Frage zu "Wireguard" und "Persistent Keepalive"...

[cpuprofi]

Hallo an Alle,

bei den IPSec VPN Verbindungen hatte man für eine "Dauerverbindung/Selbstaufbauende-Verbindung" immer in der "Verbindungs-Liste" unter "Haltezeit" den Wert "9999" eingetragen.

Bei "Wireguard" gibt es die "Haltezeit" in der "Verbindungs-Liste" ja nicht, dafür findet man "Persistent Keepalive".

Was müsste ich dort eintragen, damit sich die "Wireguard" VPN Verbindung zum Provider Portunity in einem WAN-Backup Fall (Glasfaser fällt aus -> Wechsel zu LTE, und damit neue WAN-IP usw.) superschnell wieder aufbaut?

Und zweite Frage, wie kann ich herausbekommen, wer die Verbindung aufgebaut hat (Status) ?

Grüße
Cpuprofi

[nk000]

Hallo Cpuprofi,

Wireguard ist ein komplett verbindungsloses Protokoll, d.h. es gibt weder eine Richtung noch einen Wiederaufbau.

Persistent-Keepalive dient dazu, die Schlüssel zwischen Peers aktuell zu halten. Lancom scheint dies in LCOS 10.94RC1 noch nicht implementiert zu haben (Ein Workaround wäre hier ein SLA-Monitoring ICMP-Test).

Da der Schlüsselaustausch bei Bedarf erfolgt, würde das in deinem Fall so aussehen:

Sobald die Default-Route nach Wegfallen der Glasfaser-Verbindung umschwenkt, geht das nächste Wireguard-Paket ohne Unterbrechung über die LTE-Verbindung. Voraussetzung ist, dass ein aktueller Key schon ausgetauscht wurde, da sonst dieser Schritt vor dem Paketversand erfolgt.

Edit zur Klarifizierung: Mit Keys meine ich hier temporäre "Session-Keys" jedes Handshakes und nicht Private oder Public Key des Peers oder Interfaces.

VG, nk000

[lna]

Hello everyone,

Die 10.94.RC1 ist ein Release Candidat, also eine technische Vorschau bei der noch nicht alles 100% sitzt.

der Persistent Keepalive ist bereits implementiert, aber noch nicht in der UI verfügbar.

Auf der CLI ist er schon konfigurierbar.

Code: Alles auswählen

root@rt1.lab.intra....:/Setup/VPN/WireGuard/Peers
> ls -a

[1.3.6.1.4.1.2356.11][2.19.70.3]
Peer              Active   Local-Port    Remote-Gateway                                                    Remote-Port      Rtg-Tag  Local-Private-Key            Peer-Private-Key             Peer-Public-Key                               Shared-Key                                    IPv6              Persistent-Keepalive  Comment
[1]               [2]      [3]           [4]                                                               [5]              [6]      [7]                          [9]                          [10]                                          [11]                                          [13]              [15]                  [14]
==================---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
TEST              Yes      51820         1.2.3.4                                                           51820            0                                                                                                                                                              DEFAULT           0

[cpuprofi]

Hallo Lukas,

was ist denn bei "Persistent Keepalive" für einen sofortigen Neuaufbau der Wireguard VPN nach Wegfall einzutragen?

Grüße
Cpuprofi

[backslash]

Hi cpuprofi,

persistant Keepalive ist kein "always on", sondern sagt nur, daß das LANCOM versucht, die Verbindung durch Keep-Alive-Pakete am Leben zu halten. Wenn die Gegenseite trotzdem abbaut, dann ist erstmal abgebaut und es braucht ein neues Datenpaket für eine neue Verbindung.

Ein "always on" das dem LANCOM "Keep-Alive" bei anderen Gegenstelle entspricht kommt mit dem nächsten RC...

Gruß
Backslash

[cpuprofi]

Hallo Backslash,

danke für die Info.

Grüße
Cpuprofi

[lna]

Die neue RC2 liegt jetzt auf dem FTP und sollte dann auch kurzfristig auf die Homepage kommen.
Da ist jetzt Persistent Keepalive und Always-On enthalten.


https://ftp.lancom.de/LANCOM-ReleaseCan ... LC-1793VA/

Persistent-Keepalive hat es schon in die WebUI geschafft, Always-On ist in diesem Build auch nur auf der CLI zu finden.

Die Umsetzung in Lanconfig mit dem Generator für Remote Access Zugänge finde ich sehr gelungen
Ich hoffe, der schafft es auch in die WebUI.

Code: Alles auswählen

root@rt1.lab.intra......:/Setup/VPN/WireGuard/Peers
> ls -a

[1.3.6.1.4.1.2356.11][2.19.70.3]
Peer              Active   Local-Port    Remote-Gateway                                                    Remote-Port      Rtg-Tag  Local-Private-Key            Peer-Private-Key             Peer-Public-Key                               Shared-Key                                    IPv6              Persistent-Keepalive  Always-On    Comment
[1]               [2]      [3]           [4]                                                               [5]              [6]      [7]                          [9]                          [10]                                          [11]                                          [13]              [15]                  [16]         [14]
==================----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
TEST              Yes      51820         1.2.3.4                                                           51820            0                                                                                                                                                              DEFAULT           0                     No



root@rt1.lab.intra.......:/Setup/VPN/WireGuard/Peers
> set ?

Possible input for columns in table 'Peers':
[  1] Peer                 : 16 chars from ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()+-,/:;<=>?[\]^_.0123456789 (lower case characters are converted to upper case)
[  2] Active               : No (0), Yes (1)
[  3] Local-Port           : 5 chars from 1234567890
[  4] Remote-Gateway       : 64 chars from ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789.-:%?
[  5] Remote-Port          : 5 chars from 1234567890
[  6] Rtg-Tag              : 5 chars from 1234567890
[  7] Local-Private-Key    : 44 chars from ABCDEFGHIJKLMNOPQRSTUVWXYZ+/=0123456789abcdefghijklmnopqrstuvwxyz
[  9] Peer-Private-Key     : 44 chars from ABCDEFGHIJKLMNOPQRSTUVWXYZ+/=0123456789abcdefghijklmnopqrstuvwxyz
[ 10] Peer-Public-Key      : 44 chars from ABCDEFGHIJKLMNOPQRSTUVWXYZ+/=0123456789abcdefghijklmnopqrstuvwxyz
[ 11] Shared-Key           : 44 chars from ABCDEFGHIJKLMNOPQRSTUVWXYZ+/=0123456789abcdefghijklmnopqrstuvwxyz
[ 13] IPv6                 : 16 chars from ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()+-,/:;<=>?[\]^_.0123456789 (lower case characters are converted to upper case)
[ 15] Persistent-Keepalive : 3 chars from 1234567890
[ 16] Always-On            : No (0), Yes (1)
[ 14] Comment              : 64 chars from  #ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()+-,/:;<=>?[\]^_.0123456789abcdefghijklmnopqrstuvwxyz`

root@rt1.lab.intra.......:/Setup/VPN/WireGuard/Peers

[LoUiS]

Die Umsetzung in Lanconfig mit dem Generator für Remote Access Zugänge finde ich sehr gelungen
Ich hoffe, der schafft es auch in die WebUI.

Hmmm, die gibt es doch schon, oder meinst Du etwas Anderes?

Screenshot 2025-11-26 132605.png

Ciao
LoUiS

[lna]

die gibt es doch schon,

schande über mich
ich hatte unter Konfiguration > VPN > Wireguard gesucht, weil sich das menu da auch im lanconfig versteckt.
unter Extras > Wireguard findet man ihn. Danke für den Hinweis