Herzlich willkommen zu dieser umfassenden Anleitung, die Ihnen Schritt für Schritt zeigt, wie Sie zwei **Fritzboxen erfolgreich über Wireguard verbinden**. Egal, ob Sie Ihr Home-Office mit dem Firmennetzwerk zu Hause verbinden möchten, zwei Standorte vernetzen oder einfach nur sicheren **Fernzugriff** auf Ihr Heimnetzwerk wünschen – Wireguard bietet eine moderne, schnelle und sichere Lösung. Mit der Integration von Wireguard ab **FRITZ!OS 7.50** hat AVM die Einrichtung zudem kinderleicht gemacht. Tauchen wir ein in die Welt der sicheren Netzwerkverbindungen!
Warum zwei Fritzboxen mit Wireguard verbinden? Die Vorteile auf einen Blick
Die Vernetzung zweier Netzwerke, die geografisch voneinander getrennt sind, wird oft als Standort-zu-Standort-VPN oder Netzwerkbrücke bezeichnet. Dies ist in vielen Szenarien äußerst nützlich:
* **Home-Office-Szenarien:** Greifen Sie von Ihrem Büro zu Hause sicher auf Server, NAS-Systeme oder Smart-Home-Geräte in Ihrem Primärnetzwerk zu.
* **Verbindung von Familiennetzwerken:** Verbinden Sie das Netzwerk bei Ihnen zu Hause mit dem Ihrer Eltern oder Kinder, um einfach Daten auszutauschen oder technischen Support zu leisten.
* **Filialanbindung für kleine Unternehmen:** Schaffen Sie eine sichere und kostengünstige Verbindung zwischen zwei kleinen Büros.
* **Sicherer Fernzugriff:** Anstatt einzelne Geräte per VPN zu verbinden, können Sie das gesamte entfernte Netzwerk in Ihr lokales Netzwerk integrieren.
Im Vergleich zu älteren VPN-Protokollen wie OpenVPN oder IPSec bietet **Wireguard** zahlreiche Vorteile:
* **Geschwindigkeit:** Wireguard ist extrem schlank und schnell, was zu einer hohen Durchsatzrate führt.
* **Sicherheit:** Es verwendet modernste kryptografische Verfahren und ist resistent gegen viele bekannte Angriffe.
* **Einfachheit:** Die Konfiguration ist im Vergleich zu anderen VPN-Lösungen deutlich weniger komplex, insbesondere auf der Fritzbox.
* **Stabilität:** Die Verbindung ist robust und unempfindlich gegenüber Netzwerkwechseln oder kurzen Unterbrechungen.
Voraussetzungen für die Wireguard-Verbindung
Bevor wir mit der eigentlichen Konfiguration beginnen, stellen Sie sicher, dass die folgenden Punkte erfüllt sind:
1. **Zwei Fritzboxen:** Sie benötigen zwei AVM **Fritzboxen**. Es spielt keine Rolle, ob es sich um identische Modelle handelt, solange beide die notwendige Firmware-Version unterstützen.
2. **FRITZ!OS 7.50 oder neuer:** Dies ist die **wichtigste Voraussetzung**! Wireguard wurde erst ab **FRITZ!OS 7.50** nativ in die Fritzbox integriert. Überprüfen Sie auf beiden Geräten unter „System > Update” die installierte Version und führen Sie gegebenenfalls ein Update durch.
3. **Einzigartige IP-Subnetze:** Ihre beiden lokalen Netzwerke dürfen **nicht dasselbe IP-Subnetz** verwenden. Dies ist der häufigste Fehler und eine absolute Grundvoraussetzung für jede Art von Netzwerkbrücke.
* **Beispiel:** Wenn Fritzbox A das Netz 192.168.178.0/24 (Standard bei vielen Fritzboxen) verwendet, dann muss Fritzbox B ein anderes Netz verwenden, z.B. 192.168.1.0/24 oder 192.168.10.0/24. Andernfalls wissen die Router nicht, wohin sie die Datenpakete senden sollen.
