Du kannst Dir das Subnetz, welches Dein Wireguard-Server nutzt, einfach unter Profiles --> IP Groups einrichten. Damit wird es als "Objekt" für Firewall-Regeln nutzbar.
Außerdem: So lange Dein privates Netz nicht explizit in den Config-Dateien der Wireguard-Clients aufgeführt ist, könnten diese sowieso keine Verbindung dorthin aufbauen.
Wie kann ich denn groß beeinflussen, wie die Config am Ende aussieht, wenn ich nur die QR Codes abgebe? (Soll ja recht einfach machbar sein, ohne dass ich erstmal groß Configs änder und dann selbst an die Geräte von den Kollegen muss. QR Scan geht halt einfach ohne, dass ich deren Geräte brauche für den Import)
Habe mir mal zum Test eine Config runtergeladen und die sieht im ersten schritt so aus (Keys und Endpoint habe ich entfernt)
[Interface]
PrivateKey =
Address = 10.20.0.5/32
DNS = 10.20.0.1
[Peer]
PublicKey =
AllowedIPs = 10.20.0.1/32,10.20.0.5/32,0.0.0.0/0
Endpoint = [masked]:51820
Da ist 0.0.0.0/0 dabei, also kompletter zugriff überall hin.
In den VPN Einstellungen kann ich auch nicht viel ändern:
Das mit der IP Gruppe habe ich gemacht und die Regeln eingerichtet. Kann aber erst heute Abend testen. Dafür schon einmal Danke.
ZitatMan kann sogar jeden Wireguard Client als einzelne IP für die Firewallnutzung bei den Profilen anlegen. Dann kannst Du die Bekannten aussperren, selbst aber auf das Netzwerk zugreifen.
DoPe ich hab geschaut in den Firewallreglen. Die Clients, die ich via VPN angelegt habe, sind nicht in der Liste. Habe extra 2 Testclients erstellt. Die werden auch nach Login nicht mit dem VPN Client Namen angezeigt, der in der Serverconfig vergeben ist.
Würde auch selbst über das VPN Netzwerk gar nicht rein gehen. Ich kann ja mehrere VPN Server erstellen. Wir haben unseres für Zuhause.
LG