Wireguard Lokales Netzwerk

[WeichtierCC]

Moin,
nachdem ich jetzt einige Tage immer mal wieder rumgegooglet habe und (noch) nichts gefunden habe, wollte ich hier mal nachfragen ob es sowas wie ne Liste für Wireguard gibt, welche bestimmte Subnets aus meiner 0.0.0.0/0 Konfiguration (alles durch den Tunnel) ausschließt? Alles was ich finden konnte war ein Beitrag im r/WireGuard, bei dem jemand eine Liste geschrieben hatte welches alle Subnets außer das Lokale in die AllowedIps Liste setzt (https://www.reddit.com/r/WireGuard/comments/awudup/how_to_exclude_local_network_packets_from/). Hat bei mir jedoch nicht funktioniert. Da ich Windows nutze hat der Weg im Post darunter mit den eigenen ip routes auch nicht funktioniert.
Gibts da nichts eleganteres?

LG

 

[Rache Klos]

Klar geht das, also dass nur die Routen über den Tunnel gehen die du auch setzt.

#Server Konfiguration
[Interface]
Address = 10.102.10.1/24
ListenPort = x
PrivateKey = x

[Peer]
PublicKey = x
AllowedIPs = 10.102.10.2

#Client Konfiguration
[Interface]
PrivateKey = x
Address = 10.102.10.2
DNS = 172.16.1.1
[Peer]
PublicKey = x
Endpoint = x
AllowedIPs = 172.16.1.0/24
PersistentKeepalive = 25

 

[WeichtierCC]

Also sind mit den AllowedIPs die gemeint, die NICHT durch die Vpn gehen sollen? Hatte es so verstanden, dass ich durch 0.0.0.0/0 alle IPs angebe die durch den tunnel sollen

 

[WeichtierCC]

Ok, ich hab jetzt mal etwas rumprobiert, jedoch hat das nicht geklappt.
Ich glaube wir haben uns hier falsch verstanden. Ich würde gerne den gesamten Traffic durch den Tunnel laufen lassen bis auf das Netzwerk, in dem sich der Rechner physisch befindet (z.B. für den Zugriff auf mein NAS).
Und um alle IPs bis auf mein Lokales Subnet (192.168.178.0/24) in die Allowed IPs Liste einzusetzen, kenne ich mich nicht genug mit der Subnetmaterie aus.

 

[Art Vandelay]

Ich weiss nicht ob ich dich richtig verstehe, aber der lokale Traffic wird doch gar nicht über den Tunnel geleitet, sondern nur der zum WG Server.
Also wenn dein Rechner 192.168.178.10 hat und dein NAS 192.168.178.11, wird der Zugriff nicht über den WG Tunnel realisiert.

Ich nutze auch seit einigen Wochen WireGuard über Android und Windows Clients zu einem Raspi Server und funktioniert bei mir einwandfrei. Die letzte Hürde war der Haken im Windows Client den lokalen Traffic nicht zu sperren, da ansonsten gar nichts lokales mehr ging.

 

[WeichtierCC]

Uff bin ich dumm!
Der blöde Knopf hat es gelöst. Hatte nicht daran gedacht, dass er das Problem ist, da ich eher daran dachte, dass alles geblockt wird sobald die VPN ausfällt, v.a. weil er standardmäßig aktiviert war.
Vielen vielen dank für den Tipp!
LG

 

[Art Vandelay]

Gerne doch :-)

 

[Hardrockner]

Die letzte Hürde war der Haken im Windows Client den lokalen Traffic nicht zu sperren, da ansonsten gar nichts lokales mehr ging.

Hallo,
wie hast du es gelöst, dass trotz aktivem Wireguard-Client der Datenverkehr im lokalen Netzwerk möglich bleibt?

Gruß, Hardrockner

 

[Art Vandelay]

Hallo Hardrockner,

das ging damals so, indem ich im Wireguard Windows Client den Haken hier unten links ("Block untunneled traffic") rausgenommen habe:

https://serversideup.net/wp-content...uard-Windows10-ConfigureTunnel-2-1024x805.png
Das Bild habe ich mir eben über eine Bildersuche im Internet rausgesucht.

 

[Hardrockner]

Besten Dank, hab's probiert, doch bei mir hilft das leider nicht. Vielleicht liegt es auch daran, dass ich noch mit Windows 7 arbeite. Ich muss den Wireguard-Client deaktivieren, damit ich auf Daten im lokalen Netzwerk zugreifen kann. Ich kann damit leben, doch falls jemand eine Lösung hat, würde ich mich darüber freuen, wenn er sie hier mitteilt.

