Nur bestimmte Dienste durch den Tunnel: Wie nutze ich den Wireguardclient nur als zusätzlichen Netzzugang?

In der heutigen vernetzten Welt ist der Wunsch nach Flexibilität und Kontrolle über unsere Datenströme größer denn je. Viele nutzen VPNs, um ihre Privatsphäre zu schützen, auf geografisch eingeschränkte Inhalte zuzugreifen oder sich sicher mit entfernten Netzwerken zu verbinden. Doch oft leiten traditionelle VPN-Lösungen den gesamten Internetverkehr über den verschlüsselten Tunnel. Das kann zu Leistungseinbußen führen, Bandbreite verbrauchen und den Zugriff auf lokale Netzwerkressourcen erschweren.

Was aber, wenn Sie nur bestimmte Dienste oder Anwendungen über den VPN-Tunnel leiten möchten, während der restliche Verkehr den direkten Weg nimmt? Zum Beispiel: Sie möchten sicher auf das Dateiserver Ihres Heimnetzes zugreifen, während Sie gleichzeitig ungestört lokale Streaming-Dienste nutzen oder unverschlüsselt im Internet surfen. Genau hier kommt die Macht des selektiven Routings mit WireGuard ins Spiel. Dieser Artikel erklärt Ihnen detailliert, wie Sie Ihren WireGuard-Client so konfigurieren, dass er nicht als Standard-Gateway für Ihr gesamtes System fungiert, sondern lediglich als zusätzlicher Netzzugang für spezifische Zwecke.

Warum selektives Routing? Die Vorteile im Überblick

Die Entscheidung, nur bestimmte Dienste durch den WireGuard-Tunnel zu leiten, bringt eine Reihe signifikanter Vorteile mit sich:

• Optimale Leistung: Ihr regulärer Internetverkehr wird nicht durch den VPN-Server umgeleitet, was potenziell höhere Geschwindigkeiten und geringere Latenzen bedeutet. Nur der benötigte Verkehr durchläuft den Tunnel.
• Effiziente Bandbreitennutzung: Wenn Sie einen VPN-Dienst mit Bandbreitenbegrenzung nutzen oder der Server nur begrenzte Kapazitäten hat, sparen Sie Ressourcen, indem Sie nur den relevanten Traffic tunneln.
• Zugriff auf lokale Ressourcen: Sie können weiterhin uneingeschränkt auf Drucker, NAS-Geräte oder Smart-Home-Komponenten in Ihrem lokalen Netzwerk zugreifen, während ausgewählte Dienste sicher über den Tunnel laufen.
• Flexibilität und Kontrolle: Sie bestimmen präzise, welche Datenströme geschützt oder umgeleitet werden sollen. Dies ist ideal für spezifische Anwendungen wie Remote-Desktop-Verbindungen, interne Unternehmensressourcen oder geo-blockierte Streaming-Dienste.
• Sicherheit und Datenschutz: Während Ihr allgemeines Surfen möglicherweise nicht verschlüsselt ist (falls Sie dies bewusst so wählen), sind die kritischen Datenströme Ihrer ausgewählten Dienste dennoch optimal geschützt.
• Kompatibilität: In einigen Unternehmensnetzwerken kann ein vollständiges VPN zu Problemen führen, da es Konflikte mit internen Routing-Regeln verursachen könnte. Ein selektiver Tunnel ist hier oft die bessere Wahl.

Grundlagen verstehen: Wie funktioniert Routing?

Bevor wir uns in die Konfiguration stürzen, ist es hilfreich, die grundlegenden Konzepte des Netzwerk-Routings zu verstehen. Jedes Gerät in einem Netzwerk verfügt über eine Routing-Tabelle. Diese Tabelle ist eine Art Straßenkarte, die dem Betriebssystem sagt, welchen Weg Datenpakete nehmen müssen, um ein bestimmtes Ziel zu erreichen. Ein typischer Eintrag könnte lauten: „Um 192.168.1.0/24 zu erreichen, sende Pakete an das Gateway 192.168.1.1.”

Der Schlüssel zur selektiven Tunnelung mit WireGuard liegt im Parameter AllowedIPs. Wenn Sie eine WireGuard-Verbindung aktivieren, fügt der Client basierend auf den in AllowedIPs definierten Einträgen spezifische Routen zu Ihrer Routing-Tabelle hinzu. Standardmäßig, wenn Sie einen VPN-Dienst nutzen, sehen Sie dort oft den Eintrag 0.0.0.0/0 oder ::/0 (für IPv6). Dies bedeutet „alle IP-Adressen” und bewirkt, dass der gesamte Verkehr über den VPN-Tunnel geleitet wird. Für unser Ziel, WireGuard als zusätzlichen Netzzugang zu nutzen, müssen wir dies ändern!

