Einrichten einer WireGuard-Verbindung (Responder)

  • Veröffentlicht am Dec 18, 2025
Prev Next

Dieser Configuration Guide zeigt, wie eine WireGuard-Verbindung zu einer Gegenstelle konfiguriert wird.

Situation

Es soll eine verschlüsselte WireGuard-Verbindung zu einem entfernten Peer (Gegenstelle) aufgebaut werden, der mit dem Internet verbunden ist. Die für die Verbindung erforderlichen Parameter sind durch eine WireGuard-Konfigurationsdatei definiert. Der Router soll keine Verbindung zur Gegenstelle aufbauen, also nicht als Initiator, sondern als Responder agieren. Der öffentliche Schlüssel der Gegenstelle ist bekannt. Der Router ist über eine öffentliche IP-Adresse oder Domain im Internet erreichbar.

Lösung

Es wird vorausgesetzt, dass Sie Zugriff auf das Web-Interface des Routers haben und der Router für eine WAN-Verbindung mit Hilfe des Schnellstart-Assistenten aus den Grundeinstellungen konfiguriert ist. Folgende Abbildung zeigt die Netzwerktopologie, die für dieses Beispiel verwendet wird:

Bitte beachten Sie für die verwendeten Adressen!

Alle Adressen sind beispielhaft für das vorliegende Beispiel und müssen an Ihre Anwendung angepasst werden.

Konfiguration des Routers

Für eine WireGuard-Verbindung muss zuerst der eigene Endpunkt konfiguriert werden und danach die Gegenstellen (Peers), zu denen Verbindungen aufgebaut werden sollen.

  1. Öffnen Sie die Bedienoberfläche des Routers: https://insys.icom

  2. Klicken Sie auf der Seite Netzwerk → Interfaces unter WireGuard auf , um ein neues WireGuard-Interface hinzuzufügen, und konfigurieren Sie dieses entsprechend:

    • Beschreibung: Local WireGuard Peer

    • Privater Schlüssel: klicken Sie auf Neues Schlüsselpaar generieren; ein neues Schlüsselpaar wird generiert und eingetragen

      Bitte beachten Sie zu den Schlüsseln!

      Ein Schlüsselpaar besteht aus einem privaten und einem zugehörigen öffentlichen Schlüssel. Der öffentliche Schlüssel muss der Gegenstelle der WireGuard-Verbindung mitgeteilt werden. Die Gegenstelle verwendet diesen öffentlichen Schlüssel, um die WireGuard-Pakete zu markieren, die an diese Gegenstelle adressiert sind.

    • Lokale Tunneladresse / Netzmaske: 10.0.0.1/24

    • Eingehende Verbindungen annehmen an Port: 51820

      Bitte beachten Sie für den Port!

      Der Port muss derselbe sein, der bei der Gegenstelle eingetragen ist, damit der Router auf WireGuard-Pakete von dieser Gegenstelle hören kann, die seinen öffentlichen Schlüssel enthalten. 51820 ist ein Standard-Port für WireGuard, es kann aber auch ein anderer Port verwendet werden. Wird kein Port angegeben, wird dieser zufällig vergeben und die Gegenstelle kann, ohne diesen Port zu kennen, keine WireGuard-Verbindung aufbauen.

  3. Klicken Sie auf der Seite Netzwerk → Interfaces unter WireGuard hinzufügen im Feld WireGuard-Gegenstellen hinzufügen auf , um eine neue WireGuard-Gegenstelle hinzuzufügen, und konfigurieren Sie diese entsprechend:

    • Beschreibung: Remote WireGuard Peer

    • Öffentlicher Schlüssel: tragen Sie hier den öffentlichen Schlüssel der Gegenstelle ein

    • Zugelassene IP-Adressen: 0.0.0.0/0  

      Bitte beachten Sie zu den zugelassenen IP-Adressen!

      Geben Sie sämtliche Adressen im CIDR-Format ein, die Daten über diesen WireGuard-Tunnel senden und empfangen dürfen. Mehrere Adressen müssen durch Kommas getrennt werden. Die Catch-All-Adressen 0.0.0.0/0 für alle IPv4-Adressen und ::/0 für alle IPv6-Adressen erlauben sämtliche Adressen über das jeweilige Protokoll.

    • Endpunkt / Port: kann optional eingegeben werden, um eine Verbindung zur Gegenstelle aufzubauen; der Endpunkt-Port muss identisch mit dem Port sein, der für die Gegenstelle als Listen-Port konfiguriert ist

    • Pre-Shared Key: kann optional im base64-Format für eine zusätzliche Ebene symmetrischer Verschlüsselung eingegeben werden; dann muss dieser auch in der Gegenstelle konfiguriert werden

    • Keep-Alive-Intervall: kann optional in Sekunden eingegeben werden; dann werden authentifizierte leere Pakete an die Gegenstelle gesendet, um die Verbindung für eine Stateful Firewall oder NAT-Mapping aufrecht zu erhalten; ist dieser Wert leer oder auf 0 (Null) konfiguriert, ist diese Funktion deaktiviert

  4. Klicken sie auf SPEICHERN.

  5. Klicken Sie auf der Seite Netzwerk → Firewall / NAT unter IP-Filter auf , um eine neue Firewall-Regel hinzuzufügen, die Pakete durch den WireGuard-Tunnel an den Router erlaubt, und konfigurieren Sie diese entsprechend:

    • Beschreibung: Traffic through the WireGuard tunnel to the router - in

    • Paket-Richtung: INPUT

    • IP-Version: Alle

    • Protokoll: Alle

    • Eingehendes Interface: wg1

    • Absender-IP-Adresse / Netzmaske:

      Bitte beachten Sie für die Firewall-Regeln!

