Mullvad VPN - Split tunneling - Lösung: „Teilen im lokalen Netzwerk“

Ich habe gerade etwas Zeit und schaue mir gerade die VPN Geschichte an. Wenn man öfter in fremden Netzen ist kann das schon von Vorteil sein.

Zur Dokumentation, vielleicht sucht mal jemand danach:
Mullvad App in Debian Linux installiert. Funktioniert auch sofort, der Verbindungsaufbau dauert aber ewig. Tunnelprotokoll von Automatisch auf WireGuard umgestellt. Nichts geht mehr. Ich sitze hier hinter einem OpenWRT Router. Der braucht UDP Port 51820 offen und diesen auch in der App manuell auswählen. Die Verbindung steht jetzt mit dem Klick. Das ist nirgends dokumentiert, also ich habs nicht gefunden, aber wozu hat man einen Kopf und der hat schon ein paar Minuten dafür gebraucht.

Zum eigentlichen Thema:

Ich benutze im heimischen Netz Syncthing und KDE-Connect.

Auf Android kann man die Apps mit split tunneling frei geben. Das funktioniert auch.

Auf Linux klappt das über die App nicht.

Muss ich jetzt hier durch?:

https://mullvad.net/de/help/split-tunneling-with-linux-advanced/

Oder geht das Ganze auch quick and dirty?

Hat das schon jemand gemacht und welche Regeln wurden benutzt?

Danke und Grüße
Chris

Edit:

Das funktioniert nicht:

Blockzitat
ce@falbala:~$ pgrep -a kdeconnect
1977 /usr/lib/x86_64-linux-gnu/libexec/kdeconnectd
ce@falbala:~$ mullvad split-tunnel add 1977
Excluding process
ce@falbala:~$ pgrep -a syncthing
1343 /usr/bin/syncthing serve --no-browser --no-restart --logflags=0
1364 /usr/bin/syncthing serve --no-browser --no-restart --logflags=0
ce@falbala:~$ mullvad split-tunnel add 1343
Excluding process
ce@falbala:~$ mullvad split-tunnel add 1364
Excluding process

Vielleicht auch, weil nicht alle Prozesse erfasst werden.
Oder wird so nicht ins interne Netz geroutet?
Mir ist das suspekt.

Was mir besser gefallen würde:

Allowing traffic to a local host

On the other hand, one can add specific rules to only exclude UDP or TCP traffic for specific ports for some addresses and not others. The rules can of course be as expressive as netfilter allows them to be. For instance, one could have stricter filtering by disallowing LAN traffic in our app but still be able to connect to hosts on their local network on specific ports.

table inet excludeTraffic {
chain excludeOutgoing {
type filter hook output priority -10; policy accept;
ip daddr 192.168.1.98 tcp dport {22, 443} ct mark set 0x00000f41;
}
}

Fragen:

1. mir ist nicht klar, wo ich das hin schreiben muss, dass es quasi immer (mit dem VPN) aktiv ist.

2. kann ich das Subnetz 192.168.0.0/24 komplett frei geben? Dann würde es quasi überall funktionieren.

3. welche Protokolle und Ports brauche ich?

Hallo audofriemler,

puh, das liest sich ja superkompliziert. Bei mir hat alles ootb funktioniert, wobei ich auch nur eine normale Fritzbox habe. K.A. ob es daran liegt.

Ich habe auf dem PC Debian 12, Gnome, GSConnect und die Mullvad App 2023.5.
Auf dem Smartphone GrapheneOS (Android 14), die KDE Connect App 1.29.0 und die Mullvad App 2023.7.

Hast du in der Mullvad App auf dem Debian-Rechner und auf dem Smartphone in den VPN-Einstellungen „Teilen im lokalen Netzwerk“ aktiviert? Nur dann funktioniert es.

LG, louisemichel

Edit: Typo

Wenn Du jetzt eine Frau wärst, würde ich Dich fragen, ob ich Dich küssen darf

Merci vielmals

Split tunneling hat sich so aufgedrängt. Naja, wars wenigstens Gehirnjogging

Also erstens, darfst du mich unabhängig von meinem Geschlecht fragen, ob du mich küssen darfst. Du müsstest halt mit einem „Ist mir zu aufwendig, uns deswegen zu teffen“ leben.

Und zweitens: Das Gehirnjogging habe ich schon hinter mir. Ich hab ewig gebraucht, bis ich geschnallt hatte, warum mein Netzwerkdrucker plötzlich nicht mehr drucken wollte, nachdem ich die Mullvad App installiert hatte. Ich kam gar nicht auf die Idee, dass das was miteinander zu tun haben könnte.

LG, louisemichel

Was mich in die Irre geleitet hat, ist die Tatsache, dass es mit Android mit Split tunneling und Freigabe der Apps funktioniert hat. Achso, in den VPN Einstellung dafür sorgen, dass auch eine Verbindung am VPN vorbei darf, das muss so oder so erlaubt werden.