4. **Internetverbindung:** Beide Fritzboxen müssen eine aktive Internetverbindung haben.
5. **Öffentliche IP-Adresse oder DynDNS:** Mindestens eine der beiden Fritzboxen (die wir im Folgenden als „Server” bezeichnen) benötigt eine Möglichkeit, von außen erreichbar zu sein.
* Wenn Ihre Fritzbox eine **öffentliche, statische IP-Adresse** vom Provider erhält, ist das ideal.
* Alternativ können Sie einen **DynDNS-Dienst** (z.B. MyFRITZ!, No-IP, DynDNS) einrichten, um die dynamische IP-Adresse der Fritzbox unter einem festen Hostnamen erreichbar zu machen. MyFRITZ! ist hierfür die einfachste Option, da es direkt in der Fritzbox integriert ist.
Konzept verstehen: Client-Server-Modell für zwei Fritzboxen
Obwohl Wireguard ein Peer-to-Peer-Protokoll ist, vereinfacht es das Verständnis, wenn wir eine **Fritzbox als „Server”** und die andere als **”Client”** betrachten.
* **Fritzbox A (Server-Fritzbox):** Dies ist die Fritzbox, die von außen erreichbar sein muss (mittels öffentlicher IP oder **DynDNS**). Sie „lauscht” auf eingehende Wireguard-Verbindungen. Sie wird die Konfiguration generieren, die der Client später importiert.
* **Fritzbox B (Client-Fritzbox):** Dies ist die Fritzbox, die die Verbindung zur Server-Fritzbox aufbauen wird. Sie initiiert den Wireguard-Tunnel.
Schritt-für-Schritt-Anleitung: Zwei Fritzboxen über Wireguard verbinden
Wir gehen davon aus, dass Sie die Voraussetzungen geprüft haben. Im Folgenden nennen wir die Fritzbox mit der externen Erreichbarkeit „Fritzbox A” (Server) und die andere „Fritzbox B” (Client).
1. Vorbereitung auf beiden Fritzboxen
Bevor wir die Wireguard-Konfiguration starten, nehmen wir einige grundlegende Einstellungen vor:
1.1. Firmware-Update prüfen und durchführen
Melden Sie sich im Webinterface beider Fritzboxen an (Standard: http://fritz.box).
Navigieren Sie zu **”System” > „Update” > „Neues FRITZ!OS suchen”**.
Stellen Sie sicher, dass auf beiden Geräten **FRITZ!OS 7.50** oder höher installiert ist. Führen Sie gegebenenfalls ein Update durch und starten Sie die Fritzbox neu.
1.2. IP-Subnetze der Heimnetze überprüfen und anpassen
Dies ist, wie erwähnt, entscheidend.
Melden Sie sich bei **Fritzbox A** an. Navigieren Sie zu **”Heimnetz” > „Netzwerk” > „Netzwerkeinstellungen” > „IPv4-Adressen”**.
Merken Sie sich die IP-Adresse des Routers (z.B. 192.168.178.1) und das Subnetz (z.B. 192.168.178.0).
Melden Sie sich bei **Fritzbox B** an. Navigieren Sie ebenfalls zu **”Heimnetz” > „Netzwerk” > „Netzwerkeinstellungen” > „IPv4-Adressen”**.
**Wenn die Netze gleich sind (z.B. beide 192.168.178.0), müssen Sie eines davon ändern.**
Wählen Sie für **Fritzbox B** ein anderes Subnetz (z.B. 192.168.1.1 als Router-IP, was ein Subnetz von 192.168.1.0 ergibt). Speichern Sie die Einstellungen. Die Fritzbox startet neu, und alle Geräte im Netzwerk von Fritzbox B erhalten neue IP-Adressen aus dem neuen Bereich. Warten Sie, bis alle Geräte wieder online sind.
