2
Wireguard Konfiguration IP Adressbereich
Hallo
In der Anleitung "merkzettel-vpn-installation-mit-wireguard" von Aqui wird für das VPN Netz eine IP aus dem Range "Shared Adresse" verwendet.
Er schreibt in diesem Post auch "Auch hier gilt es eine Überschneidung mit den zahllosen Standard privaten_RFC1918_IP_Adressen zu vermeiden die millionenfach auf Consumer Routern verwendet werden. ".
Der GL-iNet Router "Mango" nimmt für einen User des Wireguard Servers" die Adresse 10.0.0.2/32
D.h. eine private IP Adresse. Ist das ein Problem / Risiko?
Sehe ich das richtig, dass ich die statische Route im ISP Router auch auf den /32 Adressbereich konfigurieren will?
Letzte Frage. Kann man diesem Router wie man es von kommerziellen VPN Diensten kennt die WAN IP bestimmen. D.h. eine US oder GB IP erhalten, um BBC zu schauen?
Beste Grüsse
In der Anleitung "merkzettel-vpn-installation-mit-wireguard" von Aqui wird für das VPN Netz eine IP aus dem Range "Shared Adresse" verwendet.
Er schreibt in diesem Post auch "Auch hier gilt es eine Überschneidung mit den zahllosen Standard privaten_RFC1918_IP_Adressen zu vermeiden die millionenfach auf Consumer Routern verwendet werden. ".
Der GL-iNet Router "Mango" nimmt für einen User des Wireguard Servers" die Adresse 10.0.0.2/32
D.h. eine private IP Adresse. Ist das ein Problem / Risiko?
Sehe ich das richtig, dass ich die statische Route im ISP Router auch auf den /32 Adressbereich konfigurieren will?
Letzte Frage. Kann man diesem Router wie man es von kommerziellen VPN Diensten kennt die WAN IP bestimmen. D.h. eine US oder GB IP erhalten, um BBC zu schauen?
Beste Grüsse
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666079
Url: https://administrator.de/contentid/666079
Printed on: April 25, 2024 at 00:04 o'clock
2 Comments
Latest comment
Ist das ein Problem / Risiko?
Nein, letztendlich ist es vollkommen egal welche IP Adresse du für das interne VPN Netz verwendest. Der o.a Vorschlag zur Verwendung von RFC 6598 Adressen minimiert nur die Gefahr einer Doppelvergabe.Das erreicht man aber auch immer mit der Wahl von etwas "exotischeren" RFC 1918 IP Adressen. Man sollte nur die üblichen Allerweltsadressen 192.168.1.0 (Speedport), 192.168.2.0, 192.168.178.0 (FritzBox) und die anderen massenweise genutzen Hersteller Standardnetze zwingend vermeiden im VPN Umfeld.
Letztendlich, wie bereits gesagt, aber alles kosmetisch.
Letzte Frage...
Ja, kann man. Bekommt man aber so oder so immer von diesen öffentlichen VPN Dienstleistern vorgegeben.Ob man sich an so einen Anbieter bindet muss jeder selber wissen. An deren Tunnelendpunkten sind bekanntlich besonders viele Schnüffler und Schnorchler aktiv.
Siehe dazu auch hier.
1
Ich kenne die Anleitung nicht, aber die Empfehlung für die Nutzung der CGN-Adressen finde ich mehr als fragwürdig. Es hat ja einen Grund, dass dieser IP-Bereich bereitgestellt wurde, damit RFC1918-Adressen nicht genutzt werden und es damit keine Kollisionen gibt.
Wenn du jetzt empfiehlst, die CGN-Adressen zu nutzen, wird ein unbedarfter Anwender es machen und dann sehr schnell Probleme bekommen, insbesondere, wenn er per Mobilfunk sein VPN nutzen will.
Erfahrene Anwender sollten so schlau sein, dass man vorher den verwendeten IP-Bereich mit seinem Netz abstimmt (vielleicht noch ein Hinweis darauf) und für den unbedarften Anwender, der davon keine Ahnung hat und deiner Anleitung blind vertraut, würde ich einen IP-Bereich nehmen, der eher selten anzutreffen ist, je krummer das dritte Oktet, umso besser. Da die Endkundenrouter sich alle in 192.168.0.0/16 aufhalten, wäre hier vermutlich der Einsatz von 172.29.37.0/24 (irgendwas zufälliges und krummes) gut oder man geht auf den IP-Bereich 192.0.2.0/24 (der für Dokuzwecke blockiert ist).
Wenn du jetzt empfiehlst, die CGN-Adressen zu nutzen, wird ein unbedarfter Anwender es machen und dann sehr schnell Probleme bekommen, insbesondere, wenn er per Mobilfunk sein VPN nutzen will.
Erfahrene Anwender sollten so schlau sein, dass man vorher den verwendeten IP-Bereich mit seinem Netz abstimmt (vielleicht noch ein Hinweis darauf) und für den unbedarften Anwender, der davon keine Ahnung hat und deiner Anleitung blind vertraut, würde ich einen IP-Bereich nehmen, der eher selten anzutreffen ist, je krummer das dritte Oktet, umso besser. Da die Endkundenrouter sich alle in 192.168.0.0/16 aufhalten, wäre hier vermutlich der Einsatz von 172.29.37.0/24 (irgendwas zufälliges und krummes) gut oder man geht auf den IP-Bereich 192.0.2.0/24 (der für Dokuzwecke blockiert ist).
1
