Split Tunneling

^{A modern cybersecurity infographic illustrating the difference between Split Tunneling and Full VPN Tunneling. On the left side, show a laptop connected to a VPN tunnel where only traffic to a home network and private servers passes through the encrypted tunnel, while normal internet traffic bypasses it directly to the web. Label this “Split Tunnel”. On the right side, show a “Full Tunnel” where all internet traffic, including websites and cloud services, is routed completely through the VPN tunnel, changing the user’s public IP address. Use glowing blue VPN tunnels, network diagrams, internet cloud icons, routers, and data streams. Professional IT illustration style, dark background with neon blue and cyan highlights, highly detailed, clean layout, futuristic networking concept art, cinematic lighting –ar 16:9 –v 7 (ChatGPT)}

Ich hatte neulich ein interessantes IT-Problem: Ich bin mit einem Ubuntu Laptop in einem Firmennetz online, wenn ich Wireguard einschalte, komme ich nicht aber mehr online. Kann es sein, dass der Admin des Firmennetzes VPN bzw. Wireguard zu meiner eigenen Fritz!Box unterbindet?

Daraus ergab sich eine längere „Unterhaltung“ mit viel Gefummel, und das Problem konnte ich noch nicht lösen. Ich weiß aber, wie es ginge, habe nur keine Lust dazu. Da ich aber im November außerhalb Europas sein werden, könnte es sein, dass ich doch etwas machen muss, weil dort das Internet streng zensiert wird.

^{Midjourney erzeugt bei identischem Prompt nur symbolischen Unfug ohne Erkenntniswert.}

Ja, das ist gut möglich. Viele Firmennetze blockieren oder filtern VPN-Verbindungen — besonders unbekannte oder private VPNs wie eine eigene FRITZ!Box-WireGuard-Verbindung.

Typische Ursachen:
→ Die Firewall blockiert den WireGuard-Port (standardmäßig UDP 51820).
→ UDP-Traffic wird generell eingeschränkt.
→ Das Firmennetz erlaubt nur HTTP/HTTPS über Proxy.
→ Deep Packet Inspection erkennt und blockiert VPN-Traffic.
→ Das Firmennetz verhindert „Split Tunneling“ oder private Tunnel absichtlich aus Sicherheitsgründen.

Dass „gar nichts mehr geht“, sobald WireGuard aktiv ist, deutet oft auf eines dieser Probleme hin:
→ Der Tunnel baut sich nicht korrekt auf
→ dann routet Ubuntu trotzdem alles durch das VPN und verliert Internetzugang.
DNS wird über den Tunnel geschickt, funktioniert aber nicht
→ Webseiten wirken „offline“, obwohl IP-Verbindungen evtl. noch gehen.
Die Firma blockiert genau den UDP-Verkehr zur Fritzbox
→ Handshake kommt nie zustande.

Ping geht, aber DNS nicht. Also liegt das Problem vermutlich daran. Was haltet ihr von den Ratschlägen der KI?

Wenn Ping auf IPs geht, aber DNS nicht:
→ DNS-Problem im Tunnel.

Oft hilft bei Firmennetzen:
→ WireGuard auf einen anderen UDP-Port legen (z. B. 53, 123 oder 443 UDP)
→ Auf der Fritzbox einen alternativen Port konfigurieren
→ PersistentKeepalive = 25
→ Split Tunneling statt AllowedIPs = 0.0.0.0/0
Beispiel: AllowedIPs = 192.168.178.0/24

resolvectl status

Global
         Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
  resolv.conf mode: stub

Link 2 (wlp0s12f0)
    Current Scopes: DNS
         Protocols: +DefaultRoute -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: 8.8.4.4
       DNS Servers: 8.8.8.8 8.8.4.4

Link 4 (wg_config)
    Current Scopes: DNS
         Protocols: +DefaultRoute -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: 192.168.178.1
       DNS Servers: 192.168.178.1 fd93:9136:e393:0:7642:7fff:fe2c:f103
        DNS Domain: fritz.box ~.

