Schritt-für-Schritt-Anleitung: **Wireguard** auf einer **Unifi DreamMachine** hinter einer **Fritz.Box 7530** erfolgreich einrichten

In der heutigen digitalen Welt ist der sichere Zugriff auf das eigene Heimnetzwerk von unterwegs unerlässlich. Ob Sie auf Ihre NAS-Daten zugreifen, Smart-Home-Geräte steuern oder einfach nur sicher im Internet surfen möchten – ein VPN (Virtual Private Network) ist die Lösung. Unter den verschiedenen VPN-Protokollen hat sich Wireguard in den letzten Jahren als eine der schnellsten, sichersten und modernsten Optionen etabliert. Es ist schlank, effizient und dabei kinderleicht einzurichten – zumindest, wenn man weiß, wie.

In diesem umfassenden Artikel führen wir Sie Schritt für Schritt durch den Prozess, Wireguard erfolgreich auf Ihrer Unifi DreamMachine (UDM) einzurichten, die hinter einer beliebten Fritz.Box 7530 als primärem Router operiert. Dieses Setup ist in vielen deutschen Haushalten weit verbreitet und bietet eine hervorragende Basis für einen robusten Fernzugriff. Wir machen es Ihnen so einfach wie möglich, damit Sie schon bald von überall sicher auf Ihr Zuhause zugreifen können.

Warum Wireguard, UDM und Fritz.Box 7530?

• Wireguard: Bekannt für seine Einfachheit, hohe Geschwindigkeit und moderne Kryptographie. Es ist wesentlich performanter als ältere Protokolle wie OpenVPN.
• Unifi DreamMachine (UDM): Eine leistungsstarke All-in-One-Lösung von Ubiquiti, die Router, Switch und Access Point (und Controller) in einem Gerät vereint. Sie bietet eine intuitive Benutzeroberfläche und native Wireguard-Unterstützung.
• Fritz.Box 7530: Ein weit verbreiteter, zuverlässiger Router, der meistens die DSL- oder Glasfaserverbindung herstellt und die öffentliche IP-Adresse verwaltet. Sie ist für ihre Benutzerfreundlichkeit bekannt, erfordert aber für VPN-Setups eine spezifische Konfiguration.

Die größte Herausforderung in diesem Szenario ist die korrekte Zusammenarbeit der Fritz.Box, die die Internetverbindung und die externe IP-Adresse handhabt, mit der UDM, die den Wireguard-Server hostet. Aber keine Sorge, wir nehmen Sie an die Hand!

Voraussetzungen schaffen: Was Sie benötigen

Bevor wir loslegen, stellen Sie sicher, dass Sie die folgenden Punkte erfüllen:

1. Admin-Zugriff: Sie benötigen Administratorzugang zu Ihrer Fritz.Box 7530 und Ihrer Unifi DreamMachine.
2. Aktuelle Firmware: Stellen Sie sicher, dass beide Geräte mit der neuesten stabilen Firmware laufen. Dies gewährleistet die besten Funktionen und die höchste Sicherheit.
3. Grundlagen des Netzwerks: Ein grundlegendes Verständnis von IP-Adressen, Subnetzen und Ports ist hilfreich, aber wir erklären die wichtigsten Konzepte.
4. Statische IP-Adresse für die UDM: Ihre UDM sollte eine feste (statische) IP-Adresse innerhalb des lokalen Netzwerks Ihrer Fritz.Box haben. Dies ist entscheidend für die Portweiterleitung.
5. DynDNS oder MyFRITZ! (optional, aber empfohlen): Falls Ihr Internetanbieter Ihnen keine feste öffentliche IP-Adresse zuweist (was bei den meisten Privathaushalten der Fall ist), benötigen Sie einen Dienst wie MyFRITZ! (kostenlos über AVM) oder einen externen DynDNS-Anbieter.

Schritt 1: Vorbereitung der Fritz.Box 7530

Die Fritz.Box ist Ihr Tor zum Internet. Sie muss den eingehenden Wireguard-Verkehr an die UDM weiterleiten. Dies geschieht über eine Portfreigabe.

1.1 Statische IP-Adresse für die UDM festlegen

Es ist essenziell, dass Ihre UDM immer dieselbe lokale IP-Adresse im Netzwerk der Fritz.Box hat. So weiß die Fritz.Box, wohin sie den Wireguard-Verkehr leiten muss.

