wireguard-ui – Wireguard + Webinterface mittels Docker Compose und Traefik installieren

Bei wireguard-ui handelt es sich um ein beliebtes Webinterface für Wireguard. In dieser Anleitung erstellen wir innerhalb weniger Minuten unseren eigenen Wireguard VPN Server.

Seit dem letzten Wireguard Update (03.10.2023) funktioniert das Programm nicht mehr mit der aktuellen Wireguard Version. Mit einer älteren Version von Wireguard funktioniert noch alles ohne Probleme. Die Anleitung wurde so angepasst, dass sie mit der älteren Version funktioniert. Alle Infos dazu findet ihr hier:

• https://github.com/ngoduykhanh/wireguard-ui/issues/456
• https://github.com/ngoduykhanh/wireguard-ui/issues/542

0. Grundvoraussetzung

• Docker & Docker Compose v2 (Debian / Ubuntu)
• TRAEFIK V2 + 3 – REVERSE-PROXY MIT CROWDSEC IM STACK EINRICHTEN

1. Ordner anlegen

Zuerst legen wir uns passende Ordner-Strukturen an.

mkdir -p /opt/containers/wireguard-ui

2. Docker Compose anlegen

Nun legen wir die eigentliche Docker Datei an. Diese dient dazu unseren späteren Container zu erstellen.

nano /opt/containers/wireguard-ui/docker-compose.yml

Inhalt:

version: "3"

services:
  wireguard:
    image: linuxserver/wireguard:v1.0.20210914-ls6
    container_name: wireguard
    cap_add:
      - NET_ADMIN
    volumes:
      - ./config:/config
    ports:
      # port of the wireguard server
      - "51820:51820/udp"
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.wireguard.entrypoints=websecure"
      - "traefik.http.routers.wireguard.rule=Host(`wireguard.euredomain.de`)"
      - "traefik.http.routers.wireguard.tls=true"
      - "traefik.http.routers.wireguard.tls.certresolver=http_resolver"
      - "traefik.http.routers.wireguard.service=wireguard"
      - "traefik.http.services.wireguard.loadbalancer.server.port=5000"
      - "traefik.docker.network=proxy"
      - "traefik.http.routers.wireguard.middlewares=default@file"
    networks:
      - proxy

  wireguard-ui:
    image: ngoduykhanh/wireguard-ui:latest
    container_name: wireguard-ui
    depends_on:
      - wireguard
    cap_add:
      - NET_ADMIN
    # use the network of the 'wireguard' service. this enables to show active clients in the status page
    network_mode: service:wireguard
    environment:
      - SENDGRID_API_KEY
      - EMAIL_FROM_ADDRESS
      - EMAIL_FROM_NAME
      - SESSION_SECRET
      - WGUI_USERNAME=admin
      - WGUI_PASSWORD=admin
      - WG_CONF_TEMPLATE
      - WGUI_MANAGE_START=true
      - WGUI_MANAGE_RESTART=true
    logging:
      driver: json-file
      options:
        max-size: 50m
    volumes:
      - ./db:/app/db
      - ./config:/etc/wireguard

networks:
  proxy:
    external: true

Notwendige Anpassungen:

1. WGUI_USERNAME ändern
2. WGUI_PASSWORD ändern
3. eure Domain bei Traefik anpassen („wireguard.euredomain.de“)

3. wireguard-ui starten

Nun könnt ihr wie gewohnt den Container starten:

docker compose -f /opt/containers/wireguard-ui/docker-compose.yml up -d

Danach müsst ihr einige Minuten warten, bis die Datenbank vorbereitet ist.

Nun geht ihr auf folgende Webseite: wireguard.euredomain.de

Hier solltet ihr nun folgendes sehen:

Anschließend loggt ihr euch mit euren Zugangsdaten aus der Docker Compose Datei ein. Nun gebt ihr wieder eure URL ein (wireguard.euredomain.de) und solltet folgendes sehen:

4. Wireguard Einstellungen anpassen

Wir nutzen hier 2 Container. Ein Container für Wireguard und ein Container für Wireguard-UI. Daher müsst ihr nachdem ihr irgendwelche Einstellungen in Wireguard-UI getätigt habt, immer den Wireguard Container neu starten, damit dieser diese Einstellungen übernimmt.

Klickt nun auf “Wireguard Server”.

4.1 Server Interface festlegen

Dazu löscht ihr die bereits eingestellte Adresse und fügt eine neue hinzu. Ihr könnt hier eure eigene Adresse / Bereich verwenden oder einfach meinen Bereich.

Nachher:

4.2 Post Up / Down Skript anpassen

Etwas tiefer seht ihr das Post Up / Down Skript.

Hier kopiert ihr nun folgendes hinein:

Post Up
iptables -A FORWARD -i %1 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth+ -j MASQUERADE

Post Down
iptables -D FORWARD -i %1 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth+ -j MASQUERADE

Anschließend klickt ihr auf “Save”.

4.3 Key Pair generieren

Nun generieren wir uns ein neues Key Paar. Dazu klickt ihr auf der rechten Seite auf “Generate”.

Nach diesen Einstellungen müsst ihr oben auf “Apply Config” klicken.

Diese Meldung müsst ihr nun noch bestätigen.

5. Einstellungen kontrollieren

Nun kontrollieren wir, ob die Einstellungen korrekt durchgeführt wurden. Dazu öffnet ihr auf eurem Server folgende Datei:

nano /opt/containers/wireguard-ui/config/wg0.conf

In der Datei solltet ihr nun euer Einstellungen wiederfinden.

6. Clients anlegen

Nachdem wir nun unseren Server konfiguriert haben, können wir unseren ersten Client anlegen. Dazu klickt ihr auf “New Client” oben rechts.

Nun solltet ihr folgende Auswahl sehen:

Hier müsst ihr einfach nun einen Namen eingeben und dann auf “Submit” klicken.

Mein Client wurde nun erstellt.

Jetzt klickt ihr wieder oben rechts auf “Apply Config”. Dies ist sehr wichtig, da nur so der Server neu gestartet wird und alle Einstellungen übernommen werden.

7. Mit Wireguard verbinden

Ich installiere mir den Wireguard Windows Client (https://www.wireguard.com/install/). Ihr könnt aber auch jeden anderen Client nutzen.

Anschließend lade ich mir meine Konfigurationsdatei herunter. Ebenfalls könnt ihr euch den QR Code anzeigen lassen, falls ihr euch mittels Smartphone verbinden wollt.

Nun starte ich Wireguard und wähle “Importiere Tunnel aus Datei” aus.

Nachdem ihre eure Konfiguration importiert habt, solltet ihr folgendes sehen:

Hier müsst ihr nun nur noch auf “Aktivieren” klicken. Jetzt sollte eure Wireguard VPN Verbindung erfolgreich hergestellt sein.

Dies solltet ihr auch im Webinterface sehen:

8. Quellen

https://github.com/ngoduykhanh/wireguard-ui