfeld.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
bforpc
Full Member
Posts: 144
Karma: 1
Re: Generelle Verständnisfrage zu Wireguard
«
Reply #2 on:
May 03, 2023, 03:58:40 pm »
Hallo pmhausen,
danke für die Infos. Genau so hatte ich mir das auch gedacht.
Das ist wirklich Schade, dass wg nicht auch durch ein Passwort geschützt werden kann.
Wir werden zunächst die s2s Verbindungen über wg machen und ein paar wichtige Roadwarriors... dann wird entschieden, was und wie weiter eingesetzt werden wird.
nochmals Danke.
bfo
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Generelle Verständnisfrage zu Wireguard