WireGuard ist derzeit der hippe Schei\u00df, wenn man sich auf einer FritzBox von unterwegs ins eigene Netz einw\u00e4hlen will. Es kommt aus der Linux Welt und daher gibt es unter Windows einige Besonderheiten zu beachten.<\/p>\n\n\n\n
WireGuard ist von Haus aus unter Windows nur als Admin User sinnvoll zu bedienen. Es wird im Default eine GUI installiert, die man als non-Admin aber nicht aufrufen kann. Das ist leider systembedingt, da Wireguard immer ein neues Netzwerkinterface erzeugt, sobald ein Tunnel aufgebaut wird.<\/p>\n\n\n\n
Wenn man das Netz jetzt durchst\u00f6bert findet man relativ h\u00e4ufig den Vorschlag einen Registry Eingriff zu machen und dem non-Admin dann zus\u00e4tzlich zur Gruppe Users die Gruppe Netzwerkoperatoren zuzuweisen. Das funktioniert zwar, hat f\u00fcr mich aber den Haken, dass dem User hier allgemein h\u00f6here Rechte (zwar nicht Admin, aber deutlich mehr als User) zugesprochen werden. Das \u00e4u\u00dfert sich unter anderem darin, dass bei der jeder UAC Anfrage (also eigentlich die Abfrage nach Admin Credentials wegen bspw. einer Programminstallation) in der Liste der m\u00f6glichen User auch Netzwerkoperatoren aufgef\u00fchrt werden, also auch der „non-Admin“ den wir mit h\u00f6heren Rechten ausgestattet haben. Das schadet in den meisten F\u00e4llen nicht, weil der Netzwerkadministrator keine Berechtigung f\u00fcr die Installation von Programmen hat, aber es ist aus Ednuser Sicht verwirrend.<\/p>\n\n\n\n
Ich habe daher nach einem Ansatz geforscht, der es erm\u00f6glicht, mit normalen User Rechten einen Tunnel auf und abzubauen. Und das funktioniert<\/p>\n\n\n\n
Auch hierf\u00fcr kann man ganz normal unter Windows (nat\u00fcrlich mit Admin Rechten) das auf wireguard.com verf\u00fcgbare Client Paket installieren. Als Admin hat man dann auch Zugriff auf die normale GUI (zumindest noch).<\/p>\n\n\n\n
Als n\u00e4chstes braucht man eine VPN Konfigurationsdatei f\u00fcr Wireguard. Ich gehe hier einfach mal davon aus, dass ihr diese aus einer FritzBox oder auf anderem Wege erzeugt. F\u00fcr den Rest der Beschreibung gehe ich von „Beispiel.con“ aus.<\/p>\n\n\n\n
In der GUI kann man diese Datei dann entsprechend einlesen und sie wird mit dem Namen Beispiel angezeigt. Man sollte die Konfig dann testen. Daf\u00fcr mit einem Handy Hotspot (oder von einem anderen Internet Anschlu\u00df als dem, der als Ziel dient) \u00fcber die GUI den Tunnel aktivieren und pr\u00fcfen, ob man Ziele im Heimnetz erreichen kann. Wenn das erledigt ist k\u00f6nnen wir uns dem non-Admin Zugriff ann\u00e4hern!<\/p>\n\n\n\n
F\u00fcr die weitere Beschreibung gilt dar\u00fcber hinaus folgendes:<\/p>\n\n\n\n
Hier macht es schon einmal Sinn einen Terminl mit erh\u00f6hten Rechten (also cmd als Admin) auszuf\u00fchren.<\/p>\n\n\n\n
Grunds\u00e4tzliche legt Wireguard einen Service mit dem Namen Wireguard Manager an. Das ist das TrayIcon\/die GUI von Wireguard. Da wir ohne diese arbeiten werden, deaktivieren wir die GUI direkt:<\/p>\n\n\n\n
C:\\Program Files\\wireguard\\wireguard.exe \/uninstallmanagerservice<\/code><\/pre>\n\n\n\nFalls die GUI noch ge\u00f6ffnet ist, diese schliessen (\/rechte Maustaste Trayicon und dann beenden.<\/p>\n\n\n\n
\"C:\\Program Files\\wireguard\\wireguard.exe\" \/installtunnelservice \"C:\\Program Files\\WireGuard\\Data\\Configurations\\FBMS.conf.dpapi\"\nsc sdset \"WireguardTunnel$FBMS\" \"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU)(A;;RPWPDTRC;;;BU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)\"\nsc config \"WireguardTunnel$%tunnelname%\" start=demand\nnet start WireguardTunnel$FBMS\nnet stop WireguardTunnel$FBMS<\/code><\/pre>\n","protected":false},"excerpt":{"rendered":"WireGuard ist derzeit der hippe Schei\u00df, wenn man sich auf einer FritzBox von unterwegs ins eigene Netz einw\u00e4hlen will. Es kommt aus der Linux Welt und daher gibt es unter Windows einige Besonderheiten zu beachten. WireGuard ist von Haus aus unter Windows nur als Admin User sinnvoll zu bedienen. Es wird im Default eine GUI installiert, die man als non-Admin aber nicht aufrufen kann. Das ist leider systembedingt, da Wireguard…<\/p>\n","protected":false},"author":2,"featured_media":0,"parent":106,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-597","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/www.kastens.net\/WPSub\/dokumentation\/index.php?rest_route=\/wp\/v2\/pages\/597","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kastens.net\/WPSub\/dokumentation\/index.php?rest_route=\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.kastens.net\/WPSub\/dokumentation\/index.php?rest_route=\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.kastens.net\/WPSub\/dokumentation\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kastens.net\/WPSub\/dokumentation\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=597"}],"version-history":[{"count":3,"href":"https:\/\/www.kastens.net\/WPSub\/dokumentation\/index.php?rest_route=\/wp\/v2\/pages\/597\/revisions"}],"predecessor-version":[{"id":603,"href":"https:\/\/www.kastens.net\/WPSub\/dokumentation\/index.php?rest_route=\/wp\/v2\/pages\/597\/revisions\/603"}],"up":[{"embeddable":true,"href":"https:\/\/www.kastens.net\/WPSub\/dokumentation\/index.php?rest_route=\/wp\/v2\/pages\/106"}],"wp:attachment":[{"href":"https:\/\/www.kastens.net\/WPSub\/dokumentation\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=597"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}