Die Digitalisierung unseres Zuhauses schreitet unaufhaltsam voran. Smart-Home-Geräte, NAS-Systeme, Medienserver und eigene Webanwendungen bevölkern unsere Heimnetzwerke. Der Wunsch, auch von unterwegs auf diese Dienste zugreifen zu können, ist dabei nur natürlich. Mit der Einführung von Wireguard VPN in Fritz!OS 7.50 schien AVM, der Hersteller der beliebten FritzBox, vielen Nutzern einen großen Gefallen zu tun: eine moderne, schnelle und sichere VPN-Lösung direkt im Router, kinderleicht einzurichten. Doch für viele weicht die anfängliche Begeisterung schnell einer tiefen Enttäuschung, dem sogenannten „Firewall-Frust„. Der VPN-Tunnel steht, die Verbindung scheint perfekt, doch der Zugriff auf die geliebten Dienste hinter der FritzBox bleibt verwehrt. Warum ist das so, und gibt es Lösungen für dieses Ärgernis?
Ein Versprechen und seine Grenzen: Wireguard auf der FritzBox
Wireguard hat sich in den letzten Jahren als eine der revolutionärsten VPN-Technologien etabliert. Es ist bekannt für seine schlanke Architektur, hohe Geschwindigkeit und exzellente Sicherheit. Im Vergleich zu älteren Protokollen wie OpenVPN oder IPSec, die oft komplex in der Konfiguration sind und mehr Ressourcen verbrauchen, punktet Wireguard mit Eleganz und Effizienz. Als AVM dieses Protokoll in Fritz!OS 7.50 integrierte, war die Freude groß. Endlich ein moderner, performanter VPN-Zugang für jedermann, dachte man. Die Einrichtung über die FritzBox-Oberfläche ist tatsächlich bemerkenswert einfach: QR-Code scannen, und der VPN-Client auf dem Smartphone oder Laptop ist konfiguriert.
Das Kernproblem tritt jedoch auf, sobald die VPN-Verbindung erfolgreich hergestellt wurde. Während der Zugriff auf das Internet über die FritzBox als Gateway oft reibungslos funktioniert und auch die Weboberfläche der FritzBox selbst erreichbar ist, scheitert der Versuch, andere Geräte im Heimnetz – sei es ein NAS, ein Smart-Home-Hub oder ein Raspberry Pi – anzusprechen. Pings schlagen fehl, SSH-Verbindungen timeouten, und Webinterfaces laden nicht. Es entsteht der Eindruck, als ob eine unsichtbare Mauer, eine Firewall, den Zugriff verhindert.
Die AVM-Philosophie: Simplicity vor voller Kontrolle
Um die Ursache des Problems zu verstehen, muss man die Design-Philosophie von AVM und die spezifische Implementierung von Wireguard in Fritz!OS betrachten. AVM legt traditionell großen Wert auf Benutzerfreundlichkeit und einfache Konfiguration. Das bedeutet oft, dass Funktionen so vordefiniert sind, dass sie für den Großteil der Anwender funktionieren, auch wenn dies zu Lasten der Flexibilität oder erweiterter Konfigurationsmöglichkeiten geht. Im Fall von Wireguard auf der FritzBox bedeutet dies:
- Fokus auf Fernzugriff und Internet-Tunnelung: Die Hauptabsicht der Wireguard-Implementierung in Fritz!OS ist der „Fernzugriff„. Dies beinhaltet in erster Linie, dass der VPN-Client sicher auf das Internet zugreifen kann, und zwar über die Internetverbindung der FritzBox. Dies ist besonders nützlich, wenn man sich in einem unsicheren öffentlichen WLAN befindet und seinen Datenverkehr schützen möchte. Der Zugriff auf die FritzBox-Oberfläche selbst ist dabei oft der primäre „lokale“ Dienst, der über den Tunnel erreichbar ist.