      Die Regeln in diesem Beispiel erlauben mehr als nötig unter Aufrechterhaltung einer hohen Sicherheit. Sie können diese auch weiter auf für ihre Anwendung unbedingt erforderlichen Datenverkehr einschränken und damit die Sicherheit weiter erhöhen.

  6. Klicken sie auf SPEICHERN.

  7. Klicken Sie auf der Seite Netzwerk → Firewall / NAT unter IP-Filter auf , um eine neue Firewall-Regel hinzuzufügen, die Pakete durch den WireGuard-Tunnel vom Router erlaubt, und konfigurieren Sie diese entsprechend:

    • Beschreibung: Traffic through the WireGuard tunnel sent by the router - out

    • Paket-Richtung: OUTPUT

    • IP-Version: Alle

    • Protokoll: Alle

    • Ausgehendes Interface: wg1

    • Absender-IP-Adresse / Netzmaske:

  8. Klicken sie auf SPEICHERN.

  9. Klicken Sie auf der Seite Netzwerk → Firewall / NAT unter IP-Filter auf , um eine neue Firewall-Regel hinzuzufügen, die Pakete aus dem lokalen Netz durch den WireGuard-Tunnel erlaubt, und konfigurieren Sie diese entsprechend:

    • Beschreibung: Traffic from the local net through the WireGuard tunnel

    • Paket-Richtung: FORWARD

    • IP-Version: Alle

    • Protokoll: Alle

    • Eingehendes Interface: net1, net2

    • Eingehendes Interface: wg1

    • Absender-IP-Adresse / Netzmaske:

    • Ziel-IP-Adresse / Netzmaske:

  10. Klicken sie auf SPEICHERN.

  11. Klicken Sie auf der Seite Netzwerk → Firewall / NAT unter IP-Filter auf , um eine neue Firewall-Regel hinzuzufügen, die Pakete aus durch den WireGuard-Tunnel in das lokale Netz erlaubt, und konfigurieren Sie diese entsprechend:

    • Beschreibung: Traffic through the WireGuard tunnel to the local net

    • Paket-Richtung: FORWARD

    • IP-Version: Alle

    • Protokoll: Alle

    • Eingehendes Interface: wg1

    • Eingehendes Interface: net1, net2

    • Absender-IP-Adresse / Netzmaske:

    • Ziel-IP-Adresse / Netzmaske:

  12. Klicken sie auf SPEICHERN.

  13. Klicken Sie auf der Seite Netzwerk → Firewall / NAT unter IP-Filter auf , um eine neue Firewall-Regel hinzuzufügen, den Aufbau des WireGuard-Tunnel erlaubt, und konfigurieren Sie diese entsprechend:

    • Beschreibung: WireGuard (tunnel establishment)

    • Paket-Richtung: INPUT

    • IP-Version: Alle

    • Protokoll: UDP

    • Eingehendes Interface: lte2

    • Absender-Port:

    • Ziel-Port: 51820

  14. Klicken sie auf SPEICHERN.

  15. Klicken Sie auf der Seite Netzwerk → WAN / Internet auf der WAN-Kette wan1 - Primäre Internetverbindung, um diese zu bearbeiten.

  16. Klicken Sie auf , um ein weiteres Interface hinzuzufügen, und wählen Sie das WireGuard-Interface wg1 als Interface.

  17. Klicken sie auf SPEICHERN.

  18. Aktivieren Sie das Profil mit einem Klick auf PROFIL AKTIVIEREN .

Konfiguration der Gegenstelle

Neben dem Router muss auch die Gegenstelle so konfiguriert werden, dass sie eine Verbindung zum Router aufbauen kann. Die Vorgehensweise dafür ist je nach Gegenstelle unterschiedlich. Grundsätzlich sind folgende Konfigurationen erforderlich.

  1. Konfigurieren Sie im Abschnitt Interface:

    • den ListenPort, der identisch mit dem des Routers sein muss.

    • unter Address die lokale Tunnel-Adresse des Peers, die im selben IP-Netz wie die Tunnel-Adresse des Routers liegen muss.

  1. Konfigurieren Sie im Abschnitt Peer:

    • den PublicKey des Routers.

    • unter AllowedIPs den Adressbereich des Tunnel-IP-Netzwerks.

    • unter Endpoint die Adresse oder Domäne unter der der Router im Internet erreichbar ist.

Erfolgskontrolle

Nachdem Router und Gegenstelle für eine gemeinsame WireGuard-Verbindung konfiguriert sind, sollte die Gegenstelle eine Verbindung zum Router aufbauen.

  1. Öffnen Sie die Seite Status → Dashboard und klicken Sie im Bereich Netzwerk-Konfiguration auf das WireGuard-Interface am Ende der WAN-Kette in der Spalte VPN.

Der bestätigte Handschake und die übertragenen Daten zeigen, dass die WireGuard-Verbindung erfolgreich aufgebaut wurde.

Fehlersuche

  • Deaktivieren Sie im Menü Netzwerk → Firewall / NAT unter Einstellungen IP-Filter die IP-Filter für IPv4, um herauszufinden, ob falsche Filtereinstellungen der Grund für Verbindungsprobleme sind.

  • Wenn die WireGuard-Verbindung aufgebaut wird, aber eine Kommunikation ins Netzwerk hinter dem Router nicht möglich ist, können Sie auf der Seite Administration → Debugging das Werkzeug TCP-Dump verwenden, mit dem Parameter -i net2 einen TCP-Dump im lokalen Netzwerk des Routers oder -i wg1 im Tunnel durchzuführen. Die Ergebnisse können einen Hinweis darauf liefern, wo die Pakete enden.

  • Prüfen Sie, ob die Gegenstelle möglicherweise hinter einer Firewall (z. B. Windows-Firewall bei einem PC) liegt und diese den Datenverkehr verhindert.