Die Konfiguration auf dem Client: Schritt für Schritt zum selektiven Tunnel

Die folgende Anleitung konzentriert sich auf die Bearbeitung der WireGuard-Konfigurationsdatei (.conf), da dies die universellste Methode ist. Die genaue Anwendung hängt von Ihrem Betriebssystem ab, aber die Änderungen in der Datei sind identisch.

Voraussetzung: Ein funktionierender WireGuard-Server

Bevor Sie beginnen, benötigen Sie einen bereits eingerichteten und funktionierenden WireGuard-Server. Dieser kann auf einem Raspberry Pi, einem VPS, einem Router oder einem anderen Linux-System laufen. Gehen Sie davon aus, dass Sie bereits eine grundlegende Konfigurationsdatei für Ihren Client vom Server erhalten haben.

Schritt 1: WireGuard-Client-Installation

Installieren Sie den WireGuard-Client auf Ihrem Gerät. Dies ist in der Regel eine einfache Prozedur:

• Windows/macOS: Laden Sie die offizielle WireGuard-App von der offiziellen Website herunter.
• Linux: Installieren Sie WireGuard über den Paketmanager Ihrer Distribution (z.B. sudo apt install wireguard für Debian/Ubuntu oder sudo dnf install wireguard-tools für Fedora).
• Android/iOS: Laden Sie die WireGuard-App aus dem jeweiligen App Store herunter.

Schritt 2: Die .conf-Datei bearbeiten – Der Schlüssel zum Erfolg

Öffnen Sie die vom Server erhaltene WireGuard-Konfigurationsdatei (z.B. client.conf) mit einem Texteditor. Die Datei sieht typischerweise so oder so ähnlich aus:

[Interface]
PrivateKey = <Ihr privater Schlüssel>
Address = 10.8.0.2/24 # Beispiel: Ihre IP-Adresse im VPN-Netzwerk
DNS = 8.8.8.8 # Optional: DNS-Server (standardmäßig global, hier ändern wir es noch)

[Peer]
PublicKey = <Öffentlicher Schlüssel des Servers>
Endpoint = example.com:51820 # Oder IP-Adresse des Servers
AllowedIPs = 0.0.0.0/0 # HIER IST DER WICHTIGSTE TEIL!
PersistentKeepalive = 25 # Optional

Die entscheidende Zeile für unser Vorhaben ist AllowedIPs unter der [Peer]-Sektion. So ändern Sie sie:

Die Magie von AllowedIPs

Anstatt 0.0.0.0/0 tragen Sie hier die spezifischen IP-Adressbereiche oder einzelnen IP-Adressen ein, die über den WireGuard-Tunnel geleitet werden sollen. Jede IP-Adresse oder jedes Subnetz wird durch ein Komma getrennt.

Beispiele für AllowedIPs:

• AllowedIPs = 192.168.1.10/32
  Leitet nur den Verkehr zu einer einzelnen spezifischen IP-Adresse (192.168.1.10) über den Tunnel. Dies ist ideal, wenn Sie nur einen bestimmten Server oder ein Gerät im Zielnetzwerk erreichen möchten. Das /32 bedeutet, dass es sich um eine einzelne Host-Adresse handelt.
• AllowedIPs = 192.168.1.0/24
  Leitet den gesamten Verkehr zu einem bestimmten Subnetz (z.B. Ihr Heimnetzwerk am Server-Standort) über den Tunnel. Alle Geräte mit IPs im Bereich 192.168.1.1 bis 192.168.1.254 wären erreichbar.
• AllowedIPs = 10.0.0.5/32, 10.0.0.10/32
  Leitet den Verkehr zu zwei spezifischen einzelnen IP-Adressen über den Tunnel.
• AllowedIPs = 192.168.1.0/24, 172.16.0.0/16
  Kombiniert mehrere Subnetze, um den Zugriff auf verschiedene Netzwerkbereiche zu ermöglichen.

Wichtiger Hinweis zu DNS:

Wenn die Dienste, auf die Sie zugreifen möchten, über Hostnamen (z.B. meine-nas.local) erreichbar sind und diese Hostnamen nur von einem internen DNS-Server im WireGuard-Zielnetzwerk aufgelöst werden können, müssen Sie auch diesen DNS-Server in Ihre Konfiguration aufnehmen. Es gibt zwei Optionen:

1. DNS-Server im `[Interface]`-Abschnitt hinzufügen und seine IP in `AllowedIPs` aufnehmen:

   [Interface]
   PrivateKey = <Ihr privater Schlüssel>
   Address = 10.8.0.2/24
   DNS = 192.168.1.1 # Der interne DNS-Server im Zielnetzwerk
   
