wireguard-ui – Wireguard + Webinterface mittels Docker Compose und Traefik installieren

Bei wireguard-ui handelt es sich um ein beliebtes Webinterface für Wireguard. In dieser Anleitung erstellen wir innerhalb weniger Minuten unseren eigenen Wireguard VPN Server.

Datum	Änderungen
19.06.2022	Erstellung dieser Anleitung.
27.04.2023	Restart Parameter in der Docker Compose hinzugefügt. Danke @pit
29.05.2023	Anpassung an neue Traefik Anleitung, Docker Compose v2
01.03.2024	Wireguard Version festgelegt, damit es funktioniert. Siehe Hinweis.

Seit dem letzten Wireguard Update (03.10.2023) funktioniert das Programm nicht mehr mit der aktuellen Wireguard Version. Mit einer älteren Version von Wireguard funktioniert noch alles ohne Probleme. Die Anleitung wurde so angepasst, dass sie mit der älteren Version funktioniert. Alle Infos dazu findet ihr hier:

Inhaltsverzeichnis

0. Grundvoraussetzung

Docker & Docker Compose v2 (Debian / Ubuntu)
TRAEFIK V2 + 3 – REVERSE-PROXY MIT CROWDSEC IM STACK EINRICHTEN

1. Ordner anlegen

Zuerst legen wir uns passende Ordner-Strukturen an.

mkdir -p /opt/containers/wireguard-ui

2. Docker Compose anlegen

Nun legen wir die eigentliche Docker Datei an. Diese dient dazu unseren späteren Container zu erstellen.

nano /opt/containers/wireguard-ui/docker-compose.yml

Inhalt:

version: "3"

services:
  wireguard:
    image: linuxserver/wireguard:v1.0.20210914-ls6
    container_name: wireguard
    cap_add:
      - NET_ADMIN
    volumes:
      - ./config:/config
    ports:
      # port of the wireguard server
      - "51820:51820/udp"
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.wireguard.entrypoints=websecure"
      - "traefik.http.routers.wireguard.rule=Host(`wireguard.euredomain.de`)"
      - "traefik.http.routers.wireguard.tls=true"
      - "traefik.http.routers.wireguard.tls.certresolver=http_resolver"
      - "traefik.http.routers.wireguard.service=wireguard"
      - "traefik.http.services.wireguard.loadbalancer.server.port=5000"
      - "traefik.docker.network=proxy"
      - "traefik.http.routers.wireguard.middlewares=default@file"
    networks:
      - proxy

  wireguard-ui:
    image: ngoduykhanh/wireguard-ui:latest
    container_name: wireguard-ui
    depends_on:
      - wireguard
    cap_add:
      - NET_ADMIN
    # use the network of the 'wireguard' service. this enables to show active clients in the status page
    network_mode: service:wireguard
    environment:
      - SENDGRID_API_KEY
      - EMAIL_FROM_ADDRESS
      - EMAIL_FROM_NAME
      - SESSION_SECRET
      - WGUI_USERNAME=admin
      - WGUI_PASSWORD=admin
      - WG_CONF_TEMPLATE
      - WGUI_MANAGE_START=true
      - WGUI_MANAGE_RESTART=true
    logging:
      driver: json-file
      options:
        max-size: 50m
    volumes:
      - ./db:/app/db
      - ./config:/etc/wireguard

networks:
  proxy:
    external: true

Notwendige Anpassungen:

WGUI_USERNAME ändern
WGUI_PASSWORD ändern
eure Domain bei Traefik anpassen („wireguard.euredomain.de“)

3. wireguard-ui starten

Nun könnt ihr wie gewohnt den Container starten:

docker compose -f /opt/containers/wireguard-ui/docker-compose.yml up -d

Danach müsst ihr einige Minuten warten, bis die Datenbank vorbereitet ist.

Nun geht ihr auf folgende Webseite: wireguard.euredomain.de

Hier solltet ihr nun folgendes sehen:

Anschließend loggt ihr euch mit euren Zugangsdaten aus der Docker Compose Datei ein. Nun gebt ihr wieder eure URL ein (wireguard.euredomain.de) und solltet folgendes sehen:

4. Wireguard Einstellungen anpassen

Wir nutzen hier 2 Container. Ein Container für Wireguard und ein Container für Wireguard-UI. Daher müsst ihr nachdem ihr irgendwelche Einstellungen in Wireguard-UI getätigt habt, immer den Wireguard Container neu starten, damit dieser diese Einstellungen übernimmt.

Klickt nun auf “Wireguard Server”.

4.1 Server Interface festlegen

Dazu löscht ihr die bereits eingestellte Adresse und fügt eine neue hinzu. Ihr könnt hier eure eigene Adresse / Bereich verwenden oder einfach meinen Bereich.

Nachher:

4.2 Post Up / Down Skript anpassen

Etwas tiefer seht ihr das Post Up / Down Skript.