1.3. DynDNS/MyFRITZ!-Einrichtung für Fritzbox A (falls keine statische IP)
Wenn Fritzbox A keine feste öffentliche IP-Adresse hat, muss sie über einen **DynDNS-Dienst** erreichbar sein. MyFRITZ! ist die einfachste Option.
Melden Sie sich bei **Fritzbox A** an. Navigieren Sie zu **”Internet” > „MyFRITZ!-Konto”**.
Richten Sie hier Ihr MyFRITZ!-Konto ein oder prüfen Sie, ob es aktiv ist. Dies sorgt dafür, dass Ihre Fritzbox immer unter einem festen Hostnamen erreichbar ist (z.B. `ihrname.myfritz.net`). Merken Sie sich diesen Hostnamen.
Alternativ können Sie unter **”Internet” > „Zugangsdaten” > „DynDNS”** einen anderen DynDNS-Anbieter konfigurieren.
2. Konfiguration der Wireguard-Verbindung auf Fritzbox A (Server)
Nun richten wir die Wireguard-Verbindung auf der als Server agierenden Fritzbox ein.
1. **Navigieren Sie zu „Internet” > „Freigaben” > „VPN (Wireguard)”.**
2. Klicken Sie auf **”Wireguard-Verbindung hinzufügen”**.
3. Wählen Sie die Option **”Neue Verbindung”** und klicken Sie auf „Weiter”.
4. Wählen Sie **”Netzwerk koppeln (LAN-LAN-Kopplung)”**. Dies ist der Modus, um zwei Fritzbox-Netzwerke miteinander zu verbinden. Klicken Sie auf „Weiter”.
5. **Geben Sie der Verbindung einen Namen** (z.B. „Verbindung zu Fritzbox B”).
6. **Lokales Netzwerk der Gegenstelle:** Geben Sie hier das **IP-Subnetz von Fritzbox B** ein, also das gesamte Netzwerk, das über Wireguard erreichbar sein soll.
* **Beispiel:** Wenn Fritzbox B die IP 192.168.1.1 hat, geben Sie hier `192.168.1.0` mit der Subnetzmaske `255.255.255.0` (oder `/24`) ein.
7. **Wireguard-Zugang für dieses Netzwerk einrichten:**
* Die Fritzbox generiert automatisch ein **Schlüsselpaar** (Öffentlicher Schlüssel und Privater Schlüssel) und eine interne **Tunnel-IP-Adresse** für sich selbst (z.B. 10.255.1.1).
* **Wichtig:** Notieren Sie sich die **Tunnel-IP-Adresse** für Fritzbox A (z.B. `10.255.1.1`).
8. **Externe Adresse der Fritzbox:** Hier sollte Ihr MyFRITZ!-Hostname oder Ihre statische IP-Adresse stehen. Wenn Sie MyFRITZ! eingerichtet haben, wird es automatisch vorgeschlagen.
9. Klicken Sie auf **”Weiter”** und dann auf **”Übernehmen”**.
10. **Konfigurations-Download:** Die Fritzbox zeigt Ihnen nun einen **QR-Code** und die Möglichkeit, eine Konfigurationsdatei (`.conf`) herunterzuladen. **Lassen Sie dieses Fenster geöffnet** oder speichern Sie die Datei. Diese Informationen benötigen wir gleich für Fritzbox B.
3. Konfiguration der Wireguard-Verbindung auf Fritzbox B (Client)
Jetzt konfigurieren wir die Fritzbox, die sich mit der Server-Fritzbox verbinden soll.
1. **Melden Sie sich bei Fritzbox B an.**
2. **Navigieren Sie zu „Internet” > „Freigaben” > „VPN (Wireguard)”.**
3. Klicken Sie auf **”Wireguard-Verbindung hinzufügen”**.
4. Wählen Sie die Option **”Neue Verbindung”** und klicken Sie auf „Weiter”.
5. Wählen Sie **”Netzwerk koppeln (LAN-LAN-Kopplung)”**. Klicken Sie auf „Weiter”.
6. **Geben Sie der Verbindung einen Namen** (z.B. „Verbindung zu Fritzbox A”).
