Stellen Sie sich vor: Sie sind unterwegs, weit weg von zu Hause, und möchten dringend auf Ihre Daten zugreifen – sei es die Fotosammlung auf Ihrem NAS, die Überwachungskamera im Garten oder einfach nur, um eine Datei von Ihrem lokalen Server abzurufen. Der Gedanke an eine **VPN-Verbindung** beruhigt Sie, denn mit Ihrer **Fritzbox 7590** und **Wireguard** haben Sie doch alles bestens eingerichtet. Doch dann der Schock: Die VPN-Verbindung steht zwar, aber Ihr **lokales Netzwerk** bleibt unerreichbar. Kein Ping geht durch, keine Freigabe lässt sich öffnen. Frustrierend, nicht wahr?
Dieses Szenario ist leider keine Seltenheit und kann selbst erfahrene Nutzer in den Wahnsinn treiben. Die gute Nachricht: Meistens steckt dahinter kein komplexer Fehler, sondern eine kleine, aber entscheidende Konfigurationseinstellung. In diesem umfassenden Artikel tauchen wir tief in das Problem ein, erklären die Ursachen und präsentieren Ihnen die detaillierte **Lösung**, damit Sie Ihren **Fernzugriff** wieder uneingeschränkt genießen können.
Warum Wireguard? Eine kurze Einführung in die Vorteile
Bevor wir uns dem Problem widmen, lassen Sie uns kurz rekapitulieren, warum sich **Wireguard** als VPN-Protokoll so großer Beliebtheit erfreut, insbesondere in Kombination mit einer **Fritzbox 7590**. Im Vergleich zu älteren Protokollen wie OpenVPN oder IPsec punktet Wireguard mit:
- Geschwindigkeit: Durch seinen schlanken Code und die moderne Kryptographie ist Wireguard extrem performant und bietet oft deutlich höhere Durchsatzraten.
- Einfachheit: Die Konfiguration ist minimalistisch und leicht verständlich, was die Einrichtung erheblich vereinfacht.
- Sicherheit: Es setzt auf bewährte, moderne kryptographische Algorithmen.
- Integration in FRITZ!OS: AVM hat Wireguard ab FRITZ!OS 7.50 hervorragend in seine Benutzeroberfläche integriert, was die Erstellung von VPN-Verbindungen zum Kinderspiel macht.
Diese Vorteile machen Wireguard zur idealen Wahl für den **Fernzugriff** auf Ihr Heimnetzwerk. Doch selbst die beste Technologie kann ihre Tücken haben, wenn eine Kleinigkeit in der Konfiguration nicht stimmt.
Das Problem verstehen: Symptome und Ursache
Das typische Fehlerbild ist klar: Ihr **Wireguard-Client** (egal ob auf Smartphone, Laptop oder Tablet) zeigt eine erfolgreiche Verbindung an. Sie sehen das kleine VPN-Symbol, und vielleicht können Sie sogar öffentliche Webseiten über die VPN-Verbindung erreichen (wenn Sie diese Option in der Fritzbox aktiviert haben, um den gesamten Traffic umzuleiten). Aber der Zugriff auf interne Ressourcen wie zum Beispiel:
- Ihre Netzwerklaufwerke (NAS, Server)
- Smart-Home-Geräte, die nur im lokalen Netz erreichbar sind
- Ihr Drucker
- Die Weboberfläche der Fritzbox selbst (unter 192.168.178.1)
…schlägt fehl. Ein `ping 192.168.178.1` (oder die IP-Adresse eines anderen Geräts in Ihrem **Heimnetz**) liefert eine Zeitüberschreitung. Was ist da los?
Die Ursache liegt in der Regel im **Routing** und in der Art und Weise, wie Ihr Wireguard-Client angewiesen wird, welche IP-Adressen er über den VPN-Tunnel erreichen soll. Der entscheidende Parameter hierfür ist `AllowedIPs` in Ihrer Client-Konfigurationsdatei. Wenn diese Einstellung nicht korrekt ist, weiß Ihr Client zwar, dass er eine Verbindung zum VPN-Server (Ihrer Fritzbox) hat, er weiß aber nicht, dass er *Ihren gesamten lokalen IP-Bereich* über diesen Tunnel erreichen soll.
Man könnte es sich wie eine Autobahn vorstellen: Sie fahren auf die Autobahn (VPN-Verbindung), aber Ihr Navigationsgerät (die `AllowedIPs`-Einstellung) sagt Ihnen nur, dass Sie bis zur nächsten Raststätte fahren sollen (Ihre eigene Wireguard-Client-IP innerhalb des Tunnels), nicht aber, dass Sie von dort aus auch die Stadt erreichen können (Ihr **lokales Netzwerk**). Das Resultat: Sie sind verbunden, aber am Ziel kommen Sie nicht an.