1. Melden Sie sich im Webinterface Ihrer Fritz.Box an (meist über fritz.box oder 192.168.178.1 im Browser).
2. Navigieren Sie zu Heimnetz > Netzwerk > Netzwerkverbindungen.
3. Suchen Sie Ihre Unifi DreamMachine in der Liste der verbundenen Geräte.
4. Klicken Sie auf das Bearbeiten-Symbol (Stift) neben der UDM.
5. Aktivieren Sie die Option „Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen”.
6. Bestätigen Sie mit „OK”. Merken Sie sich diese IP-Adresse (z.B. 192.168.178.20), sie ist wichtig für den nächsten Schritt.

1.2 Portfreigabe für Wireguard einrichten

Jetzt teilen wir der Fritz.Box mit, dass sie bestimmte Anfragen aus dem Internet an die UDM weiterleiten soll.

1. In der Fritz.Box navigieren Sie zu Internet > Freigaben > Portfreigaben.
2. Klicken Sie auf „Gerät für Freigaben hinzufügen”.
3. Wählen Sie Ihre Unifi DreamMachine aus der Liste der Netzwerkgeräte aus.
4. Klicken Sie auf „Neue Freigabe”.
5. Wählen Sie unter „Anwendung” die Option „Andere Anwendung”.
6. Geben Sie folgende Daten ein:
   • Bezeichnung: Wireguard UDM (oder ähnlich)
   • Protokoll: UDP (Wireguard verwendet UDP!)
   • Port extern: 51820 (Standard-Port für Wireguard, kann bei Bedarf geändert werden)
   • Port intern: 51820
7. Stellen Sie sicher, dass die „an Gerät” IP-Adresse der statischen IP Ihrer UDM entspricht, die Sie zuvor festgelegt haben (z.B. 192.168.178.20).
8. Bestätigen Sie mit „OK” und dann erneut mit „OK”.

Wichtig: Wenn Sie den Standard-Port 51820 ändern möchten, müssen Sie dies sowohl in der Fritz.Box als auch später in der UDM-Konfiguration tun.

1.3 MyFRITZ! oder DynDNS einrichten (falls erforderlich)

Wenn Ihre öffentliche IP-Adresse wechselt, müssen Sie diese dem Wireguard-Client mitteilen können. Dienste wie MyFRITZ! oder DynDNS lösen dieses Problem.

1. MyFRITZ! (empfohlen für Fritz.Box-Nutzer):
   • In der Fritz.Box navigieren Sie zu Internet > MyFRITZ!-Konto.
   • Richten Sie dort ein MyFRITZ!-Konto ein und aktivieren Sie es. Die Fritz.Box aktualisiert dann automatisch Ihre Adresse bei AVM, und Sie erhalten eine feste MyFRITZ!-Adresse (z.B. ihrname.myfritz.net), die Sie später für den VPN-Client verwenden können.
2. DynDNS-Anbieter:
   • Alternativ können Sie einen externen DynDNS-Dienst (z.B. No-IP, Dynu) unter Internet > Freigaben > Dynamic DNS konfigurieren.

Schritt 2: Wireguard auf der Unifi DreamMachine konfigurieren

Die UDM macht die Einrichtung des Wireguard-Servers erfreulich einfach über ihre grafische Benutzeroberfläche.

2.1 Navigieren zur Wireguard-Konfiguration

1. Melden Sie sich im Webinterface Ihrer Unifi DreamMachine an (meist über unifi/ oder die IP-Adresse der UDM im LAN, z.B. 192.168.1.1).
2. Gehen Sie zu UniFi OS > Network.
3. Im linken Menü navigieren Sie zu VPN.
4. Wechseln Sie zum Reiter VPN Server.
5. Klicken Sie auf Wireguard.

2.2 Neuen Wireguard VPN-Server erstellen

1. Klicken Sie auf Create New.
2. Geben Sie die folgenden Details ein:
   • Name: MyHomeWireguard (oder ein Name Ihrer Wahl)
   • Interface: Wählen Sie hier Ihr WAN-Interface aus (z.B. WAN oder WAN2, je nachdem, wo die Fritz.Box angeschlossen ist).
   • Port: 51820. Stellen Sie sicher, dass dieser Port mit dem in der Fritz.Box freigegebenen Port übereinstimmt.
   • IP Address/Range: Dies ist der Adressbereich für Ihre VPN-Clients im Wireguard-Tunnel. Es ist SEHR wichtig, dass dieser Bereich nicht mit dem Netzwerk der Fritz.Box (z.B. 192.168.178.0/24) oder dem LAN-Netzwerk Ihrer UDM (z.B. 192.168.1.0/24) kollidiert. Ein guter Vorschlag ist 10.255.255.1/24. Dies weist dem Wireguard-Server die IP 10.255.255.1 zu und ermöglicht Clients IP-Adressen von 10.255.255.2 bis 10.255.255.254.
   • DNS Server: Hier können Sie den DNS-Server angeben, den Ihre VPN-Clients nutzen sollen. Empfehlenswert ist die IP-Adresse der UDM selbst (damit clients auch lokale Namen auflösen können) oder ein Pi-hole, falls vorhanden. Alternativ können Sie öffentliche DNS-Server wie Google (8.8.8.8, 8.8.4.4) oder Cloudflare (1.1.1.1, 1.0.0.1) verwenden.
3. Klicken Sie auf Add VPN Server.