   [Peer]
   PublicKey = <Öffentlicher Schlüssel des Servers>
   Endpoint = example.com:51820
   AllowedIPs = 192.168.1.10/32, 192.168.1.1/32 # Der Server UND der DNS-Server
   PersistentKeepalive = 25

   In diesem Fall werden nur DNS-Anfragen für die in `AllowedIPs` enthaltenen IPs über den Tunnel gesendet. Wenn Sie also meine-nas.local anpingen möchten, wird die Anfrage über 192.168.1.1 aufgelöst. Anfragen für google.com würden *nicht* über diesen DNS-Server gesendet, sondern über den globalen DNS Ihres Systems, da 8.8.8.8 nicht in AllowedIPs ist.

2. DNS-Server weglassen, wenn alle Dienste über IP erreichbar sind oder globale DNS-Server die Namen auflösen können:
   Wenn Sie nur auf Dienste per IP-Adresse zugreifen oder wenn die Hostnamen auch von öffentlichen DNS-Servern (wie 8.8.8.8) aufgelöst werden können, können Sie die DNS-Zeile im [Interface]-Abschnitt komplett weglassen. Dann nutzt Ihr System seine Standard-DNS-Einstellungen.

Die erste Option ist in den meisten Fällen die sicherste und funktionellste, wenn Sie Hostnamen von Diensten im Zielnetzwerk nutzen möchten.

PersistentKeepalive

Dieser Parameter (z.B. PersistentKeepalive = 25) sendet alle 25 Sekunden ein kleines Keepalive-Paket an den Server. Dies ist nützlich, um NAT-Timeouts auf Routern zu verhindern und eine stabile Verbindung aufrechtzuerhalten, besonders wenn Sie sich hinter einem restriktiven NAT befinden. Es ist nicht direkt relevant für selektives Routing, aber eine gute Praxis.

Schritt 3: Aktivieren und Testen der Verbindung

1. Konfigurationsdatei speichern: Speichern Sie die bearbeitete .conf-Datei.
2. WireGuard-Verbindung aktivieren:
   • Windows/macOS: Importieren Sie die .conf-Datei in die WireGuard-App und aktivieren Sie die Verbindung.
   • Linux: Fügen Sie die Datei nach /etc/wireguard/ (z.B. /etc/wireguard/wg0.conf) und starten Sie die Verbindung mit sudo wg-quick up wg0.
   • Android/iOS: Importieren Sie die Datei in die App und aktivieren Sie den Tunnel.
3. Routing-Tabelle überprüfen (optional, aber empfohlen für Linux):

   Öffnen Sie ein Terminal/Kommandozeile und überprüfen Sie Ihre Routing-Tabelle. Sie sollten nun spezifische Routen für die in AllowedIPs definierten Adressen sehen, die auf Ihre WireGuard-Schnittstelle (z.B. wg0) verweisen.

   • Linux: ip route show
   • Windows: route print
   • macOS: netstat -nr

   Wenn Sie beispielsweise AllowedIPs = 192.168.1.10/32 konfiguriert haben, sollte unter Linux ein Eintrag wie 192.168.1.10 dev wg0 scope link oder ähnliches erscheinen, der anzeigt, dass der Traffic für diese IP über den WireGuard-Tunnel geleitet wird.

4. Funktion testen:

   Versuchen Sie, auf einen Dienst zuzugreifen, der sich innerhalb der in AllowedIPs definierten Bereiche befindet (z.B. ping 192.168.1.10 oder Zugriff auf die Web-Oberfläche einer NAS). Überprüfen Sie gleichzeitig, ob Ihr allgemeiner Internetverkehr (z.B. über wieistmeineip.de) weiterhin Ihre lokale IP-Adresse anzeigt und nicht die IP des WireGuard-Servers.

   Sie können auch ein traceroute (Linux/macOS) oder tracert (Windows) zu einer IP im AllowedIPs-Bereich und zu einer externen IP (z.B. 8.8.8.8) durchführen. Sie sollten unterschiedliche Routen sehen.

