In einer zunehmend vernetzten Welt ist der Fernzugriff auf das Heimnetzwerk für viele Anwender unverzichtbar geworden. Egal ob Smart-Home-Geräte, private Server oder einfach nur der Zugriff auf wichtige Dateien – eine sichere und zuverlässige Verbindung von unterwegs ist Gold wert. Doch was, wenn das Heimnetzwerk aus mehreren, isolierten IP-Netzwerken besteht, beispielsweise für IoT-Geräte, ein Gäste-WLAN und ein primäres Arbeitsnetzwerk? Und wie realisiert man dies, wenn man eine weit verbreitete **FRITZ!Box** als Internet-Gateway nutzt, aber die komplexeren Routing- und VPN-Aufgaben einem leistungsfähigeren Gerät wie dem **UniFi Cloud Gateway Ultra (UCG Ultra)** überlassen möchte?
Dieser Artikel führt Sie detailliert durch die Einrichtung eines solchen Szenarios. Wir zeigen Ihnen, wie Sie mit dem modernen und effizienten VPN-Protokoll **WireGuard** einen sicheren Tunnel zu Ihrem **UCG Ultra** aufbauen und von dort aus auf alle Ihre verschiedenen IP-Netzwerke zugreifen können, selbst wenn die **FRITZ!Box** als primärer Router fungiert. Verabschieden Sie sich von komplizierten Setups und begrüßen Sie einen reibungslosen, schnellen und sicheren **Fernzugriff**!
Warum dieses Setup? Die Vorteile von WireGuard, UCG Ultra und Multi-LAN
Bevor wir ins Detail gehen, lassen Sie uns klären, warum diese Kombination so reizvoll ist:
* **WireGuard:** Dieses VPN-Protokoll ist bekannt für seine Einfachheit, hohe Geschwindigkeit und moderne Kryptografie. Es ist schlanker und oft schneller als ältere VPN-Protokolle wie OpenVPN oder IPsec und dabei extrem sicher. Perfekt für einen effizienten **Fernzugriff**.
* **UniFi Cloud Gateway Ultra (UCG Ultra):** Als leistungsstarker Router, Firewall und UniFi Controller in einem bietet das UCG Ultra exzellente Möglichkeiten zur Segmentierung Ihres Netzwerks. Sie können problemlos separate **IP-Netzwerke** (LANs) für verschiedene Anwendungsbereiche erstellen, z.B. für IoT-Geräte, die keine Verbindung zum Hauptnetzwerk haben sollen, oder ein sicheres Gastnetzwerk. Das UCG Ultra ist zudem eine ideale Plattform für einen **WireGuard**-Server.
* **FRITZ!Box:** Millionen Haushalte in Deutschland nutzen eine FRITZ!Box als zentrales Gateway zum Internet. Sie ist zuverlässig und benutzerfreundlich, bietet aber für komplexe Multi-LAN-Szenarien oder dedizierte WireGuard-Server nicht immer die nötige Flexibilität. Sie als „dummes” Modem bzw. reinen Internetzugang für das UCG Ultra zu nutzen und die Portweiterleitung zu übernehmen, ist jedoch eine ihrer Stärken.
Das Ziel ist es, die Stärken beider Welten zu kombinieren: Die **FRITZ!Box** als zuverlässiger Internetzugang und die Intelligenz des **UCG Ultra** für die Netzwerkverwaltung und den **VPN**-Server.
Grundlagen verstehen: Die Architektur Ihres Netzwerks
Bevor Sie mit der Konfiguration beginnen, ist es wichtig, die geplante Netzwerktopologie und die Rollen der einzelnen Komponenten zu verstehen:
1. **FRITZ!Box (Layer 3 Router/NAT):** Sie ist das Tor zum Internet. Sie erhält eine öffentliche IP-Adresse (oft dynamisch, daher ist DynDNS empfehlenswert) und fungiert als primärer DHCP-Server in ihrem eigenen Subnetz (z.B. 192.168.178.0/24). Ihre Hauptaufgabe in unserem Szenario ist es, eingehende **WireGuard**-Verbindungen an das UCG Ultra weiterzuleiten.
2. **UCG Ultra (Layer 3 Router/VPN Server/UniFi Controller):** Dieses Gerät wird direkt hinter der FRITZ!Box angeschlossen. Sein WAN-Port erhält eine IP-Adresse aus dem Subnetz der FRITZ!Box. Das UCG Ultra ist der eigentliche Master Ihres internen Netzwerks. Es erstellt und verwaltet die verschiedenen internen **IP-Netzwerke** (z.B. 192.168.1.0/24 für Main-LAN, 192.168.10.0/24 für IoT-LAN, 192.168.20.0/24 für Guest-LAN) und agiert als **WireGuard**-Server.
