WireGuard zulässige IPs

[Micha289]

Hallo zusammen,

ich habe auf meinem iPhone eine WireGuard Verbindung erfolgreich eingerichtet.

Unter "Zulässige IPs" ist mein Heimnetzwerk mit "192.168.xxx.0/24" eingetragen. Der Tunnel funktioniert auch wunderbar, jedoch steht dieser auch bei Verbindungen die ins WWW gehen.

Ich habe herausgefunden, dass das wohl mit dem DNS-Server in der WireGuard App zusammenhängt. Hier steht bei mir "192.168.xxx.1, fritz.box". Nun verwendet er diese aber auch, wenn der Tunnel eigentlich nicht aktiv sein sollte. Ich stelle mir vor, dass wenn ich keine IP aus dem angegebenen Adressbereich aufrufe, dass dann ein globaler DNS-Server verwendet wird.

Ich habe nämlich einen eigenen DNS-Server "AdGuard" laufen, der aber nur für Aufrufe aus dem Heimnetz greifen soll.

Hat jemand eine Idee wie ich das Problem lösen kann?

 

[tiermutter]

Fritte kenne ich nicht, seitens VPN Server ist bei wireguard aber ohnehin nicht viel zu machen...
Zumeist will man durch einen VPN Tunnel ja auch seinen eigenen resolver verwenden statt die vom ISP... Was spricht für dich dagegen?
Alternativ könntest du in der VPN Verbindung die Fritte selbst als DNS angeben der den vom ISP verwendet (oder einen anderen beliebigen DNS Server) der dann statt dem AGH Server verwendet wird.

 

[Micha289]

Was spricht für dich dagegen?

Der eigentliche Grund ist, dass meine Frau über eine Seite verschiedene Prospekte anschauen möchte. Hier greift der AdGuard-Filter und blockiert die Anzeige.
Meine Lösung wäre daher gewesen, die Seite aus dem Handynetz aufzurufen. Denn eigentlich sollte der Tunnel ja nur greifen, wenn ich aufs interne Netz möchte. Warum dieser "Verkehr" bzw. Anfrage dann aber doch übers Heimnetzwerk läuft, ist mir nicht klar.

 

[Barungar]

Soweit ich weiß macht AVM (bzw. die FritzBox) bei Wireguard kein Split Tunneling, sondern es wird einfach der ganze Traffic des Smartphones durch den WG-Tunnel geleitet. Egal, ob Zugriff aufs Heimnetz oder ins Internet.

 

[Spielebernd]

@Barungar hat es bereits richtig gesagt. Zum nachlesen noch folgendes:

https://avm.de/service/wissensdaten...ITZ-Box-am-Smartphone-oder-Tablet-einrichten/

Ob die Config angepasst und dann in die App wieder eingespielt werden kann kann ich allerdings nicht sagen.

 

[tiermutter]

Der Client erstellt doch seinen routing table und nicht die Fritte. Und das macht der Client u.a. anhand der WG config auf dem Gerät. Wenn da steht DNS=192.168.1.1 dann wird der genutzt und muss über den Tunnel geroutet werden. Wenn da was anderes steht (oder der DNS anderweitig priorisiert eingestellt ist), zB ein öffentlicher Server, dann wird auch dieser verwendet. Und was durch den Tunnel geroutet wird, entscheidet ja auch der Client anhand der WG Config.
Verstehe nicht was die Fritte da zu melden hat...

 

[Barungar]

Verstehe nicht was die Fritte da zu melden hat...

Ich habe mich mit Wireguard nie befasst, weil ich Fraktion IPsec bin. Ich habe damit nur kurz gespielt und getestet. Fakt ist, wenn man über die FritzBox einen WG-Tunnel für ein Smartphone erstellt und dann diese Fritz-Konfiguration mittels Import oder per QR-Scan in den WG-Client auf dem Smartphone übernimmt, geht der ganze Traffic des Smartphones durch die FritzBox.

 

[tiermutter]

Bei Verwendung der "normalen" WG app kann man den Tunnel ja bearbeiten...
Hier hab ich meinen DNS einfach mal durch 8.8.8.8 ersetzt. Das würde bei mir zwar durch den Tunnel geroutet werden, aber auch das kann ja angepasst werden.

 

[Barungar]

Den DNS-Server zu ändern würde gehen, aber das geht auch schon an jedem PC.

 

[tiermutter]

Jo, aber darum geht es doch... Auch via WG soll nicht der interne DNS Server verwendet werden...

 

[Spielebernd]

Das ist nur der DNS der genutzt wird wenn über VPN die Anfrage läuft. Für welche Anfragen die VPN genutzt wird legst du in der Config fest.

Die FB setzt hier 0.0.0.0 also alles und das macht der Client dann auch. Du stellst also nicht den DNS ein sondern für welche Aufrufe du VPN nutzen willst.