Standard-Einrichtung vs. Problemfall: Was lief schief?
Die Einrichtung einer Wireguard-Verbindung über die **Fritzbox 7590** ist in der Regel denkbar einfach. Sie gehen im **Fritz!OS**-Menü zu „Internet” -> „Freigaben” -> „VPN (WireGuard)”, erstellen eine neue Verbindung, geben dem Client einen Namen, und die Fritzbox generiert eine Konfigurationsdatei oder einen QR-Code. Diese Datei oder der Code enthält alle notwendigen Informationen, die Ihr Wireguard-Client benötigt, um eine Verbindung aufzubauen. Normalerweise beinhaltet diese generierte Konfiguration bereits alles Notwendige, um auf das **lokale Netzwerk** zuzugreifen.
Wo kann es dann schiefgehen? Häufige Szenarien für das Problem sind:
- Manuelle Bearbeitung der Konfigurationsdatei: Einige Nutzer bearbeiten die heruntergeladene `.conf`-Datei, um bestimmte Einstellungen anzupassen. Dabei kann es vorkommen, dass die entscheidende Zeile für den Zugriff auf das lokale Netzwerk versehentlich gelöscht oder falsch modifiziert wird.
- Ältere FRITZ!OS-Versionen oder Clients: In sehr frühen Implementierungen oder bei bestimmten Konstellationen war die automatische Generierung der `AllowedIPs` nicht immer optimal oder es gab Missverständnisse bei der Interpretation durch verschiedene Clients.
- Generische Wireguard-Clients: Wenn Sie die Konfiguration nicht über den QR-Code oder die AVM-App importieren, sondern manuell in einem generischen Wireguard-Client eingeben, kann es zu Fehlern beim Übertragen kommen.
- Verwechslung mit „Gesamten Netzwerkverkehr leiten”: Die Fritzbox bietet die Option, den gesamten Netzwerkverkehr über die VPN-Verbindung zu leiten (`0.0.0.0/0`). Ist diese Option nicht aktiviert, müssen Sie manuell sicherstellen, dass Ihr lokales Netz explizit in `AllowedIPs` aufgeführt ist. Wenn diese Option aber aktiviert ist und es *trotzdem* nicht funktioniert, liegt es oft an DNS-Problemen oder einer missverstandenen internen Routentabelle auf dem Client. Der primäre Fall für „lokales Netzwerk nicht erreichbar” ist jedoch die fehlende Route für das lokale Netz.
Die Lösung im Detail: Der entscheidende „AllowedIPs”-Parameter
Die Wurzel des Übels und gleichzeitig die **Lösung** liegt im Abschnitt `[Peer]` Ihrer Wireguard-Client-Konfigurationsdatei (`.conf`). Dort finden Sie eine Zeile namens `AllowedIPs`. Diese Zeile weist Ihren Wireguard-Client an, welche IP-Bereiche über den VPN-Tunnel geleitet werden sollen. Wenn Ihr **lokales Netzwerk** hier nicht aufgeführt ist, wird der Client es einfach ignorieren und versuchen, diese Adressen über seine normale Internetverbindung zu erreichen – was natürlich nicht funktionieren kann, da es sich um private IP-Adressen handelt.
Die korrekte Einstellung von `AllowedIPs`
Die `AllowedIPs`-Zeile sollte mindestens zwei Einträge enthalten:
- Die IP-Adresse, die Ihre Fritzbox Ihrem Wireguard-Client innerhalb des VPN-Tunnels zugewiesen hat (oft aus dem Bereich 192.168.200.x, wenn die Fritzbox nicht manuell anders konfiguriert wurde). Dieser Eintrag ist in der Regel eine spezifische Adresse mit `/32` als Subnetzmaske, z.B. `192.168.200.2/32`. Dies stellt sicher, dass der Client überhaupt mit dem VPN-Server kommunizieren kann.
- **Der entscheidende Eintrag:** Der gesamte IP-Bereich Ihres **lokalen Netzwerks**. Bei einer standardmäßig konfigurierten Fritzbox ist das in der Regel `192.168.178.0/24`. Das `/24` ist hierbei extrem wichtig, da es dem Client mitteilt, dass *alle* IP-Adressen von `192.168.178.1` bis `192.168.178.254` über den VPN-Tunnel erreichbar sind.
