Die Integration eines Virtual Private Networks (VPN) direkt in Ihren Router ist ein echter Game-Changer für Sicherheit, Privatsphäre und Freiheit im digitalen Raum. Für Besitzer einer Fritzbox von AVM und Nutzer eines VPN-Dienstes, der das moderne und schnelle **WireGuard**-Protokoll unterstützt, bietet sich seit FRITZ!OS 7.50 eine elegante Lösung an: Die Fritzbox kann selbst zum **WireGuard-Client** werden. Diese Anleitung richtet sich an technisch versierte Anwender, die ihren gesamten Heimnetzwerk-Traffic oder den von bestimmten Geräten zuverlässig über einen externen VPN-Anbieter leiten möchten, ohne jedes Endgerät einzeln konfigurieren zu müssen.
### Warum ein VPN-Anbieter direkt in der Fritzbox?
Die Gründe, den VPN-Tunnel nicht nur auf einzelnen Geräten, sondern direkt am Eintrittspunkt Ihres Netzwerks – der Fritzbox – aufzubauen, sind vielfältig und überzeugend:
1. **Umfassender Schutz**: Sobald die Fritzbox eine VPN-Verbindung herstellt, sind *alle* Geräte in Ihrem Heimnetzwerk, die über die Fritzbox ins Internet gehen, automatisch geschützt. Dies gilt für PCs, Smartphones, Tablets, Smart-TVs, Spielekonsolen und Smart-Home-Geräte gleichermaßen. Selbst Geräte, die keine eigene VPN-Client-Software unterstützen (z.B. einige IoT-Geräte), profitieren davon.
2. **Immer-an-VPN**: Die VPN-Verbindung ist permanent aktiv, solange die Fritzbox läuft und eine Internetverbindung besteht. Kein manuelles Einschalten mehr auf jedem Gerät.
3. **Vereinfachte Verwaltung**: Statt dutzende Geräte einzeln zu konfigurieren, verwalten Sie die VPN-Verbindung zentral an einer Stelle.
4. **Umgehung von Geoblocking**: Greifen Sie auf regional eingeschränkte Inhalte und Dienste zu, indem Sie den virtuellen Standort Ihres gesamten Netzwerks ändern.
5. **Erhöhte Privatsphäre**: Ihr Internetdienstanbieter (ISP) sieht nur noch verschlüsselten Traffic zur VPN-Server-IP, nicht aber Ihre tatsächlichen Online-Aktivitäten.
Diese Vorteile machen die Einbindung eines VPN-Anbieters in die Fritzbox zu einer erstrebenswerten Lösung für jeden, der Wert auf ein sicheres und uneingeschränktes Interneterlebnis legt.
### Grundlagen und Voraussetzungen für Profis
Bevor wir ins Detail gehen, stellen wir sicher, dass die grundlegenden Anforderungen erfüllt sind:
* **Kompatible Fritzbox**: Sie benötigen eine Fritzbox, die **FRITZ!OS 7.50** oder neuer verwendet. Diese Version hat AVMs Unterstützung für WireGuard-Clients eingeführt. Ältere Fritzbox-Modelle können diese Funktion nicht nativ nutzen. Überprüfen Sie Ihr FRITZ!OS unter „System” -> „Update”.
* **VPN-Anbieter mit WireGuard-Support**: Ihr VPN-Dienst muss das WireGuard-Protokoll unterstützen und Ihnen die notwendigen Konfigurationsdaten zur Verfügung stellen. Renommierte Anbieter wie NordVPN (via NordLynx), Surfshark, Mullvad, Proton VPN oder OVPN bieten dies in der Regel an.
* **Zugang zur Fritzbox-Oberfläche**: Sie benötigen Administratorzugriff auf Ihre Fritzbox (Standard: `fritz.box` im Browser).
* **Grundlegendes Netzwerkverständnis**: Kenntnisse über IP-Adressen, Subnetze und Routen sind hilfreich, um die Konfigurationsschritte vollständig zu verstehen.
### WireGuard in der Fritzbox verstehen: Die Client-Rolle
Die Fritzbox agiert in diesem Szenario als **WireGuard-Client**. Das bedeutet, sie stellt eine verschlüsselte Verbindung zu einem **WireGuard-Server** (Ihrem VPN-Anbieter) her. Im Gegensatz zu älteren VPN-Protokollen wie OpenVPN, die oft eine separate Anwendung oder Firmware erforderten, ist WireGuard schlank, schnell und direkt in FRITZ!OS integriert.