3. **WireGuard VPN-Subnetz:** Für die VPN-Verbindungen selbst wird ein separates IP-Subnetz benötigt (z.B. 10.0.0.0/24). Dieses darf sich keinesfalls mit den anderen bereits existierenden Subnetzen überschneiden!
4. **Clients:** Ihre Geräte (Laptop, Smartphone), die sich von unterwegs über **WireGuard** mit dem Heimnetzwerk verbinden.
Wichtiger Hinweis zur IP-Adressierung: Planen Sie Ihre IP-Adressen sorgfältig, um Überschneidungen zu vermeiden. Das Subnetz, in dem sich Ihre Geräte befinden, wenn Sie sich per VPN verbinden (z.B. ein öffentliches WLAN oder ein Mobilfunknetz), darf sich nicht mit Ihren Heimnetzwerken überschneiden. Sollte dies der Fall sein, können Sie keine Geräte in diesem überschneidenden Heimnetzwerk erreichen.
Vorbereitung: Was Sie brauchen
Bevor wir in die Konfiguration eintauchen, stellen Sie sicher, dass Sie Folgendes zur Hand haben:
* Eine **FRITZ!Box** mit aktueller Firmware.
* Ein **UniFi Cloud Gateway Ultra** (UCG Ultra), das bereits in Ihrem UniFi Controller (im UCG Ultra integriert) eingerichtet und adoptiert wurde.
* Zugriff auf die Web-Oberflächen beider Geräte (FRITZ!Box und UniFi Controller).
* Einen Computer oder ein Smartphone, auf dem Sie den **WireGuard**-Client installieren können, um die Verbindung zu testen.
* Geduld und grundlegendes Verständnis für Netzwerktechnik.
Schritt 1: Netzwerkplanung und IP-Adressierung
Ein klarer Plan ist die halbe Miete. Skizzieren Sie Ihre IP-Adressen:
* **FRITZ!Box:**
* LAN IP: z.B. 192.168.178.1
* DHCP-Bereich: z.B. 192.168.178.20 – 192.168.178.200
* **UCG Ultra:**
* WAN IP: Statische IP-Adresse aus dem FRITZ!Box-Subnetz, aber außerhalb des DHCP-Bereichs der FRITZ!Box, z.B. 192.168.178.10. (Alternativ DHCP-Reservierung in der FRITZ!Box für die MAC-Adresse des UCG Ultra WAN-Ports).
* Main-LAN (LAN1): z.B. 192.168.1.0/24 (UCG Ultra IP: 192.168.1.1)
* IoT-LAN: z.B. 192.168.10.0/24 (UCG Ultra IP: 192.168.10.1)
* Guest-LAN: z.B. 192.168.20.0/24 (UCG Ultra IP: 192.168.20.1)
* **WireGuard VPN:**
* VPN-Subnetz: z.B. 10.0.0.0/24 (UCG Ultra als Server: 10.0.0.1)
* WireGuard Port: z.B. UDP 51820 (kann frei gewählt werden)
Schritt 2: FRITZ!Box Konfiguration (Portfreigabe)
Die **FRITZ!Box** muss wissen, dass eingehende **WireGuard**-Verbindungen an das UCG Ultra weitergeleitet werden sollen.
1. **DynDNS einrichten (falls keine feste IP):** Da die meisten Haushalte eine dynamische öffentliche IP-Adresse haben, ist ein Dynamic DNS (DynDNS)-Dienst entscheidend. Gehen Sie in der FRITZ!Box zu „Internet” -> „Freigaben” -> „Dynamic DNS” und richten Sie einen Dienst ein (z.B. MyFRITZ!, No-IP, DynDNS.org). Merken Sie sich den Hostnamen.
2. **Portfreigabe erstellen:**
* Navigieren Sie zu „Internet” -> „Freigaben” -> „Portfreigaben”.
* Klicken Sie auf „Gerät für Freigaben hinzufügen”.
* Wählen Sie das **UCG Ultra** aus der Liste der verbundenen Geräte aus (es sollte als 192.168.178.10 erscheinen). Wenn nicht, fügen Sie es als Netzwerkgerät manuell hinzu.
* Klicken Sie auf „Neue Freigabe”.
* Wählen Sie „Andere Anwendung” aus.
* Geben Sie einen Namen ein (z.B. „WireGuard UCG Ultra”).
* Wählen Sie das Protokoll **UDP**.