7. **Konfiguration der Gegenstelle importieren:** Hier ist der entscheidende Schritt.
* **Option 1 (Empfohlen): QR-Code scannen.** Wenn Sie ein Smartphone zur Hand haben, scannen Sie den QR-Code, der auf dem Bildschirm von Fritzbox A angezeigt wird. Die Fritzbox B übernimmt automatisch alle Einstellungen.
* **Option 2: Konfigurationsdatei hochladen.** Wenn Sie die `.conf`-Datei von Fritzbox A heruntergeladen haben, klicken Sie auf „Datei wählen” und laden Sie diese hoch.
8. **Manuelle Prüfung der importierten Einstellungen (falls nicht gescannt/hochgeladen oder zur Kontrolle):**
* **Lokale Netzwerkadresse (dieser Fritzbox):** Dies ist die **Tunnel-IP-Adresse** für Fritzbox B, die automatisch generiert wird (z.B. `10.255.1.2`). Stellen Sie sicher, dass sie sich von der Tunnel-IP von Fritzbox A unterscheidet.
* **Lokales Netzwerk der Gegenstelle:** Hier muss das **IP-Subnetz von Fritzbox A** stehen (z.B. `192.168.178.0/24`).
* **Peer-Einstellungen:** Hier sehen Sie den **öffentlichen Schlüssel** von Fritzbox A.
* **Endpunkt (Host):** Dies sollte der **DynDNS-Hostname oder die statische IP-Adresse** von Fritzbox A sein.
* **Endpunkt (Port):** Dies ist der UDP-Port, den Wireguard verwendet (Standard ist 51820). Fritzbox A öffnet diesen Port automatisch.
9. Klicken Sie auf **”Weiter”** und dann auf **”Übernehmen”**.
Die Wireguard-Verbindung sollte nun auf beiden Fritzboxen als „verbunden” angezeigt werden. Dies kann einen Moment dauern.
4. Verbindungstest und erste Zugriffe
Nachdem die Verbindung als „verbunden” angezeigt wird, ist es Zeit für einen Test:
1. **Ping-Test:**
* Gehen Sie in das Netzwerk von Fritzbox B. Öffnen Sie die Kommandozeile (Windows: `cmd`, macOS/Linux: `Terminal`).
* Pingen Sie die IP-Adresse eines Geräts im Netzwerk von Fritzbox A.
* **Beispiel:** `ping 192.168.178.100` (wenn 192.168.178.100 ein Gerät in Netzwerk A ist).
* Wiederholen Sie den Test vom Netzwerk von Fritzbox A zu einem Gerät in Netzwerk B.
* **Beispiel:** `ping 192.168.1.50` (wenn 192.168.1.50 ein Gerät in Netzwerk B ist).
* Wenn die Pings erfolgreich sind, ist die grundlegende Verbindung etabliert.
2. **Zugriff auf Netzwerkressourcen:**
* Versuchen Sie, auf ein Netzlaufwerk (NAS, Dateifreigabe) im jeweils anderen Netzwerk zuzugreifen.
* **Beispiel:** Geben Sie im Windows Explorer in der Adressleiste `\192.168.178.100Freigabe` ein, um auf eine Freigabe im Netzwerk A zuzugreifen.
* Testen Sie den Zugriff auf eine Web-Oberfläche eines Geräts (z.B. Smart-Home-Zentrale) im anderen Netzwerk über dessen lokale IP-Adresse.
Häufige Probleme und Fehlerbehebung
Wenn die Verbindung nicht sofort funktioniert, keine Panik! Hier sind die häufigsten Ursachen und Lösungen:
* **Gleiche IP-Subnetze:** Überprüfen Sie erneut unter „Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4-Adressen” auf beiden Fritzboxen, ob die lokalen Netzwerke unterschiedliche IP-Bereiche haben (z.B. 192.168.178.0 und 192.168.1.0). Dies ist die häufigste Fehlerursache! Wenn sie gleich sind, ändern Sie eines der Subnetze und starten Sie die Fritzbox neu.
