Wireguard -> welche Ports werden genutzt

**madmax79** · 15.02.22, 08:32

Hallo zusammen,

ich baue mit

Code:

wg-quick up /etc/wireguard/vpn.conf

Eine Verbindung zu der Gegenseite auf. Soweit so gut. Nun hatte ich versucht über meine Sophos FW zu erfahren, welche Ports WG überhaupt braucht.
Leider geben die Logs nicht viele Infos her.

Ich habe es bisher nur hinbekommen, eine Verbindung aufzubauen, wenn ich in der Sophos FW zum Ziel alle Ports freischalte. Das würde ich ungern so stehen lassen wollen.

Wie kann ich also am bestehen sehen, wie die Ports belegt sind?
Ich nutze Suse 15.1

Vielen Dank für eure Hilfe.

**corresponder** · 15.02.22, 09:50

auf dem Server:
ListenPort = 51194

wobei der ja am End frei einstellbar ist....

?!

auf dem Clienten könntest du mal mit "netstat" gucken, was da verbunden wird....

**nopes** · 15.02.22, 10:38

hmm den Port konfiguriert man doch, ansonsten kann man sich diesen Befehl merken:

Code:

netstat -tulpen

Der Zeigt alle lauschen Ports inklusive der verantworlichen PID an.

**craano** · 15.02.22, 11:32

Zitat von corresponder

auf dem Server:
ListenPort = 51194

Ist das nicht nur der Port auf dem der Client der Server erreichen kann?
Für jeden Tunnel handeln Server und Client dann jeweils einen eigenen Port aus.

Zitat von corresponder

auf dem Clienten könntest du mal mit "netstat" gucken, was da verbunden wird....

Wenn du auf dem Server oder Clients einfach als root wg aufrufst, kannst Du die verwendeten Ports sehen.
In diesem Fall 23 zur Verbindungsaufnahme und 65486 für den Tunnel mit diesem Client.

Code:

# wg
interface: wg11
  public key: xxxxxxxxxxxxxxxxo8fcdft1Hns/hL9JT1JMS/2cSk=
  private key: (hidden)
  listening port: 23

peer: xxxxxxxxxxxxxxxxowcrYBy1Hns/hL9JT1JMS123f=
  endpoint: [2003:x:x:x:x:x:x:x]:65486
  allowed ips: 100.72.74.53/32, fd00:100:72:74::53/128
  latest handshake: 1 minute, 55 seconds ago
  transfer: 65.70 MiB received, 4.21 GiB sent

**madmax79** · 16.02.22, 08:07

Hallo zusammen,

Als root und dann mit wg sehe ich die Ports.
Ist das richtig, dass Wireguard UPD nutzt?

Wenn bei jedem Verbindungsaufbau ein anderer Port genutzt wird, dann ist das ja nur schwer über die Firewall "abzufangen".
Wahrscheinlich gibt es auch keinen Portbereich der genutzt werden kann, oder?

**nopes** · 16.02.22, 08:53

Was steht dazu in der Doku?

**craano** · 16.02.22, 14:03

Zitat von madmax79

Hallo zusammen,

Als root und dann mit wg sehe ich die Ports.
Ist das richtig, dass Wireguard UPD nutzt?

Wenn bei jedem Verbindungsaufbau ein anderer Port genutzt wird, dann ist das ja nur schwer über die Firewall "abzufangen".
Wahrscheinlich gibt es auch keinen Portbereich der genutzt werden kann, oder?

Ja, WG verwendet UDP für den Tunnel.

In der Server config kann je Peer ein Endpoint definiert werden.

Code:

Endpoint = [2003:xxxx:xxxx:xxxx::1]:61350

Wenn man allerdings keinen Endpoint Schlüssel definiert, dann setzt WG die Werte automatisch oder ändert dynamisch die IP, wenn der Peer das Netzwerk wechselt (Roaming).

Vielleich kann man für die IP eine Wildcard setzen. Was passiert denn, wenn Du die IP einfach weglässt und nur den Port definierst?

Code:

Endpoint = []:61350

Oder einfach mal eine beliebige IP setzten, (dann aber "SaveConfig = false" in der Server Konfiguration!), vielleicht registriert WG die aktuelle IP dynamisch und dann wird nur der Port fest gebunden. Einen Versuch ist es wert.

HG
craano