Wireguard auf Windows installieren (via CLI)

TOM

Legend
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7528

14.08.2024 - 11:30

Ahoi

OpenVPN stinkt & macht Probleme, deswegen schau ich mir momentan Wireguard als Alternative an.

Ich fahre mit Wireguard/Tailscale auf verschiedensten Windows & non-Windows Systemen total problemlos, aber nun steh ich leider komplett an.

Ziel: Wireguard windows package (GUI) soll auf Windows Clients installiert und ein Wiregard Tunnel importiert werden, welchen die User selbstständig an/aus machen können sollen.

Die Installation haut hin und habe auch settings gefunden damit non-Admin User Tunnel aktivieren/deaktivieren können und nicht selbstständig irgendwelche neuen Tunnel aufbauen dürfen.

ABER: Der Import-Vorgang eines Wireguard-Tunnel via .conf File haut einfach nicht hin.
Via GUI als Admin-User haut es hin, aber via Windows Eingabeaufforderung funkt. es nicht (weder als Non-Admin, noch als Admin-User - beides immer mit Eingabeaufforderung als Administrator)

Command:

Code:

C:\program files\Wireguard\wireguard.exe /installtunnelservice C:\path_to_file\tunnelfile.conf

Seltsamer Effekt:
Wenn ich als Admin-User in der Wireguard GUI den Tunnel via GUI importiere, nachdem ich den CLI Befehl zum importieren ausgeführt habe, dann zeigt er mir den tunnel als bereits aktiv an. (das macht er nicht, wenn ich ihn via GUI importiere - da ist er deaktiviert). Meine Annahme ist also, dass der Import via CLI irgendwie funktioniert, aber irgendwas nicht korrekt.

Wenn ich das System nach einem Tunnel-Import via CLI neu starte, dann ist die Netzuwerk & Internet Verbindung komplett weg und ich muss Wireugard deinstallieren, damit ich wieder eine verbindung hinbekomme.

Also Wireguard Installation via CLI => kein problem
Wireguard hardening => kein problem
Wireguard Tunnel importieren => crash & burn

hat jemand bereits erfolgreich auf Windows Wireguard Tunnel files importiert?

Ich finde im Netz wenig dazu bzw. nichts, was ich nicht schon probiert hätte

tia

m@d.max

BOT

Registered: Apr 2006
Location: NÖ
Posts: 1507

14.08.2024 - 12:11

Ich bin so frei und hänge mich mal dazu, da ich ein ähnliches Problem auf Windows Kisten habe:
Wireguard Server wird auf einer Fritzbox LTE betrieben und die Clients sollen dort quasi 24/7 verbunden sein.
Nach dem 24h disconnect der LTE Verbindung lässt sich die Wireguard Verbindung nur aufbauen wenn man neu verbindet.
Gibts da irgendeine Möglichkeit das via CLI zu regeln? Aka irgendein Batchjob der um 05:00 läuft?
tia

mr.nice.

security baseline pusher

Registered: Jun 2004
Location: Wien
Posts: 6708

14.08.2024 - 12:24

@TOM du wirst das hardening vermutlich zum Schluss machen müssen, denn laut deinem Link ist es so, dass Network Configuration Operators keine configs bearbeiten dürfen.

TOM

Legend
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7528

14.08.2024 - 12:25

Zitat aus einem Post von mr.nice.
@TOM du wirst das hardening vermutlich zum Schluss machen müssen, denn laut deinem Link ist es so, dass Network Configuration Operators keine configs bearbeiten dürfen.

das hardening kann eigentlich nicht schuld sein, weil es mit einem admin user bei dem das hardening nicht passiert ebenso kaputt ist nach einem config import via CLI

@m@d.max
aufgabenplanung=> tunnel service um gewünschte zeitpunkt (oder nach system boot) autom. starten

mr.nice.

security baseline pusher

Registered: Jun 2004
Location: Wien
Posts: 6708

14.08.2024 - 12:37

Da stehts eh ganz gut beschrieben, du brauchst den Wireguard Manager Service installiert und gestartet, der .conf von %ProgramFiles%\WireGuard\Data\Configurations\ importiert, verschlüsselt und nur für Local System lesbar macht.

https://github.com/WireGuard/wiregu...s/enterprise.md

TOM

Legend
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7528

14.08.2024 - 14:25

Update:

