Wireguard - Routing im eigenen Netzwerk
7
Hallo zusammen,
auf einem Cloudserver habe ich mir einen Wireguard Server aufgesetzt, der erfolgreich Verbindungen in mein Heimnetz vermittelt. Das funktioniert soweit prima, obwohl das Setup etwas ungewöhnlich ist (im Heimnetz ist ein Wireguard-Client, über den der Verkehr in mein Netz geroutet wird).
Nehmen wir an, das Wireguard Netzwerk ist 10.10.10.0/24, das Heimnetz 192.168.1.0/24. Das Problem ist nun das Verhalten von Wireguard Clients - z.B. meinem Android Handy - wenn sie bereits im Heimnetz sind.
Ist der Tunnel angeschaltet, wird ein Client immer den folgenden Weg für Verbindungen zu lokalen Netzwerkadressen wählen: Gateway des Heimnetzes 192.168.1.0/24 --> Internet --> Wireguard Server --> Netz 10.10.10.0/24 --> Verbindung ins Heimnetz per Wireguard --> Ziel.
Das ist "von hinten durch die Brust und durchs Auge"
und weit weg davon, sinnvoll zu sein.
Jetzt müsste ich anfangen, an jedem Client eine Logik zu basteln, die den Tunnel abschaltet, sobald er im Heimnetz ist. Ich frage mich nur, ob es dafür nicht eine systematische Lösung gibt. Die Logik müsste ja lauten, dass nach 192.168.1.0/24 kein Tunnel verwendet werden soll, wenn man schon in diesem Netz ist. Aber ich sehe hier keine sinnvolle Einstellmöglichkeit im Client. In der Sektion "Allowed IPs" / "Erlaubte IPs" muss ja im Client das Netz 192.168.1.0/24 eingetragen sein, damit dahin per WG geroutet wird...
Habt Ihr eine Idee für eine solche Lösung?
Besten Dank und Gruß,
highlife
auf einem Cloudserver habe ich mir einen Wireguard Server aufgesetzt, der erfolgreich Verbindungen in mein Heimnetz vermittelt. Das funktioniert soweit prima, obwohl das Setup etwas ungewöhnlich ist (im Heimnetz ist ein Wireguard-Client, über den der Verkehr in mein Netz geroutet wird).
Nehmen wir an, das Wireguard Netzwerk ist 10.10.10.0/24, das Heimnetz 192.168.1.0/24. Das Problem ist nun das Verhalten von Wireguard Clients - z.B. meinem Android Handy - wenn sie bereits im Heimnetz sind.
Ist der Tunnel angeschaltet, wird ein Client immer den folgenden Weg für Verbindungen zu lokalen Netzwerkadressen wählen: Gateway des Heimnetzes 192.168.1.0/24 --> Internet --> Wireguard Server --> Netz 10.10.10.0/24 --> Verbindung ins Heimnetz per Wireguard --> Ziel.
Das ist "von hinten durch die Brust und durchs Auge"
und weit weg davon, sinnvoll zu sein.Jetzt müsste ich anfangen, an jedem Client eine Logik zu basteln, die den Tunnel abschaltet, sobald er im Heimnetz ist. Ich frage mich nur, ob es dafür nicht eine systematische Lösung gibt. Die Logik müsste ja lauten, dass nach 192.168.1.0/24 kein Tunnel verwendet werden soll, wenn man schon in diesem Netz ist. Aber ich sehe hier keine sinnvolle Einstellmöglichkeit im Client. In der Sektion "Allowed IPs" / "Erlaubte IPs" muss ja im Client das Netz 192.168.1.0/24 eingetragen sein, damit dahin per WG geroutet wird...
Habt Ihr eine Idee für eine solche Lösung?
Besten Dank und Gruß,
highlife
Auf Facebook teilen
Auf Twitter teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 3561850558
Url: https://administrator.de/contentid/3561850558
Ausgedruckt am: 18.08.2022 um 23:08 Uhr
7 Kommentare
Neuester Kommentar
Die eigentliche Frage ist doch warum man den VPN Client aktiv haben muss wenn man schon im eigenen lokalen Netz ist?? Normal dann ja überflüssiger Unsinn und das Problem damit „selbstgemacht“.
Muss ich ja nicht! Aber ich möchte ihn nicht jedes Mal an- bzw. ausschalten, wenn ich unterwegs bin bzw. nach Hause komme. Idealerweise ist der Tunnel halt immer aktiv und ich muss mich nicht drum kümmern. Dafür wäre es ausreichend, wenn der VPN Client im Heimnetz nicht zum Heimnetz tunnelt...
Aber ich möchte ihn nicht jedes Mal an- bzw. ausschalten, wenn ich unterwegs bin bzw. nach Hause komme
Solche Automatismen was wo wann aktiv ist erledigt hier vollkommen autonom Tasker.
Danke für die Info. Ich hätte mir Tasker gerne erspart, da ich die Hoffnung hatte, dem Client selber beibringen zu können, im Zielnetz nicht ins Zielnetz zu tunneln. Aber eine solche Einstellung gibt es nicht oder ich finde sie nicht...
Nope, nicht out of the box.
Du kannst aber alternativ deinen DNS-Server im internen Netz direkt auf die interne Wireguard Kiste zeigen lassen und dort auch den Peer hinterlegen.
Du kannst aber alternativ deinen DNS-Server im internen Netz direkt auf die interne Wireguard Kiste zeigen lassen und dort auch den Peer hinterlegen.
Zitat von @bangalore:
Du kannst aber alternativ deinen DNS-Server im internen Netz direkt auf die interne Wireguard Kiste zeigen lassen und dort auch den Peer hinterlegen.
Du kannst aber alternativ deinen DNS-Server im internen Netz direkt auf die interne Wireguard Kiste zeigen lassen und dort auch den Peer hinterlegen.
Danke, das wäre auch eine gute Idee, vor allem würde dieser Ansatz zentral wirken.
Ich habe es jetzt erst mal mit Tasker auf einem Android Gerät gemacht, funktioniert gut. Muss halt nur auf jedem Gerät neu gemacht werden.
auf einem macOS kann ich sagen wenn du im netzt xxx bist oder wlan xxx verbunden bist brauchst du nicht über das vpn gehen, ganz simple
