Wireguard Peer generator Allowed IPs und Keepalive interval

Started by MBatOS, December 19, 2025, 02:42:56 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 19, 2025, 02:42:56 PM
Ich hätte da mal eine Anfängerfrage:

Warum merkt sich der "Peer generator" nicht die Daten für "Allowed IPs" und "Keepalive interval" für die nächste Sitzung wenn ich "Apply" betätige?

Oder auch, wo kann man die Default-Werte festlegen?

Danke für eure Hilfe.
January 13, 2026, 10:24:36 AM #1
Habe ich etwas falsch gemacht?
January 13, 2026, 11:18:37 AM #2
Du hast nichts falsch gemacht. Der Peer-Generator ist eine Krücke. Nicht bös gemeint, den Entwicklern gegenüber, nur: der ist so wie er ist. Feature-Request oder gleich Patches, wenn du möchtest, dass sich was ändert.

Eigentlich ist es bei WireGuard ja so gedacht, dass du die Konfiguration und speziell das Schlüsselpaar auf dem Peer generierst und der private Schlüssel den Peer niemals verlässt. Deshalb ergibt so ein Generator wie bei OpenVPN auch nicht unbedingt Sinn.

In WireGuard gibt es keine "Clients" und "Server" - das ist alles symmetrisch. Es gibt nur Peers. Deshalb ist das für Road-Warrior Szenarien auch nicht so toll :-)

HTH,
Patrick
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 13, 2026, 01:19:13 PM #3
Quote from: Patrick M. Hausen on January 13, 2026, 11:18:37 AMIn WireGuard gibt es keine "Clients" und "Server" - das ist alles symmetrisch. Es gibt nur Peers. Deshalb ist das für Road-Warrior Szenarien auch nicht so toll :-)
Du meinst weil das CGNAT eine die Symmetrie kaputt macht?

Bitte nicht lachen, aber wo findet man denn den Source Code des Peer Generators? Ich bin habe es noch nicht geschafft ihn hier https://github.com/opnsense zu finden.
January 13, 2026, 01:34:43 PM #4
Quote from: MBatOS on January 13, 2026, 01:19:13 PMDu meinst weil das CGNAT eine die Symmetrie kaputt macht?

Nein, weil eine zentrale Verwaltung von Peers, evtl. externe Authentifizierung, etc. wie man das eben bei einem Haufen Außendienstlern hat nicht vorgesehen ist. Bei OpenVPN existiert das alles. Zertifikate, dynamische Zuweisung von IP-Adressen aus einem Pool, LDAP-Anbindung an Active Directory etc. WireGuard ist Server zu Server. Statisch manuell konfiguriert. Natürlich kann einer der Server auch ein Laptop sein hinter NAT etc. aber die Konfiguration nimmt immer 2 gleichberechtigte Systeme an. Das meinte ich mit "es gibt keine Clients".

Quote from: MBatOS on January 13, 2026, 01:19:13 PMBitte nicht lachen, aber wo findet man denn den Source Code des Peer Generators?

Das ist alles in MVC Architektur implementiert und über mehrere Verzeichnisse verteilt. Top-Level ist hier:

https://github.com/opnsense/core/tree/master/src/opnsense/mvc/app

Starten kannst du z.B. mal mit dem View, also dem UI:

https://github.com/opnsense/core/blob/master/src/opnsense/mvc/app/views/OPNsense/Wireguard/general.volt


HTH,
Patrick
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions