VPN Netzverbindung per Wireguard - Konfiguration einer Remoteverbindung zu nur einem lokalen System sperrt Zugriff auf remote FB

[framp]

Die Tage habe ich eine VPN (Wireguard) Verbindung von meinem Netz zu einem remoten Netz konfiguriert. Ging erstaunlich schnell.

Jetzt wollte ich den Zugriff auf nur ein System bei mir restricten und habe "Nur bestimmte Geräte im Heimnetz sollen über diese WireGuard®-Verbindung erreichbar sein:" genutzt um nur meine NAS freizugeben. Danach kann ich aber nicht mehr auf die remote FB zugreifen

 

[Helmut-H]

Jetzt wollte ich den Zugriff auf nur ein System bei mir restricten und habe "Nur bestimmte Geräte im Heimnetz sollen über diese WireGuard®-Verbindung erreichbar sein:" genutzt um nur meine NAS freizugeben. Danach kann ich aber nicht mehr auf die remote FB zugreifen

Hi,

funktioniert doch wie erwartet.
Ja, ist böse, ich weis.

Für den Zweck immer einen zweiten VPN-Zugang z.B. auf dem SmartPhone einrichten.

 

[framp]

funktioniert doch wie erwartet.

Nicht für mich. Anbei noch Mal mehr Derails zu meiner Frage:

Gegeben: Zwei Heimnetze foo und bar , in denen eine FB als Router läuft und eine VPN Verbindung mit WG hergestellt wurde.
foo hat Netz 192.168.0.0/24 und bar hat Netz 192.168.178.0/24

Jetzt möchte foo, dass aus bar nur auf die IP 192.168.0.42 zugegriffen werden kann. Deshalb wird diese IP bei foo definiert. Bei bar ändert sich nichts und foo soll weiterhin Zugriff auf alle IPs in bar haben.

Ich würde verstehen, dass der Zugriff von foo auf 192.168.178.1 unterbunden wird, wenn bar bei sich auch definieren würde, dass foo nur auf 192.168.178.42 zugreifen kann.

 

[Der Eifelsachse]

Hallo @framp,

grundsätzlich ist das von dir gewollte problemlos möglich (*). Ich mache das ja in meinem "WireGuard-Netz" seit 2019 genau so. Ich selbst kann auf jedes Gerät in den entfernten 8 Hausnetzen voll zugreifen (so gewollt und abgesprochen, muss ich ja auch zu Hilfeleistungen) - und die Nutzer in diesen entfernten Netzen können/dürfen exakt das, was mit ihnen abgesprochen wurde. Diese Berechtigungen wurden abhängig vom Bedarf und den Fähigkeiten der jeweiligen Nutzer von mir realisiert.

(*)
Und jetzt kommt der (dir ja bekannte) Unterschied: Ich nutze bewusst niemals den nicht unter meiner Kontrolle stehenden Internetrouter für VPN, sondern immer externe, mit OpenWrt betriebene Geräte!
Das "Fritz-WireGuard" ist nun mal für Otto-NormalUser entwickelt worden und entsprechend in seinen Fähigkeiten kastriert. Ich selbst habe mich nie damit befasst.
Das unter OpenWrt laufende WireGuard bietet wesentlich mehr Möglichkeiten zur Konfiguration, welche den ONU nur verwirren würden.

vy 73 de Peter

 

[framp]

@Helmut-H Vielen Dank für Deine verlinkte Doc. aus der geht mehr oder weniger dasselbe hervor, was @Der Eifelsachse schreibt: Dazu muss man die WG Config manuell anpassen. Offensichtlich wird die Config irgendwie falsch updated wenn man "Nur bestimmte Geräte im Heimnetz sollen über diese WireGuard®-Verbindung erreichbar sein" nutzt, denn es macht ja keinen Sinn, wenn man remote nur einene bestimmte IP zulassen will, plötzlich den gesamten Zugang auf das remote Netz zu blockieren.

Es ist kein Problem wenn ich weiterhin meine gesamten Systeme zugreifbar lasse. Aber es wurmt mich dass diese Option im UI nicht wie erwartet funktioniert. Ich werde mal mit dem AVM Support in Kontakt treten ob das ein Bug, ein Feature oder einfach ein Missverständnis von mir ist.

 

[Helmut-H]

Die Umsetzung von WireGuard in der Box ist wohl nicht ganz Standardkonform.

Wobei

wenn man remote nur einene bestimmte IP zulassen will, plötzlich den gesamten Zugang auf das remote Netz zu blockieren.

doch genau nur diese Eine gewünscht wird.
Es wird -wie Bestellt- nur der eine Link erlaubt.
Du kannst auch Bereiche erlauben. IPv4 / v6 Subnetting. Subnetzmaske und in der sogenannten CIDR-Notation. Das habe ich aber noch nicht gemacht.

 

[Helmut-H]

Du kannst unter Allowed IPs mehrere, mit Komma getrennte IPs eintragen, so kannst du auf mehrere Hosts zugreifen.

 

[framp]

Nein. Es verhält sich nicht wie erwartet. Ich habe ja meinen Usacase in #3 beschrieben. Noch mal anders:

Ergebnis soll sein:

(1) A -> B auf alle IPs
(2) A <- B nur eine einzige IP erreichbar

Warum ist nach dem Definieren bei A der von B erreichbaren IP plötzlich (1) nicht mehr möglich. Ich will ja nur B restricten und nicht A

 

[Der Eifelsachse]

Wie ich in #4 schon geschrieben habe, funktioniert das (in Verbindung mit weiteren Einstellungen, wie z. Bsp der Firewall) perfekt mit dem originalen WireGuard. Wie sagt man so schön: "fein granular". Ob dieses das "Fritz-WireGuard" auch so kann - und ob das überhaupt gewollt ist - weiß ich nicht.
BTW: @framp: du hast eine Nachricht.

vy 73 de Peter