 

[tiermutter]

Hatte ich ja geschrieben... Damit das nicht über den Tunnel geht, muss man es ausschließen und statt 0.0.0.0 nur sein Heimnetz routen.
Wann der Client den dort angegebenen DNS nutzt habe ich nie geprüft, für mich hat es sich auf den Screenshots so dargestellt als würde dieser immer genutzt werden... Aber ich route ja sowieso alles durch den Tunnel, ka wie es sich verhält wenn ich das nicht tun würde...

 

[Spielebernd]

Hatte ich ja geschrieben... Damit das nicht über den Tunnel geht, muss man es ausschließen und statt 0.0.0.0 nur sein Heimnetz routen.
Wann der Client den dort angegebenen DNS nutzt habe ich nie geprüft, für mich hat es sich auf den Screenshots so dargestellt als würde dieser immer genutzt werden... Aber ich route ja sowieso alles durch den Tunnel, ka wie es sich verhält wenn ich das nicht tun würde...

Das hatte ich in der Tat übersehen.

Wenn die Anfrage nicht über den Tunnel läuft wird der DNS den Handys für Mobilfunk genommen dann spielt der DNS für die WG keine Rolle mehr.

 

[Micha289]

Wenn die Anfrage nicht über den Tunnel läuft wird der DNS den Handys für Mobilfunk genommen dann spielt der DNS für die WG keine Rolle mehr.

So hatte ich das gehofft.

Wie ich Eingangs geschrieben habe:

Unter "Zulässige IPs" ist mein Heimnetzwerk mit "192.168.xxx.0/24" eingetragen.

Trotzdem wird der DNS verwendet der eigentlich nur bei der Tunnelung genutzt werden soll.

Jo, aber darum geht es doch... Auch via WG soll nicht der interne DNS Server verwendet werden...

Genau. Der Tunnel soll ja nur aktiv werden, wenn das Heimnetzwerk aufgerufen wird. Da er aber auch den DNS-Server meines Heimnetzwerks nutzt, scheint mir die APP die Tunnelung nicht korrekt umzusetzen?!

 

[tiermutter]

Was passiert denn wenn du in WG einen anderen Server, zB 8.8.8.8 einträgst?
Momentan sagst du dem Gerät quasi wie es in dein Heimnetz kommt und gleichzeitig sagst du ihm, dass auch der DNS aus dem Heimnetz genutzt werden soll.

Alternativ könntest du die Seite für das Gerät deiner Frau (WG IP) auch einfach in AGH freigeben oder generell andere Filter anwenden.
Mache ich genauso, damit sie die Werbung bekommt die ich nicht will (allerdings nur LAN / WLAN, VPN nutzt sie nicht).

 

[Spielebernd]

Dann passt die Config noch nicht.

Welche FB setzt du eigentlich ein?

Davon mal ab was spricht dagegen den ADGuard anzupassen und die Seite freizugeben? Scheint ja eine vertrauenswürdige zu sein

 

[Micha289]

Davon mal ab was spricht dagegen den ADGuard anzupassen und die Seite freizugeben? Scheint ja eine vertrauenswürdige zu sein

Das würde grundsätzlich funktionieren und wäre dann wohl auch eine letzte Option.

Welche FB setzt du eigentlich ein?

Ich denke es hat ja nichts mit der FritzBox zu tun, da die Handy-App entscheiden sollte, was überhaupt dorthin geleitet wird. Ich habe die 6690 Cable.

Was passiert denn wenn du in WG einen anderen Server, zB 8.8.8.8 einträgst?

Wenn ich die 8.8.8.8. eintrage, dann geht es.

Momentan sagst du dem Gerät quasi wie es in dein Heimnetz kommt und gleichzeitig sagst du ihm, dass auch der DNS aus dem Heimnetz genutzt werden soll.

Vermutlich liegt es daran. Mein Verständnis wäre gewesen, dass alle Anfragen die nicht das Heimnetz betreffen, auch nicht über die WireGuard App bzw. deren Einstellung läuft. Es sieht aber so aus, als ob der DNS-Server aus den Einstellungen der App genommen wird.

Mir reicht das aber so. Mit dem Tunnel möchte ich ja "nur" meine NAS bzw. deren Dienste erreichen. Da brauche ich den DNS-Filter von AdGuard nicht.

Vielen Dank!

 

[tiermutter]

dass alle Anfragen die nicht das Heimnetz betreffen, auch nicht über die WireGuard App bzw. deren Einstellung läuft.

Ist ja im Grunde auch so.
Nur wird durch die WG App ja ein systemweiter DNS Server vorgegeben. Wenn mehrere Apps unterschiedliche Server vorgeben, entscheidet das System anhand der Prio, welcher verwendet wird. Die Prio von WG wird entsprechend hoch sein, da üblicherweise ja gewünscht ist, dass nur dieser verwendet wird.