Bild mit dem Schriftzug: WireGuard VPN Tunnel pfSense

WireGuard auf pfSense: Schlank, schnell und sicher

Ein VPN gehört zur Grundausstattung (wie ich schon im Artikel zur OPNsense erwähnt habe,  wenn es um sichere Kommunikation über das Internet geht. Ob für den Fernzugriff auf ein internes Netzwerk, den Schutz der Privatsphäre oder die sichere Verbindung zwischen Standorten – eine gut konfigurierte VPN-Lösung ist essenziell. pfSense bietet von Haus aus IPsec und OpenVPN, doch beide Protokolle haben ihre Eigenheiten. IPsec kann durch seine Komplexität und Firewall-Probleme frustrieren, während OpenVPN durch Performance-Einbußen und eine aufwendige Konfiguration ebenfalls Kopfschmerzen bereiten kann.

Hier kommt das VPN-Protokoll WireGuard ins Spiel. Diese VPN-Technologie wurde entwickelt, um einfacher, sicherer und schneller zu sein. Weniger Code, weniger Fehlerquellen und weniger Aufwand gehen mit WireGuard einher. ​In pfSense ist WireGuard zwar kein fester Bestandteil, kann aber über den Paket-Manager problemlos nachinstalliert werden.

In dieser Anleitung schauen wir uns an, warum WireGuard eine interessante Alternative zu IPsec und OpenVPN ist, wie es sich auf pfSense einrichten lässt und welche Vorteile es in Sachen Performance und Usability bietet.

Inhalte des Artikels WireGuard VPN auf pfSense

  1. WireGuard auf pfSense einrichten
  2. Video Tutorial: pfSense installieren und mit WireGuard einen VPN Tunnel einrichten
  3. Warnung, Achtung und Obacht
  4. Tiefere Informationen zu IPsec, OpenVPN und WireGuard

Achtung

Achtung. Keine Garantie auf Vollständigkeit. Eingriffe an Linux-Servern, können bei Unachtsamkeit oder Fehlern zu einem Datenverlust führen. Auch kann man sich aussperren, wenn man die Firewall, Ports, Netzwerke oder Konfigurationen falsch einstellt. Wenn Sie keine Erfahrung mit Linux haben, sollten Sie am besten zunächst die Finger davon lassen und sich erst mal an Linux rantasten. Die unten stehenden Anleitungen sind getestet und Funktionieren. Wenn Sie allerdings etwas nicht richtig machen, dann sperren Sie sich womöglich im Bereich SSH oder Firewall aus!

Linux Befehle nicht einfach blind in die Konsole eingeben. Es ist immer zu Prüfen, welche Linux- und Proxmox-Version verwendet werden. Auch ist die Netzwerk-, IP-, Server- und Umgebungskonfiguration ausschlaggebend, ob und wie die hier angegebenen Tipps angewendet werden können. Es sollte sich auch mit jedem Punkt einzeln und intensiv befasst werden. Man kann nicht einfach alles "abarbeiten" und dann läuft es. Proxmox abzusichern braucht Zeit und muss mit äußerster Vorsicht vonstatten gehen. Außerdem ist die Sicherheit von Servern ein dauernder Prozess. Alles einrichten und die Kellertür zuknallen, ist nicht. 

Zurück zum Inhalts Menü

Kostenlose IT-Sicherheits-Bücher - Information via Newsletter

Bleiben Sie informiert, wann es meine Bücher kostenlos in einer Aktion gibt: Mit meinem Newsletter erfahren Sie viermal im Jahr von Aktionen auf Amazon und anderen Plattformen, bei denen meine IT-Sicherheits-Bücher gratis erhältlich sind. Sie verpassen keine Gelegenheit und erhalten zusätzlich hilfreiche Tipps zur IT-Sicherheit. Der Newsletter ist kostenlos und unverbindlich – einfach abonnieren und profitieren!

