Wireguard Verbindung zweier Fritzbox-Netze aufgebaut aber kein Ping? Hier ist die Lösung!

Die Vernetzung unserer digitalen Welten wird immer wichtiger. Egal ob Sie Ihr Home-Office sicher an das Firmennetzwerk anbinden, auf Ihr Smart Home im Urlaub zugreifen möchten oder einfach nur zwei Ihrer eigenen Netzwerke miteinander verbinden wollen – ein Virtual Private Network (VPN) ist die elegante und sichere Lösung. Mit der Einführung der Wireguard-Unterstützung in aktuellen Fritzbox-Modellen hat AVM einen echten Game Changer geliefert. Wireguard ist modern, schnell und extrem ressourcenschonend, und die Integration in die Fritzbox macht es für viele Nutzer zugänglich wie nie zuvor.

Doch Hand aufs Herz: Wer kennt das nicht? Man folgt akribisch allen Anleitungen, richtet die Wireguard-Verbindung zwischen zwei Fritzboxen ein, die Statusanzeige leuchtet grün – aber der ersehnte Ping auf eine Ressource im entfernten Netz bleibt einfach aus. Frustration macht sich breit, die Nerven liegen blank und man fragt sich: Was mache ich falsch? Ist die Fritzbox doch nicht so gut dafür geeignet?

Keine Sorge, Sie sind nicht allein! Dieses Problem ist weit verbreitet, aber die gute Nachricht ist: Die Lösung ist oft einfacher, als Sie denken, und meist auf ein oder zwei spezifische Einstellungen zurückzuführen, die in der Fritzbox-Oberfläche etwas versteckt sind oder deren Bedeutung nicht sofort klar ist. In diesem umfassenden Artikel führen wir Sie Schritt für Schritt durch die häufigsten Fehlerquellen und zeigen Ihnen genau, wie Sie Ihre Wireguard VPN Verbindung zwischen zwei Fritzbox Netzen erfolgreich zum Laufen bringen – inklusive Ping und darüber hinaus!

Die Faszination Wireguard auf der Fritzbox: Eine kurze Einführung

Bevor wir in die Fehlersuche eintauchen, lassen Sie uns kurz rekapitulieren, warum Wireguard so beliebt ist. Im Gegensatz zu älteren VPN-Protokollen wie OpenVPN oder IPSec, bietet Wireguard eine drastisch reduzierte Codebasis, was es nicht nur sicherer, sondern auch unglaublich schnell und einfach zu konfigurieren macht. Für die Fritzbox bedeutet das: weniger Rechenleistung für den VPN-Tunnel, mehr Bandbreite für Ihre Daten und eine nahtlosere Integration ins System. AVM hat hier mit der Implementierung in FRITZ!OS einen wichtigen Schritt getan, um diese moderne VPN-Technologie für Heimanwender und kleine Unternehmen zugänglich zu machen.

Die Möglichkeit, eine Site-to-Site VPN-Verbindung direkt über zwei Fritzboxen aufzubauen, eröffnet unzählige Szenarien. Stellen Sie sich vor, Sie haben ein Ferienhaus mit einer eigenen Fritzbox und möchten von Ihrem Zuhause aus bequem auf Smart-Home-Geräte zugreifen oder Medien streamen, als wären Sie vor Ort. Oder Sie betreiben ein kleines Büro und möchten sich mit Ihrem Hauptstandort vernetzen, ohne teure Hardware anschaffen zu müssen. Wireguard auf der Fritzbox macht es möglich.

Das Szenario: Zwei Netze, zwei Fritzboxen, ein Wireguard-Tunnel

Für unsere Problembehebung gehen wir von einem klassischen Szenario aus:

• Fritzbox A (Zuhause/Büro 1): Verfügt über das lokale Netzwerk 192.168.178.0/24. Ihre Wireguard-IP im Tunnel ist 10.0.0.1/24.
• Fritzbox B (Ferienhaus/Büro 2): Verfügt über das lokale Netzwerk 192.168.1.0/24. Ihre Wireguard-IP im Tunnel ist 10.0.0.2/24.

Ziel ist es, dass Geräte im Netz von Fritzbox A (z.B. ein PC mit IP 192.168.178.20) Geräte im Netz von Fritzbox B (z.B. ein NAS mit IP 192.168.1.50) per Ping erreichen können und umgekehrt. Der Wireguard-Tunnel selbst ist laut Fritzbox-Oberfläche als „verbunden” oder „online” markiert.

Die Ausgangslage: Was wurde bereits getan?