Gruß, Hardrockner

 

[riversource]

Wie sehen denn deine Routen aus, solange Wireguard aktiv ist?

Vielleicht liegt es auch daran, dass ich noch mit Windows 7 arbeite.

Du betreibst nicht ernsthaft einen Windows 7 PC, der noch Zugriff zum Internet hat, oder? Wie <PIEP> kann man sein?

 

[andy_m4]

Das macht doch nix :-)

 

[Hardrockner]

Wie sehen denn deine Routen aus, solange Wireguard aktiv ist?

Vom Notebook "Oberwicht", auf dem der Wireguard-Client läuft, kann ich den Akino-PC im LAN anpingen. Tracert und pathping kann ich nicht erfassen, weil das Konsolenfenster Sekundenbruchteile nach der Ergebnisanzeige wieder schließt.

Vom Akino-PC hingegen geht das Datenpaket offenbar noch nicht mal zur Fritzbox.

 

[riversource]

Ich wollte die Routen sehen, nicht irgendwelche Traces. Eine Übersicht der verwendeten IP-Adressen brauchen wir auch. Wo steht der VPN Server?
Und die zweite Frage hast du noch nicht beantwortet.

 

[Hardrockner]

Wie kann ich die Routen darstellen? Ich nutzte nun netstat. Hilft das?

1. Ich erstellte das Wireguard-VPN zwischen 3 miteinander gekoppelten Fritzbox-Netzwerken. An allen 3 Orten brauche ich keine Wireguard-Client-Software, um auf die Daten im VPN zuzugreifen.
   
   
2. Auf dem Notebook nutze ich die Wireguard-Client-Software, da ich mit dem Notebook in mein VPN möchte, wenn ich unterwegs bin.
   
   
3. Ich kann aber nicht bestimmen, auf welcher der 3 Fritzboxen nun der VPN-"Server" läuft. Die Fritzboxen erzeugen das Wireguard-VPN, ich glaube, ohne dass eine der Fritzboxen als VPN-Server festgelegt ist.
   
   
4. Wenn ich nun das Notebook in einem der 3 gekoppelten LANs betreibe und die Wireguard-Client-Software auf dem Notebook aktiv ist, sieht der andere PC im LAN das Notebook zwar, denn der Windows-Explorer listet das Notbook unter "Netzwerk", aber ich kann nicht vom PC auf das Notebook zugreifen und umgekehrt auch nicht.
   
   
5. Doch, ich betreibe alle Rechner mit Windows 7, denn mir fehlen die zeitlichen und finanziellen Ressourcen, um alle PCs auf Windows 10, 11, 12... umzustellen und so zu konfigurieren, dass ich damit so produktiv wie mit Windows 7 arbeiten könnte. Ich lerne sehr, sehr langsam. Allein, um mich in die geänderte Windows-Oberfläche einzuarbeiten, bräuchte ich länger als ein Windows-Lebenszyklus dauert. Das schaffe ich nicht.

 

[Bob.Dig]

Was ist dieser Sophos SSL Adapter?

 

[riversource]

Doch, ich betreibe alle Rechner mit Windows 7, denn mir fehlen die zeitlichen und finanziellen Ressourcen, um alle PCs auf Windows 10, 11, 12... umzustellen und so zu konfigurieren, dass ich damit so produktiv wie mit Windows 7 arbeiten könnte.

Finanzielle Ressourcen kommen nicht infrage, weil das Update kostenlos war. Und so groß sind die Unterschiede in der Oberfläche nicht, als das eine Ausrede sein könnte. Rechner heute noch produktiv mit Windows 7 zu betreiben, ist schlicht Wahnsinn.

Von wo nach Wo baust du denn die VPN Verbindung auf? Befindest du dich in einem deiner drei Heimnetze und baust den Tunnel zu einem anderen Netz auf? Das würde deine Probleme zuverlässig erklären.

Die IP-Adress-Übersicht fehlt auch noch.

 

[Hardrockner]

Was ist dieser Sophos SSL Adapter?

Das ist noch ein VPN-Client auf Basis von OpenVPN. Den nutze ich, um auf ein weiteres VPN zuzugreifen.