Das Tunnel-Config File unter "%ProgramFiles%\WireGuard\Data\Configurations\" ablegen erlaubt es dem Non-Admin User (wenn er in entsprechender Windows Netzwerkadmin Gruppe ist, sonst geht das GUI nicht auf) den Tunnel zu aktivieren/deaktiveren.... ich denke ich werde den path gehen

Also der obige Befehl "/installtunnelservice" installiert ein Windows Service und zum Tunnel "importieren" muss man das File scheinbar in diesem Ordner ablegen, TIL

TOM

Legend
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7528

14.08.2024 - 15:51

Funktioniert soweit nun, ein Problem hab ich noch:

Nach der erstmaligen Installation braucht Windows einen kompletten Reboot, sonst kann kein Tunnel sauber aufgebaut werden.

Nachdem ersten Reboot versucht Wireguard allerdings den Tunnel aufzubauen hängt irgendwie, dass keinerlei Internetverbindung hergestellt werden kann. Ich bin auf dem Device im WiFi mit Internet, komm aber nicht raus. Ich muss dafür explizit das WiFi abdrehen/aufdrehen, damit er sich dafängt.

In der WireGuard GUI seh ich den importierten Tunnel als "aktiv", aber keinen outgoing traffic.

Bei allen weiteren Sys-Reboots, ist der Tunnel inaktiv und eine Aktivierung macht keine Probleme

Ich sehe auch kein Windows Service (abgesehen von der Wireguard GUI) dass ich stoppen bzw. am Autostart hindern könnte

Irgendwer eine Idee, wie ich Wireguard diese unart abdrehe, dass es nach der erstmaligen Installation & reboot sofort/automagisch versucht einen Tunnel aufzubauen?

mr.nice.

security baseline pusher

Registered: Jun 2004
Location: Wien
Posts: 6708

14.08.2024 - 16:29

Laut der Wireguard Doku ist der Tunnel Service dazu da Tunnel Adapter zu erstellen und zu konfigurieren und der Manager Service ist dazu da diese zu starten und zu stoppen. Ich denke ganz ohne den manager service wirds nicht gehen.