Anwendungsbeispiele für selektives Routing

Die Möglichkeiten des selektiven Routings sind vielfältig:

• Sicherer Fernzugriff auf NAS/Heimserver: Greifen Sie von unterwegs nur auf Ihren Dateiserver oder Ihr Smart-Home-System zu, ohne Ihren gesamten mobilen Datenverkehr über den Tunnel zu leiten.
• Remote-Desktop-Verbindungen (RDP/SSH): Stellen Sie eine sichere Verbindung zu einem Arbeitsrechner oder einem Server her, während Ihr restliches Internet unbeeinflusst bleibt.
• Streamingdienste mit Geo-Einschränkungen: Leiten Sie nur den Verkehr zu den spezifischen Server-IPs des gewünschten Streaming-Dienstes über einen VPN-Server im Zielland, während alle anderen Streaming-Angebote oder Websites direkt erreichbar sind. (Beachten Sie, dass das Auffinden dieser IPs manchmal herausfordernd sein kann und sich ändern kann.)
• Zugriff auf interne Firmennetzwerke: Wenn Ihre Firma eine interne IP-Range für Ressourcen hat, können Sie diese in AllowedIPs eintragen und so gezielt auf Intranet, Datenbanken oder spezielle Anwendungen zugreifen.
• Entwicklung und Tests: Verbinden Sie sich selektiv mit Testumgebungen oder Entwicklungsservern, ohne Ihre normale Internetverbindung zu beeinträchtigen.

Häufige Probleme und Fehlerbehebung

• Dienst nicht erreichbar:
  • AllowedIPs falsch: Überprüfen Sie, ob die Ziel-IP-Adresse oder das Subnetz korrekt in AllowedIPs eingetragen ist. Haben Sie das richtige /CIDR (z.B. /32 für eine einzelne IP) verwendet?
  • DNS-Probleme: Wenn Sie Hostnamen verwenden und der DNS-Server des Zielnetzes nicht in AllowedIPs enthalten und/oder im DNS-Feld des [Interface]-Abschnitts definiert ist, können Hostnamen nicht aufgelöst werden.
  • Firewall: Überprüfen Sie die Firewall-Einstellungen auf dem WireGuard-Server und auf dem Zielgerät im Remote-Netzwerk. Lässt sie den Verkehr vom WireGuard-Client zu?
  • IP-Konflikte: Stellen Sie sicher, dass die Address Ihres WireGuard-Clients nicht mit IP-Adressen in Ihrem lokalen Heimnetzwerk oder im Zielnetzwerk kollidiert.
• Allgemeiner Internetzugang funktioniert nicht mehr:
  • Dies sollte bei korrektem selektivem Routing nicht passieren. Überprüfen Sie unbedingt, ob Sie versehentlich 0.0.0.0/0 in AllowedIPs belassen oder hinzugefügt haben.
• Verbindung bricht ab oder ist instabil:
  • Stellen Sie sicher, dass PersistentKeepalive im [Peer]-Abschnitt gesetzt ist, besonders wenn Sie sich hinter NAT befinden.
  • Überprüfen Sie die Netzwerkstabilität Ihrer Internetverbindung.

Spezielle Überlegungen für verschiedene Betriebssysteme

Die Bearbeitung der .conf-Datei ist universell, aber die Handhabung des Clients unterscheidet sich:

• Windows & macOS: Die offiziellen WireGuard-Apps sind sehr benutzerfreundlich. Sie importieren die .conf-Datei, und die App kümmert sich um die Erstellung der Routen und die Aktivierung der Schnittstelle.
• Linux: Hier haben Sie die meiste Kontrolle. Mit wg-quick werden die Routen automatisch gesetzt, basierend auf AllowedIPs. Fortgeschrittene Benutzer können auch manuelle Routing-Regeln mit ip route add ... dev wg0 hinzufügen, was aber in den meisten Fällen durch die korrekte AllowedIPs-Konfiguration überflüssig wird. Integrationen in den NetworkManager sind ebenfalls möglich.
• Android & iOS: Die mobilen Apps verwalten die Routen ebenfalls automatisch nach dem Import der Konfiguration. Beachten Sie, dass manche Apps von Drittanbietern oder Systemeinstellungen (z.B. Energiesparmodi) die WireGuard-Verbindung beeinträchtigen können.

Fazit

Die Fähigkeit von WireGuard, präzises selektives Routing über den Parameter AllowedIPs zu ermöglichen, macht es zu einem unglaublich leistungsstarken und flexiblen Werkzeug für Ihr Netzwerkmanagement. Statt einen „Alles-oder-Nichts”-Ansatz bei VPNs zu verfolgen, können Sie gezielt steuern, welche Dienste von der Sicherheit und Erreichbarkeit des Tunnels profitieren sollen. Dies optimiert nicht nur die Leistung und Bandbreitennutzung, sondern bietet auch eine nie dagewesene Kontrolle über Ihre Datenströme.

Indem Sie die hier beschriebenen Schritte befolgen und AllowedIPs sorgfältig an Ihre spezifischen Bedürfnisse anpassen, verwandeln Sie Ihren WireGuard-Client von einem simplen VPN-Gateway in einen intelligenten, selektiven Torwächter. Experimentieren Sie mit verschiedenen Konfigurationen und entdecken Sie die volle Freiheit, die Ihnen dieses Setup bietet!