* Geben Sie den Port für eingehende Verbindungen an (z.B. „51820”).
* Geben Sie den Port, an den die Freigabe weitergeleitet werden soll, ebenfalls als „51820” ein.
* Speichern Sie die Einstellungen.
Die **FRITZ!Box** leitet nun alle eingehenden UDP-Pakete auf Port 51820 an die WAN-IP-Adresse Ihres **UCG Ultra** (192.168.178.10) weiter.
Schritt 3: UCG Ultra Konfiguration (Netzwerke & WireGuard Server)
Dies ist der Herzstück der Konfiguration. Sie benötigen Zugriff auf das UniFi Controller Interface Ihres UCG Ultra.
3.1 Erstellung der Multi-LANs
Stellen Sie sicher, dass Ihre gewünschten internen Netzwerke bereits existieren.
1. Gehen Sie in den UniFi Controller zu „Einstellungen” -> „Netzwerke”.
2. Erstellen Sie neue Netzwerke (oder überprüfen Sie bestehende):
* **Main-LAN:** Typ „Standard”, Gateway IP/Subnetz z.B. 192.168.1.1/24. Aktivieren Sie den DHCP-Server.
* **IoT-LAN:** Typ „Standard”, Gateway IP/Subnetz z.B. 192.168.10.1/24. Aktivieren Sie den DHCP-Server. Wenn Sie VLANs verwenden möchten, weisen Sie hier eine VLAN ID zu (z.B. VLAN 10).
* **Guest-LAN:** Typ „Standard” oder „Gast”, Gateway IP/Subnetz z.B. 192.168.20.1/24. Aktivieren Sie den DHCP-Server. Weisen Sie hier ebenfalls eine VLAN ID zu (z.B. VLAN 20).
3. Konfigurieren Sie Firewall-Regeln zwischen diesen Netzwerken nach Ihren Sicherheitsanforderungen. Für den **Fernzugriff** sollten zumindest die nötigen Ports und Protokolle zwischen dem VPN-Netzwerk und den Ziel-LANs erlaubt sein. Standardmäßig lässt UniFi Kommunikation zwischen VLANs nicht zu, hier muss also ggf. eine „Allow All” oder eine spezifische Regel vom VPN-Netzwerk (10.0.0.0/24) zu Ihren LANs (192.168.1.0/24, 192.168.10.0/24, 192.168.20.0/24) erstellt werden.
3.2 WireGuard VPN Server einrichten
Das UCG Ultra kann direkt als **WireGuard**-Server fungieren.
1. Gehen Sie im UniFi Controller zu „Einstellungen” -> „VPN”.
2. Klicken Sie auf „VPN-Server” und dann auf „VPN-Server erstellen”.
3. Wählen Sie als Typ „**WireGuard**”.
4. Geben Sie einen Namen für den VPN-Server ein (z.B. „MyHomeWireGuard”).
5. **VPN-Subnetz:** Geben Sie das geplante VPN-Subnetz an (z.B. 10.0.0.0/24).
6. **Port:** Geben Sie den WireGuard Port an, den Sie auch in der FRITZ!Box freigegeben haben (z.B. 51820).
7. **DNS-Server:** Geben Sie die IP-Adresse eines internen DNS-Servers ein (z.B. die IP Ihres Main-LAN Gateways 192.168.1.1 oder einen Pi-hole, falls vorhanden) oder einen öffentlichen DNS-Server (z.B. 1.1.1.1).
8. Speichern Sie den VPN-Server.
3.3 WireGuard Clients (Peers) anlegen
Für jedes Gerät, das sich per **WireGuard** verbinden soll, erstellen Sie einen „Client” (Peer).
1. Klicken Sie im selben „VPN”-Menü unter dem von Ihnen erstellten WireGuard-Server auf „VPN-Client hinzufügen”.
2. Geben Sie einen Namen für den Client ein (z.B. „MeinLaptop”).
3. Wählen Sie das **WireGuard**-Subnetz aus, das Sie zuvor erstellt haben.
4. **WICHTIG: Erlaubte IPs (Allowed IPs) auf der Serverseite:** Hier geben Sie an, welche IP-Netzwerke der Client über den VPN-Tunnel erreichen darf. Dies ist entscheidend für den Zugriff auf Ihre Multi-LANs. Fügen Sie hier alle Subnetze hinzu, auf die der Client Zugriff haben soll:
* `192.168.1.0/24` (Ihr Main-LAN)
* `192.168.10.0/24` (Ihr IoT-LAN)
* `192.168.20.0/24` (Ihr Guest-LAN)
* `10.0.0.0/24` (Das WireGuard VPN-Subnetz selbst, wichtig für die interne Kommunikation der VPN-Peers)
* *Optional:* Wenn Sie auch den Internetverkehr über das VPN leiten möchten (Full Tunnel), müssten Sie hier auch `0.0.0.0/0` eintragen. Für den Zugriff auf interne Netze ist Split Tunneling (nur die internen Netze über VPN) meist effizienter.
