Die ultimative Anleitung: So richten Sie ein sicheres WireGuard VPN zwischen Unifi UDM Pro und Windows Server ein

In der heutigen vernetzten Welt ist sicherer Fernzugriff auf Ihre Netzwerkressourcen unerlässlich. Ob Sie von zu Hause aus auf Ihr Firmennetzwerk zugreifen, einen Server in einem anderen Büro verwalten oder einfach nur Ihre Daten schützen möchten – ein Virtual Private Network (VPN) ist die Lösung. Unter den verschiedenen VPN-Technologien hat sich WireGuard als moderner, schneller und sicherer Standard etabliert. Diese umfassende Anleitung führt Sie Schritt für Schritt durch die Einrichtung eines WireGuard VPN zwischen Ihrer UniFi UDM Pro als Server und einem Windows Server als Client. Machen Sie sich bereit, eine robuste und effiziente VPN-Verbindung zu erstellen!

Warum WireGuard die beste Wahl für Ihr VPN ist

Bevor wir in die Details der Konfiguration eintauchen, lassen Sie uns kurz beleuchten, warum WireGuard die ideale Wahl für Ihre VPN-Anforderungen ist:

• Leistung und Geschwindigkeit: WireGuard wurde von Grund auf mit Blick auf Leistung entwickelt. Es nutzt moderne kryptografische Primitiven und einen schlanken Code, was zu deutlich höheren Geschwindigkeiten und geringerer Latenz im Vergleich zu älteren Protokollen wie OpenVPN oder IPsec führt.
• Einfachheit: Trotz seiner Leistungsfähigkeit ist WireGuard bemerkenswert einfach zu konfigurieren. Die Konfigurationsdateien sind klein und leicht verständlich, was die Fehlerbehebung und Wartung vereinfacht.
• Sicherheit: WireGuard setzt auf aktuelle, sorgfältig ausgewählte kryptografische Algorithmen und Protokolle, um eine hohe Sicherheit zu gewährleisten. Es ist widerstandsfähig gegen bekannte Angriffe und bietet einen starken Schutz für Ihre Daten.
• Modern und Open Source: Als relativ neues Projekt profitiert WireGuard von einem modernen Design und einer aktiven Entwicklergemeinschaft. Es ist Open Source, was Transparenz und Vertrauen fördert.

Voraussetzungen und Vorbereitungen

Bevor Sie mit der Konfiguration beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen und die notwendigen Informationen bereithalten:

• UniFi UDM Pro: Stellen Sie sicher, dass Ihre UDM Pro die neueste Firmware-Version ausführt. Zugriff auf die UniFi OS Oberfläche (via Webbrowser) ist erforderlich.
• Windows Server: Ein lauffähiger Windows Server (z.B. Windows Server 2016, 2019, 2022) mit Administratorrechten.
• Netzwerkinformationen:
  • Die öffentliche IP-Adresse Ihrer UDM Pro (oder der Domainname, der auf diese IP-Adresse zeigt).
  • Das lokale Subnetz, das die UDM Pro verwaltet (z.B. 192.168.1.0/24).
  • Das gewünschte IP-Adress-Subnetz für das WireGuard VPN (z.B. 10.255.255.0/24). Wählen Sie ein Subnetz, das nicht mit Ihren bestehenden lokalen Netzwerken kollidiert.
• Internetverbindung: Eine stabile Internetverbindung für beide Geräte.
• Grundlegende Netzwerkkenntnisse: Verständnis von IP-Adressen, Subnetzen und Port-Weiterleitungen.

Wichtiger Hinweis zur UDM Pro als Server:

Die UniFi UDM Pro kann nativ als WireGuard VPN-Server fungieren. Wir werden einen VPN-Server auf der UDM Pro erstellen und dann einen Peer (Client) für unseren Windows Server hinzufügen. Die UDM Pro generiert dann automatisch die Konfigurationsdatei für den Windows Server.

Schritt 1: WireGuard Server auf der UniFi UDM Pro konfigurieren

Wir beginnen mit der Einrichtung des WireGuard-Servers auf Ihrer UDM Pro. Melden Sie sich dazu in Ihrer UniFi OS Oberfläche an.

