Intra2net hat einige Anpassungen an WireGuard vorgenommen, um die Funktion zu verbessern. Diese Anpassungen betreffen nicht das Protokoll auf der Leitung, Intra2net Systeme sind daher mit anderen WireGuard-Gegenstellen kompatibel.

Verbindungsstatus. Für jede WireGuard-Verbindung wird ein klarer Verbindungsstatus geführt und protokolliert. Ob eine Verbindung on- oder offline ist wird auf der Hauptseite angezeigt. Zu Dokumentations- und Prüfzwecken lässt sich jeder Verbindungsaufbau in den Systemmeldungen nachvollziehen.

Um den Verbindungsstatus verlässlich erkennen zu können, sollte die Keepalive-Funktion aktiviert sein. Wenn für eine Verbindung nach spätestens 180 Sekunden zzgl. der eingestellten Keepalive-Zeit kein erfolgreicher Handshake zustande kam, wird sie als offline geführt.

Detaillierte Protokolle. Es wird nicht nur der Statuswechsel Online/Offline protokolliert, sondern u.a. auch Aufbauversuche mit falschen Schlüsseln, nicht antwortende Gegenstellen, Wechsel von IP-Adressen oder Portnummern und Pakete von falschen IP-Adressen innerhalb des Tunnels. Diese Daten sind sowohl für die Fehlersuche als auch für Dokumentations- und Prüfzwecke hilfreich.

Verbindungsaufbau unabhängig von Keepalive. In der normalen Implementation von WireGuard bedeutet ein konfiguriertes Keepalive, dass eine Verbindung immer versucht wird aufzubauen. Bei Verbindungen zu VPN-Clients ist zwar Keepalive sinnvoll, aber in den Zeiten in denen der Client nicht läuft, stören die ständigen Verbindungsaufbauversuche und ihre Fehlermeldungen. Daher trennt das Intra2net System die grundsätzliche Aktivierung einer Verbindung von dem Keepalive, sobald die Verbindung einmal Online ist.

Kontinuierliche DNS-Auflösung. Konfiguriert man als WireGuard-Gegenstelle einen DNS-Hostnamen, so aktualisiert das Intra2net System jede Minute dessen DNS-Auflösung. Dadurch können auch dynamische IPs mit DynDNS oder Fallback-Internetleitungen problemlos als Gegenstellen verwendet werden. Dennoch wird beim Wechsel der DNS-Auflösung eine bestehende WireGuard-Verbindung nicht unterbrochen. Die neu aufgelöste IP wird nur für einen neuen Verbindungsaufbau verwendet, wenn Handshakes zur aktuell verwendeten IP-Adresse erfolglos bleiben und daher die Verbindung offline geht.

Festlegung lokaler IP-Netze. WireGuard sieht an sich nur die Konfiguration der Netze der Gegenseite vor (AllowedIPs, siehe oben). Dies erschwert die Konfiguration feingranularer Zugriffsrechte, da hier dann für die lokalen Netze zusätzliche Firewall-Regellisten manuell konfiguriert werden müssten. Daher sieht das Intra2net System vor, dass sowohl für die lokale Seite als auch für die Gegenseite die beteiligten IP-Netze konfiguriert werden. Die Firewall beschränkt dann automatisch den Zugriff auf die konfigurierten Netze. Außerdem ermöglichen diese Daten die Vorbereitung vollständiger WireGuard-Konfigurationsdateien für die Gegenseite.

Es ist nicht notwendig wie bei IPSec jedes einzelne Paar von Quell- und Zielnetz separat zu konfigurieren. Das einfache Auflisten aller lokalen IP-Netze und der der Gegenseite reicht aus um alle diese Netze untereinander zu verbinden.