WireGuard VPN Config Datei

    Hallo zusammen,

    durch den Thread „Keine Verbindungen mehr möglich über WireGuard-Tunnel“ stolpere ich über das Editieren der Config Datei von WG VPN. Ist alles noch Neuland für mich, würde mich deshalb über Aufklärung freuen.

    Ich gehe mal davon aus, dass man im Prinzip nichts editieren muss das alles funktioniert, denn sonst wäre ja die Möglichkeit den QR-Code zu scannen Blödsinn?

    Man kann aber, wenn man manuell eingreifen möchte unter AllowedIPs die default route (0.0.0.0/0) löschen oder z.B. gegen die Host-Adresse oder ein entsprechendes Netz eintragen?

    Was mir noch nicht klar ist, wenn man keine feste IP4-Adresse vom Provider hat und eine DDNS-Adresse unter den WAN Einstellungen der UDM Pro einträgt wie auf dem beigefügten Foto, muss man dann trotzdem noch unter den VPN Einstellungen von WG eine alternative Adresse für Clients eintragen? Ansonsten wird ja im Config File einfach die derzeitige öffentliche IP inklusive Port eingetragen und man kommt nach dem Bezug einer neuen IP vom Provider nicht mehr VPN auf seinen Host?

    Vielen Dank vorab für eure Hilfe und Aufklärung

    Gruß

    Marco

    Moin

    Du kannst die Config Datei editieren und z.B. die default route ändern, habe ich auch gemacht weil ich ggf. nicht den kompletten Traffic durch den Tunnel schicken will.

    Bei Windows musste ich auch die beiden anderen IPs dort entfernen. War standartmäßig 192.168.94.1/32 192.168.94.2/32 und 0.0.0.0/0 drin.
    Damit wollte mein Windows 11 laptop überhautnix durch den Tunnel schicken. Die beiden 192er (sind die vom Wireguard) rausgeschmissen, funktioniert.

    In den VPN Einstellungen muss die alternative eingetragen werden sonst steht halt die WAN ip in der Config, dann musst du das halt nachher in der Config ändern.

    Zum du Dyndns hatte ich aber auch mal irgendwo ein Video gesehen das es auf der Unifi machmal wohl nicht funktioniert.

    Kann ich nichts zu sagen, da ich das nicht nutze bzw. ich bekommen nie eine andere IPv4 von meinem Provider.

    Quote from Moss

    Man kann aber, wenn man manuell eingreifen möchte unter AllowedIPs die default route (0.0.0.0/0) löschen oder z.B. gegen die Host-Adresse oder ein entsprechendes Netz eintragen?

    Unifi-Router setzen 0.0.0.0/0 in jede neu erzeugte Konfigurationsdatei. Dies ist eine Default Route und bedeutet nichts anderes als dass jeglicher Datenverkehr durch das VPN geleitet wird. Wenn man das genau so haben möchte, lässt man die Default Route einfach so stehen.

    Für ein Szenario, wo man z.B. einem Mitarbeiter von extern Zugriff auf Firmenressourcen geben will, Internetverkehr aber nicht über das VPN laufen soll, muss der Eintrag raus und es ist das Netzwerk oder der Host einzutragen, mit dem sich verbunden werden soll. Dies nennt sich dann "Split Tunneling".

    Thema DynDNS: Bei der Erstellung von Wireguard-Konfigurationsdateien nehmen Unifi-Router als Endpunkt immer die IPv4-Adresse, die sie gerade an ihrer WAN-Schnittstelle sehen. Wenn diese nicht statisch ist, sollte man bei "Use Alternate Address for Clients" die entsprechende DynDNS-Adresse eintragen, damit sie automatisch in jede neue Konfigurationsdatei geschrieben wird.

    Man kann die Konfigurationsdateien natürlich auch jederzeit nachträglich editieren bzw. die Verbindungen innerhalb des Wireguard-Clients anpassen.

    Die config ist für den Client. Wenn 0.0.0.0 gesetzt ist geht der gesamte Client traffic, inkl. Webseiten, Youtube etc durch den Tunnel. Wenn man nur selektive Netze oder Hosts aus dem eigenen Netz angibt, dann nur dieser Traffic.

    In der config muss (logischerweise) die Dyndnsadresse drinstehen, da der externe Client ja Deinen Router finden muss. Das kann man in der Unifi WG konfig eintragen unter "Use Alternate Address for Clients : MeinDynDNS.dyndns.org".

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login