Hier kopiert ihr nun folgendes hinein:

Post Up
iptables -A FORWARD -i %1 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth+ -j MASQUERADE

Post Down
iptables -D FORWARD -i %1 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth+ -j MASQUERADE

Anschließend klickt ihr auf “Save”.

4.3 Key Pair generieren

Nun generieren wir uns ein neues Key Paar. Dazu klickt ihr auf der rechten Seite auf “Generate”.

Nach diesen Einstellungen müsst ihr oben auf “Apply Config” klicken.

Diese Meldung müsst ihr nun noch bestätigen.

5. Einstellungen kontrollieren

Nun kontrollieren wir, ob die Einstellungen korrekt durchgeführt wurden. Dazu öffnet ihr auf eurem Server folgende Datei:

nano /opt/containers/wireguard-ui/config/wg0.conf

In der Datei solltet ihr nun euer Einstellungen wiederfinden.

6. Clients anlegen

Nachdem wir nun unseren Server konfiguriert haben, können wir unseren ersten Client anlegen. Dazu klickt ihr auf “New Client” oben rechts.

Nun solltet ihr folgende Auswahl sehen:

Hier müsst ihr einfach nun einen Namen eingeben und dann auf “Submit” klicken.

Mein Client wurde nun erstellt.

Jetzt klickt ihr wieder oben rechts auf “Apply Config”. Dies ist sehr wichtig, da nur so der Server neu gestartet wird und alle Einstellungen übernommen werden.

7. Mit Wireguard verbinden

Ich installiere mir den Wireguard Windows Client (https://www.wireguard.com/install/). Ihr könnt aber auch jeden anderen Client nutzen.

Anschließend lade ich mir meine Konfigurationsdatei herunter. Ebenfalls könnt ihr euch den QR Code anzeigen lassen, falls ihr euch mittels Smartphone verbinden wollt.

Nun starte ich Wireguard und wähle “Importiere Tunnel aus Datei” aus.

Nachdem ihre eure Konfiguration importiert habt, solltet ihr folgendes sehen:

Hier müsst ihr nun nur noch auf “Aktivieren” klicken. Jetzt sollte eure Wireguard VPN Verbindung erfolgreich hergestellt sein.

Dies solltet ihr auch im Webinterface sehen:

8. Quellen

https://github.com/ngoduykhanh/wireguard-ui

Autor

Christian

Während meines Studiums bin ich auf das Thema "Linux Server" gestoßen. Viele der Anleitungen im Internet waren jedoch nicht sonderlich hilfreich, da sie veraltet waren. Dies war die Geburt des Projekts goneuland, welches nun seit 2016 online ist und stetig um neue Anleitungen erweitert wird. Da es sich um ein Community Projekt handelt, kann jeder ein aktiver Teil von goneuland sein und selbst Anregungen sowie eigene Anleitungen beitragen.

Alle Beiträge ansehen

Das könnte dich auch interessieren:

40 Kommentare

Neueste

Älteste Am besten besten Bewertet

Inline Feedbacks

View all comments

Pit(@pit)

28 Tage zuvor

#4498

Gab es wieder Änderungen beim Wireguard?
Bin im Osterurlaub und bekomme meine VPN einfach nicht mehr zum fliegen.

Webinterface Ok
IP Range OK
Doch anscheinend kein Verbindungsaufbau mit 3 unterschiedlichen Betriebssystemen und Geräten.

Bin auch ein Depp: Sowas prüft man vor dem Urlaub und nicht im Urlaub! <shame=ON>

Kann mir bitte einer aus den GONEULAND Reihen bestätigen, dass die Wiregard VPN aktuell noch läuft?

Merci und erfolgreiche Eiersuche!

Last edited 28 Tage zuvor by Pit

Antworten anzeigen (6)

Adrianxx85(@adrianxx85)

1 Monat zuvor

#4481

Super Job! Die erste Anleitung die bei mir auf anhieb klappte =)

Ein Problem hab ich dennoch. Verbindungen vom Handy oder PCs klappen wunderbar.

Ich würde jedoch gerne eine Fritzbox für S2S mit anbinden. und bekomme die Meldung beim import

Ihre Einstellungen konnten leider nicht erfolgreich übernommen werden.
Importierte Konfigurationsdatei passt nicht zu den erweiterten Einstellungen (Gesamter Datenverkehr).
Klicken Sie auf „Schließen“, um zur WireGuard®-Übersicht zu gelangen und erstellen Sie die WireGuard®-Verbindung bitte erneut.

Ich weiß, WG bei AVM ist eigenartig, aber vielleicht weißt jemand die Lösung.

trevon(@trevon)

1 Monat zuvor

#4406

Moin,

Danke für die Anleitung. Es läuft alles und hat keine Fehlermeldung, auch im Dashboard von Traefik sehe ich die einträge für VPN, nur wenn ich dir URL aufrufe, erhalde ich ein Gateway Timeout.