Wir gehen davon aus, dass die grundlegende Wireguard-Einrichtung bereits erfolgt ist:

• Sie haben auf beiden Fritzboxen jeweils eine neue Wireguard-Verbindung eingerichtet.
• Sie haben auf jeder Fritzbox einen Peer (die jeweils andere Fritzbox) hinzugefügt.
• Die öffentlichen Schlüssel wurden korrekt zwischen den Boxen ausgetauscht.
• Die jeweiligen Wireguard-IP-Adressen (10.0.0.1 und 10.0.0.2) wurden zugewiesen und liegen im selben Wireguard-Subnetz (hier 10.0.0.0/24).
• Die Endpunkte (öffentliche IP-Adresse oder DynDNS-Hostname der jeweiligen Fritzboxen) und Ports sind korrekt konfiguriert.

Trotz dieser korrekten Grundeinstellungen bleibt der Ping von einem Gerät im Netz A zu einem Gerät im Netz B (oder umgekehrt) erfolglos. Die Verbindung zwischen den Fritzboxen selbst steht, aber der Traffic für die lokalen Netze fließt nicht.

Der Kern des Problems: Routing, Firewall oder DNS?

Wenn der Wireguard-Tunnel selbst als aktiv angezeigt wird, der Ping aber fehlschlägt, liegt das Problem fast immer in einem der folgenden Bereiche:

1. Routing: Die Fritzbox weiß nicht, wohin sie den Traffic für das entfernte Netz senden soll. Dies ist der häufigste und kritischste Punkt.
2. Firewall: Die Fritzbox oder ein Endgerät blockiert den Zugriff. Die Fritzbox-eigene Firewall ist hier selten die Ursache für Ping-Probleme in Site-to-Site-Szenarien, aber die Firewalls der Endgeräte können eine Rolle spielen.
3. Netzwerk-Segmentierung: Die lokalen IP-Adressbereiche beider Fritzboxen sind identisch – ein absolutes No-Go für VPN-Verbindungen.
4. DNS: Eher ein Problem für die Namensauflösung als für den Ping via IP, aber dennoch relevant für die Usability.

Kommen wir zur eigentlichen Lösung!

Schritt-für-Schritt-Fehlerbehebung und die Lösung

1. Netzwerk-Segmentierung überprüfen (Der Klassiker!)

Dies ist der absolute Klassiker und die Ursache Nummer eins für fehlgeschlagene VPN-Verbindungen. Wenn beide Fritzboxen dasselbe lokale IP-Subnetz verwenden (z.B. beide 192.168.178.0/24), kann es keine funktionierende VPN-Verbindung geben. Ihre Fritzbox weiß dann nicht, ob ein angefragtes Gerät im lokalen Netz oder im entfernten Netz liegt.

• Problem: Fritzbox A hat 192.168.178.0/24, und Fritzbox B hat ebenfalls 192.168.178.0/24.
• Lösung: Ändern Sie das IP-Subnetz auf einer der beiden Fritzboxen! Es ist zwingend erforderlich, dass die lokalen IP-Adressbereiche der beiden Netzwerke, die Sie verbinden möchten, unterschiedlich sind.
• Wie geht’s? Melden Sie sich auf der Fritzbox an, deren IP-Bereich Sie ändern möchten. Gehen Sie zu Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4-Einstellungen. Ändern Sie dort die „IPv4-Adresse” (z.B. von 192.168.178.1 auf 192.168.1.1) und bestätigen Sie die „Subnetzmaske” (meist 255.255.255.0). Die Fritzbox startet dann neu und weist allen Geräten im Netz neue IP-Adressen zu. Machen Sie dies *bevor* Sie die Wireguard-Konfiguration überprüfen, da es die Grundlage für alles Weitere ist.

Wichtiger Hinweis: Nach der Umstellung des IP-Bereichs müssen alle Geräte im betroffenen Netz ihre IP-Adresse neu beziehen (ggf. neu starten oder Netzwerkkabel ziehen/stecken). Testen Sie, ob Ihr lokales Netz wieder funktioniert, bevor Sie mit der Wireguard-Konfiguration fortfahren.

2. Wireguard-Konfiguration auf der Fritzbox (Die Details machen den Unterschied)

Hier liegt oft der Hase im Pfeffer. Viele Nutzer konfigurieren die Wireguard-Einstellungen korrekt für den Tunnel selbst, vergessen aber die entscheidenden Routen für die lokalen Netzwerke.