- Separate Subnetze und Routing-Strategie: Die FritzBox weist Wireguard-Clients in der Regel ein separates IP-Adresssubnetz zu (z.B. 10.250.250.x). Dies ist üblich bei VPNs. Das eigentliche Problem liegt im Routing und den internen Firewall-Regeln. Standardmäßig ist die FritzBox so konfiguriert, dass sie den Datenverkehr von diesem VPN-Subnetz nicht ohne Weiteres in das Haupt-LAN-Subnetz (z.B. 192.168.178.x) leitet oder umgekehrt. Es fehlt die explizite Regel, die den VPN-Clients den Zugriff auf alle Geräte im lokalen Heimnetz erlaubt.
- Keine erweiterte Konfiguration für Experten: Im Gegensatz zu einem dedizierten Wireguard-Server oder einer OpenVPN-Lösung bietet Fritz!OS keine Möglichkeit, eigene Routing-Tabellen, Firewall-Regeln oder spezifische „AllowedIPs”-Einstellungen auf Serverseite manuell anzupassen. Die Konfiguration ist stark vereinfacht und automatisiert.
Split Tunneling vs. Volltunnel: Ein entscheidender Unterschied
Ein häufiger Diskussionspunkt in diesem Kontext ist der Unterschied zwischen Split Tunneling und Volltunnel (Full Tunneling). Viele Nutzer konfigurieren ihren Wireguard-Client mit „AllowedIPs = 0.0.0.0/0”, um einen Volltunnel zu erzwingen. Das bedeutet, der gesamte Internetverkehr des Clients läuft über den VPN-Tunnel. Während dies für den Internetzugriff über die FritzBox funktioniert, ist es für den Zugriff auf lokale Ressourcen oft kontraproduktiv oder zumindest nicht ausreichend.
- Volltunnel (Full Tunneling): Alle Daten des Clients werden durch den VPN-Tunnel geleitet. Die FritzBox wird zum primären Gateway für *alles*. Dies ist die Standardeinstellung, wenn man den QR-Code der FritzBox für den Client scannt und „0.0.0.0/0” oder ähnliches für „AllowedIPs” verwendet. Das Problem hierbei ist nicht, dass ein Volltunnel per se schlecht ist, sondern dass die FritzBox nicht automatisch die notwendigen Routing-Regeln bereitstellt, um den Traffic aus dem VPN-Subnetz *ins lokale Heimnetz* zu schleusen.
- Split Tunneling: Hier wird nur ein Teil des Datenverkehrs durch den VPN-Tunnel geleitet, z.B. nur der Verkehr für das Heimnetz (z.B. 192.168.178.0/24) und die FritzBox selbst. Der restliche Internetverkehr läuft direkt über die lokale Internetverbindung des Clients. Dies wäre die wünschenswerte Konfiguration für den Zugriff auf Heimnetz-Dienste, aber auch hier müsste die FritzBox als VPN-Server die entsprechenden Routen korrekt bereitstellen, was sie in der aktuellen Wireguard-Implementierung für das gesamte Heimnetz oft nicht tut.
Die FritzBox stellt in ihrer Wireguard-Konfiguration dem Client in der Regel `AllowedIPs` bereit, die nur das VPN-Subnetz (z.B. 10.250.250.0/24) und die öffentliche IP der FritzBox selbst umfassen. Wenn Sie auf dem Client auch `AllowedIPs = 192.168.178.0/24` hinzufügen, um das Heimnetz anzusprechen, muss die FritzBox diese Routen auch intern handhaben. Und genau hier scheint die Standardimplementierung in Fritz!OS 7.50 Lücken zu haben oder bewusst zu limitieren.
Typische Fehler und Missverständnisse bei der Konfiguration
Bevor man die Schuld vollständig AVM gibt, sollte man kurz überprüfen, ob nicht auch eigene Konfigurationsfehler vorliegen könnten:
- Client-Konfiguration der AllowedIPs: Stellen Sie sicher, dass in der Wireguard-Client-Konfiguration im Feld „AllowedIPs” (im `[Peer]`-Bereich) nicht nur die IP des VPN-Servers (also der FritzBox) steht, sondern auch das gesamte Subnetz Ihres Heimnetzwerkes, z.B. `192.168.178.0/24` (passen Sie dies an Ihr tatsächliches Subnetz an!). Oft wird vergessen, das lokale Subnetz hinzuzufügen, wenn man nur eine IP-Adresse hinzufügt, oder man verlässt sich auf die automatisch generierte Konfiguration, die eventuell nicht alle gewünschten Subnetze enthält.
