In der modernen vernetzten Welt ist der Fernzugriff auf Geräte im eigenen Heimnetzwerk unerlässlich geworden. Egal, ob Sie unterwegs sind und schnell eine Einstellung ändern müssen, oder ob Sie einen Server verwalten, der hinter einem komplexeren Netzwerkaufbau steckt – die Fähigkeit, aus der Ferne auf Ihre Geräte zuzugreifen, ist Gold wert. Doch was, wenn sich Ihr Zielgerät nicht direkt an der Fritzbox befindet, sondern hinter einem weiteren Router? Dieses Szenario, oft als „Double NAT” oder doppeltes NAT bezeichnet, stellt viele vor eine Herausforderung. Keine Sorge, dieser umfassende Guide führt Sie Schritt für Schritt durch die notwendigen Maßnahmen, um auch in dieser Konstellation erfolgreich Fernzugriff zu erhalten.
Warum der Fernzugriff auf einen Router hinter der Fritzbox eine Herausforderung ist
Bevor wir uns den Lösungen widmen, ist es wichtig, das Problem zu verstehen. Ihre Fritzbox ist in der Regel das Tor zum Internet und empfängt die öffentliche IP-Adresse von Ihrem Internetanbieter. Sie verwaltet Ihr Heimnetzwerk, indem sie private IP-Adressen (z.B. 192.168.178.x) an alle angeschlossenen Geräte vergibt. Wenn Sie nun einen zweiten Router dahinter betreiben, erstellt dieser ein eigenes Subnetz (z.B. 192.168.1.x) und vergibt ebenfalls private IP-Adressen an die Geräte, die an ihn angeschlossen sind. Von außen betrachtet, ist für das Internet nur die öffentliche IP-Adresse Ihrer Fritzbox sichtbar. Die beiden privaten Netzwerke sind voneinander gekapselt. Der direkte Zugriff auf ein Gerät im zweiten Subnetz von außen ist ohne spezielle Konfiguration nicht möglich, da die Fritzbox nicht weiß, wohin sie Anfragen für das zweite Subnetz weiterleiten soll. Genau hier setzt die Notwendigkeit von Portfreigaben oder VPN-Verbindungen an.
Grundlagen und Voraussetzungen verstehen
Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Punkte verstehen und vorbereitet sind:
- Administratorzugriff: Sie benötigen die Zugangsdaten für die Benutzeroberfläche Ihrer Fritzbox und des nachgeschalteten Routers.
- Statische lokale IP-Adresse: Der Router hinter der Fritzbox sollte eine feste IP-Adresse im Netzwerk der Fritzbox erhalten (z.B. 192.168.178.20). Dies ist entscheidend für Portfreigaben, da sich die Ziel-IP nicht ändern darf. Dies kann über DHCP-Reservierung in der Fritzbox oder durch manuelle Konfiguration am zweiten Router erfolgen.
- DynDNS-Dienst: Da die meisten Internetanbieter dynamische öffentliche IP-Adressen vergeben, die sich regelmäßig ändern, benötigen Sie einen Dynamic DNS (DynDNS)-Dienst. Dieser Dienst ordnet Ihrem Heimnetzwerk einen festen Hostnamen zu (z.B. meinrouter.dyndns.org), der immer auf Ihre aktuelle öffentliche IP-Adresse verweist. Die Fritzbox unterstützt viele dieser Dienste direkt.
- Gewünschter Dienst und Port: Überlegen Sie, welchen Dienst Sie remote erreichen möchten (z.B. das Webinterface des Routers über HTTP/HTTPS, SSH, etc.) und welche Ports dieser Dienst verwendet. Standard-Ports sind z.B. 80 (HTTP), 443 (HTTPS), 22 (SSH).
Methode 1: Der einfache Weg – Portfreigabe auf der Fritzbox
Diese Methode ist die direkteste, aber auch die am wenigsten sichere, da sie einzelne Dienste direkt aus dem Internet erreichbar macht. Sie eignet sich, wenn Sie nur einen bestimmten Dienst auf dem nachgeschalteten Router erreichen möchten.