Hinweis: Wenn Sie auf den Button klicken, werden Sie zu MailerLite weitergeleitet. Dort werden essentielle Cookies zur Sicherung der Funktion des Newsletterformulares gespeichert. Mit Ihrem Klick erteilen Sie das Einverständnis zur Verwendung dieser Cookies.

Zur Anmeldung

WireGuard auf pfSense einrichten

Die Einrichtung von WireGuard auf pfSense ist einfacher als gedacht. Während pfSense bereits IPsec und OpenVPN mitbringt, muss WireGuard zunächst über den Package Manager installiert werden. Danach folgt die Konfiguration der Schnittstellen, Peers und Firewall-Regeln. Am Ende steht eine funktionierende VPN-Verbindung, die stabil und performant läuft.

WireGuard-Paket installieren

  • Melden Sie sich an der pfSense-Weboberfläche an.
  • Gehen Sie zu System → Package Manager → Available Packages.
  • Suchen Sie nach WireGuard und installieren Sie das Paket os-wireguard.
  • Nach der Installation erscheint im Menü unter VPN der neue Eintrag WireGuard.

WireGuard-Instanz erstellen

  • Gehen Sie zu VPN → WireGuard.
  • Wechseln Sie in den Tab Tunnels und klicken Sie auf Add Tunnel.
  • Vergeben Sie einen Namen, z. B. „WireGuardVPN“.
  • Setzen Sie den Modus auf Standard, da pfSense als VPN-Server laufen soll.
  • Klicken Sie auf Generate bei Private Key, um einen Schlüssel zu erzeugen.
  • Der öffentliche Schlüssel wird automatisch berechnet. Notieren Sie diesen, da er für die Clients benötigt wird.

WireGuard-Schnittstelle anlegen

  • Wechseln Sie zu Interfaces → Assignments.
  • Fügen Sie ein neues Interface hinzu und weisen Sie ihm das WireGuard-Interface (tun_wg0) zu.
  • Aktivieren Sie das Interface und vergeben Sie eine statische IP-Adresse, z. B. 10.10.10.1/24.
  • Speichern und Änderungen übernehmen.

Peers (Clients) hinzufügen

  • Gehen Sie zurück zu VPN → WireGuard und wechseln Sie in den Tab Peers.
  • Klicken Sie auf Add Peer und vergeben Sie einen Namen, z. B. „Laptop“ oder „Smartphone“.
  • Tragen Sie den Public Key des Clients ein (dieser wird auf dem Client generiert).
  • Setzen Sie Allowed IPs auf 10.10.10.2/32 für ein einzelnes Gerät oder 10.10.10.0/24 für mehrere Geräte.
  • Falls der Client auch das Internet über das VPN nutzen soll, fügen Sie 0.0.0.0/0 zu Allowed IPs hinzu.
  • Falls sich der Client hinter einer NAT befindet, aktivieren Sie Persistent Keepalive und setzen Sie ihn auf 30 Sekunden.
  • Speichern.

Firewall-Regeln für WireGuard anpassen

  • Gehen Sie zu Firewall → Rules → WireGuard.
  • Erstellen Sie eine neue Regel, die eingehenden UDP-Traffic auf Port 51820 erlaubt.
  • Falls VPN-Clients sich gegenseitig erreichen sollen, fügen Sie eine weitere Regel hinzu, die den gesamten VPN-Verkehr erlaubt.
  • Speichern und Firewall neu laden.

NAT-Regel erstellen (falls VPN-Traffic ins Internet geleitet werden soll)

  • Gehen Sie zu Firewall → NAT → Outbound.
  • Setzen Sie den Modus auf Hybrid Outbound NAT.
  • Erstellen Sie eine Regel mit:
  • Source: 10.10.10.0/24
  • Destination: any
  • Translation Address: WAN Interface
  • Speichern.

Client-Konfiguration erstellen

  • Installieren Sie den WireGuard-Client auf dem Endgerät.
  • Erstellen Sie eine neue Konfiguration mit folgenden Parametern:

[Interface]
PrivateKey = <Client Private Key>
Address = 10.10.10.2/32
DNS = 8.8.8.8

[Peer]
PublicKey = <pfSense Public Key>
Endpoint = <WAN-IP der pfSense>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 30

  • Speichern und die Verbindung aktivieren.