 

[Hardrockner]

Finanzielle Ressourcen kommen nicht infrage, weil das Update kostenlos war. Und so groß sind die Unterschiede in der Oberfläche nicht, als das eine Ausrede sein könnte. Rechner heute noch produktiv mit Windows 7 zu betreiben, ist schlicht Wahnsinn.

Das Update mag kostenlos gewesen sein, aber ich müsste 5 Computer an 3 Standorten komplett neu einrichten, die gesamte IT-Infrastruktur, einschließlich Peripheriegeräte auf den Stand der jeweiligen Windows-Version bringen. Dafür müsste ich einen Dienstleister beauftragen. Dann müsste ich Programme, die nicht mehr unter den neuen Windows-Version laufen, durch Alternativen ersetzen. Allein die Suche nach Alternativen und das Testen, das Einrichten, die Mitarbeiterschulungen kosten so viel Zeit und Geld, die mein kleiner Geschäftsbetrieb schlicht nicht erwirtschaftet. So viel zum Wahnsinn.

Von wo nach Wo baust du denn die VPN Verbindung auf? Befindest du dich in einem deiner drei Heimnetze und baust den Tunnel zu einem anderen Netz auf? Das würde deine Probleme zuverlässig erklären.

Ja, dass ich mich in einem der drei Heimnetze befinde und den Tunnel aufbaue, schrieb ich bereits unter Punkt 4 meines Beitrages #15.

Die IP-Adress-Übersicht fehlt auch noch.

Ich weiß nicht, wie Windows 7 eine IP-Adress-Übersicht erstellen kann. Ich nahm jetzt ipconfig.
Die Fritzbox als Standardgateway im LAN hat 192.168.10.1
Der PC hat im LAN 192.168.10.2 und im VPN 192.168.50.205.
Das Notebook hat im LAN 192.168.10.3 und im VPN 192.168.50.211

Gruß, Hardrockner

 

[riversource]

Allein die Suche nach Alternativen und das Testen, das Einrichten, die Mitarbeiterschulungen kosten so viel Zeit und Geld, die mein kleiner Geschäftsbetrieb schlicht nicht erwirtschaftet. So viel zum Wahnsinn.

Sorry, nein. Das ist purer Unfug. Wenn es das nicht abwirft, ist das Geschäft eh zum Scheitern verurteilt. Was machst du, wenn Hardware kaputt geht? Für neue Rechner gibt es keine Windows 7 Treiber mehr.

Stell dir die Frage: Was bedeutet es, wenn jemand deine Rechner lahmlegt? Und jede Kommunikation mit dem Internet kann das zur Folge haben, darüber solltest du dir klar sein. Solange noch alles funktioniert, hast du die Zeit, Alternativen zu analysieren und einzurichten. Wenn deine Systeme tot sind, hast du diese Chance nicht mehr, dann brauchst du SOFORT eine Lösung oder bist erledigt. Denn die alten Systeme wieder zu reaktivieren, kannst du vergessen, du wirst ja sofort wieder gehackt.

Ein kurzer Blick in die Listen offenbart, dass es 3069 ungepatchte Sicherheitslücken in Windows 7 gibt (davon 1483 mit Risiko "Hoch"), viele davon in Client Bibliotheken, sprich: Man muss keinen Server betreiben, damit die ausgenutzt werden können. Es IST Wahnsinn, heute noch Windows 7 Systeme zu betreiben.

a, dass ich mich in einem der drei Heimnetze befinde und den Tunnel aufbaue, schrieb ich bereits unter Punkt 4 meines Beitrages #15.

Ja, damit baust du Routing Kuddel Muddel. Das wird nicht funktionieren, da die drei Boxen untereinander schon eine Verbindung haben. Dein Rechner versucht, die Geräte in deinem LAN über den VPN Tunnel zu erreichen und schickt die Daten darüber weg. Deine Rechner im Heimnetz sehen aber die Quell-Adresse in ihrem lokalen Netz und versuchen, dich direkt zu erreichen. Das geht schief, weil das zu asymmetrischem Datenfluss führt.

Ich weiß nicht, wie Windows 7 eine IP-Adress-Übersicht erstellen kann.

Du weißt nicht, wie man Routen aufruft, oder eine Adress-Übersicht erstellen kann oder wie Wireguard-Routing funktioniert. Noch dazu das Windows 7 Desaster: Es wird dringend Zeit, dass du jemanden an Bord holst, der sich mit sowas auskennt.

Ich sage es dir ganz deutlich: Dein Unternehmen ist zum Scheitern verurteilt, wenn du nicht schnellstens was unternimmst.