ComputerBase Menü
Aktuelles

Wireguard und Heimnetz

S

shack75

Cadet 3rd Year
Registriert
Mai 2021
Beiträge
52
Hallo,

ich habe einen kleinen vServer gemietet, dort läuft Wireguard und PiHole. Funktioniert auch einwandfrei.

Problem: zu Hause kann ich so mein Netzwerk (192.168.178.0 - 192.168.178.255) natürlich nicht erreichen (z. B. den Netzwerkdrucker).

Die Wireguard Client-Config ist:

Code: 
[Interface]
PrivateKey = ***
Address = 10.191.194.34/32
DNS = 10.2.3.1

[Peer]
PublicKey = ***
PresharedKey = ***
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = mein vServer mit Port

Mir ist mittlerweile klar, dass mit "AllowedIPs = 0.0.0.0/0, ::/0" der gesamte Traffic durch den Tunnel geht somit auch jede Anfrage an mein Heimnetz und das dadurch nicht erreichbar ist.

Mir ist auch klar, dass ich nicht einfach mein Heimnetz "192.168.178.0 schräg irgendwas" nicht einfach ausnehmen kann.

Ich glaube zu wissen, dass ich jetzt unter "AllowedIPs" quasi alles eintragen muss, außer meinem Heimnetz und ich so zu Hause mein Heimnetzwerk erreichbar mache.

Hier bin ich jetzt aber überfordert.

Weiß jemand Rat?

Danke und Gruß,
Shack.
 
Wenn ich das richtig verstanden hab kommt unter AlowedIPs dein Heim-Subnetz.
1667657474838.png

https://www.stavros.io/posts/how-to-configure-wireguard/
 
Dann würde mein Heimnetz komplett über Wireguard laufen, das tut es ja bereits mit "AllowedIPs = 0.0.0.0/0, ::/0".

Was ich aber möchte ist, dass ein Aufruf des Heimnetzes 192.168.178.0 - 192.168.178.255 (ist das 192.168.178.0/24 ?) gerade nicht in den Tunnel geht.

Alles andere aber schon.
 
Oh.. du wählst dich zu Hause per Wireguard auf dem vServer in dein Heimnetz ein? Ok...
 
Ursprünglich hatte ich zu Hause einen Raspi mit PiHole laufen. Geht auch von unterwegs aus, ich weiß, aber der vServer ist einfach schneller. So lasse ich jetzt einfach mein Pihole hinter Wireguard extern laufen und bin damit sehr zufrieden. Alles geht schnell, der Filter läuft und man hat alles unter Kontrolle.

Ich könnte zu Hause parallel noch den Raspi betreiben, aber warum 2 x, wenn es auch anders geht.

Nur eben wie?
Ergänzung ()

Ich bin auf das hier gestoßen, falls das jemandem helfen sollte, mir zu helfen, ich bin da, äh, zu doof unbewandert dazu:

https://www.lautenbacher.io/lamp/wireguard-eine-einzelne-ip-adresse-ausschliessen/
 
Ouuuuu, das sieht klasse aus. Super!

Eine Frage noch.

192.168.178.0 - 192.168.178.255 ist das 192.168.178.0/24 ?
 
Korben2206 schrieb:
vllt. hilft das: https://www.procustodibus.com/blog/2021/03/wireguard-allowedips-calculator/
Zum Vergrößern anklicken....

Juhuuuu, es läuft.

Für andere, die vielleicht das gleiche Problem haben zum Nachbauen:

Ich habe dort unter unter AllowedIPs "0.0.0.0/0, ::/0" und unter DisallowedIPs "0.0.0.0/8, 10.0.0.0/8, 127.0.0.0/8, 169.254.0.0/16, 172.16.0.0/12, 192.168.0.0/16, 240.0.0.0/4, fc00::/7, fe80::/10" eingegeben, also einfach mal alle privaten Netzwerke ausgeschlossen.

Daraufhin wurde mir das ausgegeben:

Code: 
AllowedIPs = 1.0.0.0/8, 2.0.0.0/7, 4.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8, 12.0.0.0/6, 16.0.0.0/4, 32.0.0.0/3, 64.0.0.0/3, 96.0.0.0/4, 112.0.0.0/5, 120.0.0.0/6, 124.0.0.0/7, 126.0.0.0/8, 128.0.0.0/3, 160.0.0.0/5, 168.0.0.0/8, 169.0.0.0/9, 169.128.0.0/10, 169.192.0.0/11, 169.224.0.0/12, 169.240.0.0/13, 169.248.0.0/14, 169.252.0.0/15, 169.255.0.0/16, 170.0.0.0/7, 172.0.0.0/12, 172.32.0.0/11, 172.64.0.0/10, 172.128.0.0/9, 173.0.0.0/8, 174.0.0.0/7, 176.0.0.0/4, 192.0.0.0/9, 192.128.0.0/11, 192.160.0.0/13, 192.169.0.0/16, 192.170.0.0/15, 192.172.0.0/14, 192.176.0.0/12, 192.192.0.0/10, 193.0.0.0/8, 194.0.0.0/7, 196.0.0.0/6, 200.0.0.0/5, 208.0.0.0/4, 224.0.0.0/4, ::/1, 8000::/2, c000::/3, e000::/4, f000::/5, f800::/6, fe00::/9, fec0::/10, ff00::/8

Das habe ich dann im Client als AllowedIPs eingetragen.

