Wireguard WAN Firewall Regeln

Vorwort:

Falls es auf dem WAN Interface eine "any to any" Regel gibt, besteht keine Notwendigkeit Wireguard Traffic explizit freizugeben. Eine "any to any" Regel sieht wie folgt aus:

P.S. im weiteren Verlauf wird die "any to any" Regel trotzdem zu sehen sein, da mein aktuelles Setup kein Whitelisting erfordert. Solange ich die Regel nicht explizit erwähne, muss sie nicht kopiert werden ;)

Port-Ranges:

Für Wireguard gibt es keine expliziten "well-known" Ports, gängig ist es aber von

51820 / 4440 

an die Ports für seinen Wireguard Server zu vergeben.

 

Firewall Regel:

Die Firewall Regel muss auf dem Interface angelegt werden, welches eine öffentliche IP-Addresse zugewiesen hat. In den meisten Fällen handelt es sich um das WAN Interface.

Um die Regeln nun anzulegen muss man zu Firewall: Rules: WAN navigieren und auf das + rechts oben klicken um eine neue Regel zu erstellen.

Nun finden wir uns im Firewall Regel Editor wieder, dort müssen wir zuerst das Protocol festlegen. In unserem Fall handelt es sich um reinen UDP Traffic.

Als nächstes könnte man bestimmen welche IP-Addressen auf den Wireguard Server zugreifen dürfen. In diesem Fall gehen wir davon aus, dass der Wireguard Server von allen Netzwerken aus erreichbar sein soll, daher muss bei dem Punkt Source nichts weiter geändert werden.

Die Destination sollte jedoch spezifiziert werden, dort wählen wir "WAN address" aus ("WAN address" ist ein Alias für die IP-Addresse die dem WAN Interface zugewiesen ist).

Bei Destination port range müssen wir nun noch den Port eintragen, welchen wir für den Wireguard Server benutzen wollen. Ich nehme als Beispiel den Port 51820.

Damit ist soweit alles konfiguriert, nun können wir die Regel abspeichern und anwenden.

Damit ist das erstellen der Regel abgeschlossen und der Wireguard Server wurde freigegeben.