Schritt-für-Schritt-Anleitung:
- IP-Adresse des Routers hinter der Fritzbox ermitteln: Melden Sie sich auf der Benutzeroberfläche der Fritzbox an (meist über
fritz.boxoder192.168.178.1). Gehen Sie zu „Heimnetz” > „Netzwerk”. Suchen Sie Ihren nachgeschalteten Router in der Liste der verbundenen Geräte. Notieren Sie dessen IP-Adresse (z.B. 192.168.178.20). - Statische IP-Adresse zuweisen (oder DHCP-Reservierung): Stellen Sie sicher, dass der zweite Router immer dieselbe IP-Adresse von der Fritzbox erhält. In der Fritzbox können Sie unter „Heimnetz” > „Netzwerk” > „Netzwerkgeräte” das Gerät auswählen und die Option „Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen” aktivieren.
- Portfreigabe auf der Fritzbox einrichten:
- Navigieren Sie in der Fritzbox-Oberfläche zu „Internet” > „Freigaben” > „Portfreigaben”.
- Klicken Sie auf „Gerät für Freigaben hinzufügen”.
- Wählen Sie aus der Liste Ihr Gerät (den nachgeschalteten Router) aus oder geben Sie dessen IP-Adresse manuell ein.
- Klicken Sie auf „Neue Freigabe”.
- Wählen Sie den gewünschten Dienst aus der Liste (z.B. „HTTP-Server”, „HTTPS-Server”) oder wählen Sie „Andere Anwendung”, um benutzerdefinierte Ports einzugeben.
- Geben Sie den Port an, den Sie freigeben möchten (z.B. 80 für HTTP, 443 für HTTPS). Wenn Sie von außen einen anderen Port verwenden möchten als intern, geben Sie dies entsprechend an (z.B. extern Port 8080, intern Port 80).
- Bestätigen Sie mit „OK” und „Übernehmen”.
- DynDNS einrichten (falls noch nicht geschehen): Gehen Sie in der Fritzbox zu „Internet” > „Freigaben” > „DynDNS”. Aktivieren Sie DynDNS und tragen Sie die Zugangsdaten Ihres DynDNS-Anbieters ein.
- Testen des Zugriffs: Versuchen Sie nun von außerhalb Ihres Heimnetzwerks (z.B. über mobile Daten auf dem Smartphone) auf den Dienst zuzugreifen, indem Sie die DynDNS-Adresse und den externen Port verwenden (z.B.
http://meinrouter.dyndns.org:8080).
Nachteile dieser Methode: Sie machen einen Dienst direkt aus dem Internet erreichbar, was ein Sicherheitsrisiko darstellen kann. Außerdem können Sie auf diese Weise immer nur auf einen spezifischen Port eines Gerätes zugreifen. Für mehrere Dienste oder den Zugriff auf das gesamte interne Netz des zweiten Routers ist diese Methode ungeeignet.
Methode 2: Der fortgeschrittene Weg – VPN mit der Fritzbox als VPN-Server
Die sicherste und flexibelste Methode ist die Einrichtung einer VPN-Verbindung. Dabei baut Ihr Endgerät (Laptop, Smartphone) eine verschlüsselte Verbindung zur Fritzbox auf. Sobald die VPN-Verbindung steht, befinden Sie sich virtuell im Heimnetzwerk der Fritzbox und können auf alle Geräte zugreifen, als wären Sie physisch zu Hause – auch auf den Router hinter der Fritzbox.
Die Fritzbox unterstützt in neueren Versionen (ab FRITZ!OS 7.50) WireGuard, eine moderne, schnelle und einfache VPN-Lösung. Ältere Modelle oder Vorversionen nutzen IPSec.
Einrichtung eines WireGuard-VPN auf der Fritzbox (empfohlen):
- WireGuard auf der Fritzbox einrichten:
- Melden Sie sich an der Fritzbox an.
- Navigieren Sie zu „Internet” > „Freigaben” > „VPN (WireGuard)”.
- Klicken Sie auf „Verbindung hinzufügen”.
- Wählen Sie „Einfache Verbindung für einzelne Benutzer”.
- Geben Sie einen Namen für die VPN-Verbindung ein (z.B. „Mein Remote-Zugriff”).
- Die Fritzbox generiert automatisch die notwendigen Schlüssel und Einstellungen.
- Folgen Sie den Anweisungen zur Konfiguration des Clients. Die Fritzbox bietet in der Regel einen QR-Code oder eine Konfigurationsdatei zum Download an.
- DynDNS prüfen: Stellen Sie sicher, dass DynDNS in Ihrer Fritzbox korrekt eingerichtet ist und funktioniert, da der VPN-Client die öffentliche IP Ihrer Fritzbox benötigt, um die Verbindung aufzubauen.
- VPN-Client auf Ihrem Endgerät konfigurieren:
- Laden Sie die offizielle WireGuard-App für Ihr Betriebssystem (Windows, macOS, Linux, Android, iOS) herunter und installieren Sie diese.