5. Klicken Sie auf „Hinzufügen”.
6. Das UCG Ultra generiert nun eine **WireGuard**-Konfigurationsdatei und einen QR-Code für diesen Client. Laden Sie die Konfigurationsdatei herunter oder scannen Sie den QR-Code. Diese Informationen benötigen Sie im nächsten Schritt.
Wiederholen Sie diesen Schritt für jeden weiteren Client, der **Fernzugriff** erhalten soll.
Schritt 4: Client-Konfiguration
Jetzt konfigurieren Sie Ihr Endgerät (Laptop, Smartphone), um die VPN-Verbindung herzustellen.
1. **WireGuard Client Software installieren:** Laden Sie die offizielle WireGuard-Software für Ihr Betriebssystem herunter und installieren Sie sie (erhältlich für Windows, macOS, Linux, iOS, Android).
2. **Konfiguration importieren:**
* Öffnen Sie die WireGuard-Anwendung.
* Wählen Sie „Tunnel hinzufügen” oder „Konfiguration importieren”.
* Importieren Sie die `.conf`-Datei, die Sie vom UCG Ultra heruntergeladen haben, oder scannen Sie den QR-Code mit der mobilen App.
* Die Konfiguration enthält bereits die öffentlichen Schlüssel des Servers, die IP-Adresse des Clients im VPN-Subnetz, den Endpunkt (Ihre DynDNS-Adresse oder öffentliche IP der FRITZ!Box und den Port) und die von Ihnen auf dem UCG Ultra Server definierten „Allowed IPs”.
3. **WICHTIG: Überprüfen der Client-seitigen „Allowed IPs”:**
* Standardmäßig werden die „Allowed IPs” vom Server übernommen. Vergewissern Sie sich, dass sie auf der Client-Seite die Netzwerke enthalten, die Sie erreichen möchten.
* Für den Zugriff auf Ihre Multi-LANs sollten hier mindestens die Subnetze `192.168.1.0/24`, `192.168.10.0/24`, `192.168.20.0/24` und `10.0.0.0/24` aufgeführt sein.
* Wenn Sie möchten, dass *jeglicher* Internetverkehr über Ihr Heimnetzwerk läuft (Full Tunnel), dann muss hier `0.0.0.0/0` stehen. Beachten Sie, dass dies Ihre Internetgeschwindigkeit beeinträchtigen kann und Ihre öffentliche IP-Adresse dann die Ihres Heimanschlusses ist. Für den reinen **Fernzugriff** auf interne Ressourcen ist Split Tunneling (nur die internen IPs eintragen) oft die bessere Wahl.
Schritt 5: Test und Fehlerbehebung
Jetzt ist es an der Zeit, die Verbindung zu testen.
1. **Verbindung aufbauen:** Trennen Sie Ihr Client-Gerät von Ihrem Heim-WLAN und verbinden Sie es mit einem externen Netzwerk (z.B. Mobilfunkdaten oder ein öffentliches WLAN). Aktivieren Sie den WireGuard-Tunnel in Ihrer Client-Software.
2. **Pings und Zugriffstests:**
* Versuchen Sie, die Gateway-IPs Ihrer verschiedenen LANs anzupingen: `ping 192.168.1.1`, `ping 192.168.10.1`, `ping 192.168.20.1`.
* Versuchen Sie, Geräte in diesen Netzwerken anzupingen oder auf ihre Weboberflächen zuzugreifen (z.B. Smart Home Hub, NAS, Server).
* Wenn Sie das UCG Ultra Controller Interface auf 192.168.1.1 (oder einer anderen LAN IP) erreichbar haben, versuchen Sie, es über die VPN-Verbindung zu öffnen.
Häufige Fehler und Lösungen:
* **Keine Verbindung:**
* **FRITZ!Box Portfreigabe:** Ist der UDP-Port korrekt freigegeben und auf die korrekte WAN-IP des UCG Ultra gerichtet?
* **DynDNS:** Aktualisiert sich Ihr DynDNS-Dienst korrekt? Ist die Adresse in der Client-Konfiguration aktuell?
* **WireGuard Port:** Stimmen die Ports auf FRITZ!Box, UCG Ultra Server und Client überein?