Gehen Sie auf beiden Fritzboxen zu Internet > Freigaben > VPN (Wireguard) und bearbeiten Sie die jeweilige Wireguard-Verbindung.

A. „Lokales Netzwerk (Heimnetz) mitsenden“

• Problem: Diese Option ist auf einer oder beiden Seiten nicht aktiviert.
• Lösung: Stellen Sie sicher, dass auf beiden Fritzboxen bei der Wireguard-Verbindung das Häkchen bei „Lokales Netzwerk (Heimnetz) mitsenden“ gesetzt ist. Diese Option ist entscheidend! Sie weist die Fritzbox an, ihre eigenen lokalen Routen (z.B. 192.168.178.0/24) in den Wireguard-Tunnel zu propagieren, damit der entfernte Peer weiß, wie er dieses Netz erreichen kann.

B. „IP-Adresse(n) des entfernten Netzes“ (Der absolute Schlüssel!)

Dies ist der häufigste Fehlerpunkt und die eigentliche Lösung für die meisten „kein Ping”-Probleme! Hier tragen viele Nutzer fälschlicherweise die Wireguard-IP des entfernten Peers ein (z.B. 10.0.0.2 anstatt des gesamten Netzwerks).

• Problem: Hier ist die Wireguard-IP des Peers oder ein falscher IP-Bereich eingetragen.
• Lösung: Tragen Sie hier das GESAMTE lokale IP-Subnetz des entfernten Peers ein. NICHT die Wireguard-IP des Peers!
• Konkretes Beispiel:
  • Auf Fritzbox A (Netz 192.168.178.0/24): Bearbeiten Sie den Peer für Fritzbox B. Im Feld „IP-Adresse(n) des entfernten Netzes“ tragen Sie ein: 192.168.1.0/24. Dies teilt Fritzbox A mit: „Wenn du Pakete für 192.168.1.0/24 hast, schicke sie durch den Wireguard-Tunnel zu Fritzbox B.”
  • Auf Fritzbox B (Netz 192.168.1.0/24): Bearbeiten Sie den Peer für Fritzbox A. Im Feld „IP-Adresse(n) des entfernten Netzes“ tragen Sie ein: 192.168.178.0/24. Dies teilt Fritzbox B mit: „Wenn du Pakete für 192.168.178.0/24 hast, schicke sie durch den Wireguard-Tunnel zu Fritzbox A.”

Diese Einstellung ist entscheidend, da sie die notwendigen statischen Routen in die Fritzbox-Routingtabelle einträgt. Ohne diese Information weiß Ihre Fritzbox schlichtweg nicht, über welchen Weg sie Pakete an das entfernte lokale Netzwerk senden soll. Der Ping kann dann unmöglich funktionieren.

C. Wireguard-Interface IP-Adressen

• Stellen Sie sicher, dass die „Eigene IP-Adresse im Wireguard-Netzwerk” auf beiden Fritzboxen im selben Subnetz liegt (z.B. 10.0.0.1/24 und 10.0.0.2/24). Dies sollte bei der Grundeinrichtung bereits erfolgt sein, aber eine Überprüfung schadet nie.

3. Firewall-Regeln der Fritzbox und Endgeräte (Der unsichtbare Blockierer)

Die Fritzbox-Firewall ist in der Regel sehr offen für Traffic, der über eine VPN-Verbindung kommt. Es ist unwahrscheinlich, dass sie der Grund für einen fehlenden Ping in einem Site-to-Site-Szenario ist, wenn die oben genannten Punkte korrigiert wurden. Eine explizite Freigabe (Port Forwarding) ist für den generellen Zugriff von einem Netz ins andere nicht erforderlich.

Was jedoch eine Rolle spielen kann, sind die Firewalls der Endgeräte:

• Problem: Das Gerät, das Sie anpingen möchten (z.B. ein Windows-PC oder ein NAS), hat seine eigene Firewall aktiviert und blockiert ICMP-Anfragen (Ping).
• Lösung:
  • Testen Sie den Ping auf *mehrere* Geräte im entfernten Netz. Wenn ein Gerät nicht antwortet, aber ein anderes schon, liegt das Problem wahrscheinlich beim nicht antwortenden Gerät.
  • Überprüfen Sie die Firewall-Einstellungen des Zielgeräts (z.B. Windows Firewall, macOS Firewall, oder die Firewall-Einstellungen Ihres NAS). Versuchen Sie testweise, die Firewall für kurze Zeit zu deaktivieren, um den Ping zu prüfen. Aktivieren Sie sie danach wieder!
  • Auf vielen Linux-Systemen ist ein Ping standardmäßig erlaubt, aber nicht auf allen.

