Verständnisfrage WireGuard/Persistent Keepalive

Schoeli

New member
Hallo zusammen und noch ein frohes neues Jahr!

Ich bin neu hier im Forum und habe eine Verständnisfrage bzgl. der Funktion „Persistent Keepalive“ im Zusammenhang mit WireGuard.

Der WireGuard-Seite ist sinngemäß zu entnehmen, dass die Funktion „Persistent Keepalive“ in den meisten Fällen nicht benötigt wird, sondern nur dann erforderlich wird, wenn sich ein Peer hinter NAT oder einer Firewall befindet.

Die Funktion „Persistent Keepalive“ kann sowohl client- wie auch auf serverseitig konfiguriert werden.

In meinem Fall befindet sich WireGuard direkt auf dem Router (DrayTek), dahinter ist dann ein Synology NAS, auf welches von extern lediglich über VPN zugegriffen werden kann. Mit meinen Clients (WireGuard App) greife ich von unterwegs sowohl aus dem Mobilfunknetz als auch aus fremden WLAN auf den Router und das dahinterliegende NAS zu.

Wie ist das in meinem konkreten Fall also nun zu verstehen? Benötige ich die Funktion „Persistent Keepalive“, weil sich z. B. das NAS hinter dem Router befindet, oder sich ein Client in einem fremden WLAN eingeloggt hat?

Vielleicht könnt ihr mir da ja mal „Licht ans Fahrrad“ machen.

Viele Grüße, Schoeli!
 
Kommt darauf an, wie die ganze Geschichte konfiguriert ist. Grundsätzlich dient ein KeepAlive erstmal dazu, dass eine Verbindung nicht z.B. aufgrund von Inaktivität automatisch abgebaut wird. Bei automatischer Einwahl (ohne erneutes Abfragen der Anmeldeinformationen) kann ein KeepAlive ebenso dazu dienen, die Verbindung wieder aufzubauen, nachdem sie abgebaut wurde (z.B. bei einem Netz-Wechsel).

Im Zuge von NAT gibt es da auch einen Timeout für Verbindungen, findet eine gewisse Zeit kein Verkehr statt, wird der Router die Informationen der NAT-Session verwerfen, womit die Verbindung erneut aufgebaut werden muss. In Deinem Falle (Draytek), könntest Du diesbezüglich auch mal hier schauen: https://www.surevoip.co.uk/support/wiki/troubleshooting:firewall_nat:draytek

Bei Site2Site-Verbindungen ist ein KeepAlive eigentlich schon Pflicht, bei mobilen Geräten... je nachdem, wie die Anwendung via VPN so aussieht... Im Normalfall wird ja eher sporadisch auf Dinge hinter dem VPN zugegriffen, eine dauerhafte Verbindung würde auch entsprechend den Akku belasten, weswegen das so eigentlich eher nicht wirklich Sinn macht. Da wäre eher eine VPN-on-Demand-Umsetzung sinnvoll (wenn ich zu <Ziel> möchte, dann bau die VPN-Verbindung auf). Sowas macht dann z.B. auch Sinn, wenn man z.B. seinen Mailserver nur "intern" erreichen kann. Stellt man dann am z.B. Handy den Mailabruf-Intervall auf 15 Minuten ein, kann da Handy entsprechend alle 15 Minuten den VPN-Tunnel aufbauen, die Mails abholen und den Tunnel wieder abbauen (beim Versand ebenso). Alternativ eben die manuelle Einwahl (welche man sich mit dem VPN-on-Demand eben ersparen würde).

Draytek hat zum Thema VPN-on-Demand auch einige Anleitungen...z.B. https://www.draytek.com/support/knowledge-base/4052. Musst einfach mal schauen, was wie zu Deinen Vorlieben passt, alles Geschmackssache :)
 
Vielen Dank für deine ausführlichen Hinweise und Hilfestellungen. Ich werde das mit der VPN-on-Demand-Umsetzung mal in Angriff nehmen.
 

Letzte Anleitungen

Statistik des Forums

Themen
4.383
Beiträge
45.248
Mitglieder
3.984
Neuestes Mitglied
Blitzkriegbob90
Zurück
Oben