1. Navigation zu den VPN-Einstellungen:
   • Öffnen Sie einen Webbrowser und navigieren Sie zur IP-Adresse Ihrer UDM Pro (z.B. https://192.168.1.1).
   • Melden Sie sich mit Ihren Administratoranmeldeinformationen an.
   • Klicken Sie im linken Menü auf „Einstellungen” (Zahnrad-Symbol).
   • Wählen Sie im Einstellungsmenü „VPN” aus.
2. Einen neuen VPN-Server erstellen:
   • Unter dem Tab „VPN Server” klicken Sie auf „Neu erstellen”.
   • Wählen Sie als „VPN-Protokoll” die Option „WireGuard”.
   • Geben Sie einen aussagekräftigen „Namen” für Ihren VPN-Server ein (z.B. WireGuard_Server_Home).
   • Wählen Sie einen „Port” für WireGuard. Der Standardport ist 51820/UDP. Es wird empfohlen, diesen zu verwenden, es sei denn, Sie haben einen speziellen Grund, ihn zu ändern. Stellen Sie sicher, dass dieser Port in Ihrer Firewall (sofern vorhanden, vor der UDM Pro) eingehend zugelassen ist.
   • Legen Sie das „VPN-Netzwerk” fest. Dies ist das Subnetz, in dem Ihre VPN-Clients ihre IP-Adressen erhalten. Verwenden Sie ein nicht-kollidierendes Subnetz wie 10.255.255.0/24.
   • Die „DNS-Server” können Sie auf „Automatisch” lassen, um die DNS-Server Ihrer UDM Pro zu verwenden, oder benutzerdefinierte DNS-Server (z.B. 1.1.1.1 und 8.8.8.8) eingeben.
   • Klicken Sie auf „Erstellen”.
3. Einen VPN-Client (Peer) für den Windows Server hinzufügen:
   • Nachdem der WireGuard Server erstellt wurde, sehen Sie ihn in der Liste. Klicken Sie auf den soeben erstellten Server.
   • Im Detailfenster des Servers finden Sie den Abschnitt „VPN Clients”. Klicken Sie auf „Neu hinzufügen”.
   • Geben Sie einen „Namen” für den Client ein (z.B. WindowsServer_Client).
   • Die UDM Pro generiert automatisch einen „Privaten Schlüssel” und einen „Öffentlichen Schlüssel” für diesen Client. Sie müssen diese nicht manuell generieren.
   • Die „IP-Adresse” des Clients wird automatisch aus dem von Ihnen festgelegten VPN-Netzwerk zugewiesen (z.B. 10.255.255.2). Notieren Sie sich diese IP-Adresse.
   • Klicken Sie auf „Erstellen”.
4. Client-Konfiguration exportieren:
   • Nachdem der Client erstellt wurde, klicken Sie erneut auf ihn.
   • Im Detailfenster des Clients sehen Sie die Option „Konfiguration herunterladen”. Klicken Sie darauf.
   • Es wird eine .conf-Datei heruntergeladen. Diese Datei enthält alle notwendigen Informationen, um Ihren Windows Server als WireGuard-Client zu konfigurieren. Bewahren Sie diese Datei sicher auf, da sie sensible Informationen (Schlüssel) enthält.

Schritt 2: WireGuard Client auf dem Windows Server installieren und einrichten

Nun richten wir den Windows Server als Client ein, der sich mit Ihrer UDM Pro verbindet.

1. WireGuard Software herunterladen und installieren:
   • Melden Sie sich auf Ihrem Windows Server an.
   • Öffnen Sie einen Webbrowser und navigieren Sie zur offiziellen WireGuard-Website: https://www.wireguard.com/install/
   • Laden Sie die „WireGuard for Windows”-Anwendung herunter und installieren Sie sie mit Administratorrechten.
2. WireGuard Konfiguration importieren:
   • Öffnen Sie die WireGuard-Anwendung auf Ihrem Windows Server.
   • Klicken Sie auf „Tunnel hinzufügen” und dann auf „Aus Datei importieren”.
   • Navigieren Sie zu der .conf-Datei, die Sie zuvor von Ihrer UDM Pro heruntergeladen haben, und wählen Sie sie aus.
   • Die Konfiguration wird geladen und ein neuer Tunnelname (z.B. WindowsServer_Client) wird angezeigt.
3. Konfiguration überprüfen und anpassen (falls nötig):

   Die importierte Konfiguration sollte weitgehend korrekt sein, aber es ist gut, sie zu überprüfen und wichtige Anpassungen für den Fernzugriff vorzunehmen. Klicken Sie auf „Bearbeiten” für den importierten Tunnel.