TOM Legend Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7528	14.08.2024 - 11:30 Ahoi OpenVPN stinkt & macht Probleme, deswegen schau ich mir momentan Wireguard als Alternative an. Ich fahre mit Wireguard/Tailscale auf verschiedensten Windows & non-Windows Systemen total problemlos, aber nun steh ich leider komplett an. Ziel: Wireguard windows package (GUI) soll auf Windows Clients installiert und ein Wiregard Tunnel importiert werden, welchen die User selbstständig an/aus machen können sollen. Die Installation haut hin und habe auch settings gefunden damit non-Admin User Tunnel aktivieren/deaktivieren können und nicht selbstständig irgendwelche neuen Tunnel aufbauen dürfen. ABER: Der Import-Vorgang eines Wireguard-Tunnel via .conf File haut einfach nicht hin. Via GUI als Admin-User haut es hin, aber via Windows Eingabeaufforderung funkt. es nicht (weder als Non-Admin, noch als Admin-User - beides immer mit Eingabeaufforderung als Administrator) Command: Code: `C:\program files\Wireguard\wireguard.exe /installtunnelservice C:\path_to_file\tunnelfile.conf` Seltsamer Effekt: Wenn ich als Admin-User in der Wireguard GUI den Tunnel via GUI importiere, nachdem ich den CLI Befehl zum importieren ausgeführt habe, dann zeigt er mir den tunnel als bereits aktiv an. (das macht er nicht, wenn ich ihn via GUI importiere - da ist er deaktiviert). Meine Annahme ist also, dass der Import via CLI irgendwie funktioniert, aber irgendwas nicht korrekt. Wenn ich das System nach einem Tunnel-Import via CLI neu starte, dann ist die Netzuwerk & Internet Verbindung komplett weg und ich muss Wireugard deinstallieren, damit ich wieder eine verbindung hinbekomme. Also Wireguard Installation via CLI => kein problem Wireguard hardening => kein problem Wireguard Tunnel importieren => crash & burn hat jemand bereits erfolgreich auf Windows Wireguard Tunnel files importiert? Ich finde im Netz wenig dazu bzw. nichts, was ich nicht schon probiert hätte tia
m@d.max BOT Registered: Apr 2006 Location: NÖ Posts: 1507	14.08.2024 - 12:11 Ich bin so frei und hänge mich mal dazu, da ich ein ähnliches Problem auf Windows Kisten habe: Wireguard Server wird auf einer Fritzbox LTE betrieben und die Clients sollen dort quasi 24/7 verbunden sein. Nach dem 24h disconnect der LTE Verbindung lässt sich die Wireguard Verbindung nur aufbauen wenn man neu verbindet. Gibts da irgendeine Möglichkeit das via CLI zu regeln? Aka irgendein Batchjob der um 05:00 läuft? tia
mr.nice. security baseline pusher Registered: Jun 2004 Location: Wien Posts: 6708	14.08.2024 - 12:24 @TOM du wirst das hardening vermutlich zum Schluss machen müssen, denn laut deinem Link ist es so, dass Network Configuration Operators keine configs bearbeiten dürfen.
TOM Legend Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7528	14.08.2024 - 12:25 Zitat aus einem Post von mr.nice. @TOM du wirst das hardening vermutlich zum Schluss machen müssen, denn laut deinem Link ist es so, dass Network Configuration Operators keine configs bearbeiten dürfen. das hardening kann eigentlich nicht schuld sein, weil es mit einem admin user bei dem das hardening nicht passiert ebenso kaputt ist nach einem config import via CLI @m@d.max aufgabenplanung=> tunnel service um gewünschte zeitpunkt (oder nach system boot) autom. starten
mr.nice. security baseline pusher Registered: Jun 2004 Location: Wien Posts: 6708	14.08.2024 - 12:37 Da stehts eh ganz gut beschrieben, du brauchst den Wireguard Manager Service installiert und gestartet, der .conf von %ProgramFiles%\WireGuard\Data\Configurations\ importiert, verschlüsselt und nur für Local System lesbar macht. https://github.com/WireGuard/wiregu...s/enterprise.md
TOM Legend Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7528	14.08.2024 - 14:25 Update: Das Tunnel-Config File unter "%ProgramFiles%\WireGuard\Data\Configurations\" ablegen erlaubt es dem Non-Admin User (wenn er in entsprechender Windows Netzwerkadmin Gruppe ist, sonst geht das GUI nicht auf) den Tunnel zu aktivieren/deaktiveren.... ich denke ich werde den path gehen Also der obige Befehl "/installtunnelservice" installiert ein Windows Service und zum Tunnel "importieren" muss man das File scheinbar in diesem Ordner ablegen, TIL
TOM Legend Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7528	14.08.2024 - 15:51 Funktioniert soweit nun, ein Problem hab ich noch: Nach der erstmaligen Installation braucht Windows einen kompletten Reboot, sonst kann kein Tunnel sauber aufgebaut werden. Nachdem ersten Reboot versucht Wireguard allerdings den Tunnel aufzubauen hängt irgendwie, dass keinerlei Internetverbindung hergestellt werden kann. Ich bin auf dem Device im WiFi mit Internet, komm aber nicht raus. Ich muss dafür explizit das WiFi abdrehen/aufdrehen, damit er sich dafängt. In der WireGuard GUI seh ich den importierten Tunnel als "aktiv", aber keinen outgoing traffic. Bei allen weiteren Sys-Reboots, ist der Tunnel inaktiv und eine Aktivierung macht keine Probleme Ich sehe auch kein Windows Service (abgesehen von der Wireguard GUI) dass ich stoppen bzw. am Autostart hindern könnte Irgendwer eine Idee, wie ich Wireguard diese unart abdrehe, dass es nach der erstmaligen Installation & reboot sofort/automagisch versucht einen Tunnel aufzubauen?
mr.nice. security baseline pusher Registered: Jun 2004 Location: Wien Posts: 6708	14.08.2024 - 16:29 Laut der Wireguard Doku ist der Tunnel Service dazu da Tunnel Adapter zu erstellen und zu konfigurieren und der Manager Service ist dazu da diese zu starten und zu stoppen. Ich denke ganz ohne den manager service wirds nicht gehen.

Wireguard auf Windows installieren (via CLI)

Forum Index > Software > Applications, Apps & Drivers

TOM

m@d.max

mr.nice.

TOM

mr.nice.

TOM

TOM

mr.nice.