* **Falsche FRITZ!OS-Version:** Stellen Sie sicher, dass auf beiden Fritzboxen **FRITZ!OS 7.50** oder höher installiert ist.
* **Fehlerhafte DynDNS-Einrichtung/Nicht erreichbar:** Stellen Sie sicher, dass die „Server”-Fritzbox (Fritzbox A) tatsächlich über den eingetragenen Hostnamen erreichbar ist. Testen Sie den MyFRITZ!-Zugang von außen oder pingen Sie den DynDNS-Hostnamen von einem externen Netzwerk aus.
* **Falsche IP-Adressen in der Konfiguration:** Überprüfen Sie die unter „Lokales Netzwerk der Gegenstelle” eingetragenen IP-Subnetze auf beiden Fritzboxen. Sie müssen jeweils das Netz des *anderen* Routers angeben.
* **Falsche Schlüssel:** Wenn Sie die Konfiguration manuell eingetragen haben, prüfen Sie, ob die öffentlichen **Schlüssel** korrekt kopiert wurden und die **Tunnel-IP-Adressen** jeweils nur einmal im gesamten Tunnel-Netzwerk vergeben wurden.
* **Firewall-Regeln (selten bei Fritzbox):** Standardmäßig öffnet die Fritzbox die benötigten Ports für Wireguard automatisch. Sollten Sie jedoch erweiterte Firewall-Regeln gesetzt haben, prüfen Sie, ob Port 51820 UDP auf der Server-Fritzbox blockiert wird.
* **Falscher Modus gewählt:** Stellen Sie sicher, dass Sie auf beiden Fritzboxen „Netzwerk koppeln (LAN-LAN-Kopplung)” ausgewählt haben.
* **Neustart:** Manchmal hilft ein Neustart beider Fritzboxen, um temporäre Fehler zu beheben.
Erweiterte Tipps und Sicherheitshinweise
* **Firmware-Updates:** Halten Sie Ihre **Fritzboxen** stets auf dem neuesten Stand. AVM veröffentlicht regelmäßig Updates, die Sicherheitslücken schließen und die Funktionalität verbessern.
* **Starke Passwörter:** Verwenden Sie für den Zugriff auf Ihre Fritzboxen komplexe und einzigartige Passwörter.
* **Wireguard-Clients auf Mobilgeräten:** Die Fritzbox kann nicht nur zwei Netzwerke, sondern auch einzelne Geräte per **Wireguard** verbinden. Sie können eine separate Wireguard-Verbindung für Ihr Smartphone oder Laptop einrichten, um auch von unterwegs sicher auf Ihr Heimnetzwerk zugreifen zu können. Die Einrichtung erfolgt analog zum Fritzbox-Client, indem Sie die Konfiguration der „Server”-Fritzbox auf Ihr Gerät importieren.
* **Zugriffsbeschränkungen:** Überlegen Sie, welche Geräte oder Dienste tatsächlich über den **VPN-Tunnel** erreichbar sein müssen. Manchmal ist es ratsam, in den Firewall-Einstellungen der Fritzboxen den Zugriff weiter zu granularisieren, auch wenn die Standardeinstellungen bereits sicher sind.
Fazit
Sie haben es geschafft! Mit dieser detaillierten Anleitung konnten Sie erfolgreich zwei **Fritzboxen über Wireguard verbinden** und eine sichere **Netzwerkbrücke** zwischen Ihren Standorten aufbauen. Die Kombination aus der leistungsstarken Hardware von AVM und dem modernen, effizienten Wireguard-Protokoll bietet Ihnen eine robuste, schnelle und sichere Lösung für Ihre Vernetzungsbedürfnisse. Genießen Sie den sicheren **Fernzugriff** und die nahtlose Kommunikation zwischen Ihren Netzwerken!