   [Interface]
   PrivateKey = [Ihr privater Schlüssel vom Windows Server, automatisch generiert]
   Address = 10.255.255.2/32  # Die zugewiesene IP-Adresse des Clients
   DNS = 192.168.1.1         # Die IP des DNS-Servers (oft UDM Pro LAN IP oder externe DNS)
   
   [Peer]
   PublicKey = [Der öffentliche Schlüssel des UDM Pro WireGuard Servers]
   Endpoint = IHRE_UDMPRO_OEFFENTLICHE_IP:51820  # Öffentliche IP oder Domain der UDM Pro und der WireGuard Port
   AllowedIPs = 10.255.255.2/32, 192.168.1.0/24 # Wichtig: Hier müssen das VPN-Client-IP und ALLE Subnetze stehen,
                                             # auf die der Windows Server über das VPN zugreifen soll (z.B. Ihr UDM Pro LAN)
   PersistentKeepalive = 25                  # Optional, aber empfohlen für Clients hinter NAT (alle 25 Sekunden ein Keepalive)

   • AllowedIPs: Dies ist ein kritischer Punkt. Standardmäßig enthält die UDM Pro Konfiguration oft nur die IP des Clients selbst (z.B. 10.255.255.2/32). Damit der Windows Server jedoch auf Ressourcen im LAN hinter der UDM Pro zugreifen kann, müssen Sie das Subnetz Ihres UDM Pro LANs (z.B. 192.168.1.0/24) zu den AllowedIPs hinzufügen. Trennen Sie mehrere Einträge durch ein Komma.
   • PersistentKeepalive: Fügen Sie PersistentKeepalive = 25 unter [Peer] hinzu. Dies ist besonders nützlich, wenn Ihr Windows Server hinter einem NAT-Router steht. Es sendet alle 25 Sekunden ein kleines Paket, um die NAT-Verbindung offen zu halten.
   • Klicken Sie nach den Änderungen auf „Speichern”.
4. VPN-Verbindung aktivieren:
   • Klicken Sie auf „Aktivieren” neben dem Tunnelnamen in der WireGuard-Anwendung.
   • Die Verbindung sollte nun aufgebaut werden. Sie können dies am Status „Aktiv” und an den gesendeten/empfangenen Datenpaketen erkennen.

Schritt 3: Netzwerk-Routing und Firewall-Regeln auf dem Windows Server (Optional, aber empfohlen)

In den meisten Fällen reicht die AllowedIPs-Konfiguration aus, um den Zugriff vom Windows Server auf das UDM Pro LAN zu ermöglichen. Es kann jedoch zusätzliche Schritte erfordern, insbesondere wenn der Windows Server selbst als Gateway für andere Dienste fungieren soll oder Sie spezifische Firewall-Probleme haben.

1. Windows Firewall überprüfen:
   • Stellen Sie sicher, dass die Windows Firewall auf dem Server ausgehende Verbindungen über das WireGuard-Interface zulässt. Normalerweise ist dies standardmäßig der Fall.
   • Wenn Sie vom UDM Pro LAN auf bestimmte Dienste (z.B. RDP, SMB) auf dem Windows Server zugreifen möchten, müssen Sie entsprechende eingehende Regeln in der Windows Firewall erstellen, die den Zugriff vom VPN-Subnetz (z.B. 10.255.255.0/24) oder dem UDM Pro LAN (z.B. 192.168.1.0/24) erlauben.
2. IP-Weiterleitung (falls erforderlich):

   Dies ist nur relevant, wenn der Windows Server selbst als Router für *andere* Geräte fungieren soll, die über ihn auf das UDM Pro LAN zugreifen möchten. Für einen einzelnen Client-Server ist dies normalerweise nicht nötig.

   • Öffnen Sie die PowerShell als Administrator.
   • Aktivieren Sie die IP-Weiterleitung mit folgendem Befehl:

     Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesTcpipParameters" -Name "IPEnableRouter" -Value 1

   • Starten Sie den Server neu, damit die Änderung wirksam wird.

Schritt 4: Testen der VPN-Verbindung

Nachdem alles konfiguriert ist, ist es Zeit, die Verbindung zu testen.

1. Ping-Test:
   • Öffnen Sie die Eingabeaufforderung (CMD) oder PowerShell auf Ihrem Windows Server.
   • Pingen Sie die IP-Adresse Ihrer UDM Pro im VPN-Subnetz (z.B. ping 10.255.255.1).
   • Pingen Sie eine IP-Adresse eines Geräts im lokalen LAN Ihrer UDM Pro (z.B. ping 192.168.1.1 oder ein anderes Gerät).
   • Wenn die Pings erfolgreich sind, ist die grundlegende Verbindung hergestellt.
2. Dienstzugriff testen:
   • Versuchen Sie, über die IP-Adresse auf eine Netzwerkfreigabe (SMB) auf einem Gerät im UDM Pro LAN zuzugreifen (z.B. \192.168.1.XShare).
   • Stellen Sie eine RDP-Verbindung zu einem anderen Windows-Computer im UDM Pro LAN her.
   • Überprüfen Sie den Zugriff auf Webserver oder andere Anwendungen, die im UDM Pro LAN gehostet werden.

