8
Wireguard - Routing im eigenen Netzwerk
Hallo zusammen,
auf einem Cloudserver habe ich mir einen Wireguard Server aufgesetzt, der erfolgreich Verbindungen in mein Heimnetz vermittelt. Das funktioniert soweit prima, obwohl das Setup etwas ungewöhnlich ist (im Heimnetz ist ein Wireguard-Client, über den der Verkehr in mein Netz geroutet wird).
Nehmen wir an, das Wireguard Netzwerk ist 10.10.10.0/24, das Heimnetz 192.168.1.0/24. Das Problem ist nun das Verhalten von Wireguard Clients - z.B. meinem Android Handy - wenn sie bereits im Heimnetz sind.
Ist der Tunnel angeschaltet, wird ein Client immer den folgenden Weg für Verbindungen zu lokalen Netzwerkadressen wählen: Gateway des Heimnetzes 192.168.1.0/24 --> Internet --> Wireguard Server --> Netz 10.10.10.0/24 --> Verbindung ins Heimnetz per Wireguard --> Ziel.
Das ist "von hinten durch die Brust und durchs Auge"
und weit weg davon, sinnvoll zu sein.
Jetzt müsste ich anfangen, an jedem Client eine Logik zu basteln, die den Tunnel abschaltet, sobald er im Heimnetz ist. Ich frage mich nur, ob es dafür nicht eine systematische Lösung gibt. Die Logik müsste ja lauten, dass nach 192.168.1.0/24 kein Tunnel verwendet werden soll, wenn man schon in diesem Netz ist. Aber ich sehe hier keine sinnvolle Einstellmöglichkeit im Client. In der Sektion "Allowed IPs" / "Erlaubte IPs" muss ja im Client das Netz 192.168.1.0/24 eingetragen sein, damit dahin per WG geroutet wird...
Habt Ihr eine Idee für eine solche Lösung?
Besten Dank und Gruß,
highlife
auf einem Cloudserver habe ich mir einen Wireguard Server aufgesetzt, der erfolgreich Verbindungen in mein Heimnetz vermittelt. Das funktioniert soweit prima, obwohl das Setup etwas ungewöhnlich ist (im Heimnetz ist ein Wireguard-Client, über den der Verkehr in mein Netz geroutet wird).
Nehmen wir an, das Wireguard Netzwerk ist 10.10.10.0/24, das Heimnetz 192.168.1.0/24. Das Problem ist nun das Verhalten von Wireguard Clients - z.B. meinem Android Handy - wenn sie bereits im Heimnetz sind.
Ist der Tunnel angeschaltet, wird ein Client immer den folgenden Weg für Verbindungen zu lokalen Netzwerkadressen wählen: Gateway des Heimnetzes 192.168.1.0/24 --> Internet --> Wireguard Server --> Netz 10.10.10.0/24 --> Verbindung ins Heimnetz per Wireguard --> Ziel.
Das ist "von hinten durch die Brust und durchs Auge"
und weit weg davon, sinnvoll zu sein.Jetzt müsste ich anfangen, an jedem Client eine Logik zu basteln, die den Tunnel abschaltet, sobald er im Heimnetz ist. Ich frage mich nur, ob es dafür nicht eine systematische Lösung gibt. Die Logik müsste ja lauten, dass nach 192.168.1.0/24 kein Tunnel verwendet werden soll, wenn man schon in diesem Netz ist. Aber ich sehe hier keine sinnvolle Einstellmöglichkeit im Client. In der Sektion "Allowed IPs" / "Erlaubte IPs" muss ja im Client das Netz 192.168.1.0/24 eingetragen sein, damit dahin per WG geroutet wird...
Habt Ihr eine Idee für eine solche Lösung?
Besten Dank und Gruß,
highlife
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3561850558
Url: https://administrator.de/forum/wireguard-routing-im-eigenen-netzwerk-3561850558.html
Ausgedruckt am: 11.03.2025 um 19:03 Uhr
8 Kommentare
Neuester Kommentar
Die eigentliche Frage ist doch warum man den VPN Client aktiv haben muss wenn man schon im eigenen lokalen Netz ist?? Normal dann ja überflüssiger Unsinn und das Problem damit „selbstgemacht“.
