Wireguard - Erklärung zu "Allowed IPs" und Best Practise

[eehm]

Hallo,

ich habe es geschafft meinen WIreguard VPN zu erstellen und mich per Handy darauf zu verbinden.
Jetzt möchte ich, dass all mein Traffic bei eingeschalten VPN über das Wireguard VPN läuft und ich nicht nur in gewisse lokale Subnetze rein komme.
Ich möchte in öffentlichen WLANs eine zusätzliche Sicherheit beim Online-Banking oder ähnlichem.

Aus dem Grund denke ich, dass die Einstellung der "Allowed IPs" mit 0.0.0.0/0 nicht so falsch sein kann, weil nach meinem Verständnis hiermit wirklich alles was am Handy gemacht wird über den VPN-Tunnel fließt.

Jetzt habe ich oft gelesen, dass man statt 0.0.0.0/0 besser 0.0.0.0/1 und 128.0.0.0/1 setzten sollte, aber ist das jetzt am Ende nicht das selbe wie 0.0.0.0/0?

Oder anderes gefragt, was setzt man für meinen Anwendungsfall am besten in der Wireguard Konfig-Datei am Endgerät?

 

[Bob.Dig]

Kurze Antwort: 0.0.0.0/0

 

[dernettehans]

Finde den Begriff "allowed ips" auch sehr unglücklich gewählt und verwirrend besonders für jemand, der das bisher nicht kennt. Im Grunde sind es "geroutete IPs", sprich alle IP Adressen oder Bereiche die du bei allowed IPs eingibst werden über den Wireguard Link geroutet und dafür auch automatisch routen angelegt. 0.0.0.0/0 heisst gesamter Traffic läuft über den Link, was man eigentlich meistens nicht möchte.

Hier auch ein Rechner dazu: https://www.procustodibus.com/blog/2021/03/wireguard-allowedips-calculator/

AllowedIPs = 192.168.100.0/24, 192.168.1.1/32

Heißt zb gesamtes 192.168.100 Netz und nur 192.168.1.1.

 

[Harrdy]

Kurz zusammengefasst.

• 0.0.0.0/0: Umfasst den gesamten IPv4-Adressraum (alle IPs).
• 0.0.0.0/1: Umfasst die erste Hälfte des IPv4-Adressraums (0.0.0.0 bis 127.255.255.255).
• 128.0.0.0/1: Umfasst die zweite Hälfte des IPv4-Adressraums (128.0.0.0 bis 255.255.255.255)

Wenn du also wirklich alles umleiten willst, ist 0.0.0.0/0 die Konfiguration, die du willst.

 

[eehm]

Traffic läuft über den Link, was man eigentlich meistens nicht möchte.

Wenn du also wirklich alles umleiten willst, ist 0.0.0.0/0 die Konfiguration, die du willst.

Ja ich dachte, dass ich das so aus Sicherheitsgründen möchte.

Könnt ihr mir bitte sagen, wieso man das so meist nicht möchte und wo die Nachteile sind, wenn man mit 0.0.0.0/0 ALLES routet?

 

[H3llF15H]

Ich möchte in öffentlichen WLANs eine zusätzliche Sicherheit

beim Online-Banking

Wiederspricht sich.

 

[kieleich]

Du kannst auf einem Wireguard Interface, mehrere Peers haben.

Wenn über das Interface ein Paket geschickt werden soll (weil die systemweite routingtabelle das so sagt), dann möchte Wireguard wissen an welchen Peer es schicken soll. Und das ist dann AllowedIPs so zu sagen eine Wireguard interne Route.

Der Quatsch mit dem /1 entsteht dann, wenn der Client aus dem AllowedIPs automatisch systemweite Routen setzt (obwohl das technisch eig erstmal nix mitnander zu tun hat). Aber es schon systemweit ne andere Route gibt für /0.

Dann ist /1 der Trick mit dem man eine "spezifischere" Route setzt die dann zuerst dran kommt

Wer feststellt dass /0 nicht funktioniert aber zweimal /1 setzen tut der hat einfach einen versteckten Murks in seiner Routing Tabelle

 

[eehm]

Wiederspricht sich.

Wieso widerspricht sich das?
Dachte im VPN Tunnel sind die Daten so sicher wie im Heimnetz?