4. DNS-Auflösung (Für Namen, nicht Ping, aber wichtig)

Wenn der Ping mittels IP-Adresse funktioniert, aber der Ping mittels Hostname (z.B. ping mein-nas) nicht, dann liegt das Problem bei der DNS-Auflösung.

• Lösung: Im Wireguard-Peer auf der Fritzbox können Sie einen DNS-Server für das entfernte Netz eintragen. Dies sollte die IP-Adresse der *entfernten Fritzbox* sein.
  • Auf Fritzbox A: Tragen Sie unter „DNS-Server (optional)” die IP-Adresse von Fritzbox B ein, also 192.168.1.1.
  • Auf Fritzbox B: Tragen Sie unter „DNS-Server (optional)” die IP-Adresse von Fritzbox A ein, also 192.168.178.1.

  Diese Einstellung erlaubt es den Geräten, auch die Hostnamen der entfernten Fritzbox und der von ihr verwalteten Geräte korrekt aufzulösen.

5. Testen, Testen, Testen!

Nach jeder Änderung:

• Speichern Sie die Einstellungen auf der Fritzbox.
• Geben Sie dem System einen Moment Zeit, um die Änderungen zu übernehmen. Ein Neustart der Fritzbox ist in der Regel nicht nötig, kann aber bei hartnäckigen Problemen manchmal Wunder wirken.
• Führen Sie einen Ping-Test von einem Gerät in Netz A zu einem Gerät in Netz B (nach IP-Adresse) durch.
• Nutzen Sie auch den Befehl tracert (Windows) oder traceroute (Linux/macOS) zur Ziel-IP. Dieser Befehl zeigt Ihnen den Weg der Pakete an und kann aufzeigen, wo die Verbindung abbricht. Ideal sollte er durch die Wireguard-IP des eigenen Routers und dann die Wireguard-IP des entfernten Routers gehen, bevor er das Ziel erreicht.
• Überprüfen Sie die Ereignisse der Fritzbox (System > Ereignisse). Hier können Sie oft Hinweise auf Probleme mit der Wireguard-Verbindung oder dem Routing finden.

Zusammenfassung und Best Practices

Die Fritzbox Wireguard Verbindung zwischen zwei Netzen ist eine großartige Funktion, die aber an einigen Details scheitern kann. Die wichtigsten Punkte, die Sie überprüfen sollten, wenn der Ping nicht funktioniert, sind:

1. Eindeutige IP-Subnetze: Stellen Sie sicher, dass die lokalen IP-Bereiche beider Fritzboxen *unterschiedlich* sind (z.B. 192.168.178.0/24 und 192.168.1.0/24). Dies ist die absolute Grundvoraussetzung.
2. „Lokales Netzwerk (Heimnetz) mitsenden“: Auf beiden Fritzboxen aktivieren!
3. „IP-Adresse(n) des entfernten Netzes“: Hier gehört das *gesamte Subnetz* des entfernten lokalen Netzes hinein (z.B. 192.168.1.0/24), nicht die Wireguard-IP des Peers. Dies ist die häufigste Fehlerquelle.
4. Firewall der Endgeräte: Prüfen Sie, ob die Zielgeräte selbst Ping-Anfragen blockieren.

Mit diesen Schritten sollten Sie in der Lage sein, Ihre Wireguard-Verbindung zwischen zwei Fritzbox-Netzen erfolgreich zu etablieren und den Ping zu ermöglichen. Die Fritzbox als Wireguard-Server oder Client für eine Site-to-Site VPN-Verbindung ist eine leistungsstarke und sichere Lösung, sobald die Konfiguration korrekt ist. Nehmen Sie sich die Zeit, die Einstellungen sorgfältig zu prüfen, und Sie werden belohnt mit einem nahtlos verbundenen Netzwerk!

Fazit

Die Frustration über eine nicht funktionierende Netzwerkverbindung, insbesondere wenn alles „eigentlich” richtig aussieht, ist verständlich. Doch wie dieser Artikel zeigt, sind die Hürden bei der Wireguard Fritzbox Konfiguration oft nur Kleinigkeiten im Detail der Routing-Einstellungen. Mit etwas Geduld und den richtigen Handgriffen verwandeln Sie Ihre beiden isolierten Fritzbox-Netze in ein zusammenhängendes, sicher verbundenes System. Genießen Sie die Vorteile eines schnellen und sicheren Wireguard VPN-Tunnels direkt über Ihre AVM Fritzbox!