Was macht WireGuard AllowedIPs tatsächlich?

Das allowed_ips-Feld von Wireguard hat zwei verschiedene Funktionen. Betrachten wir die folgende WireGuard-Konfiguration (generiert durch das WireguardConfig-Site2Site-Beispiel):

wg_config_example.conf

[Interface]
# Name = office1.mydomain.org
PrivateKey = ......
Address = 10.82.85.1/24
ListenPort = 19628

[Peer]
# Name = office2.mydomain.org
PublicKey = ...
AllowedIPs = 10.82.85.2/32, 192.168.200.0/24
PersistentKeepalive = 60

[Interface]
# Name = office1.mydomain.org
PrivateKey = ......
Address = 10.82.85.1/24
ListenPort = 19628

[Peer]
# Name = office2.mydomain.org
PublicKey = ...
AllowedIPs = 10.82.85.2/32, 192.168.200.0/24
PersistentKeepalive = 60

Es ist zu sehen, dass für den Peer office2.mydomain.org das AllowedIPs-Feld auf 10.82.85.2/32, 192.168.200.0/24 gesetzt ist.

AllowedIPs macht zwei Dinge:

Es fügt eine Route zu den angegebenen Netzwerken hinzu, d.h. Pakete an 10.82.85.2/32 oder an 192.168.200.0/24 werden über die WireGuard-Schnittstelle an diesen Peer geroutet
Es erlaubt Paketen mit den Quell-IPs 10.82.85.2/32 oder 192.168.200.0/24, vom angegebenen Peer über die WireGuard-Schnittstelle geroutet zu werden

Besonders der zweite Punkt ist wichtig. Jedes Paket vom angegebenen Peer mit einer Quell-IP-Adresse, die nicht in AllowedIPs **aufgeführt ist, wird verworfen!**Dies ersetzt zwar keine Firewall, dient aber als integraler Bestandteil des Wireguard-Sicherheitsmodells.

Check out similar posts by category: VPN, Wireguard

If this post helped you, please consider buying me a coffee or donating via PayPal to support research & publishing of new posts on TechOverflow

Buy me a coffee