Das erklärt das Verhalten ziemlich eindeutig. Dein WireGuard-Tunnel setzt den DNS auf deine FRITZ!Box:
Current DNS Server: 192.168.178.1

Sobald WireGuard aktiv wird, versucht Ubuntu also:
→ alle DNS-Anfragen an deine Fritzbox zuhause zu schicken durch den VPN-Tunnel
→ Wenn der Tunnel aber im Firmennetz nicht richtig funktioniert oder UDP teilweise blockiert wird, erreicht dein Laptop die Fritzbox-DNS nicht mehr zuverlässig.

Darum:
→ DNS → kaputt
→ Webseiten → „offline“
→ SERVFAIL von 127.0.0.53

Der entscheidende Punkt:
Dein normales WLAN (wlp0s12f0) hat funktionierende Google-DNS:
→ 8.8.8.8
→ 8.8.4.4

Aber WireGuard überschreibt das mit:
192.168.178.1
„Das ist typisch bei Fritzbox-WireGuard-Konfigurationen.“

ChatGPT empfiehlt split tunneling: Das sei in Firmennetzen fast immer die stabilere Lösung. Das hülfe mir aber nicht gegen Internet-Zensur…

^{Identischer Prompt, Gemini-Version}

Mai 23, 2026 | abgelegt unter Internet and Computer, KI, Linux, Politics

Kommentare

5 Kommentare zu “Split Tunneling”

/dev/null am Mai 23rd, 2026 4:30 p.m.

Gäbe natürlich noch die Möglichkeit ein anderes VPN Protokoll. VLESS Reality könnte zb durch die Firmenfirewall DPI nicht übersehen werden.

Alternativ ohne Tunnel mal per DoH nen anderen DNS als Google ansteuern und sehen, ob die Firma DoH auch blockiert. Port 443 sollte offen sein.

(Meine Erfahrungen mit Geoblocking: Wireguard wird erkannt, openVPN nicht, weshalb Wireguard kaum noch eine Option ist)
admin am Mai 23rd, 2026 6:27 p.m.

Ich habe ja einen freien DNS Server auf der Fritzbox vorgegeben, um die Zensur russischer Websites zum umgehen.
/dev/null am Mai 23rd, 2026 6:40 p.m.

Nachtrag: Fritzbox mit Wireguard – möglicherweise hilft AmneziaWG:
https://docs.amnezia.org/documentation/amnezia-wg/
admin am Mai 23rd, 2026 7:26 p.m.

Die Fritzbox spuckt ja eine wp_config aus, die man nur in das Wireguard aller Laptops einbauen muss. Ist AmneziaWG damit kompatibel? Aber danke für den Tipp.
EDV-Opa am Mai 23rd, 2026 9:22 p.m.

in der wg_config bestimmt die Zeile AllowedIPs ob Split-tunnel oder nicht. Ist 0.0.0.0/0 (für IPv4) und ::/0 (für IPv6) enthalten ist es ein full Tunnel, alles geht über VPN. Nimmt man die beiden raus geht nur Traffic zu deinem VPN Ziel (dein Home-Lan) über den Tunnel.

Soweit dazu. Der Rest ist von der Sicherheit des Firmen-Lans abhängig und hier per Tipps schwer zu diagnostizieren. Wenn du den Full-Tunnel raus nimmst (0-Einträge löschen) und neu aufbaust (wichtig) sollte deine fritz.box unter 192.168.178.1 (wenn das deine Home box ist) anpingbar sein. Du solltest diese Adresse dann auch im Webbrowser erreichen können. Geht das nicht ist was im Firmenlan blockiert/nicht erlaubt. Da brauchst du nicht weiter suchen. Lösung. Mobiler Hotpot übers Handy, Laptop koppeln und ab gehts mit Wireguard.