V7: Wireguard nochmal weitergedacht

Hi.
Ich habe mittlerweile so gute Erfahrugen mit der OPNSense + Wireguard gemacht, dass ich nochmal einen Schritt weiterdenken möchte:

Auf dem v6-Server gab es in der WebUI ja die Möglichkeit, dass man sich ein OpenVPN-Zertifikat erstellen lassen kann, das dann nur noch freigeschaltet werden musste. Diese Möglichkeit ist in der v7 so im Moment (noch?) nicht eingebaut. Es wäre aber imho auch mit Wireguard recht einfach, diese Möglichkeit einzurichten?!

Die Vorgehensweise, wie ich (bisher auf manuellem Weg) die Konfigurationen wg0.conf für die berechtigten Kollegen erzeugt habe, ist diese:

HowTo: Wireguard VPN-Zugang 
0.) Neues Verzeichnis für Kollege NAME anlegen -> cd NAME

1.) Public-Key / Private-Key für neuen Zugang erzeugen:
    wg genkey | tee privatekey.NAME | wg pubkey > publickey.NAME

2.) Unter OPNSense -> VPN -> Wireguard -> Endpoints neuen Wireguard-Zugang anlegen 
    und im Server unter "Lokal" mit Peer verbinden!

3.) wg0.conf pro User erzeugen und IP-Adresse und Private-Key eintragen
     (auf der OPNSense befindet sich die Datei unter  /usr/local/etc/wireguard/wg0.conf und könnte dort um weitere Peers ergänzt werden)

4.) ggf QR-Code erzeugen: qrencode -t ansiutf8 < wg0.conf
    und unter Wireguard-App (Android) QR-Code scannen!

Ist etwas in dieser Art angedacht? Oder bleibt das aus der WebUI definitiv raus?
Schöne Grüße,
Michael

… nur noch eine Ergänzung: Auf dieser Seite befindet sich ein sehr nützlicher Helper:

https://www.wireguardconfig.com/

Hallo Michael,

ich kann Dein Ansinnen nur unterstützen. Zu Zeiten von Corona ist OpenVPN oder Wireguard ein wichtiges Instrument, da man die pädaogischen Funktionen von zu Hause nutzen kann (Schüler wie Lehrer).

Am Wochenende kam noch ein weiteres Argument dazu. Ein Kollege muss mit geteilten Klassen arbeiten. Die eine Hälfte sitzt im Computerraum, die andere zu Hause und bedient die nicht besetzten Computer, kann also das Gleiche tun wie die Mitschüler im Computerraum. Die Kommunikation findet via BBB statt.

Gruß

Alois

Hallo Alois,

was? Die melden sich per Wireguard im Schulnetz an (wie viele paralelle Clients unterstützt denn Wireguard?) und anschließend per ssh samt VNC am richtigen Client im richtigen Raum, der auch eingeschaltet ist, und das ganze performant (Viiiel Bandbreite in der Schule und ausreichend zu Hause) bei paralleler BBB-Verbindung. Und wie viele Stunden vorher schulst du deine Schüler, dass die das allein zu Hause mit heterogener Umgebung (Linux, Win, Mac) hinbekommen?

Sorry, aber das klappt (zumindest mit meinen Schülern, bei denen ich z.T. schon froh bin, wenn die es schaffen, ihr Passwort korrekt in Moodle einzutippen - ich spreche von der Oberstufe im beruflichen Gymnasium…) nie im Leben! Das wäre vertane Lebenszeit, wenn man darauf hinarbeiten wollte.

Grüße,
Stefan

Hallo Stefan,

so soll es jedenfalls mit OpenVPN unter 6.2 laufen. Mit Wireguard habe ich noch nichts gemacht.

Es handelt sich um IT-Azubis im letzten Ausbildungsabschnitt. Die sollten das hin bekommen.

Bzgl. Bandbreite. Ich Administriere ein System mit einem DSL-Anschluss mit 16Mbit. Wenn ich den Rechner vor Ort bediene habe ich den Upload von ca. 1 Mbit. Das läuft recht flüssig. Einen Film kann ich mir natürlich nicht ansehen.

