VPN WireGuard dauerhaft auf Android

    Lange hatte ich das Problem, dass ohne mein Zutun der Tunnel nicht zuverlässig funktioniert hat. Als letztes hatte ich Viscerion im Einsatz, um per Tasker-Integration den Tunnel steuern zu können. Mir war halt nicht bewusst, wie ich die WireGuard-App, bzw. den Tunnel, per Tasker o.ä. steuern kann, da Automate mir automatisch Viscerion, jedoch nicht WireGuard vorgeschlagen hat und ich daher davon ausgegangen bin, dass es noch nicht funktioniert.

    Nun habe ich aber endlich eine Lösung, die für mich bisher perfekt funktioniert und mit der ich jederzeit, Internetverbindung vorausgesetzt, auf mein Heimnetz zugreifen kann und es ist nichteinmal kompliziert.

    Es gibt viele Möglichkeiten WireGuard laufen zu lassen. Für die breite Masse wird interessant sein, dass WireGuard bereits Einzug in die Laborversion der FritzBoxen erhalten hat. Aber auch als VM oder Docker auf einem NAS, als AddOn auf OPNsense, auf einem Raspberry oder auch als AddOn unter Home Assistant und anderen Systemen laufen kann.

    Für die Einrichtung bitte Google nutzen.

    Nun aber zu dem Wichtigsten, dass eine Verbindung zu jeder Zeit zum Heimnetz besteht, wo es möglich ist.

    Zu erst wird die offizielle Android-App "WireGuard" aus dem PlayStore benötigt. Wie der Tunnel eingerichtet wird, wird in der Regel gut in den Anleitungen beschrieben.

    Wichtig in der App ist Option in den erweiterten Einstellungen "Erlaube Steuerung über externe Apps" anzuwahlen.

    Screenshot_20220608-235149.png

    In den Android-Einstellungen muss die Akkuoptimierung für WireGuard zwingend deaktiviert werden (auch später für Automate sollte man es machen).

    Screenshot_20220609-000026.png

    Nun ladet ihr die kostenlose Version von Automate (Tasker geht auch, nutze ich jedoch nicht und kann daher nichts dazu sagen) und gebt in den Einstellungen das Privileg frei, das WireGuard gesteuert werden kann.

    Screenshot_20220608-235724.png

    Danach importiert den Flow aus dem Anhang (WireGuard.txt zu WireGuard.flo umbenennen).

    Screenshot_20220608-234846.png

    In dem Flow ist die eigene SSID (WLAN-Name) anzupassen, die MAC-Adresse würde ich leer lassen, da jeder hoffentlich eine eindeutige SSID nutzt und jeder Repeater seine eigene(n) MAC-Adresse(n) hat.

    Screenshot_20220609-000247.png

    Des Weiteren muss in den Kacheln für VPN up/down unten der eigene Name des Tunnels eingetragen werden. Es kann nötig sein, dass ihr oben in den Optionen der Kachel auf "Pick Service" klicken müsst und den Service nochmals wählt, so wie er anscheinend bereits gewählt ist. Bei mir hakte es, obwohl sich dadurch nichts am Text geändert hahat

    Screenshot_20220609-000309.png

    Screenshot_20220608-235230.png

    So kann man sich unnötige Portfreigaben sparen und hat (fast) immer Zugriff auf sein Netzwerk bzw. kann Nachrichten aus diesem empfangen.

    Ich hoffe, dass ich damit den Anreiz zu der Nutzung eines VPN geben kann, bzw. helfe, falls jemand vor dem selben Problem steht VPN nutzen zu wollen, jedoch Probleme mit der permanenten Verbindung hat.

    WireGuard.txt ist in WireGuard.flo umzubenennen.

    Danke für die Anleitung. :thumbup:

    Zitat

    So kann man sich unnötige Portfreigaben sparen

    Die sollten ein absolutes Tabu sein, da unsicher.

    Zitat

    jedoch Probleme mit der permanenten Verbindung hat.

    Mir erschließt sich nicht, wozu man eine permanente Verbindung braucht? :/

    Nachrichten verschickt mir meine Hausautomation auch ohne VPN-Verbindung.

    Sollte ich wirklich mal eine Verbindung brauchen um etwas (von ausserhalb) zu verifizieren sind es 2 Klicks um den VPN-Tunnel aufzubauen (mit VPNCilla). Wenn ich mal so nachdenke, mehr als 1, 2x im Jahr ist das aber nicht der Fall.