- Öffnen Sie die WireGuard-App und fügen Sie einen neuen Tunnel hinzu.
- Wenn Sie einen QR-Code von der Fritzbox erhalten haben, scannen Sie diesen. Andernfalls importieren Sie die zuvor heruntergeladene Konfigurationsdatei.
- Speichern Sie die Konfiguration.
- VPN-Verbindung aufbauen und testen: Aktivieren Sie die VPN-Verbindung in der WireGuard-App. Sobald die Verbindung steht, sollten Sie auf alle Geräte in Ihrem Fritzbox-Heimnetzwerk zugreifen können, einschließlich des Routers hinter der Fritzbox. Verwenden Sie dafür die lokale IP-Adresse des Routers (z.B.
http://192.168.178.20).
Einrichtung eines IPSec-VPN auf der Fritzbox (für ältere FRITZ!OS-Versionen):
Für ältere Fritzboxen müssen Sie möglicherweise IPSec VPN nutzen. Der Prozess ist ähnlich, aber die Konfiguration ist etwas komplexer und erfordert oft manuelle Eingaben der Schlüssel auf dem Client. Die Fritzbox bietet auch hier eine Exportfunktion für die Konfigurationsdaten an, die Sie in kompatible IPSec-Clients (z.B. Shrew Soft VPN Client für Windows oder eingebaute VPN-Clients auf macOS/iOS/Android) importieren können.
Vorteile dieser Methode: Höchste Sicherheit durch verschlüsselte Verbindung. Sie erhalten Zugriff auf das gesamte Heimnetzwerk der Fritzbox, was bedeutet, dass Sie auf alle Geräte zugreifen können, als wären Sie physisch vor Ort. Keine Notwendigkeit, einzelne Ports für jeden Dienst freizugeben.
Nachteile: Der VPN-Client muss auf jedem Gerät installiert und konfiguriert werden, von dem aus Sie zugreifen möchten. Die Fritzbox muss die VPN-Verbindung herstellen und aufrechterhalten können.
Methode 3: Der Profi-Weg – VPN auf dem Router hinter der Fritzbox
Diese Methode ist dann sinnvoll, wenn der Router hinter der Fritzbox selbst ein leistungsfähigerer VPN-Server ist (z.B. ein OpenVPN– oder WireGuard-Server auf einem Router mit Custom-Firmware wie OpenWrt oder einer spezialisierten NAS/Server-Lösung) und Sie primär auf das Subnetz dieses zweiten Routers zugreifen möchten, vielleicht sogar mit spezifischen Routing-Anforderungen.
Schritt-für-Schritt-Anleitung:
- Statische lokale IP für den zweiten Router: Wie bei Methode 1, stellen Sie sicher, dass der Router hinter der Fritzbox eine feste IP im Fritzbox-Netzwerk hat (z.B. 192.168.178.20).
- Portfreigabe auf der Fritzbox für den VPN-Port des zweiten Routers:
- Melden Sie sich an der Fritzbox an.
- Gehen Sie zu „Internet” > „Freigaben” > „Portfreigaben”.
- Fügen Sie eine neue Freigabe für den zweiten Router hinzu.
- Geben Sie den Port an, den der VPN-Server des zweiten Routers verwendet. Für OpenVPN ist das oft UDP 1194, für WireGuard meist UDP 51820 (kann variieren). Stellen Sie sicher, dass Sie den richtigen Protokolltyp (TCP/UDP) wählen.
- Bestätigen Sie die Freigabe.
- VPN-Server auf dem zweiten Router konfigurieren:
- Melden Sie sich am zweiten Router an.
- Konfigurieren Sie den VPN-Server (OpenVPN, WireGuard etc.) gemäß dessen Dokumentation. Achten Sie darauf, dass der Server auf die lokale IP-Adresse der Fritzbox „blickt” und nicht auf eine interne IP seines eigenen Subnetzes für den externen Zugriff.
- Stellen Sie sicher, dass die VPN-Serverkonfiguration die DynDNS-Adresse (nicht die lokale IP) als Endpunkt für die Clients verwendet.
- Generieren Sie Client-Konfigurationsdateien.
- DynDNS auf Fritzbox oder zweitem Router: Die Fritzbox ist der bevorzugte Ort für DynDNS. Wenn der zweite Router aber seine eigene öffentliche IP verfolgen kann (was nur geht, wenn die Fritzbox im Bridged-Modus ist, was selten der Fall ist), könnte er es auch. Bleiben Sie bei der Fritzbox, um Komplikationen zu vermeiden.
