Archiv štítku: wireguard

WireGuard klient ve Windows pro ne-administrátorský účet (non-admin account)

Aplikaci pro WireGuard klienta ve Windows musíme nainstalovat pod administrátorským účtem a tam i provést konfiguraci tunelu. Ne-administrátorský uživatel nemá oprávnění vytvářet nové tunely. Popis nastavení a konfiguraci tunelu najdete v článku Instalace WireGuard klienta pro Windows a nastavení na mikrotiku.

Ve výchozím nastavení pouze Administrátoři můžou zobrazit grafické rozhraní GUI WireGuard. Aby GUI mohli otevřít i jiní uživatelé, musíme do registrů přidat proměnnou LimitedOperatorUI typu DWORD a nastavit hodnotu na 1, která se nachází v klíči HKLM\Software\WireGuard\.

Případně si vytvoříme soubor s příponou <jméno souboru>.reg a s obsahem a přidáme jej do registru:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WireGuard]
"LimitedOperatorUI"=dword:00000001

Bez úpravy v registrech se zobrazí chybová hláška „WireGuard je spuštěn, ale uživatelské rozhraní je přístupné pouze uživatelům Builtin skupiny Administrators“ v angličtině „WireGuard is running, but the UI is only accessible from desktops of the Builtin Administrators group“:

error run gui wiregeuad for non-admin account

Dalším krokem, bude přidání uživatele do skupiny „Network Configuration Operators“. A to z toho důvodu, že běžní uživatelé nemají oprávnění nastavovat síťové rozhraní. To provedeme spuštěním lusrmgr.msc s oprávněním správce. Vybereme skupinu „Network Configuration Operators“ a do ní přidáme uživatele, který se může připojovat do tunelu.

 wireguard non-admin account

Přihlásíme se ne-administrátorským účtem, zobrazíme GUI WireGuard, vybereme tunel a kliknutím na „Aktivovat“ se připojíme.

Instalace WireGuard klienta pro Windows a nastavení na mikrotiku

Nastavení WireGuard na Mikrotiku

V mikrotiku Winbox>WireGuard>WireGuard>+ vytvoříme nový interface pro WireGuard. Tím se nám vygeneruje privátní a veřejný klíč pro server. Privátní klíč nikde nezveřejňujeme. Tunel pojmenujeme. V listen port, můžeme změnit výchozí port 13231 na jiný.

Vytvoříme rozhraní WireGuard

V Winbox>IP>Adderess nastavíme IP adresu pro Wireguard server např. 172.16.xxx.1

Přiřadíme wireguard IP adresu

Následně v Winbox>WireGuard>Peers>+ vytvoříme nový peer pro klienta. Vybereme správné rozhraní WireGuard. A nastavíme Allowed Address na IP adresu klienta. Pro nastavení musíme mít na klientu vygenerovaný privátní a soukromý klíč.

Konfigurace klíčů na mikrotiku a ve Windows

Instalace WireGuard klienta pro Windows

Instalaci WireGuard na Windows musíme provést pod účtem s oprávněním správce. Pokud bude tunel využívat uživatel, který nemá oprávnění správce, přejděte na Instalace WireGuard pro ne administrátorský účet (non-admin account).

WireGuard klienta si stáhneme ze stránek https://www.WireGuard.com/install/.

Po instalaci si otevřeme ovládací panel WireGuard. Klikneme na „Přidat tunel“ a zde vybereme „Přidat prázdný tunel“ klávesová zkratka CTRL+N.

Přidání tunelu

Automaticky se nám vygeneroval veřejný a privátní klíč. Privátní klíč nikdy nikomu nesdělujeme. Tunel pojmenujeme.

nastavení tunelu

V nastavení [Interface] přidáme adresu rozhraní a IP DNS. Kde x je stejné jako nastavíme v Mikrotiku pro daný peer.

[Interface]
Privatekey = <privátní klíč klienta, nikdy nikomu nesdělujeme>
Address = 172.16.0.x/32
DNS = 8.8.8.8, 1.1.1.1

V sekci [Peer] nastavíme veřejný klíč serveru, povolené IP a adresu WireGuard serveru s portem.

[Peer]
PublicKey = <veřejný klíč serveru>
AllowedIPs = 0.0.0.0/0
Endpoint = <IP adresa serveru>:<port>
//volitelně
PersistentKeepalive = 10

Konfigurace klíčů na mikrotiku a ve Windows

Připojení do VPN

Kliknutím na Aktivovat se připojíte do tunelu.

Připojení do tunelu

Odpojení od VPN

Kliknutím na deaktivovat se odpojíte od tunelu.

odpojení od tunelu