Eine korrekte `AllowedIPs`-Zeile für den Zugriff auf das lokale Fritzbox-Netzwerk sieht also typischerweise so aus:
AllowedIPs = 192.168.200.2/32, 192.168.178.0/24
Ersetzen Sie `192.168.200.2/32` durch die tatsächliche Tunnel-IP-Adresse, die Ihre Fritzbox Ihrem Client zugewiesen hat (diese finden Sie in der von der Fritzbox generierten Konfigurationsdatei oder in der VPN-Übersicht im **Fritz!OS**). Wenn Ihr **lokales Netzwerk** einen anderen IP-Bereich verwendet (z.B. `192.168.1.0/24`), passen Sie den zweiten Teil entsprechend an. Den IP-Bereich Ihres Heimnetzes finden Sie in der Fritzbox unter „Heimnetz” -> „Netzwerk” -> „Netzwerkeinstellungen” -> „IPv4-Einstellungen” (dort steht „Lokale Adresse” und „Subnetzmaske”).
Was, wenn ich den gesamten Verkehr über VPN leiten möchte?
Wenn Sie in der Fritzbox die Option „Gesamten Netzwerkverkehr über die VPN-Verbindung leiten” aktiviert haben, dann sollte `AllowedIPs` in Ihrer Client-Konfiguration auf `0.0.0.0/0` gesetzt sein. Dies bedeutet, dass *jeder* ausgehende Datenverkehr Ihres Clients durch den VPN-Tunnel geleitet wird. In diesem Fall müsste auch das lokale Netzwerk erreichbar sein. Wenn es das nicht ist, sollten Sie prüfen, ob die `DNS`-Einstellung in Ihrer Client-Konfiguration auf die IP-Adresse Ihrer Fritzbox (z.B. `192.168.178.1`) gesetzt ist, damit lokale Hostnamen korrekt aufgelöst werden können.
Schritt-für-Schritt-Anleitung zur Korrektur
Je nachdem, wie Sie Ihre Wireguard-Verbindung eingerichtet haben und welche **FRITZ!OS**-Version Sie nutzen, gibt es verschiedene Wege zur Anpassung:
Fall 1: Neuere FRITZ!OS-Versionen (ab 7.50/7.80) – Konfiguration in der Fritzbox prüfen und neu exportieren
In den neueren Versionen von **FRITZ!OS** ist die Wireguard-Integration so weit fortgeschritten, dass die Fritzbox die korrekte `AllowedIPs`-Einstellung automatisch generiert. Wenn Sie dieses Problem haben, sollten Sie zunächst eine neue Konfigurationsdatei exportieren:
- Melden Sie sich an Ihrer **Fritzbox 7590** an.
- Navigieren Sie zu „Internet” -> „Freigaben” -> „VPN (WireGuard)”.
- Finden Sie die entsprechende Wireguard-Verbindung, die Sie für Ihren Client eingerichtet haben.
- Klicken Sie auf den „Bearbeiten”-Stift.
- Überprüfen Sie, ob Sie die Option „Gesamten Netzwerkverkehr über die VPN-Verbindung leiten” aktiviert haben, wenn Sie dies wünschen. Wenn nicht, stellen Sie sicher, dass in der generierten Konfiguration der lokale IP-Bereich enthalten ist.
- Löschen Sie die alte VPN-Verbindung für diesen Client (oder erstellen Sie eine neue, um sicherzugehen) und legen Sie sie neu an.
- Laden Sie die Konfigurationsdatei für Ihren Client neu herunter oder scannen Sie den QR-Code erneut.
- Importieren Sie die neue Konfiguration in Ihren Wireguard-Client und testen Sie die Verbindung. Dies ist der sicherste Weg, um eine korrekte, von der Fritzbox generierte Konfiguration zu erhalten.
Fall 2: Manuelle Anpassung der Client-Konfigurationsdatei (.conf)
Wenn Sie die Konfiguration nicht neu exportieren können oder möchten, können Sie die Konfigurationsdatei direkt bearbeiten:
- Suchen Sie die Konfigurationsdatei: Finden Sie die `.conf`-Datei Ihres Wireguard-Clients auf dem entsprechenden Gerät. Unter Windows befindet sich diese meist im Wireguard-App-Ordner, unter Linux in `/etc/wireguard/`, auf macOS in der Wireguard-App. Auf Mobilgeräten müssen Sie die Konfiguration in der Wireguard-App bearbeiten (manchmal geht das nur, indem man die Verbindung löscht und manuell eine neue hinzufügt, um dann die Optionen zu bearbeiten).
- Öffnen Sie die Datei: Öffnen Sie die `.conf`-Datei mit einem einfachen Texteditor (Notepad, VS Code, Nano, etc.).
- Suchen Sie den `[Peer]`-Abschnitt: Innerhalb dieses Abschnitts finden Sie die Zeile `AllowedIPs`.