Wenn alle Tests erfolgreich sind, haben Sie Ihr sicheres WireGuard VPN erfolgreich eingerichtet!

Fehlerbehebung und häufige Probleme

Sollten Sie Probleme bei der Verbindung haben, überprüfen Sie die folgenden Punkte:

• Firewall auf der UDM Pro: Stellen Sie sicher, dass der UDP-Port (standardmäßig 51820) für eingehenden Traffic auf Ihrer UDM Pro WAN-Schnittstelle geöffnet ist. Die UDM Pro sollte dies normalerweise automatisch tun, wenn Sie den WireGuard Server erstellen, aber es ist gut, dies zu überprüfen.
• Firewall auf dem Windows Server: Überprüfen Sie die Windows Firewall. Für ausgehende Verbindungen sollte es keine Probleme geben, aber für eingehende Verbindungen auf dem Server (falls Sie diese benötigen) müssen explizite Regeln erstellt werden.
• AllowedIPs auf dem Windows Client: Ist das Subnetz des UDM Pro LANs (z.B. 192.168.1.0/24) korrekt in den AllowedIPs der WireGuard-Konfiguration auf dem Windows Server eingetragen?
• IP-Adresskonflikte: Stellen Sie sicher, dass das VPN-Subnetz (z.B. 10.255.255.0/24) nicht mit anderen lokalen Netzwerken auf dem Windows Server oder der UDM Pro kollidiert.
• Öffentliche IP-Adresse/Domain: Ist die Endpoint-Adresse in der Client-Konfiguration die korrekte öffentliche IP-Adresse oder der Domainname Ihrer UDM Pro?
• Schlüsselpaare: Haben Sie die korrekten öffentlichen/privaten Schlüssel zwischen Server und Client ausgetauscht? Die UDM Pro übernimmt dies bei der Konfigurationserstellung.
• PersistentKeepalive: Wenn der Windows Server hinter einem NAT-Router steht und die Verbindung nach einer Weile abbricht, aktivieren Sie PersistentKeepalive = 25 in der Client-Konfiguration.

Sicherheitsaspekte und Best Practices

Ein sicheres VPN ist nur so sicher wie seine Implementierung. Beachten Sie diese Best Practices:

• Starke Schlüssel: WireGuard generiert automatisch starke Schlüssel, aber stellen Sie sicher, dass Sie diese nicht teilen und sicher aufbewahren.
• Regelmäßige Updates: Halten Sie die Firmware Ihrer UDM Pro und die WireGuard-Software auf Ihrem Windows Server immer auf dem neuesten Stand, um von den neuesten Sicherheitsverbesserungen und Fehlerbehebungen zu profitieren.
• Minimalprinzip: Erlauben Sie nur den Zugriff auf die Dienste und Subnetze, die der Windows Server wirklich über das VPN erreichen muss. Beschränken Sie die AllowedIPs entsprechend.
• Zugriffskontrolle: Sichern Sie den Zugriff auf Ihre UDM Pro und den Windows Server mit starken Passwörtern und, falls möglich, mit Zwei-Faktor-Authentifizierung (2FA).
• Überwachung: Überwachen Sie die Protokolle Ihrer UDM Pro und des Windows Servers auf ungewöhnliche Aktivitäten oder Anmeldeversuche.
• Backup: Erstellen Sie regelmäßig Backups Ihrer UDM Pro Konfigurationen.

Fazit

Herzlichen Glückwunsch! Sie haben nun ein robustes, schnelles und sicheres WireGuard VPN erfolgreich zwischen Ihrer UniFi UDM Pro und Ihrem Windows Server eingerichtet. Diese Verbindung ermöglicht Ihnen den zuverlässigen Fernzugriff auf Ihre Netzwerkressourcen und schützt Ihre Daten mit modernster Kryptographie. Mit WireGuard und UniFi profitieren Sie von einer leistungsstarken Kombination, die sowohl für Heimanwender mit hohen Ansprüchen als auch für kleine Unternehmen ideal ist. Bleiben Sie sicher und vernetzt!