Ein wichtiger Punkt für „Profis”: Die Fritzbox unterstützt standardmäßig die Einbindung *einer* WireGuard-Client-Verbindung zu einem externen VPN-Anbieter. Wenn Sie mehrere VPN-Tunnel zu unterschiedlichen Anbietern oder Zielen benötigen, ist die Fritzbox hierfür nicht ausgelegt – in solchen Fällen wäre ein dedizierter VPN-Router oder ein Raspberry Pi mit WireGuard eine Alternative. Für den Großteil der Anwender reicht die eine Client-Verbindung jedoch aus, um den gesamten Traffic des Heimnetzes über einen Anbieter zu leiten.
### Schritt 1: Vorbereitung beim VPN-Anbieter
Der erste und entscheidende Schritt ist die Beschaffung der WireGuard-Konfigurationsdaten von Ihrem VPN-Anbieter. Diese erhalten Sie typischerweise über dessen Website im Bereich Ihres Benutzerkontos oder in einem speziellen Router-Konfigurationsbereich.
Die Daten werden oft als `.conf`-Datei (z.B. `mullvad-de-wg-25.conf`) oder direkt im Web-Interface bereitgestellt. Eine WireGuard-Konfigurationsdatei sieht prinzipiell so aus:
„`ini
[Interface]
PrivateKey =
Address = /32
DNS =
[Peer]
PublicKey =
Endpoint = :
AllowedIPs = 0.0.0.0/0, ::/0
PersistentKeepalive = 25
„`
Aus dieser Konfiguration benötigen Sie folgende Informationen für die Fritzbox:
* **`PrivateKey` (Privater Schlüssel)**: Ihr geheimer Schlüssel für die Fritzbox.
* **`Address` (Eigene Adresse)**: Die IP-Adresse, die Ihre Fritzbox *innerhalb des VPN-Tunnels* erhält (z.B. `10.64.0.2/32`).
* **`PublicKey` (Öffentlicher Schlüssel des Peers)**: Der öffentliche Schlüssel des VPN-Servers Ihres Anbieters.
* **`Endpoint` (Adresse des VPN-Anbieters)**: Die öffentliche IP-Adresse oder der Hostname des VPN-Servers und der zugehörige Port (z.B. `de-muc-wg-25.mullvad.net:51820`).
* **`AllowedIPs` (Erlaubte IP-Adressen)**: Dies ist **extrem wichtig**. Für einen vollständigen Tunnel aller Ihrer Internetanfragen durch den VPN-Anbieter muss dieser Wert `0.0.0.0/0` (für IPv4) und optional `::/0` (für IPv6) sein. Er teilt der Fritzbox mit, welchen Traffic sie durch den WireGuard-Tunnel senden soll.
* **`PersistentKeepalive` (Statischer Keepalive)**: Oft `25` Sekunden. Sorgt dafür, dass der Tunnel auch bei Inaktivität offen bleibt und NAT-Timeouts umgangen werden.
* **`DNS` (DNS-Server)**: Die IP-Adresse(n) der DNS-Server, die der VPN-Anbieter für den Tunnel bereitstellt.
**Wichtiger Hinweis**: Einige Anbieter generieren spezifische Konfigurationen für Router. Stellen Sie sicher, dass Sie die richtige Konfiguration für einen „Router” oder „generischen WireGuard-Client” wählen, da diese oft die benötigten `AllowedIPs = 0.0.0.0/0` und `PersistentKeepalive` Werte korrekt enthalten.
### Schritt 2: WireGuard-Konfiguration in der Fritzbox starten
Melden Sie sich an der Benutzeroberfläche Ihrer Fritzbox an (standardmäßig unter `http://fritz.box`).
1. Navigieren Sie zum Menüpunkt **”Internet”** -> **”Zugangsdaten”**.
2. Wechseln Sie zum Reiter **”VPN (WireGuard)”**.
3. Klicken Sie auf **”WireGuard-Verbindung hinzufügen”**.
4. Wählen Sie die Option **”Verbindung zu einem VPN-Anbieter herstellen”** aus und klicken Sie auf „Weiter”.
### Schritt 3: Details der WireGuard-Konfiguration eingeben
Jetzt müssen Sie die in Schritt 1 gesammelten Daten in die entsprechenden Felder der Fritzbox-Oberfläche eintragen.