- Passen Sie `AllowedIPs` an:
- Wenn die Zeile nur `AllowedIPs = 192.168.200.X/32` enthält (wobei X die IP Ihres Clients im Tunnel ist), fügen Sie den IP-Bereich Ihres lokalen Netzwerks hinzu:
AllowedIPs = 192.168.200.X/32, 192.168.178.0/24 - Wenn die Zeile `AllowedIPs = 0.0.0.0/0` enthält und es trotzdem nicht funktioniert, prüfen Sie, ob die `DNS`-Zeile auf die IP Ihrer Fritzbox (z.B. `DNS = 192.168.178.1`) zeigt.
- Stellen Sie sicher, dass das Komma zwischen den IP-Bereichen vorhanden ist und keine Leerzeichen um das Komma herum sind.
- Wenn die Zeile nur `AllowedIPs = 192.168.200.X/32` enthält (wobei X die IP Ihres Clients im Tunnel ist), fügen Sie den IP-Bereich Ihres lokalen Netzwerks hinzu:
- Speichern Sie die Datei: Speichern Sie die Änderungen.
- Wireguard-Verbindung neu starten: Deaktivieren Sie die Wireguard-Verbindung in Ihrem Client und aktivieren Sie sie anschließend wieder, damit die neuen Einstellungen übernommen werden.
Nach diesen Schritten sollte Ihr **lokales Netzwerk** über die Wireguard-Verbindung wieder vollständig erreichbar sein. Führen Sie einen Ping-Test zu Ihrer Fritzbox-IP (192.168.178.1) durch und versuchen Sie, auf ein Netzlaufwerk zuzugreifen.
Häufige Fehler und zusätzliche Tipps
Auch wenn die `AllowedIPs`-Einstellung der häufigste Übeltäter ist, gibt es noch ein paar weitere Punkte, die Sie überprüfen können, falls die **Lösung** nicht sofort greift:
- DNS-Server-Einstellungen: Stellen Sie sicher, dass Ihr Wireguard-Client die IP-Adresse Ihrer **Fritzbox** (z.B. `192.168.178.1`) als DNS-Server verwendet. Dies ist besonders wichtig, wenn Sie interne Hostnamen anstelle von IP-Adressen verwenden möchten (z.B. `fritz.nas` statt `192.168.178.20`). Fügen Sie gegebenenfalls die Zeile `DNS = 192.168.178.1` in den `[Interface]`-Abschnitt Ihrer Client-Konfiguration ein.
- IP-Adresskollisionen: Obwohl die **Fritzbox 7590** dies normalerweise gut handhabt, stellen Sie sicher, dass der IP-Bereich, den Wireguard für seine Tunnel-Clients verwendet (standardmäßig 192.168.200.0/24), nicht mit einem anderen Netzwerk in Konflikt steht, mit dem Ihr Client direkt verbunden ist. Dies ist aber selten die Ursache für das geschilderte Problem.
- FRITZ!OS-Update: Halten Sie Ihre **Fritzbox** immer auf dem neuesten Stand. AVM verbessert kontinuierlich die Funktionalität und behebt potenzielle Fehler. Ein Update auf die aktuellste **FRITZ!OS**-Version kann Wunder wirken.
- Firewall auf dem Client: Überprüfen Sie, ob eine lokale Firewall auf Ihrem Client-Gerät (z.B. Windows Firewall, macOS Firewall, Security-App auf dem Smartphone) den Zugriff auf lokale IP-Adressen blockiert, wenn die VPN-Verbindung aktiv ist. Dies ist eher unwahrscheinlich, aber eine Möglichkeit.
- Doppelter VPN-Tunnel: Vermeiden Sie die gleichzeitige Nutzung von zwei VPN-Verbindungen (z.B. eine andere VPN-Software parallel zu Wireguard), da dies zu komplexen Routing-Problemen führen kann.
Fazit
Das Phänomen, dass Ihr **lokales Netzwerk** über eine **Wireguard**-VPN-Verbindung zu Ihrer **Fritzbox 7590** unerreichbar ist, gehört zu den frustrierendsten, aber auch zu den am einfachsten zu behebenden Problemen. Die **Lösung** liegt fast immer in der korrekten Konfiguration des `AllowedIPs`-Parameters in Ihrer Wireguard-Client-Konfigurationsdatei, der sicherstellt, dass der Datenverkehr für Ihr **Heimnetz** auch wirklich durch den VPN-Tunnel geleitet wird.
Mit den hier gezeigten Schritten sollten Sie in der Lage sein, dieses Problem schnell und eigenständig zu beheben und den vollen Funktionsumfang Ihres **Fernzugriffs** auf Ihr **lokales Netzwerk** wiederherzustellen. Genießen Sie die Freiheit, von überall auf Ihre Daten und Geräte zugreifen zu können – dank der leistungsstarken Kombination aus **Fritzbox 7590** und **Wireguard**.