VPN via Wireguard nur für bestimmte Netze

Ich habe nach dem letzten Update ein paar VPN Tunnel mit Wireguard eingerichtet. Es sind Windows-Rechner und Android-Devices dabei. Der Tunnel wird schnell und zuverlässig aufgebaut und der Zugriff aufs VPN-Netzwerk läuft. Nun möchte ich aber gerne folgendes:

Nur wenn eine IP-Adresse aus dem 192.168.1.x Netz angefragt wird, geht der Traffic über VPN. Gebe ich andere Adressen oder Domains ein, geht der Traffic am Tunnel vorbei direkt ins Internet.

Hat das schon jemand eingestellt und kann mir einen Tipp geben?

Hab ich mir gedacht. Das hilft mir aber nicht weiter. Kannst Du mir einen konkreten Link nennen?

Das habe ich so bei meinen Clients eingesellt. Ich habe für Tablet, Handy und Windows PC 3 Profile erstellt. Bei allen 3 habe ich das IP-Band meines Heimnetzwerks, also das was über VPN laufen soll, eingestellt mit 192.168.1.0/24. Interessant ist, das der Windows PC es genau so macht, wie ich es möchte. Aber die beiden Android-Geräte (Tablet und Handy) wollen nach aktivierung des VPN nur noch die IP-Adressen aus dem Heim-Netzwerk öffnen. Alles andere läuft gegen einen Timeout.

Zitat von jkasten

Unter allowed IPs so einstellen:

Code

AllowedIPs = 192.168.4.1/32, 192.168.4.3/32, 0.0.0.0/1, 128.0.0.0/1

Die ersten beiden sind dein VPN Netz (Gateway und deine IP) und die letzten beiden (Die 1 am Ende) sorgen dafür das nur dieses Netz darüber geht. Wichtig, das VPN Netz dort eintragen, das du in dein Heimnetz kommst, dafür sorgt die UDM.

Das erklärt aber doch nicht, warum Windows es richtig macht und Android nicht.

[Interface]

PrivateKey = hIeRstehtderPrivateKey

Address = 192.168.3.5/32

DNS = 192.168.3.1

[Peer]

PublicKey = hIeRstehtderPublicKey

AllowedIPs = 192.168.1.0/24

Endpoint = dyndns-adresse:51820

Mit den Einstellungen geht es unter Windows, nicht aber unter Android. Ergänze ich bei "AllowedIPs" die 0.0.0.0/1 und die 128.0.0.0/1 komme ich zwar auf die angeforderten Webseiten, gehe aber dann über den Tunnel und das möchte ich ja eben nicht. Die Internetverbindung bei Windows stelle ich genauso über T-Mobile her wie die Internetverbindung am Handy oder am Tablet. In allen Geräten sind eigenständige 5G-Karten von T-Mobile - KEIN Handy-Hotspot!

Zitat von skippa78

Deine Config ist meiner ähnlich (ich frage mich allerdings warum du erst tust, als hättest du noch nichts und nicht sofort die Config postest). Kann der DNS ggf. nur private Hostnamen auflösen? Mach mal einen alternativen DNS (Komma) rein (8.8.8.8 oder ähnliches)

Ich glaube, das war es. Hab den Google DNS rein getan. Dann geht es. Nun wird auch beim "wie ist meine IP" die IP von T-Mobile übertragen und nicht mehr die meines Heimnetzwerks. Sollte ich nochmal Probleme haben, hört Ihr von mir. Danke an alle für die zahlreichen Tipps.

Wahrscheinlich hätte es auch gereicht, anstelle des google DNS die IP-Adresse des Gateways (in meinem Beispiel oben die 192.168.3.1) als Allowed zu hinterlegen. Irgendwie habt Ihr also wahrscheinlich beide recht.

Jedenfalls läuft es ja jetzt.