Wireguard als zusätzliches Netzwerk in Windows, will nicht alles durch Tunnel routen

JDK91

Cadet 3rd Year
Registriert
Sep. 2022
Beiträge
41
Hallo,
ich habe seit 4 Monaten einen Unraid Server und habe bereits Pi-Hole, Paperless und ein paar Docker und VM's am laufen.
Allerdings bin ich immer noch nicht die hellste Kerze auf der Netzwerk-Torte.

Lokal in meinem Netz läuft alles wunderbar. Nun möchte ich allerdings das ein Familienmitglied über das öffentliche Internet auf mein Heimnetz zugreifen kann, um Backups auf meinen Server zu speichern oder z.b. Paperless zu benutzen.

Ich habe die letzte Nacht rumgefummelt und jetzt ist Wireguard in der Fritzbox eingerichtet.
Wenn das funktioniert, werde ich Wireguard aus der Fritte entfernen und auf meinen Unraid Server einrichten. Da mit Fritte aber einfacher, probiere ich es erstmal damit.

Jetzt zum Problem:
Wenn ich mein Vorhaben mit meinen Laptop teste und diesen mit meinem Handy Hotspot(o2) verbinde und Wireguard im Windows Client aktiviere, bin ich mit meinem Heimnetz Zuhause verbunden. Klappt! Ich kann sowohl auf die Fritte, als auch auf Paperless etc.
ABER
Leider läuft der ganze Traffic komplett über den Wireguard Tunnel.
Bedeutet, auch Firefox und alle anderen Anwendungen laufen vom Laptop erst über meine Fritte, wieistmeineip.de gibt mir ebenfalls die Öffentliche IP der Fritte raus, nicht die von o2. (Was auch alles logisch für mich ist).

Frage: Wie kann ich es jetzt so machen, dass der ganze Traffic vom Laptop noch über o2 läuft, NUR die händischen Eingaben mittels IP im Windows Explorer oder im Browser sollen über Wireguard laufen.

z.b. soll computerbase.de oder der JDownloader weiterhin über o2 laufen,
aber z.b. 192.168.1.2:8000(Paperless Docker) soll dann automatisch über Wireguard gerootet werden, zu meinen unraid.

Lösung(?): Kann ich auf dem Notebook einen zweiten Virtuellen LAN Adapter erstellen, welcher mit Wireguard läuft und trotzdem den Haupt Netzwerkadapter für alles an Traffic benutzen? Aber ich finde rein gar nichts dazu, höchstens VLAN's mittels Hypervisor etc. Geht das nicht einfacher?


Ich hoffe sehr das jemand mein Problem und meine Sichtweise nachvollziehen kann und eventuell Tipps hat.
Hab jetzt viel geschrieben, hoffe Ihr bekommt keine Kopfschmerzen. :D

Dankeschön und schönes Wochenende.
 
Schau dir mal die wireguard config auf client-seite in einem Texteditor an.

Dann bist du schlauer. (Hätte dir google aber auch gesagt, stichwort wireguard route)
 
  • Gefällt mir
Reaktionen: JDK91
Einfach in der Wireguard-Config (Client) unter AllowedIPs das gewünschte Netz angeben und nicht 0.0.0.0/0
 
  • Gefällt mir
Reaktionen: JDK91
[Interface]
PrivateKey = xxxxxxxqvZc2zsfQ6AzKIdhDRatUt1ETN5dKe0Nyt0s=
Address = 192.168.1.201/24
DNS = 192.168.1.1, fritz.box

[Peer]
PublicKey = tzuhb+gR/LLQBTwJ2Pxxxxxxg9tb3erB4C9ieohU=
PresharedKey = yhVT8gvFesgq0nxxxxxxHDIkghrbF/rwzuJI9vql4=
AllowedIPs = 192.168.1.0/24, 0.0.0.0/1, 128.0.0.0/1
Endpoint = xxxxx.selfhost.co:51425
PersistentKeepalive = 25


Das meint Ihr?
Darüber habe ich schon YT gesehen und einiges gelesen, aber ganz raffen tue ich trotzdem nicht
was ich einstellen soll damit das so funktioniert wie ich möchte. Ich denke mal, wenn es einmal geht, gibts
ein Aha Moment und dann verstehe ich es.

@eyedexe
Was meinst Du mit "gewünschte Netz"? :mussweg:
 
AllowedIPs sagt welche Netze er durch den Tunnel schickt

In der Konfig von dir zeigt er
Code:
AllowedIPs = 192.168.1.0/24, 0.0.0.0/1, 128.0.0.0/1
Also wird zuerst alles was ins Netz 192.168.1.0/24 geht in den Tunnel geschickt, dann 0.0.0.0/1 dann etc.

Am besten wäre es nur dein Heimnetz in AllowedIPs einzutragen oder nur die IP von deinen Kisten auf die dein Familienmitglied drauf soll
Btw. wenn er das gleiche Netz hat wie dein Heimnetz also auch 192.168.1.0/24 dann sind die Sachen in seinem Netzwerk mit diesen Adressen nicht mehr erreichbar weil wie gesagt das geht alles über den Tunnel
 
  • Gefällt mir
Reaktionen: JDK91
Ich wollte bei mir die interne IP noch ändern von 192.168.1.X auf z.b. 192.168.33.X ändern um Probleme aus dem Weg zu gehen.

Also bräuchte ich dann auf der Gegenseite in der Wireguard Config unter
AllowedIPs NUR das eintragen: AllowedIPs = 192.168.33.0/24

Richtig?

Ich verstehe das mit der z.b. /24 auch noch nicht so ganz, ich bin mich aber schon beim belesen.
 
JDK91 schrieb:
AllowedIPs NUR das eintragen: AllowedIPs = 192.168.33.0/24
Ja genau das ist so richtig

Das mit /24 ist das so genannte CIDR damit kann man Netzgrößen beschreiben.
In diesem Fall bedeutet /24 alle 254 Adressen aus dieser Range also 192.168.33.1 bis 192.168.33.255
Wenn du nur auf eine einzelne IP Adresse zeigen willst dann benutzt man /32
 
  • Gefällt mir
Reaktionen: JDK91
Danke @Isolak :)
Werde ich gleich mal testen, muss aber erstmal das ganze Heimnetz auf .33.x ändern.

Kurze Frage,
meine ganzen Docker laufen alle mit HTTP, ist es auch trotz WireGuard Tunnel Pflicht ein SSL Zertifikat und HTTPS zu nutzen? Oder reicht hier Wireguard aus um auf die Docker zuzugreifen?
 
VPN hat mit http oder https nichts zu tun. Allerdings ist der Zugriff von außen durch Wireguard bereits verschlüsselt und es ist sogesehen egal ob der darüber genutzte Dienst nochmal separat verschlüsselt ist oder nicht.
Oder anders gesagt: Über VPN kann man zB nacktes FTP, komplett unverschlüsselt und Logins in Klartext gefahrlos nutzen. Gleiches gilt somit auch für http.
 
  • Gefällt mir
Reaktionen: JDK91
Zurück
Oben