VPN wie Gastnetz einrichten

Es gibt 5 Antworten in diesem Thema, welches 1.006 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

    Moin,


    ich versuche derzeit ein VPN Netz einzurichten, welches wir im Urlaub mit Freunden nutzen wollen. Ich möchte aber nicht, dass dann alle Zugriff auf unser Lokalnetz haben. Habe jetzt in den Wireguard VPN Einstellungen nicht viele Optionen gesehen und in Firewall Regeln kann ich das VPN Netz auch nicht auswählen.


    Wie kann ich das lösen? Die Internetrecherche war recht dürftig.


    LG

    Du kannst Dir das Subnetz, welches Dein Wireguard-Server nutzt, einfach unter Profiles --> IP Groups einrichten. Damit wird es als "Objekt" für Firewall-Regeln nutzbar.

    Außerdem: So lange Dein privates Netz nicht explizit in den Config-Dateien der Wireguard-Clients aufgeführt ist, könnten diese sowieso keine Verbindung dorthin aufbauen.

    Man kann sogar jeden Wireguard Client als einzelne IP für die Firewallnutzung bei den Profilen anlegen. Dann kannst Du die Bekannten aussperren, selbst aber auf das Netzwerk zugreifen.


    Networker Die Sache mit der Konfig ist zwar korrekt, aber Da offenbar die Bekannten nicht in das Netzwerk sollen, bleibt ja als Nutzung nur das Surfen über den heimischen Internetanschluss. Das setzt aber 0.0.0.0 bei allowed-ips voraus ... womit an der Stelle auch wieder alle Netzwerke ins Spiel kommen würden.


    Da im Wireguard Client die allowed-ips einfach zu verändern sind, würde ich das nicht zur Thematik Sicherheit zählen. Das ist eher geeignet ungewollten Traffic gar nicht erst in den Tunnel zu schubsen und Bandbreite zu schonen. Voraussetzung ... man möchte nur Zugriff auf Netzwerk Resourcen und nicht das Internet.

    Nein, hinreichend sicher wäre es rein über die allowed-ips nicht, vollkommen richtig. War mehr als Ergänzung für's technische Verständnis des TE gedacht.

    Aber klar, wenn der Tunnel in diesem Fall den Internetzugang "absichern" soll, läuft es auf eine universelle default route hinaus und dann fällt diese ganze Einstellungsberich ohnehin weg.

    Zitat von Networker

    Du kannst Dir das Subnetz, welches Dein Wireguard-Server nutzt, einfach unter Profiles --> IP Groups einrichten. Damit wird es als "Objekt" für Firewall-Regeln nutzbar.

    Außerdem: So lange Dein privates Netz nicht explizit in den Config-Dateien der Wireguard-Clients aufgeführt ist, könnten diese sowieso keine Verbindung dorthin aufbauen.


    Wie kann ich denn groß beeinflussen, wie die Config am Ende aussieht, wenn ich nur die QR Codes abgebe? (Soll ja recht einfach machbar sein, ohne dass ich erstmal groß Configs änder und dann selbst an die Geräte von den Kollegen muss. QR Scan geht halt einfach ohne, dass ich deren Geräte brauche für den Import)

    Habe mir mal zum Test eine Config runtergeladen und die sieht im ersten schritt so aus (Keys und Endpoint habe ich entfernt)


    Code
    [Interface]
PrivateKey =
Address = 10.20.0.5/32
DNS = 10.20.0.1


[Peer]
PublicKey =
AllowedIPs = 10.20.0.1/32,10.20.0.5/32,0.0.0.0/0
Endpoint = [masked]:51820

    Da ist 0.0.0.0/0 dabei, also kompletter zugriff überall hin.

    In den VPN Einstellungen kann ich auch nicht viel ändern:


    Das mit der IP Gruppe habe ich gemacht und die Regeln eingerichtet. Kann aber erst heute Abend testen. Dafür schon einmal Danke.




    Zitat

    Man kann sogar jeden Wireguard Client als einzelne IP für die Firewallnutzung bei den Profilen anlegen. Dann kannst Du die Bekannten aussperren, selbst aber auf das Netzwerk zugreifen.


    DoPe ich hab geschaut in den Firewallreglen. Die Clients, die ich via VPN angelegt habe, sind nicht in der Liste. Habe extra 2 Testclients erstellt. Die werden auch nach Login nicht mit dem VPN Client Namen angezeigt, der in der Serverconfig vergeben ist.


    Würde auch selbst über das VPN Netzwerk gar nicht rein gehen. Ich kann ja mehrere VPN Server erstellen. Wir haben unseres für Zuhause.


    LG

    Zitat von corin.corvus

    DoPe ich hab geschaut in den Firewallreglen. Die Clients, die ich via VPN angelegt habe, sind nicht in der Liste. Habe extra 2 Testclients erstellt. Die werden auch nach Login nicht mit dem VPN Client Namen angezeigt, der in der Serverconfig vergeben ist.


    Würde auch selbst über das VPN Netzwerk gar nicht rein gehen. Ich kann ja mehrere VPN Server erstellen. Wir haben unseres für Zuhause.


    LG

    Du hast doch eine IP Gruppe erstellt für alle WG Clients wie von Networker vorgeschlagen. Genau das gleiche kannst Du auch für jeden VPN Client einzelnd machen. Das passiert nicht von alleine. Das macht aber nur Sinn, wenn unterschiedliche Zugriffsberechtigungen auf die Netzwerke erforderlich sind.


    Anpassen kannst Du die Config nur wenn Du Sie runterlädst. Der QR Code ist praktisch nicht änderbar. Da kann man nur nachträglich im wg Client Änderungen vornehmen, nachdem der QR Code importiert wurde.


    Man sollte aber auch kurz drüber nachdenken, ob QR Code für die Übermittlung ne tolle Sache ist. Da brauch ja nur das Bild zu sehen sein und zack isses gescannt. Die Config Datei müsste man zumindest schon auf das Fremdgerät übertragen um sie zu importieren. Es ist wie immer, Bequem und Sicher schliessen sich sehr oft aus.