* **UCG Ultra WAN-IP:** Hat das UCG Ultra eine statische IP oder eine reservierte IP von der FRITZ!Box erhalten?
* **Verbindung steht, aber kein Zugriff auf Netzwerke:**
* **”Allowed IPs” (Server):** Haben Sie *alle* Ziel-Subnetze (192.168.1.0/24, 192.168.10.0/24 etc.) in den „Erlaubten IPs” auf dem UCG Ultra WireGuard Server für den jeweiligen Client eingetragen?
* **”Allowed IPs” (Client):** Sind diese Subnetze auch in der WireGuard Client-Konfiguration (Client-seitig unter „Allowed IPs”) enthalten?
* **Firewall-Regeln UCG Ultra:** Standardmäßig blockiert UniFi den Verkehr zwischen verschiedenen LANs. Erstellen Sie Firewall-Regeln, die dem WireGuard VPN-Subnetz (10.0.0.0/24) den Zugriff auf Ihre spezifischen LANs (z.B. 192.168.1.0/24, 192.168.10.0/24) erlauben. Diese Regeln finden Sie unter „Einstellungen” -> „Firewall & Security” -> „Regeln” -> „LAN In” oder „VPN In”. Eine Regel „VPN In, allow all from 10.0.0.0/24 to 192.168.1.0/24” wäre ein Anfang.
* **Überschneidende IP-Netze:** Befindet sich Ihr Client-Gerät gerade in einem Netzwerk, dessen IP-Subnetz sich mit einem Ihrer Heimnetzwerke überschneidet? (z.B. Ihr Client ist in einem WLAN mit 192.168.1.0/24 und Ihr Main-LAN hat ebenfalls 192.168.1.0/24). Dies führt zu Routing-Problemen. In diesem Fall müssten Sie Ihr Heimnetzwerk umkonfigurieren oder sich von einem anderen externen Netzwerk verbinden.
Sicherheitsaspekte
Auch wenn **WireGuard** sehr sicher ist, beachten Sie folgende Punkte:
* **Starke Schlüssel:** **WireGuard** generiert automatisch starke kryptografische Schlüssel.
* **Aktuelle Firmware:** Halten Sie sowohl Ihre **FRITZ!Box** als auch Ihr **UCG Ultra** stets auf dem neuesten Stand, um Sicherheitslücken zu schließen.
* **Nur benötigte Ports:** Geben Sie in der **FRITZ!Box** nur den UDP-Port für **WireGuard** frei und keine weiteren unnötigen Ports.
* **Zugriff auf UCG Ultra:** Sichern Sie den Zugriff auf Ihr UniFi Controller Interface mit starken Passwörtern und ggf. Zwei-Faktor-Authentifizierung.
* **Client-Sicherheit:** Schützen Sie Ihre Geräte mit den WireGuard-Client-Konfigurationen, da sie den Zugang zu Ihrem Netzwerk ermöglichen.
Fazit und Ausblick
Herzlichen Glückwunsch! Sie haben nun erfolgreich ein komplexes Setup realisiert, das Ihnen einen sicheren und effizienten **Fernzugriff** auf alle Ihre segmentierten **IP-Netzwerke** hinter Ihrer **FRITZ!Box** ermöglicht, gesteuert durch Ihr **UCG Ultra** und das moderne **WireGuard**-Protokoll. Diese Lösung bietet Ihnen maximale Flexibilität und Sicherheit für Ihr Heimnetzwerk.
Mit diesem Fundament können Sie Ihr Netzwerk weiter optimieren:
* **Granulare Firewall-Regeln:** Passen Sie die Firewall-Regeln im **UCG Ultra** präziser an, um den Zugriff zwischen den VPN-Clients und den internen Netzwerken fein abzustimmen.
* **Ad-Blocking im VPN:** Leiten Sie den DNS-Verkehr Ihrer VPN-Clients über einen im Heimnetzwerk laufenden Pi-hole oder AdGuard Home, um auch von unterwegs werbefrei und sicherer zu surfen.
* **Mehrere VPN-Server:** Das UCG Ultra könnte theoretisch auch andere VPN-Server hosten, aber für Einfachheit und Geschwindigkeit ist **WireGuard** oft die erste Wahl.
Die Kombination aus **FRITZ!Box**, **UCG Ultra** und **WireGuard** ist eine leistungsstarke Dreifaltigkeit, die Ihnen die volle Kontrolle über Ihren **Fernzugriff** und Ihr Heimnetzwerk gibt. Nutzen Sie diese Möglichkeiten, um Ihr digitales Leben sicherer, effizienter und komfortabler zu gestalten!