Dort, wo das mit OpenVPN geplant ist haben wir 1Gbit rein und raus. Deshalb glaube ich dass das klappen wird, wenn die gleichzeitigen OpenVPN Zugänge nicht beschränkt sind.

Gruß

Alois

genug :wink:

Viele VPN-Provider steigen gerade um, da sind wir im Vergleich selbst mit einer grossen Schule eher Kleinkram.

Ja, das Konzept klingt für mich auch wacklig. Wozu noch einen Client spiegeln, wenn du bereits in dem Netz bist?

Ich tüftel gerade an einer Lösung, die den Schülerinnen und Lehrern ihre Schulsicht auf ihren Geräten bietet - egal ob in oder ausserhalb der Schule. In der Schule gibt es ein offenes WLAN, wireguard macht Routing, Autorisierung und Verschlüsselung und gut ist. Das für Notebook, Handy, Tablet.

Hallo,

ich verstehe den Sinn dahinter nicht ganz:
Wenn man will, dass die Schüler zuhause auf dem exakt gleichen System wie in der Schule arbeiten können, bräuchte man idealerweise einen Terminalserver, der am besten im Browser eine Session mit nem Desktop und den benötigten Programmen anbietet. Zugang im Wesentlichen über Wireguard abgesichert. Wireguard-Installation auf dem eigenen Rechner mag mit IT-Azubis noch gehen, aber das ist eine relativ kleine Gruppe im Vergleich zu den restlichen Schülern mit linuxmuster.net an der Schule, nur für die eine ausgefeilte Lösung erstellen - ob das lohnt?

Was ist mit „Schulsicht“ gemeint? Homes- und Tauschverzeichnisse? Drucker? Interne Server? Programme bekomm ich ja so nicht hin.
Wenn’s hauptsächlich um Dateien geht, scheint mir doch eine Nextcloud der beste und vor allem einfachste Weg, da braucht es kein VPN.
Nur wenn’s um Server geht, die man partout nicht ins Netz exponieren möchte, könnte ich das verstehen.

Grüße,
Stefan

Hallo Stefan,

meine Idee hat den Vorteil, dass alles vorhanden ist und nichts mehr extra angeschafft werden muss. Einen Rechner auf dem OpenVPN läuft (laufen kann) hat jeder Schüler zu Hause.

Ich denke wir werden das ausprobieren und dann berichte ich hier. Wenn’s klappt ist’s gut, wenn nicht kann man sich immer noch etwas neues einfallen lassen.

Gruß

Alois

Hi
Also über eine Terminal-Server-Lösung habe ich auch schon zigfach nachgedacht. Letztlich ist es immer an der Performance gescheitert. Jetzt hätten wir einen starken Server mit ausreichend RAM. Zudem gibt es ja sehr schicke Lösungen wie den x2go-Client aber auch fertige Lösungen wie OpenThinClient (:arrow_left: LDAP-fähig :bangbang:)

Da Wireguard hier sehr performant läuft und hier deutlich mehr Durchsatz als OpenVPN liefert, könnte man evtl nochmal einen Versuch starten. Im Moment würde uns bei großflächigem Angebot für alle aber unsere Internetleitung einen Strich durch die Rechnung machen; ganz zu schweigen vom Pflegen, Anlegen und Aktivieren der ganzen Wireguard-Zugänge… wäre schon schick, wenn sich das ähnlich in die WebUI integrieren ließe wie der Zugang zum WLAN …

Viele Grüße,
Michael

Ja, Nein, Ja, Doch.

X11 beinhaltet bereits die Möglichkeit, remote zu arbeiten. Klar, mit Wayland brennen die das gerade ab, aber grundsätzlich ist es Teil eines jeden grafikfähigen Unixsystems. Da wir hier ausschliesslich Linux Clients bereitstellen & warten, wären also sogar Programme inklusive. Drucker eher nicht, den Use-Case kann ich mir nicht vorstellen.

Was ich eben auch gewinne ist die Firewall. Meine Überlegung ist, diesen Service eben auch zuhause anbieten zu können. Sind die Rechner im VPN der Schule, sind sie dann auch hinter selbiger Firewall wie in der Schule.