Muss ich ja nicht! Aber ich möchte ihn nicht jedes Mal an- bzw. ausschalten, wenn ich unterwegs bin bzw. nach Hause komme. Idealerweise ist der Tunnel halt immer aktiv und ich muss mich nicht drum kümmern. Dafür wäre es ausreichend, wenn der VPN Client im Heimnetz nicht zum Heimnetz tunnelt...
Aber ich möchte ihn nicht jedes Mal an- bzw. ausschalten, wenn ich unterwegs bin bzw. nach Hause komme
Solche Automatismen was wo wann aktiv ist erledigt hier vollkommen autonom Tasker.
Danke für die Info. Ich hätte mir Tasker gerne erspart, da ich die Hoffnung hatte, dem Client selber beibringen zu können, im Zielnetz nicht ins Zielnetz zu tunneln. Aber eine solche Einstellung gibt es nicht oder ich finde sie nicht...
Nope, nicht out of the box.
Du kannst aber alternativ deinen DNS-Server im internen Netz direkt auf die interne Wireguard Kiste zeigen lassen und dort auch den Peer hinterlegen.
Du kannst aber alternativ deinen DNS-Server im internen Netz direkt auf die interne Wireguard Kiste zeigen lassen und dort auch den Peer hinterlegen.
Zitat von @bangalore:
Du kannst aber alternativ deinen DNS-Server im internen Netz direkt auf die interne Wireguard Kiste zeigen lassen und dort auch den Peer hinterlegen.
Du kannst aber alternativ deinen DNS-Server im internen Netz direkt auf die interne Wireguard Kiste zeigen lassen und dort auch den Peer hinterlegen.
Danke, das wäre auch eine gute Idee, vor allem würde dieser Ansatz zentral wirken.
Ich habe es jetzt erst mal mit Tasker auf einem Android Gerät gemacht, funktioniert gut. Muss halt nur auf jedem Gerät neu gemacht werden.
auf einem macOS kann ich sagen wenn du im netzt xxx bist oder wlan xxx verbunden bist brauchst du nicht über das vpn gehen, ganz simple
Hallo Highlife,
ich hoffe, ich darf deinen Thread einfach so kapern, aber ich stehe gerade vor genau dem Problem, das du scheinbar schon gelöst hast.
Ich versuche, den Zugriff auf mein internes Netz genau so zu gestalten, wie du, sprich, im internen Netz ist ein WG-Client, der den Tunnel zum VPS nach draussen aufbaut und alle anderen Clients bauen ebenfalls eine Verbindung zu diesem VPS auf. Das habe ich auch schon hinbekommen, alle Clients sehen einander und können auch ins Internet.
Was mir noch fehlt, ist das Routing aus dem WG-Netz ins heimische, also in deinem Beispiel vom 10.10.10.0/24 ins 192.168.1.0/24 und zurück. Hast du evtl. einen Hinweis für mich? Ich denke, ich muss irgendwo statische Routen setzen, aber wo und wie sie aussehen müssen bin ich überfragt...
Bin für jeden Tipp dankbar!
ich hoffe, ich darf deinen Thread einfach so kapern, aber ich stehe gerade vor genau dem Problem, das du scheinbar schon gelöst hast.
Ich versuche, den Zugriff auf mein internes Netz genau so zu gestalten, wie du, sprich, im internen Netz ist ein WG-Client, der den Tunnel zum VPS nach draussen aufbaut und alle anderen Clients bauen ebenfalls eine Verbindung zu diesem VPS auf. Das habe ich auch schon hinbekommen, alle Clients sehen einander und können auch ins Internet.
Was mir noch fehlt, ist das Routing aus dem WG-Netz ins heimische, also in deinem Beispiel vom 10.10.10.0/24 ins 192.168.1.0/24 und zurück. Hast du evtl. einen Hinweis für mich? Ich denke, ich muss irgendwo statische Routen setzen, aber wo und wie sie aussehen müssen bin ich überfragt...
Bin für jeden Tipp dankbar!