2.3 Ersten Wireguard Client erstellen

Nachdem der Server erstellt ist, müssen Sie einen Client hinzufügen, um eine Konfigurationsdatei zu erhalten.

1. Unter dem neu erstellten Wireguard-Server, klicken Sie auf Add Client.
2. Geben Sie die folgenden Details ein:
   • Name: MeinSmartphone (oder der Name des Geräts, das Sie verbinden möchten).
   • IP Address: Wählen Sie eine freie IP-Adresse aus dem zuvor definierten Wireguard-IP-Bereich (z.B. 10.255.255.2 für den ersten Client).
   • Remote Networks: Hier geben Sie an, welche Netzwerke der Client über das VPN erreichen darf.
     • Für den Zugriff auf Ihr gesamtes Heimnetzwerk tragen Sie das Subnetz Ihres UDM-LANs ein (z.B. 192.168.1.0/24). Wenn Sie mehrere VLANs haben, fügen Sie diese ebenfalls hinzu.
     • Wenn Sie den sogenannten „Full Tunnel” wünschen, bei dem der gesamte Internetverkehr des Clients durch Ihr Heimnetz geleitet wird (gut für Sicherheit und Umgehen von Geoblocking), müssen Sie diesen Wert später im Client auf 0.0.0.0/0 ändern (siehe Schritt 4). Die UDM erlaubt hier oft nicht die direkte Eingabe von 0.0.0.0/0.
   • Klicken Sie auf Add Client.

Die UDM generiert nun automatisch ein Schlüsselpaar für den Client und erstellt eine Konfigurationsdatei. Sie können die Konfiguration herunterladen oder einen QR-Code anzeigen lassen.

Schritt 3: Firewall-Regeln auf der Unifi DreamMachine (Überprüfung)

Normalerweise erstellt die UDM bei der Konfiguration eines VPN-Servers die notwendigen Firewall-Regeln automatisch. Dennoch ist es gut zu wissen, wo Sie im Zweifelsfall nachsehen können.

1. Navigieren Sie in der UDM zu Settings > Firewall & Security > Firewall Rules.
2. Überprüfen Sie, ob unter der Kategorie „WAN Local” eine Regel existiert, die eingehenden UDP-Verkehr auf Port 51820 zulässt und an das Wireguard-Interface weiterleitet. Sie sollte automatisch als „Allow Wireguard UDP 51820” oder ähnlich benannt sein.
3. Unter „WAN In” oder „LAN In” (je nach genauer Konfiguration und ob Sie Zugriff auf das LAN aus dem Wireguard-Tunnel wünschen), sollte ebenfalls Traffic vom Wireguard-Interface (meist als wg0 oder ähnlich benannt) zu Ihren lokalen Netzwerken erlaubt sein. Auch dies sollte die UDM automatisch regeln.

Sollten Sie Probleme mit der Verbindung haben, lohnt sich ein Blick hierher. Aber in den meisten Fällen ist hier kein manueller Eingriff nötig.

Schritt 4: Wireguard Client einrichten

Jetzt bringen wir den Client dazu, sich mit Ihrem neuen Wireguard-Server zu verbinden.

1. Wireguard App installieren: Laden Sie die offizielle Wireguard-App für Ihr jeweiliges Gerät herunter (verfügbar für Windows, macOS, Linux, iOS, Android).
2. Konfiguration importieren:
   • QR-Code: Wenn Sie die mobile App nutzen, scannen Sie den in der UDM angezeigten QR-Code. Dies ist der einfachste Weg.
   • Datei importieren: Für Desktop-Clients laden Sie die Konfigurationsdatei (.conf-Datei) von der UDM herunter und importieren sie in die Wireguard-App.
   • Manuelle Eingabe: Wenn Sie die Konfiguration manuell eingeben möchten, finden Sie alle erforderlichen Informationen im heruntergeladenen Konfigurationsfile oder in der UDM-Oberfläche unter den Client-Details.
3. Wichtige Anpassung im Client (falls gewünscht):
   • In der Client-Konfiguration finden Sie einen Abschnitt [Peer] und darin die Zeile AllowedIPs. Die UDM setzt dies standardmäßig auf die LAN-Netzwerke Ihres Heimnetzes (z.B. 192.168.1.0/24).
   • Wenn Sie einen Full Tunnel möchten, bei dem der gesamte Internetverkehr über Ihr Heimnetz geleitet wird, ändern Sie diese Zeile auf AllowedIPs = 0.0.0.0/0. Wenn Sie mehrere Subnetze in Ihrem Heimnetz haben und diese ebenfalls über den Tunnel erreichen wollen, fügen Sie sie durch Kommas getrennt hinzu (z.B. 192.168.1.0/24, 192.168.2.0/24).
   • Stellen Sie sicher, dass der Endpoint auf die MyFRITZ!-Adresse oder DynDNS-Adresse (oder die statische öffentliche IP, falls vorhanden) Ihrer Fritz.Box und den Port :51820 verweist (z.B. ihrname.myfritz.net:51820).
4. Verbindung testen: Aktivieren Sie die Wireguard-Verbindung in der App. Sie sollten nun eine erfolgreiche Verbindung sehen. Testen Sie den Zugriff auf lokale Ressourcen oder die öffentliche IP-Adresse (für Full Tunnel).