 

[dernettehans]

@eehm Erstens ist es nicht der Normalfall den gesamten Traffic über WG zu routen, man will ja nur gezielt gestimmte IP Adressen oder VPN Netze erreichen vom anderen Tunnelende, meistens wird WG dafür genutzt LAN Netze zu verbinden also 1zu1 gestreckt die sich dann gegenseitig weiter verbinden. Den gesammten Traffic drüber laufen zu lassen gibt es eigentlich nur in einem Spezialfall, zb "VPN Anbieter", sprich sowas wie NordVPN, MullVad usw, wo du als Endkunde auf deinem Gerät halt dich hinter dem VPN verbergen willst mit deinem Traffic zum Internet. Und selbst da macht es auch nicht wirklich sinn lokale LAN IPs darüber laufen zu lassen, ist aber einfacher zu konfigurieren.

Und zweitens, bezüglich Sicherheit, das ist doch simpel zu verstehn. Du kennst den VPN Anbieter doch nicht, ob man dem Vertrauen kann, wieso soll man dann die Bankverbindungen darüber routen? Das macht vielleicht nur dann Sinn, wenn du einen privaten WG Server zuhause hast, und dann im Cafe mit freiem WLAN sitzt und keinem VPN Anbieter vertrauen willst, und dich dann zu dir nach Hause einwählst und von dir zuhause dann die Verbindungen ins Internet gehn.

 

[schrht]

Plus: Die Verbindung zu deiner Bank ist bereits verschlüsselt. Der Sicherheitsgewinn durch das Routen des Traffics zu deiner Bank über einen VPN-Tunnel hält sich in sehr engen Grenzen.

 

[eehm]

Und zweitens, bezüglich Sicherheit, das ist doch simpel zu verstehn. Du kennst den VPN Anbieter doch nicht, ob man dem Vertrauen kann, wieso soll man dann die Bankverbindungen darüber routen? Das macht vielleicht nur dann Sinn, wenn du einen privaten WG Server zuhause hast, und dann im Cafe mit freiem WLAN sitzt und keinem VPN Anbieter vertrauen willst, und dich dann zu dir nach Hause einwählst und von dir zuhause dann die Verbindungen ins Internet gehn.

Ja um Gottes Willen. Der Wireguard Server läuft auf meinem Unifi Cloud Gateway Ultra im Heimnetz.
Das ist kein "Fremd-VPN".

 

[Holzkopf]

0.0.0.0/0, ::/0

Besser sonst passiert es das IPv6 Traffic am VPN vorbei läuft.

 

[eehm]

Plus: Die Verbindung zu deiner Bank ist bereits verschlüsselt. Der Sicherheitsgewinn durch das Routen des Traffics zu deiner Bank über einen VPN-Tunnel hält sich in sehr engen Grenzen.

Klar https ist https, aber im Zweifel erhöht doch mein eigener Wireguard Server die Sicherheit als sie zu verhindern?
Dazu ist es praktisch weil ich von überall "sicher" auf mein Smarthome zugreifen kann.

 

[schrht]

Klar https ist https, aber im Zweifel erhöht doch mein eigener Wireguard Server die Sicherheit als sie zu verhindern?

Wie erhöht er deine Sicherheit? Ich sage nicht, dass er die Sicherheit verringert. Aber er erhöht sie auch nicht - zumindest fällt mir keine relevante Art und Weise ein.

Dazu ist es praktisch weil ich von überall "sicher" auf mein Smarthome zugreifen kann.

Das auf jeden Fall.

 

[eehm]

Wie erhöht er deine Sicherheit?

Falls durch Unachtsamkeit "sensible" Daten außerhalb von https übertragen werden.
Klar sollte irgendwo mehr der Fall sein, aber wirklich sicher sein kann man ggf. auch nicht.

 

[chrigu]

Also wenn eine Bank unachtsam seine verschlüsselte Verbindung ausserhalb der Verschlüsselung laufen lässt, würden morgen die ganze Medien davon berichten und die Bank hätte weniger Kunden.
Klar ist vpn (wenn man End/startpunkt kennt) sehr sicher. Wenn man aber paranoid ist und mehrere Geräte und Techniken nutzt um noch mehr zu verschlüsseln wird die Chance immer grösser, das einer der „Punkte“ eine Schwachstelle hat

 

[TomH22]

Wie erhöht er deine Sicherheit

Das VPN ist zumindest ein Schutz gegen DNS Spoofing. Dass allerdings irgendeinen gewöhnliches öffentliches WLAN von einem Profi Hacker gekapert wird, der ein täuschend echtes Bankend der Bank des TEs nachgebaut hat, um die Banking App zu täuschen, ist eine sehr theoretische und unwahrscheinliche Möglichkeit. Aber wenn man sich damit sicherer fühlt, ist das ja auch schon ein ausreichender Grund.
Ich leite im Ausland auch oft meinen gesamten Traffic über Wireguard, damit ich nicht ständig von irgendwelchen Geofencing Funktionen der Websites belästigt werde (z.B. Suchergebnisse in der Landessprache des Gastlandes).