Fritzbox + Wireguard: Split Tunnel?

[homer092]

Hallo,

wir nutzen im Heimnetz die FritzBox 7590. Ich habe dort nun einen VPN mit Wireguard eingerichtet (v.a. für den Zugriff auf die NAS im Netzwerk von außerhalb, um die bisher offenen Ports dafür zu schließen).

Es gibt ja wie ich gelesen habe die Möglichkeit den Datenverkehr zu splitten, also nur bestimmten Datenverkehr über den Tunnel laufen zu lassen.

Mir würde z.b. völlig ausreichen wenn ich nur den Verkehr Lapopt-NAS (bzw Handy-NAS) über den VPN laufen lasse. Und den restlichen Datenverkehr ganz normal übers Internet.

Also wenn ich z.b. im Büro mit dem VPN verbunden bin läuft lales zur NAS über den VPN-Tunnel und alles was ich ganz normal im Internet mache weiter über das W-LAN im Büro.

Geht das mit Wireguard+Fritzbox und wenn ja wie? Bin dazu leider nicht fündig geworden bisher. Ich finde zwar die Aussage, dass es geht aber ich finde keine Einstellungen dazu.

Vielen Dank schonmal!

 

[Malaclypse17]

Ja das geht sehr einfach.
Nach dem herunterladen der generierten Config von der Fritzbox, diese mit einem Texteditor bearbeiten und unter dem Punkt

AllowedIPs = 192.168.178.0/24, 0.0.0.0/0

den Part

0.0.0.0/0

mit dem Komma davor löschen und dann geht nur der Verkehr durch den Tunnel, welcher an dein lokales Heimnetz geht.

 

[Bits&Bytes]

du kannst unter AllowedIPs auch einfach die IP-Adresse deiner NAS eintragen:

AllowedIPs = 192.168.178.100/32

Die 100 ist natürlich nur ein Beispiel.

 

[Jawohl]

du kannst unter AllowedIPs auch einfach die IP-Adresse deiner NAS eintragen:

Ändert aber nicht viel, nur, dass die übrigen Geräte im Heimnetz eben nicht über den Tunnel erreichbar sind. Da die Einstellung aber auf dem Laptop bzw. Handy gemacht wird, liefert es auch keine höhere Sicherheit.

 

[Bits&Bytes]

liefert es auch keine höhere Sicherheit.

das würde ich so pauschal nicht unterschreiben! Manchmal ist es sinnig, das der Zugriff auch wirklich nur auf das eine Gerät im Netzwerk erfolgen darf! Bei mir ist das jedenfalls so und nicht grundlos. Daher hatte ich die Möglichkeit erwähnt.

 

[Malaclypse17]

@Jawohl meinte damit, dass es sicherheitstechnisch keinen Unterschied macht, da die Fritzbox Server seitig sowieso das komplette Subnetz erlaubt, also macht es im Grunde auch keinen Unterschied, wie weit man das am Client einschränkt.

 

[DiedMatrix]

@Malaclypse17
Das verstehe ich aber nur bedingt. Wenn ich in der Wireguard Config unter Allowed IPs nur eine Adresse wie 192.168.178.100/32 eintragen bedeutet dies, dass der Client nur Pakete über den Tunnel schickt die für diese IP adressiert sind. Klar kann ich dann wenn ich mich auf diesen Rechner schalte weiter im ganzen Netzwerk wirken, aber das ist ja logisch, oder was meinst du?

Die Config ist natürlich am Client einfach bearbeitbar und damit wieder Zugriff auf alles möglich, ist halt keine Firewallregel.