- VPN-Client auf Ihrem Endgerät konfigurieren:
- Laden Sie den entsprechenden VPN-Client (z.B. OpenVPN Connect oder WireGuard) herunter.
- Importieren Sie die vom zweiten Router generierte Client-Konfigurationsdatei.
- Verbindung herstellen und testen: Bauen Sie die VPN-Verbindung auf. Nun sollten Sie auf die Geräte im Subnetz des zweiten Routers zugreifen können. Achten Sie auf die IP-Adressbereiche.
Vorteile dieser Methode: Volle Kontrolle über den VPN-Server, erweiterte Funktionen (z.B. Split Tunneling, spezifische Routing-Regeln), wenn der zweite Router mehr Möglichkeiten bietet als die Fritzbox. Ideal für komplexe Netzwerke oder wenn der zweite Router ein NAS/Server ist, der diese Funktion nativ anbietet.
Nachteile: Dies ist die komplexeste Methode und erfordert ein gutes Verständnis von Netzwerkkonfigurationen und VPN-Technologien. Fehler können hier schnell zu unerreichbaren Geräten führen.
Wichtige Überlegungen und Best Practices für den Fernzugriff
- Sicherheit an erster Stelle:
- Verwenden Sie immer starke Passwörter für die Fritzbox, den nachgeschalteten Router und alle freigegebenen Dienste.
- Halten Sie die Firmware aller Geräte stets auf dem neuesten Stand. Updates schließen oft Sicherheitslücken.
- Geben Sie nur die absolut notwendigen Ports frei. Jede Portfreigabe erhöht das potenzielle Angriffsrisiko.
- Ziehen Sie, wo möglich, SSH-Schlüssel anstelle von Passwörtern für den SSH-Zugriff in Betracht.
- Aktivieren Sie die Firewall auf allen Geräten und konfigurieren Sie sie restriktiv.
- Exposed Host / DMZ vermeiden: Die Fritzbox bietet die Option „Exposed Host” oder „DMZ” an, bei der ein Gerät vollständig dem Internet ausgesetzt wird. Dies ist ein erhebliches Sicherheitsrisiko und sollte nur in Ausnahmefällen und mit extremen Vorsichtsmaßnahmen genutzt werden. Portfreigaben sind hier die deutlich sicherere Alternative.
- Fehlersuche:
- Prüfen Sie immer die Systemereignisse/Logs der Fritzbox und des zweiten Routers, um Hinweise auf Konnektivitätsprobleme zu finden.
- Vergewissern Sie sich, dass Ihre DynDNS-Adresse korrekt aktualisiert wird und auf Ihre aktuelle öffentliche IP-Adresse zeigt.
- Testen Sie den Zugriff immer von einem externen Netzwerk (nicht von Ihrem Heimnetzwerk aus), um korrekte Ergebnisse zu erhalten.
- Verwenden Sie Online-Portchecker-Tools (z.B. yougetsignal.com/tools/open-ports/), um zu überprüfen, ob Ports auf Ihrer öffentlichen IP wirklich offen sind (Hinweis: VPN-Ports werden hier oft nicht als „offen” angezeigt, da sie eine aktive Verbindung erfordern).
- Alternativen: Wenn Sie nur einen PC oder Server erreichen möchten, könnte Remote-Desktop-Software wie TeamViewer, AnyDesk oder Microsoft Remote Desktop (RDP) eine Option sein, sofern der PC dauerhaft läuft und eine Internetverbindung hat. Diese Programme benötigen normalerweise keine Portfreigaben, da sie über externe Server tunneln.
Fazit
Der Fernzugriff auf einen Router hinter der Fritzbox ist keineswegs unmöglich, er erfordert lediglich ein tieferes Verständnis der Netzwerkarchitektur und eine sorgfältige Konfiguration. Während die Portfreigabe eine schnelle, aber weniger sichere Lösung für einzelne Dienste darstellt, bietet die Einrichtung eines VPN über die Fritzbox (oder den nachgeschalteten Router) die sicherste und flexibelste Möglichkeit, auf Ihr gesamtes Heimnetzwerk zuzugreifen. Wählen Sie die Methode, die am besten zu Ihren technischen Fähigkeiten und Sicherheitsanforderungen passt. Mit Geduld und der richtigen Anleitung werden Sie in der Lage sein, Ihre Geräte von überall auf der Welt zu verwalten.