Fritzbox: Ubuntu per WireGuard verbinden
Modernes VPN braucht kein kompliziertes Setup mehr - und doch ist es unter Ubuntu nicht ganz intuitiv
Wie Ihr einen VPN-Tunnel über Fritzbox und WireGuard aufbaut und per Smartphone, Windows oder Mac nutzt, hat Christian schon ausführlich beschrieben. Da heißt es eigentlich immer: App installieren, Konfiguration importieren, fertig. Unter Ubuntu gibt es leider keine grafische Standard-App – also muss der Terminal ran. Und siehe da: Genauso einfach. Aber klar, eine GUI gibt es dennoch ;)
Installation und conf-Datei
Die Funktionsweise von WireGuard ist simpel: Der Server, hier die Fritzbox, stellt eine Konfigurationsdatei zur Verfügung, die im Wesentlichen seine öffentliche URL (über den MyFritz-Service) zur Verfügung stellt sowie seinen privaten Schlüssel und einen öffentlichen Schlüssel für den Client (quasi das Schlüsselloch für den privaten Schlüssel). Plus ein paar weiterer Daten.
Der Client verbindet sich dann mit dieser conf-Datei am Server, alles andere regelt WireGuard im Hintergrund. Die Datei bekommt Ihr auf der Fritzbox über Internet/Freigaben/VPN (WireGuard).
Nun muss unter Ubuntu die nötige Software installiert werden:
sudo apt install wireguard resolvconf
resolvconf kümmert sich um die Auflösung von Netzwerkadressen, sprich, dass Ihr Seiten über Namen (tutonaut.de) statt IP-Adressen aufrufen könnt.
WireGuard-Verbindung starten/stoppen
Der Verbindungsaufbau klappt nun am einfachsten über das Tool wg-quick, das zu WireGuard gehört. Dieses vereinfacht einige der üblichen Anwendungen – und darum lesen sich auch die meisten Anleitungen im Netz deutlich komplizierter als nötig! Meist schreiben da nämlich Netzwerk-Spezis, die alles händisch machen.
Zum Starten der Verbindung:
sudo wg-quick up ~/mein_tunnel.conf
Zum Stoppen:
sudo wg-quick down ~/mein_tunnel.conf
Und zum Anschauen des aktuellen Status:
sudo wg show
Im System findet Ihr ein entsprechendes Netzwerk-Interface mit dem Namen Eurer Konfigurationsdatei via
ip a
Das zeigt dann auch die aktuelle IP-Adresse.
WireGuard per GUI
Eine simple GUI, die funktioniert, ist Wireguird:
wget https://github.com/UnnoTed/wireguird/releases/download/v1.1.0/wireguird_amd64.deb
sudo dpkg -i ./wireguird_amd64.deb
Anschließend bekommt Ihr eine simple Oberfläche, in der Ihr über Add Tunnel die Konfigurationsdatei hinzufügen, starten und stoppen könnt – ebenfalls via wg-quick. Das Projekt ist klein und scheint eher sporadisch aktualisiert zu werden, funktioniert aber. Zur Kontrolle bieten sich wieder die Kommandos von oben an.
Achtung: Hier kam es bisweilen vor, dass der Desktop kaum noch reagierte, weil Wireguird das System völlig ausgelastet hat. Stoppen könnt Ihr es im Notfall über htop, das dann freilich mit Adminrechten gestartet werden muss (sudo htop).
Vorsicht: Über Snap steht eine GUI zur Verfügung (wireguard-gui), die schön einfach ausssieht, die Konfiguration frisst und eine Verbindung meldet – allerdings scheinbar gar nichts tut. Wer nicht manuell prüft, könnte also meinen, über VPN online zu sein, obwohl das nicht der Fall ist. Nicht nutzen!
Hallo Mirco, noch ein Hinweis zu den IP-Adressen. Man blockiert sich praktisch selbst bzw. der Datendurchsatz geht völlig in die Knie, wenn auf beiden Seiten eine Fritz-Box mit den Standardadressen 192.168.178.1 installiert ist. Dies kann man vermeiden, wenn an der eigenen Fritz-Box andere Adressen eingestellt worden sind, da die meisten Anwender die Grund-Einstellung der IP-Adressen nicht ändern.
Danke, guter Hinweis! Bei mir war’s bislang immer nur von daheim in ein Unternehmen oder umgekehrt – und da ging es dann meist um die Kombination Fritzbox und Cisco und unterschiedliche Adressbereiche.
Falls jemand mehr dazu wissen will, hier AVMs eigener Beitrag dazu:
https://avm.de/service/vpn/wireguard-vpn-zwischen-zwei-fritzbox-netzwerken-einrichten