Läuft!

Die Alternative mit PreUp und PostDown verstehe ich nicht, aber das macht nichts, es läuft und ich kann sehr gut damit leben.

Danke!!!
 
  • Gefällt mir
Reaktionen: Korben2206
Benutzt du den Softwareclient zu Hause?

Vielleicht wäre es sinnvoll WG auf deinen Router zu verlegen (wenn möglich) und so alle deine Netzwerkgeräte drüber laufen zu lassen. Dann musst du deine internen IPs auch nicht einzeln ausschließen. Vllt ein Upgrade für die Zukunft :)
 
Genau die "better Alternative" aus dem verlinkten Artikel ist der Weg. Das Eintragen eines riesigen Blocks erlaubter IPs ist nicht zu empfehlen!

Dein Gerät hat ein Netzwerkinterface im Heimnetz und folglich eine passende Subnetzroute dahin. Das einzige, wofür du sorgen muss, ist, dass diese Subnetzroute eine kleinere Metrik hat, als die Wireguard Default Route. Routen mit kleinerer Metrik werden bevorzugt. Danach geht alles von allein.
 
Digitalzombie schrieb:
Benutzt du den Softwareclient zu Hause?

Vielleicht wäre es sinnvoll WG auf deinen Router zu verlegen (wenn möglich) und so alle deine Netzwerkgeräte drüber laufen zu lassen. Dann musst du deine internen IPs auch nicht einzeln ausschließen. Vllt ein Upgrade für die Zukunft :)
Zum Vergrößern anklicken....

Ist leider nicht möglich, das das meine aktuelle Fritz nicht kann. Bestimmt könnte man was mit dem Raspi basteln, aber das ist mir zu hoch.

Zumal ich verschiedenen Clients verschiedene Filter zuweise. Das Handy und der PC meines Großen sind da deutlich eingeschränkter als meines ;-)

riversource schrieb:
Das Eintragen eines riesigen Blocks erlaubter IPs ist nicht zu empfehlen!
Zum Vergrößern anklicken....

Wieso? Zuvor war als Standard 0.0.0.0/0, ::/0 (also alles) eingetragen.

riversource schrieb:
Dein Gerät hat ein Netzwerkinterface im Heimnetz und folglich eine passende Subnetzroute dahin. Das einzige, wofür du sorgen muss, ist, dass diese Subnetzroute eine kleinere Metrik hat, als die Wireguard Default Route. Routen mit kleinerer Metrik werden bevorzugt. Danach geht alles von allein.
Zum Vergrößern anklicken....

Puuuuuuh... Das klingt kompliziert.

Wenn Du möchtest, kannst Du es mir gerne erklären, ich lerne sehr gerne dazu.
Ergänzung ()

Ergänzung:

Außer dem Block an Freigaben bleibt bei Mobilgeräten nichts anderes übrig.

As you can see, subtracting one block of IP address from another block can result in a painfully long list of blocks to add to the AllowedIPs setting. On some platforms, like mobile phones, you don’t have any other options — but on Linux, you have some powerful routing tools available that can simplify the situation.
Zum Vergrößern anklicken....
 
  • Gefällt mir
Reaktionen: Digitalzombie
shack75 schrieb:
Wieso? Zuvor war als Standard 0.0.0.0/0, ::/0 (also alles) eingetragen.
Zum Vergrößern anklicken....
Ja, es ist ein Eintrag. Das ist ok.

Das Problem ist: Viele Einträge erlaubter Subnetze führt zu vielen einzelnen Routen, die benutzt werden müssen. Da die Routing Tabelle bei jedem Paket abgeklappert wird, ist das sehr schlecht für die Performance des Gerätes. Das ganze wird sehr träge und zäh werden.

Dazu kommt: Du kannst dein Handy ab sofort nur noch zu Hause einsetzen. Da du alle anderen Subnetze nun explizit aufs VPN legt, wird weder Mobilfunk noch ein anderes WLAN funktionieren. Oder du lässt bei jedem IP Wechsel die Liste der Netze neu berechnen und richtest das VPN neu ein. Nicht sonderlich praktisch.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

N
wireguard to ubiquity router
Antworten
9
Aufrufe
856
Donald24
Donald24
Bert_64
Fritzbox 5590 WireGuard no handshake
Antworten
7
Aufrufe
1.138
TheCadillacMan
TheCadillacMan
Zaiga
Wireguard - VPN
Antworten
4
Aufrufe
964
riversource
R
OpenMedia
Wireguard Client auf einer lokalen VM im Heimnetzwerk ?
Antworten
6
Aufrufe
791
Bob.Dig
Bob.Dig
Xiaolong
Fritz!Box verbindet nicht mit VPS
2
Antworten
21
Aufrufe
1.282
riversource
R
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz