Habe mir mal WireGuard mit der Laborversion angeschaut.
Sieht bisher sehr gut aus, kein umständliches Gefrickel mit PSKs mehr, einfach QR-Code scannen und es läuft. Man muss eine eventuell bereits eingerichtete VPN-Verbindung einfach löschen, dann kann man beim Einrichten WireGuard auswählen.
Zumindest fast - der DNS-Server wird automatisch statt dem per DHCP übergebenen auf den Router gesetzt. Man kann in der WireGuard-App die EInstellungen aber exportieren - das speichert ein ZIP-Archiv - aus dem ZIP-Archiv kann man die Config-Datei entpacken und dann bearbeiten - dort den DNS-Server anpassen (habe den bei mir im Netzwerk auf meinen Server umgebogen, da dort pi-hole die Werbung filtert), VPN im Handy wieder löschen und neu anlegen, diesmal aber nicht per QR-Code, sondern Konfigurationsdatei importieren.
Sehr gefallen hat mir, dass man mit WireGuard anders als bei normalen VPN-Verbindungen per MyFRITZ! die Verbindung als permanent aktiv markieren kann - das lässt Android normalerweise nur bei festen IP-Adressen zu. Bei WireGuard geht's auch so.
Spätestens wenn Android 12 auf mein OnePlus 8 Pro kommt, hat sich das mit IPSec ja erledigt, Android 12 unterstützt kein IPSec mit PSK, zumindest auf dem Pixel 6 Pro nicht.
OnePlus 8 Pro / Android 11:
FRITZ!Box 7590 - VPN-Einstellungen / Startseite:
pi-hole auf dem Server: Anfragen per VPN (Hostname "VPN" in /etc/hosts verdrahtet auf die IP der VPN-Verbindung) kommen rein, nachdem die Config-Datei angepasst wurde, sodass der DNS-Server stimmt.
pi-hole läuft hier nativ auf Debian Bullseye, also nicht in einem Container. Debian selbst läuft auf einer SSD in meinem TerraMaster F5-221 - eigentlich ein NAS, da das Teil aber mit Debian läuft, also TOS erst gar nicht installiert ist, bezeichne ich das als Server und nicht als NAS.
