WireGuard - Nur gewisse IP-Adressen tunneln

  • Hallo,


    Ich bin auf der Suche nach einem Tutorial, das mir zeigt, wie ich WireGuard so konfigurieren kann, dass nur bestimmte IP-Ranges über das VPN laufen. Ich möchte ein kleines LAN aufbauen, ohne dabei immer den gesamten Internettraffic über den Wireguardserver zu leiten, lediglich andere Clients im LAN und der Server sollen über das VPN erreichbar sein.

  • Folgende Beispielconfig:

    Code
    [Interface]
    PrivateKey = xxx
    Address = 172.23.0.2/32
    
    [Peer]
    PublicKey = xxx
    Endpoint = xxx.xxx.xxx.xxx:xxxxx
    AllowedIPs = 172.23.0.0/16, 172.20.0.0/16, 172.22.0.0/16, 172.21.0.0/16
    PersistentKeepalive = 15


    Das bei AllowedIPs sind alle Netzbereiche, die durch Wireguard getunnelt werden. So hab ichs verstanden und so funktioniert es auch. ^^

    Wenn du den kompletten Traffic tunneln willst, packst du dann halt z.B. 0.0.0.0/0 rein.

    "Denn der radikalste Zweifel ist der Vater der Erkenntnis."

    -Max Weber

  • Folgende Beispielconfig:

    Code
    [Interface]
    PrivateKey = xxx
    Address = 172.23.0.2/32
    
    [Peer]
    PublicKey = xxx
    Endpoint = xxx.xxx.xxx.xxx:xxxxx
    AllowedIPs = 172.23.0.0/16, 172.20.0.0/16, 172.22.0.0/16, 172.21.0.0/16
    PersistentKeepalive = 15


    Das bei AllowedIPs sind alle Netzbereiche, die durch Wireguard getunnelt werden. So hab ichs verstanden und so funktioniert es auch. ^^

    Wenn du den kompletten Traffic tunneln willst, packst du dann halt z.B. 0.0.0.0/0 rein.

    Wenn ich da nur gewisse Subnetze reinklatsche, werden die anderen dann geblockt oder geht das über das "normale" Internet? Moment, trage ich da nicht die IPs ein, die der Client selbst nutzen darf? Ich hab da gar nicht 0.0.0.0 drin stehen und trotzdem kommt der Client ins gesamte Internet.


    Das ist meine Serverkonfig: https://pastebin.com/1VyUizFr

  • Wenn ich da nur gewisse Subnetze reinklatsche, werden die anderen dann geblockt oder geht das über das "normale" Internet?

    Du baust Dir wie bei jedem anderen Tunnel ein Linknetz auf, für das Du die „internen“ IPs nützt. Natürlich geht der Traffic von dort zum anderen Knoten in Deinem VPN (Peer, Allowed IPs) in diesem Linknetz dann über das „normale Internet“ - je nach Einstellung verschlüsselt.

    Wohin ansonsten geroutet wird, bestimmt die Routingtabelle.

    Hier gilt der Grundsatz: speziellere Route vor allgemeiner Route. Die allgemeinste Route ist 0.0.0.0/0, gefolgt von 0.0.0.0/1 und 128.0.0.0/1. Die speziellste Route ist /32, also eine einzelne IP-Adresse.


    Wenn Du also nicht den gesamten Traffic über den Tunnel senden möchtest, achte darauf, dass keine Defaultroute zum Tunnelinterface zeigt, sondern über das „normale“ Netzwerkinterface via Gateway.