    Zum einen hat unser Zoiper eine ständige Verbindung zu der Telefonanlage per VPN, ich gebe nur die IP des SIP-Providers zur Telefonanlage frei, womit die Firewall der Telefonanlage keine Einträge von Einbruchversuchen hat (in der Firma rund 20 pro Tag). Bei anderen Systemen ist es ähnlich. Also hauptsächlich geht es darum möglichst keine Portfreigaben zu haben.

    Dann mache ich jetzt die Anwesenheitserkennung per Home Assistant. Hierzu müssen die Smartphones ihren Standort melden können und das wollen die sofort bei Änderung, ansonsten dauert die Aktualisierung.

    Per Node Red werte ich die Standorte aus und lasse Homematic dementsprechend automatisch auf an-/abwesend stellen.

    Ist Homematic auf abwesend, dann wird meine Fensterkontaktüberwacbung aktiv. Ebenfalls über Node Red realisiert. Hier bekomme ich dann eine eMail, will ich nun aber auch, wie die Haustürklingel, auf Synology Chat umstellen. Damit ich hierfür keine Portfreigabe auf mein NAS benötige, habe ich ebenfalls den VPN laufen. So muss ich dann kein WhatsApp, Signal, Threema oder sonst etwas extern laufen haben.

    Kontakte und Kalender laufen ebenfalls über die Synology, wozu ich DAVx auf den Androiden nutze. Per VPN wird dieses auf den Smartphones ständig synchron gehalten, um diese nicht irgendwo im Internet liegen zu haben.

    Zuvor gab es bei Viscerion & WireGuard Probleme beim Netzwechsel oder wenn der ISP eine neue IP vergibt, so dass man den Tunnel selbst neu aufbauen musste, was zur Folge hatte, dass meine Frau teis mehrere Stunden per Messenger nicht erreichbar war, da sie da nicht drauf geachtet hatte. Ich musste mein bei Ankunft auf Arbeit immer 1x entsperren, damit meine vorherige Automatisierung den Tunnel neu aufbauen konnte.

    Bisher schaltet es schnell und sauber und auch das Smartphone meiner Frau, die da nicht drauf achtet, ist ständig verbunden.

    Und ich muss halt nicht dran denken den Tunnel selbst aufzubauen, wenn ich auf Daten im Heimnetz (z.B. Fotos, die wie zwischen den Smartphones synchronisieren), zugreifen möchte.

    Vielen Dank für die ausführliche und detaillierte Erklärung. :) :thumbup:

    Und da muß ich mir anhören, ich hätte zuviel Technik im Haus. :D

    Für den Standardanwender sollte eine VPN via App-Lösung reichen.

    Aber zu Deinem Szenario: Respekt :beer:

    Wireguard als VPN-Lösung ist auch ohne komplexe Nutzungsszenarien wie bei Schubbie eine absolut tolle Sache.

    1. AVM baut das Protokoll in die nächste stabile FW-Version ein. Ich benutze es schon länger in der Laborversion und es läuft sauber, stabil und ist kinderleicht einzurichten. Ich habe deswegen bereits meine VM mit WG-Server abgeschaltet und die WG-Lösung auf der QNAP ebenfalls.

    2. Man kann nach Bedarf über einen Flow in Automate den VPN-Tunnel einschalten, wenn man das heimische WLAN verlässt und bei Rückkehr ausschalten. Das heißt, man ist im Mobilnetz und fremdem WLANs immer sicher über VPN verbunden. Das ist vor allem gut, wenn man zuhause AdGuard oder einen pihole am Laufen hat.

    3. Es spricht nichts dagegen, den WG-Tunnel ständig (auch im heimischen Netzwerek) eingeschaltet zu lassen. Man kann in der WG-App ggf. einzelne oder mehrere Apps auswählen, die nicht über dern Tunnel Laufen sollen. Der einzige Nachteil ist ein nächtlicher IP-Zwangswechsel, der ein einmaliges Aus- und wieder Einschalten des Tunnels erfordert. Das kann man aber auch über einen Flow in Automate abfangen.

    4. Meine Erfahrungen mit dem Fritzbox-Wireguard zeigen, dass der Tunnel bisher jeden Wechsel zwischen Mobilfunk und verschiedenen WLANS bedenkenlos mitmacht.

    FHEM, FS20, HM, HM-IP, Shelly-1, -1PM, -Dimmer, -2.5, -plug-S, Raspberrymatic, MQTT, FHEM-Native, Shelly-Home, ShellyPilot

  • Dieses Thema enthält 6 weitere Beiträge, die nur für registrierte Benutzer sichtbar sind, bitte registrieren Sie sich oder melden Sie sich an um diese lesen zu können.