1. **”Name der VPN-Verbindung”**: Vergeben Sie einen aussagekräftigen Namen, z.B. „VPN-Anbieter XY Tunnel”.
2. **”WireGuard-Daten manuell eingeben”**: Aktivieren Sie diese Option, falls sie nicht bereits vorausgewählt ist.
Jetzt erscheinen die Detailfelder:
* **”Eigene Adresse (lokaler Tunnelendpunkt)”**: Hier tragen Sie die `Address` aus Ihrer WireGuard-Konfigurationsdatei ein, z.B. `10.64.0.2/32`. Wichtig ist die Subnetzmaske (hier `/32`), die anzeigt, dass es sich um eine einzelne Host-IP-Adresse handelt.
* **”Privater Schlüssel (Private Key)”**: Fügen Sie hier Ihren **`PrivateKey`** ein. Dieser ist geheim und sollte niemals weitergegeben werden.
* **”Öffentlicher Schlüssel des VPN-Anbieters (Public Key des Peers)”**: Kopieren Sie den **`PublicKey`** aus der Sektion `[Peer]` Ihrer Konfigurationsdatei hierher.
* **”Adresse des VPN-Anbieters (Endpoint)”**: Tragen Sie die Host-Adresse oder IP-Adresse des VPN-Servers ein, z.B. `de-muc-wg-25.mullvad.net`.
* **”Port des VPN-Anbieters”**: Geben Sie den zugehörigen Port ein (z.B. `51820`). Dieser ist oft Teil des Endpoints nach dem Doppelpunkt.
* **”Erlaubte IP-Adressen (Allowed IPs)”**: Dies ist der **entscheidende Punkt** für einen vollständigen VPN-Tunnel. Für eine dauerhafte Einbindung, die *gesamten* Internet-Traffic durch den VPN-Tunnel leitet, müssen Sie hier **`0.0.0.0/0`** eintragen. Wenn Ihr Anbieter auch IPv6 unterstützt und Sie dies nutzen möchten, fügen Sie zusätzlich `, ::/0` hinzu (also `0.0.0.0/0, ::/0`). Diese Einstellung weist die Fritzbox an, allen Verkehr, der nicht lokal adressiert ist, über den WireGuard-Tunnel zu senden.
* **”Statischer Keepalive (Persistent Keepalive)”**: Tragen Sie hier den Wert aus Ihrer Konfigurationsdatei ein (meist **`25`** Sekunden).
* **”DNS-Server”**: Dies ist optional. Sie können hier die DNS-Server Ihres VPN-Anbieters eintragen (die oft unter `DNS = ` in Ihrer Konfigurationsdatei aufgeführt sind) oder die Standard-DNS-Server der Fritzbox verwenden. Für maximale Privatsphäre empfiehlt es sich, die DNS-Server des VPN-Anbieters zu verwenden, um DNS-Leaks zu vermeiden. Alternativ können Sie auch eigene, vertrauenswürdige DNS-Server (z.B. Cloudflare, Quad9) eintragen, um die Kontrolle über Ihre DNS-Anfragen zu behalten.
Nachdem Sie alle Daten sorgfältig eingetragen haben, klicken Sie auf **”Übernehmen”** und dann auf **”Verbinden”**.
### Schritt 4: Verbindung testen und absichern
Die Fritzbox wird nun versuchen, die WireGuard-Verbindung aufzubauen.
1. **Verbindungsstatus prüfen**: Kehren Sie zum Reiter **”VPN (WireGuard)”** zurück. Dort sollte der Status Ihrer neu erstellten Verbindung als **”Verbunden”** oder ähnlich angezeigt werden. Falls es Probleme gibt, überprüfen Sie die Protokolle der Fritzbox unter „System” -> „Ereignisse” und vergleichen Sie Ihre Eingaben nochmals akribisch mit der Konfigurationsdatei Ihres Anbieters.
2. **IP-Adresse überprüfen**: Öffnen Sie auf einem über die Fritzbox verbundenen Gerät einen Webbrowser und besuchen Sie eine Website, die Ihre öffentliche IP-Adresse anzeigt (z.B. `whatismyip.com` oder `wieistmeineip.de`). Die angezeigte IP-Adresse sollte nun die Ihres VPN-Anbieters sein und nicht Ihre ursprüngliche öffentliche IP-Adresse.
