Die Speedport Smart 3/4 Router der Telekom bieten einen einfach bedienbaren Assistenten, um WireGuard VPN Verbindungen in das heimische LAN zu konfigurieren. Auf den älteren Speedport Smart 3 kann man nur eine VPN Verbindung konfigurieren, die man aber auf mehreren Geräten nutzen kann. Bei den Speedport Smart 4 Routern kann man mehrere Verbindungen anlegen.

1. Als erstes benötigt man einen DynDNS Account, der einen DNS Namen bereitstellt, unter dem der eigene Router bei wechselnden IP-Adressen aus dem Internet erreichbar ist.

2. Auf den Clients ist die Wireguard App (Smartphones) bzw. Wireguard Software zu installieren.
3. Die VPN Konfiguration findet man unter "Netzwerk → Virtuelles Netz (VPN)". Für eine neue Wireguard Verbindung legt man zuerst einen Namen fest und klickt dann auf "Aktivieren".
   
   
   Im nächsten Schritt kann man mit WireGuard App auf dem Smartphone den QR-Code scannen oder die Konfiguration für Laptops herunterladen und dort importieren:
   
   Wichtig: man muss WireGuard auf dem Smartphone jetzt(!) konfigurieren oder die Konfiguration herunterladen. Später hat man keinen Zugriff mehr auf die Konfigurationsdaten, weil der Router die privaten Schlüssel für die Clients nicht speichert.

4. Wenn man die WireGuard Verbindung auf dem Smartphone oder Laptop aktiviert, hat man Zugriff auf die internen Ressourcen im privaten Heim- oder Firmennetz oder kann in unsicheren WLANs den gesamten Datenverkehr durch das VPN über den heimischen Router schicken.

   Mit dem Parameter "Allowed IPs" in den WireGuard Konfigurationen kann man das Verhalten steuern, ob der gesamte Datenverkehr des Smartphone/Laptops über den heimischen Router geroutet werden soll oder ob nur der Zugriff auf private Ressourcen via VPN erfolgen soll.

   • Den gesamten Datenverkehr schickt man mit folgender Einstellung über den Router: AllowedIPs = 0.0.0.0/0,::/0
   • Wenn man nur Zugriff auf private Ressourcen via VPN haben will, trägt man das private Netzwerk dort ein. ("xxx" ist durch konkrete Konfiguration im Heimnetz zu ersetzen.) AllowedIPs = 192.168.xxx.0/24

5. Damit alles reibungslos funktioniert und man sich so richtig "wie zuhause" fühlt, sollte auf den Smartphones/Laptops der heimische DNS Server genutzt werden, der in der Wireguard Konfiguration steht und zusammen mit dem Einschalten des VPN aktiviert wird.

   In Kombination mit VPNs sollte man "sicheres DNS" (DNS-over-TLS oder DNS-over-HTTPS) auf den Smartphones/PC oder im Browser deaktivieren(!) und statt dessen den heimischen DNS Server auf dem Router oder Pi-hole richtig konfigurieren. Dann kann man auch via VPN auf die privaten Ressourcen im heimischen Netzwerk problemlos via DNS Namen zugreifen.

Einleitung…
Surfen… PW/2FA… E-Mails… Chatten…
Tor…

---

Virtual Private
Networks (VPNs)

• Anonymisierung(?)
• VPN-Provider
• Heim-/FirmenVPN
  • DynDNS
  • Fritz!VPN
  • Speedport
• VPNs mit Windows
• VPNs mit Linux
  • OpenVPN
  • IPsec/IKEv2
  • WireGuard
  • IPv6 Off
  • Firewall
• Angriffe auf VPNs

---

DNS…
Daten schützen PC/Laptop OS Smartphones

---