VPN-Einstellungen

Der VPN-Einstellungen-Bildschirm zeigt die vollständige WireGuard-Konfiguration für die Verbindung eines Geräts zu einem bestimmten Netzwerk. Änderungen, die Sie hier speichern, werden an den Nettica- Server übertragen und mit allen anderen Peers im selben Netzwerk synchronisiert, damit diese wissen, wie sie dieses Gerät erreichen können.

Sie müssen angemeldet sein und Administrator- oder Eigentümerrechte haben, um die VPN-Einstellungen eines anderen Geräts zu bearbeiten. Sie können die Konfiguration Ihres eigenen Geräts immer anzeigen und bearbeiten (keine Anmeldung erforderlich).

Aktivieren / Deaktivieren

Der Schalter oben auf dem Bildschirm aktiviert oder deaktiviert dieses VPN auf dem Gerät. Wenn deaktiviert, wird der WireGuard-Tunnel gestoppt, aber die Konfiguration bleibt erhalten. Schalten Sie es wieder ein, um die Verbindung herzustellen, ohne etwas neu konfigurieren zu müssen.

Auf einem Gerät kann jeweils nur ein VPN aktiviert sein. Wenn Sie ein zweites VPN aktivieren, wird das derzeit aktive deaktiviert und dann das neue VPN aktiviert.

DNS-Name

Der DNS-Hostname, der dieses Gerät innerhalb des Netzwerks identifiziert, zum Beispiel laptop.home. Muss den Standard-DNS-Hostname-Regeln entsprechen: nur Buchstaben, Ziffern und Bindestriche; keine führenden oder abschließenden Bindestriche; maximal 63 Zeichen pro Label. Der vollständige Name darf bis zu 253 Zeichen lang sein.

Endpunkt

Die öffentliche IP-Adresse und der UDP-Port, den andere Peers verwenden, um eine WireGuard-Verbindung zu diesem Gerät herzustellen, im Format 263.0.113.1:51820. IPv6-Adressen verwenden das Format [2001:db8::1]:51820.

Lassen Sie den Endpunkt leer, wenn sich dieses Gerät hinter NAT befindet und nur nach außen verbindet — Peers erreichen es dann über keepalive-Pakete.

Endpunkt automatisch erkennen (Zauberstab-Symbol)

Wenn dies das VPN Ihres eigenen Geräts ist, erscheint ein Zauberstab-Symbol () rechts neben dem Endpunkt-Feld. Durch Tippen darauf:

wird https://ip.nettica.com abgefragt, um Ihre aktuelle öffentliche IP-Adresse zu ermitteln.
wird ein zufälliger UDP-Port im Bereich 30000–60000 zugewiesen.
wird versucht, eine NAT-PMP-Port-Weiterleitung auf Ihrem Router für diesen Port einzurichten.
wird das Endpunkt-Feld mit der ermittelten Adresse und dem Port ausgefüllt.

NAT-PMP muss auf Ihrem Router verfügbar sein, damit die automatische Port-Weiterleitung funktioniert. Wenn NAT-PMP nicht verfügbar ist, wird der Endpunkt dennoch auf Ihre öffentliche IP und den gewählten Port gesetzt — Sie müssen die Port-Weiterleitung dann manuell in Ihren Router-Einstellungen hinzufügen.

Das Endpunkt-Feld ist für VPNs vom Typ Dienst (Relay- und Tunnel-Dienste) schreibgeschützt. Der Server verwaltet den Endpunkt für diese Verbindungen.

Adresse

Die VPN-IP-Adresse dieses Geräts (mit CIDR-Präfix) innerhalb des VPN-Netzwerks, zum Beispiel 10.0.0.5/32. Mehrere Adressen können eingegeben werden, werden jedoch nicht empfohlen, da mobile Apps nur eine Adresse unterstützen. Unterstützt sowohl IPv4 als auch IPv6.

DNS-Anbieter

Die DNS-Server, die verwendet werden, während dieses VPN aktiv ist. Wählen Sie einen voreingestellten Anbieter aus der Dropdown-Liste (Cloudflare, Google, Quad9 usw.) oder geben Sie eine benutzerdefinierte IP-Adresse oder eine durch Kommas getrennte Liste von Adressen direkt in das Feld ein. Der benutzerdefinierte Wert wird als „Benutzerdefiniert"-Eintrag in der Dropdown-Liste gespeichert.

Erlaubte IPs

Die IP-Bereiche, die durch diesen VPN-Tunnel geleitet werden. Häufige Werte sind:

0.0.0.0/0, ::/0 — gesamten IPv4- und IPv6-Datenverkehr durch den Tunnel leiten (Full-Tunnel / Tunnel-Dienst-Modus)
10.0.0.0/24 — nur Datenverkehr leiten, der für das private Subnetz des VPNs bestimmt ist (Split-Tunnel / Relay-Modus)

Bei Relay-Dienst-Peers wird dieses Feld automatisch vom Server befüllt. Für den eigenen Eintrag Ihres Geräts in der Peer-Liste enthält dieses Feld typischerweise nur Ihre eigene VPN- IP-Adresse.

Dauerhaftes Keepalive

Wie oft (in Sekunden) andere Geräte ein keepalive-Paket an dieses Gerät senden. Dies hält die WireGuard-Sitzung durch NAT-Geräte und Firewalls am Leben, die sonst inaktive UDP-Verbindungen schließen würden. Es ist nicht notwendig, ein dauerhaftes keepalive einzustellen, wenn das Gerät nicht als Endpunkt konfiguriert ist.

Der empfohlene Bereich liegt bei 17 bis 23 Sekunden. Ein Wert von 0 deaktiviert keepalives. Keepalives werden generell benötigt, wenn sich dieses Gerät hinter NAT befindet und Peers in der Lage sein müssen, Verbindungen zu ihm herzustellen.

MTU

Maximale Übertragungseinheit in Bytes. Setzen Sie diesen Wert auf 0, damit WireGuard automatisch wählt (empfohlen). Reduzieren Sie diesen Wert, wenn Paketefragmentierungsprobleme auftreten — übliche Werte sind 1280, 1380 oder 1420, je nach dem Overhead Ihres Netzwerks.

Schreibgeschützte Felder

Am unteren Rand des Bildschirms werden folgende Informationen angezeigt, können aber nicht bearbeitet werden:

On-Demand — der aktuelle On-Demand-Regelstring, falls konfiguriert (nur iOS/macOS). Bearbeiten Sie ihn über das Funken-Symbol auf dem Hauptbildschirm.
Eingeschlossene Apps — Apps, die durch das VPN geleitet werden, wenn Pro-App-VPN im Einschluss-Modus ist (nur Android).
Ausgeschlossene Apps — Apps, die das VPN umgehen, wenn Pro-App-VPN im Ausschluss-Modus ist (nur Android).
Erstellt / Aktualisiert — Zeitstempel und das Konto, das jede Änderung vorgenommen hat.

Speichern oder Abbrechen

Tippen Sie auf Speichern, um alle Felder zu validieren und die Änderungen an den Nettica- Server zu übertragen. Während des Speichervorgangs erscheint ein Ladekreis. Bei Erfolg erscheint eine Bestätigungs-Benachrichtigung und der Bildschirm schließt sich.

Tippen Sie auf Abbrechen, um alle Bearbeitungen zu verwerfen und ohne Änderungen zum vorherigen Bildschirm zurückzukehren.

Wenn Sie keine Administratorrechte haben oder nicht angemeldet sind, schlägt das Speichern möglicherweise mit einer Fehlermeldung fehl.