3. **DNS-Leak-Test**: Besuchen Sie eine Website wie `dnsleaktest.com`. Dieser Test zeigt Ihnen, welche DNS-Server Ihre Anfragen bearbeiten. Im Idealfall sollten hier nur die DNS-Server Ihres VPN-Anbieters (oder die von Ihnen bewusst gewählten) angezeigt werden und keine Server Ihres ursprünglichen ISPs.
4. **IPv6-Test**: Wenn Sie IPv6 ebenfalls durch den Tunnel leiten (`::/0` in `AllowedIPs`), überprüfen Sie auch die IPv6-Adresse auf entsprechenden Testseiten.
### Erweiterte Überlegungen und Best Practices
* **Kill Switch-Funktionalität**: Die Fritzbox agiert bei dieser Konfiguration implizit als Kill Switch. Wenn die WireGuard-Verbindung zum VPN-Anbieter unterbrochen wird und `0.0.0.0/0` als `AllowedIPs` konfiguriert ist, kann der Traffic nicht mehr über das normale Internet geroutet werden. Das bedeutet, dass der Internetzugriff für alle Geräte, die über die Fritzbox verbunden sind, unterbrochen wird, bis die VPN-Verbindung wiederhergestellt ist. Dies verhindert, dass Ihr Traffic unverschlüsselt ins Internet gelangt.
* **Performance**: WireGuard ist für seine Geschwindigkeit bekannt. Dennoch kann die VPN-Verbindung zu Ihrem Anbieter die maximale Internetgeschwindigkeit etwas reduzieren, abhängig von der Leistung der Fritzbox, der Auslastung des VPN-Servers und der Qualität Ihrer Internetverbindung. Die Fritzbox-Modelle variieren hier in ihrer VPN-Durchsatzleistung.
* **Routing für spezifische Geräte**: Standardmäßig leitet die Fritzbox bei einem `0.0.0.0/0` Eintrag *allen* Traffic durch den VPN-Tunnel. Möchten Sie nur bestimmte Geräte über den VPN-Tunnel leiten und andere direkt ins Internet lassen, ist dies mit der AVM-Firmware nur eingeschränkt möglich. Hier müssten Sie eine komplexere Router-Lösung oder spezielle Firmware (z.B. OpenWrt auf einem anderen Router) in Betracht ziehen. Für die meisten Heimnutzer ist der „alles oder nichts”-Ansatz über die Fritzbox aber ausreichend.
* **Updates der VPN-Konfiguration**: Gelegentlich ändern VPN-Anbieter ihre Server-IPs, Keys oder Ports. Behalten Sie die Informationen Ihres Anbieters im Auge und aktualisieren Sie bei Bedarf die Konfiguration in Ihrer Fritzbox.
* **IPv6**: Stellen Sie sicher, dass Ihr VPN-Anbieter WireGuard über IPv6 unterstützt, wenn Sie auch IPv6-Traffic durch den Tunnel leiten möchten. Die korrekte Konfiguration von `::/0` in den `AllowedIPs` ist hierfür notwendig. Einige Anbieter routen IPv6-Traffic (noch) nicht oder nur über separate Tunnel.
* **Fritzbox als WireGuard-Server**: Beachten Sie, dass diese Anleitung die Fritzbox als *Client* konfiguriert. Die Fritzbox kann auch als *WireGuard-Server* fungieren, um von unterwegs sicher auf Ihr Heimnetzwerk zuzugreifen – diese Funktionen sind jedoch getrennt voneinander und haben unterschiedliche Anwendungsfälle.
### Fazit: Eine Investition in Sicherheit und Flexibilität
Die dauerhafte Einbindung Ihres VPN-Anbieters via WireGuard in Ihre Fritzbox ist eine hervorragende Möglichkeit, Ihr gesamtes Heimnetzwerk mit einem starken Schutzschild zu versehen. Für Profis, die Wert auf Privatsphäre, Sicherheit und die Freiheit legen, geografische Beschränkungen zu umgehen, bietet diese Konfiguration eine robuste, effiziente und wartungsarme Lösung.
Mit den detaillierten Schritten und Erklärungen in dieser Anleitung sind Sie bestens gerüstet, um diese fortschrittliche Netzwerkkonfiguration in Ihrem Zuhause zu implementieren. Genießen Sie die Vorteile eines stets aktiven, sicheren und freien Internets für alle Ihre Geräte!