Ich habe bis vor ca einem Jahr eine PiHole-Instanz in meinem Heimnetzwerk betrieben. Dann bin ich zu NextDNS gewechselt. Hintergrund war die einfachere Nutzung auf meinem iPhone. So brach die VPN-Verbindung zu meiner FRITZ!Box (via IPSec) und damit zu meinem PiHole immer wieder ab, wenn ich den Bildschirm der iPhones sperrte. Ich musste die VPN-Verbindung daraufhin stets neu aktivieren. Das war zum einen lästig und zum anderen war ich so immer wieder zeitweise „ungeschützt“ im Netz unterwegs.
Der Nachteil von NextDNS ist natürlich, dass es sich um einen amerikanischen Betreiber handelt. Ich würde daher gerne wieder zu PiHole zurückkehren. Wireguard, dass die FRITZ!Box inzwischen auch kann, scheint hierfür besser geeignet. Hierzu allerdings folgende Fragen:
Kann man mit Wireguard unter iOS dauerhaft eine Verbindung offenhalten? Ich möchte, dass mein iPhone möglichst dauerhaft (auch über Stunden) mit meinem Heimnetzwerk verbunden ist, wenn ich mich im Mobilfunknetz befinde.
Sofern das geht: Zieht das im Vergleich zu einem nicht per VPN verbundenen iPhone deutlich mehr Strom?
Ich würde mich freuen, wenn hier jemand Erfahrungen hat und diese teilen könnte. Vielen Dank.
Ja, das ist möglich. Die App kann sogar das VPN immer, nur im WLAN oder nur im Mobilfunk aktiv setzen. Solange eine Verbindung zum VPN besteht, bleibt die Verbindung auch bestehen.
Ich hatte früher so ein Setup und konnte keinen signifikant höheren Akkuverbrauch feststellen. Zumal Wireguard für iOS so konfigurierbar ist, dass es sich im Heimnetz automatisch abschaltet.
Mein(e) iPhone(s) bzw. die der Family sind auch dauerhaft mit meinem WG-VPN-Tunnel zu (m)einem VPS verbunden, sobald das heimische WLAN verlassen wird. Das klappt alles prima und absolut reibungslos.
Hast du denn auch die „Aktivierung auf Wunsch“ aktiv für „Mobil“ und „WLAN“?
Ich habe das erst heute eingerichtet. Bei meinen ersten Tests schien es tatsächlich gut zu funktionieren. Werde es jetzt mal ein paar Tage testen, bevor ich ggf. meinen NextDNS-Account schließe. Danke für eure Hilfe.
Siehst Du denn außer dem evtl. höheren Speed noch weitere Vorteile, dass nicht direkt mit zum Heimnetz zu verbinden und den Pi-Hole dort zu nutzen? Ein zusätzlicher VPS muss ja auch administriert und gewartet werden.
Ein weiterer Vorteil eines VPS könnte noch sein, wenn man seinen Traffic vor seinem heimischen Provider verstecken möchte…
Ansonsten gebe ich Dir Recht, dass ein VPS auch administriert und gewartet werden will. Aber das muss das Serverchen zuhause doch auch oder hast du WireGuard auf der Fritzbox aktiv und das Administrative damit „outgesourced“?
Ich nutze auf iOS seit etwa einem halben Jahr Wireguard dauerhaft, sobald ich mein Heimnetzwerk verlasse. Ich habe einen Tunnel angelegt, der nur DNS weiterleitet an den heimischen PiHole, und der wird über einen Shortcut automatisch aktiviert, sobald ich in einem anderen Netzwerk als dem aus einer fest definierten Liste bin. Das klappt problemlos und höheren Stromverbrauch konnte ich nicht feststellen.
Die iOS App kann doch „Aktivierung auf Wunsch“ für unbekannte WLANs oder „mobile Daten“ - warum dazu ein shortcut?
Du hast als „zulässige IPs“ nur die interne WireGuard IP konfiguriert? Dann wird der heimische Anschluss für unterwegs ja gar nicht mehr zum Flaschenhals. Clever! Aber manchmal möchte ich doch lieber ALLES durch den VPN jagen, damit ich unterwegs nicht als Handy-Nutzer erkannt werden kann, weil meine VPN-IP aus keinem Handy-Provider-Netz kommt…
Ich vermute mal, dass er das einfach über die IP-Beschränkung gemacht hat.
Wenn dein DNS-Server im Heimnetz beispielsweise die IP 192.168.1.2 hat, trägst du in der Wireguard Config auf deinem Smartphone unter „Erlaubte IPs“/„Allowed IPs“ nur „192.168.1.2/32“ ein, der Rest kommt raus. So kann nur der DNS-Server erreicht werden, allerdings sowohl mit DNS-Anfragen als auch bspw. auf seiner Weboberfläche oder per SSH.
In meiner Konfiguration steht z.B. „0.0.0.0/0“ drin, was bedeutet, dass sämtlicher Traffic übers Heimnetz gesendet wird.
Würdest du in dem Beispiel mit oben genannter IP Adresse aber dein ganzes Heimnetz erreichen wollen, nicht aber das Internet, so würdest du „192.168.1.0/24“ eintragen.
Gröbere Umkonfigurationen im Heimnetz mal ausgeschlossen, wovon ich bei deiner Frage nicht ausgehe.
In den allermeisten Fällen sehe ich eine nennenswerte Belastung des heimischen Anschlusses nicht mehr als realistisch an. Es sei denn, du hast eine Großfamilie mit vielen VPN-Nutzern und eine selbst für deutsche Verhältnisse sehr schmale Leitung zuhause.
Die Technik, dass man nur Teile durch das VPN jagt, nennt sich Split Tunneling, was wiederum sowohl Vorteile als auch Nachteile haben kann (siehe Link).
Weil das nicht zuverlässig funktioniert, wenn man auch noch andere VPN-Konfigurationen nutzt. Auch bei Aktivierung von „nur bei Bedarf verbinden“ muss diese VPN-Config in den iOS Settings ausgewählt sein. Ich nutze auch daheim immer mal andere VPN-Configs nach extern und denke nicht immer dran, dann wieder zurück zu wechseln.
Und manchmal verschläft iOS auch einfach den automatischen Wechsel, warum auch immer - konnte bisher nicht reproduzieren, woran es liegt.
Genau. Ich habe die gleiche VPN-Config 2x hinterlegt (also mit gleichem Secret etc.), eine heißt „XX Full“ und eine „XX DNS“. Bei letzterer sind als „Allowed IPs“ dann 192.168.178.0/24, 10.6.0.0/24 eingetragen, beim Full VPN steht dort 192.168.178.0/24, 0.0.0.0/0. Ich denke, das beantwortet auch die Frage von @jm1982 und wurde ja auch von @mabu schon super erklärt.
Gleiches Secret deshalb, weil ich beide Configs ja eh nicht gleichzeitig verwenden kann.
Genau! Die Nachteile sind in meinem Fall zu vernachlässigen, da es mir zu 99% darum geht, auch unterwegs den PiHole als Resolver nutzen zu können. Zu den verbleibenden 1% muss ich auf Dienste im Heimnetz zugreifen (z.B. das NAS) und da nutze ich dann den Full Tunnel. Oder ich bin über meinen Beryl AX drin und der VPN-Tunnel läuft direkt darüber.