Verbindung testen

  • Aktivieren Sie die WireGuard-Verbindung auf dem Client.
  • Prüfen Sie, ob eine IP-Adresse aus dem WireGuard-Netzwerk zugewiesen wurde.
  • Falls kein Handshake erfolgt, überprüfen Sie die Logs in pfSense unter Status → System Logs → VPN.

Nach diesen Schritten sollte WireGuard auf pfSense problemlos laufen. Falls zusätzliche Anforderungen wie Standort-zu-Standort-VPN oder spezielle Routen benötigt werden, können weitere Peers und Firewall-Regeln entsprechend konfiguriert werden.

Zurück zum Inhalts Menü

Proxmox VE 8.3.4 - Teil 17 - pfSense installieren und mit WireGuard einen VPN Tunnel einrichten

In diesem Video zeige ich Schritt für Schritt, wie Sie eine pfSense Firewall installieren, konfigurieren und absichern können. Wir gehen gemeinsam durch die gesamte Einrichtung und richten eine sichere Umgebung ein, die Ihren Netzwerkverkehr schützt.

Warnung, Achtung und Obacht

Beachten Sie, dass solche Systeme eine kontinuierliche Überwachung, Wartung und Aktualisierung erfordern. Die Vorgehensweisen, die ich Ihnen hier zeige, dienen als Anhaltspunkte und vermitteln die Grundlagen einer Einrichtung. Sie sollten sich jedoch stets weiterbilden und zusätzliche Informationen aus verlässlichen Quellen beschaffen.
IT-Sicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Sicherheitslücken entstehen nicht nur durch fehlerhafte Konfigurationen, sondern auch durch sich ständig weiterentwickelnde Bedrohungen und neue Angriffsmethoden. Ein System, das heute sicher erscheint, kann morgen bereits veraltet oder anfällig sein.
Daher ist es essenziell, dass Sie regelmäßig Updates durchführen, neue Sicherheitskonzepte prüfen und auf sich ändernde Bedingungen reagieren. Automatisierte Updates und Monitoring-Tools können helfen, aber ersetzen niemals eine aufmerksame Administration.
Lassen Sie ein solches System niemals unbeaufsichtigt laufen. Überwachen Sie Log-Dateien, prüfen Sie Verbindungsprotokolle und setzen Sie Benachrichtigungen für ungewöhnliche Aktivitäten ein. Sollten Sie Unregelmäßigkeiten bemerken, zögern Sie nicht, tiefgehende Analysen durchzuführen und gegebenenfalls Gegenmaßnahmen einzuleiten.
Die IT-Landschaft befindet sich in einem ständigen Wandel. Neue Technologien, bessere Verschlüsselungsmethoden und aktualisierte Protokolle können bestehende Lösungen verbessern – oder veralten lassen. Bleiben Sie wachsam und investieren Sie Zeit in die Pflege und Optimierung Ihrer Infrastruktur. IT-Sicherheit ist keine einmalige Aufgabe, sondern eine dauerhafte Verpflichtung.

Zurück zum Inhalts Menü

Ralf-Peter Kleinert - Buchautor für IT-Sichereit, Computersicherheit und Cybersecurity

Über den Autor: Ralf-Peter Kleinert

Über 30 Jahre Erfahrung in der IT legen meinen Fokus auf die Computer- und IT-Sicherheit. Auf meiner Website biete ich detaillierte Informationen zu aktuellen IT-Themen. Mein Ziel ist es, komplexe Konzepte verständlich zu vermitteln und meine Leserinnen und Leser für die Herausforderungen und Lösungen in der IT-Sicherheit zu sensibilisieren.

Mehr über mich, Ausbildung, Zertifizierungen

Meine Amazon Autorenseite

Aktualisiert: Ralf-Peter Kleinert 11.03.2025