- Geräte-Firewall: Ist die Firewall auf dem Gerät im Heimnetz, das Sie erreichen möchten (z.B. NAS, PC), so konfiguriert, dass sie Verbindungen aus dem VPN-Subnetz (z.B. 10.250.250.x) erlaubt? Viele Geräte blockieren standardmäßig Verbindungen von „fremden” Subnetzen.
- IP-Konflikte: Stellen Sie sicher, dass Ihr lokales Netzwerk, in dem sich der VPN-Client befindet, nicht das gleiche IP-Subnetz wie Ihr Heimnetzwerk hat. Das führt unweigerlich zu Routing-Problemen.
- Dienst läuft tatsächlich: Läuft der Dienst auf dem Zielgerät überhaupt und ist er über das lokale Netzwerk erreichbar, wenn Sie nicht über VPN verbunden sind?
Auch wenn diese Punkte oft die Ursache für Probleme sind, beheben sie nicht das grundsätzliche Problem der AVM-Implementierung, wenn selbst bei korrekter AllowedIPs-Konfiguration auf Client-Seite keine Verbindung zu internen Geräten außer der FritzBox selbst möglich ist.
Workarounds und alternative Lösungen für den „Dienstzugriff”
Da AVM derzeit keine umfassenden Konfigurationsmöglichkeiten für die Wireguard-Routing- oder Firewall-Regeln innerhalb von Fritz!OS bietet, müssen Nutzer, die unbedingt auf ihre Dienste hinter der FritzBox zugreifen wollen, auf Workarounds oder alternative Lösungen zurückgreifen:
1. Der „alte” AVM-VPN (IPSec)
Die FritzBox unterstützt weiterhin den älteren IPSec-VPN-Standard. Dieser war (und ist) in der Lage, vollen Zugriff auf das Heimnetz zu ermöglichen. Der Nachteil: IPSec ist komplexer einzurichten, oft langsamer und ressourcenintensiver als Wireguard. Für manche Nutzer mag dies jedoch die pragmatischere Lösung sein, wenn der volle Heimnetz-Zugriff Priorität hat und die Wireguard-Geschwindigkeit nicht zwingend erforderlich ist.
2. Portweiterleitungen (NICHT EMPFOHLEN für VPN-Ersatz)
Theoretisch könnten Sie für jeden Dienst, den Sie erreichen möchten (z.B. SSH auf Port 22, Webserver auf Port 80/443), eine Portweiterleitung in der FritzBox einrichten. Dies würde den Dienst direkt aus dem Internet erreichbar machen.
Warnung: Dies ist aus Sicherheitssicht hochgradig bedenklich. Jeder im Internet könnte versuchen, auf diese Dienste zuzugreifen. Es umgeht den Sinn eines VPNs und sollte nur als allerletzte Notlösung für nicht-kritische Dienste in Betracht gezogen werden, wenn keine andere Option besteht.
3. Reverse Proxy (für Webdienste)
Für Webdienste (z.B. Nextcloud, Home Assistant) könnten Sie einen Reverse Proxy im Heimnetz (z.B. auf einem Raspberry Pi oder NAS) einrichten. Dieser Proxy leitet dann Anfragen aus dem Internet an die entsprechenden internen Dienste weiter. Auch hier gilt: Die Sicherheit muss sorgfältig konfiguriert werden (z.B. mit HTTPS und strengen Zugriffsregeln), und es löst nicht das Problem des allgemeinen Netzwerkzugriffs per VPN.