Ansonsten ist alles wie in denn Anleitungen hier konfiguiert… ;-/

Eine Idee? Danke:-)

Antworten anzeigen (1)

AntiCampeR(@anticamper)

6 Monate zuvor

#3730

Moin. Das Problem sind Breaking-Changes vom 03.10.23 des linuxserver/wireguard:latest images. Mit ner älternen Version (linuxserver/wireguard:v1.0.20210914-ls6) klappt bei mir alles wie im Tutotial beschrieben (THX! <3).

Last edited 6 Monate zuvor by AntiCampeR

Antworten anzeigen (4)

Stew5228(@stew5228)

7 Monate zuvor

#3623

Hi,

die Anleitung ist super, vielen Dank dafür!
Ergänzend fände ich toll, wenn Ihr noch die Regeln/eine Anleitung für die Firewall ergänzen würdet, damit das LAN per Wireguard erreichbar wird.

Besten Dank!

Last edited 7 Monate zuvor by Stew5228

fbkreon(@fbkreon)

7 Monate zuvor

#3608

Super Anleitung, vielen Dank dafür, hat auch perfekt funktioniert für mich.

Ich würde es super finden, wenn diese Anleitung noch um einen kleinen Aspekt erweitert werden könnte: In Kombination mit Traefik wäre es toll, wenn man inbound traffic aus dem Internet über einzelne Ports durch Traefik und Wireguard Tunnel ins LAN weiterleiten könnte, um dort z.B. einen Mailserver lokal zu betreiben oder Home Assistant über oAuth sicher aufzurufen. So kann man sich die feste IP und exposed Hosts im LAN sparen. Ich habe dazu ein etwas älteres Tutorial gefunden, aber in diesem werden alle Services einzeln als WG-Client mit dem WG-Server verbunden (müssen also “modifiziert” werden) und WG ist auch nicht in Docker realisiert. Deine Lösung gefällt mir also um Welten besser und wäre damit noch effektiver nutzbar.

Last edited 7 Monate zuvor by fbkreon

JKL213(@jkl213)

11 Monate zuvor

#3191

Moin;
für mich klappts nicht.
Web-UI ist da, die Clients verbinden sich aber nicht: es kommt nur “[TUN] [vpn] Handshake for peer 1 (IP:51820) did not complete after 5 seconds, retrying (try 2)”.
Was kann ich tun? Port 51820 wird in meiner Portainer-UI zwar als freigegeben angezeigt, ist aber tatsächlich geschlossen. Das Ganze läuft auf einem Strato-VPS, hinter Traefik. Habe ich was vergessen?

Ich sehe zwar, dass jemand Anderes bereits dieses Problem hatte – ich kann die Antworten auf der Webseite jedoch nicht ausklappen.

Last edited 11 Monate zuvor by JKL213

Antworten anzeigen (1)

steje(@steje)

11 Monate zuvor

#3130

Seid ihr sicher das diese Anleitung noch funktioniert. Ich habe es heute mehrmals auf meinem Proxmox Server versucht. Weboberfläche alles war da, aber ich konnte keine Verbindung mit dem Client herstellen. Mit WG-Easy klappte das sofort.

Antworten anzeigen (1)

Pit(@pit)

1 Jahr zuvor

#2914

Danke Christian für das hilfreiche Tutorial und an Euch für die guten Hinweise (DannyS – danke)!

Ich hab’s mit ein paar Änderungen auch auf ARM64 zum Laufen bringen können.

Es läuft noch sehr wackelig bei mir und ich hoffe die Reboots zukünftig minimieren zu können um letztendlich einen stabilen VPN-Betrieb zu erreichen.

Frage: Kann man eigentlich auch einen SSH login tunneln, sodass man nur über die VPN den Server per SSH erreichen kann, aber nicht der SSH-Port direkt dem Rest des Internets angeboten wird? Gibt es hier ein passendes UFW-Setting?

Last edited 1 Jahr zuvor by Pit

Antworten anzeigen (9)

Tennis(@tennis)

1 Jahr zuvor

#2419

moin
ich bin deiner anleitung gefolgt und habe die notwendigen anpassungen getätigt.
der wireguard container läuft aber der wg-ui container zeigt in den logs nur ein “exec ./wg-ui: exec format error”
wie kann ich das korrigieren? docker ist auf version 20.10.19 und docker-compose auf 1.29.2

Antworten anzeigen (5)

DannyS(@dannys)

1 Jahr zuvor

#2268

Hallo,
super Anleitung! Bei mir hat es jedoch erst funktioniert, nachdem ich im Schritt 4.2 in den Post Up und Post Down Scripts aus eth+ ein eth0 gemacht habe. Vorher kam der Tunnel zwar zustande aber es konnte nicht über das Interface auf das Internet zugegriffen werden.

Antworten anzeigen (2)