Fehlerbehebung und Best Practices

Häufige Probleme und Lösungen:

• Keine Verbindung möglich:
  • Portfreigabe in der Fritz.Box: Ist UDP 51820 (oder Ihr gewählter Port) wirklich auf die korrekte statische IP der UDM weitergeleitet?
  • Fritz.Box öffentliche IP / DynDNS: Ist der Endpunkt im Client korrekt? Hat sich Ihre öffentliche IP geändert und MyFRITZ!/DynDNS diese nicht aktualisiert?
  • UDM Firewall: Obwohl automatisch, prüfen Sie, ob eingehender Traffic auf UDP 51820 wirklich erlaubt ist.
  • IP-Kollisionen: Prüfen Sie, ob Ihr Wireguard-IP-Bereich (z.B. 10.255.255.0/24) mit dem Netzwerk, aus dem Sie sich verbinden (z.B. ein Café-WLAN 192.168.1.0/24) oder Ihrem Heimnetzwerk (Fritz.Box 192.168.178.0/24, UDM 192.168.1.0/24) kollidiert. Wenn ja, wählen Sie einen anderen Wireguard-IP-Bereich.
• Verbindung steht, aber kein Zugriff auf Heimnetz / Internet:
  • AllowedIPs im Client: Prüfen Sie, ob AllowedIPs im Client korrekt konfiguriert ist (192.168.1.0/24 für Heimnetz, 0.0.0.0/0 für Full Tunnel).
  • DNS-Server im Client: Stellen Sie sicher, dass ein funktionierender DNS-Server im Wireguard-Tunnel des Clients konfiguriert ist.
  • Routing auf der UDM: Prüfen Sie unter Settings > Routing, ob die UDM das Routing vom Wireguard-Interface zu Ihren lokalen Netzwerken (und ins Internet, falls Full Tunnel) korrekt handhabt. Dies sollte die UDM aber auch automatisch tun.

Best Practices:

• Sicherheit: Verwenden Sie für jeden Client ein eigenes Schlüsselpaar und löschen Sie Clients, die Sie nicht mehr benötigen. Aktualisieren Sie regelmäßig die Firmware Ihrer UDM und Fritz.Box.
• Leistung: Wireguard ist von Natur aus schnell. Sollten Sie Leistungsprobleme haben, liegt es meist an der Internetverbindung selbst (Upload-Geschwindigkeit).
• Monitoring: Überwachen Sie den VPN-Status in der UDM-Oberfläche, um zu sehen, welche Clients verbunden sind und wie viel Traffic fließt.
• Backups: Erstellen Sie regelmäßig Backups Ihrer UDM-Konfiguration.

Zusammenfassung und Fazit

Herzlichen Glückwunsch! Sie haben erfolgreich Wireguard auf Ihrer Unifi DreamMachine hinter einer Fritz.Box 7530 eingerichtet. Dies mag anfangs komplex erscheinen, aber mit dieser detaillierten Anleitung sollten Sie nun einen sicheren und blitzschnellen Zugang zu Ihrem Heimnetzwerk von jedem Ort der Welt haben.

Die Kombination aus der Benutzerfreundlichkeit der Fritz.Box, der Leistungsfähigkeit und der modernen VPN-Implementierung der UDM und der Effizienz von Wireguard bietet eine erstklassige Lösung für den Fernzugriff. Genießen Sie die Freiheit und Sicherheit, die Ihnen Ihr neues VPN-Setup bietet!

Sollten Sie auf Probleme stoßen, überprüfen Sie die Schritte sorgfältig. Oft sind es kleine Details wie ein falsch eingetragener Port oder eine vergessene statische IP, die den Unterschied machen. Viel Erfolg beim sicheren Surfen!