4. Ein separater Wireguard-Server im Heimnetz (Die eleganteste Lösung)
Dies ist oft die robusteste und flexibelste Lösung, erfordert aber etwas mehr Aufwand und ein zusätzliches Gerät. Anstatt die FritzBox als Wireguard-Server zu nutzen, betreiben Sie einen eigenen Wireguard-Server auf einem Gerät *hinter* der FritzBox – zum Beispiel auf einem Raspberry Pi, einem NAS mit Docker-Unterstützung oder einem alten Mini-PC. So gehen Sie vor:
- Wireguard-Server einrichten: Installieren Sie Wireguard auf dem gewählten Gerät. Es gibt viele Anleitungen dafür (z.B. PiVPN für Raspberry Pi macht dies sehr einfach).
- Portweiterleitung in der FritzBox: Leiten Sie den UDP-Port, den Ihr Wireguard-Server nutzt (standardmäßig 51820), von der FritzBox an die interne IP-Adresse Ihres Wireguard-Servers weiter.
- DNS und DDNS: Stellen Sie sicher, dass Ihre FritzBox eine dynamische DNS-Dienst (DynDNS) nutzt oder Sie wissen, wie Sie Ihre aktuelle öffentliche IP-Adresse herausfinden können, damit Ihr VPN-Client immer den Server findet.
- Client-Konfiguration: Konfigurieren Sie Ihre Wireguard-Clients so, dass sie sich mit Ihrem *internen* Wireguard-Server verbinden. Dort können Sie die „AllowedIPs” so einstellen, dass sie nicht nur das VPN-Subnetz, sondern auch Ihr gesamtes Heimnetz (z.B. 192.168.178.0/24) umfassen.
Vorteil dieser Lösung: Sie haben die volle Kontrolle über die Routing– und Firewall-Regeln auf Ihrem Wireguard-Server. Sie können den Clients vollen Zugriff auf Ihr Heimnetzwerk gewähren, ohne auf die Einschränkungen der FritzBox-Implementierung angewiesen zu sein. Die FritzBox agiert dann lediglich als simpler Port-Weiterleiter.
5. Geduldig auf AVM-Updates warten
Es besteht immer die Möglichkeit, dass AVM in zukünftigen Fritz!OS-Versionen die Wireguard-Implementierung verbessert und erweiterte Konfigurationsmöglichkeiten oder automatisch verbesserte Routing-Regeln für den Heimnetz-Zugriff einführt. Ob und wann das der Fall sein wird, ist jedoch reine Spekulation.
Fazit: Eine Frage der Erwartung und der Kompromisse
Der „Firewall-Frust” mit Fritz!OS 7.50 und Wireguard VPN ist real und verständlich. AVM hat eine bemerkenswert einfache und schnelle VPN-Lösung geschaffen, die für den grundlegenden Fernzugriff auf das Internet und die FritzBox selbst hervorragend funktioniert. Doch wer einen vollwertigen, uneingeschränkten Zugang zu allen Diensten im Heimnetzwerk erwartet, wird von der aktuellen Implementierung enttäuscht sein. Die eingeschränkten Routing– und Firewall-Möglichkeiten sind hier der Flaschenhals.
Es ist ein klassisches Dilemma zwischen Benutzerfreundlichkeit und flexibler Kontrolle. Für Gelegenheitsnutzer, die nur sicher im Internet surfen wollen, ist die AVM-Lösung perfekt. Für fortgeschrittene Anwender, die ihr Heimnetzwerk voll ausreizen wollen, ist sie limitiert. Die eleganteste und zukunftssicherste Lösung für umfassenden Dienstzugriff bleibt daher oft der Betrieb eines eigenen Wireguard-Servers hinter der FritzBox. Dies gibt Ihnen die volle Kontrolle und löst den Firewall-Frust ein für alle Mal. Überlegen Sie, welche Prioritäten Sie setzen, und wählen Sie die für Sie passende Lösung aus den genannten Optionen.
Bleiben Sie dran und diskutieren Sie Ihre Erfahrungen in den Kommentaren! Wir sind gespannt auf Ihre Lösungsansätze und Geschichten rund um das Thema Wireguard und FritzBox.