Die Möglichkeit, von überall auf der Welt auf das eigene Heimnetzwerk zugreifen zu können, ist in unserer vernetzten Welt zu einem unverzichtbaren Bedürfnis geworden. Sei es, um auf persönliche Dateien zuzugreifen, Smart-Home-Geräte zu steuern oder einfach nur die Sicherheit des eigenen Netzwerks zu genießen, während man unterwegs ist. Doch wie realisiert man einen solchen **sicheren Fernzugriff**, ohne dabei unnötige Risiken einzugehen? Die Kombination aus einer leistungsstarken **Fritzbox 7590AX** und dem modernen VPN-Protokoll **Wireguard** bietet hierfür eine elegante und robuste Lösung.
In diesem umfassenden Leitfaden führen wir Sie Schritt für Schritt durch den Prozess, um Ihre **Fritzbox 7590AX Portfreigabe** für einen **Wireguard VPN Server** einzurichten. Wir werden die notwendigen Vorbereitungen, die Konfiguration des Servers und der Clients sowie wichtige Sicherheitshinweise detailliert behandeln. Machen Sie sich bereit, die Kontrolle über Ihr Heimnetzwerk zurückzugewinnen!
### Grundlagen verstehen: Warum ist das wichtig?
Bevor wir in die technischen Details eintauchen, ist es wichtig, die Vorteile und die Notwendigkeit dieser Lösung zu verstehen. Viele Nutzer greifen vielleicht auf unsichere Methoden wie RDP (Remote Desktop Protocol) direkt über eine Portfreigabe zu oder nutzen veraltete VPN-Protokolle. Dies birgt erhebliche Sicherheitsrisiken, da solche Verbindungen oft Ziel von Angreifern sind.
Ein Virtual Private Network (VPN) schafft einen verschlüsselten Tunnel durch das öffentliche Internet direkt in Ihr privates Netzwerk. Dadurch erscheinen Sie, als wären Sie physisch zu Hause, und Ihr gesamter Datenverkehr ist vor neugierigen Blicken geschützt.
**Warum Wireguard?**
**Wireguard** ist ein vergleichsweise neues VPN-Protokoll, das sich durch seine Einfachheit, hohe Geschwindigkeit und exzellente Sicherheit auszeichnet. Im Gegensatz zu älteren Protokollen wie OpenVPN oder IPsec benötigt Wireguard deutlich weniger Code, was es einfacher zu auditieren und weniger anfällig für Fehler macht. Es ist schnell, schlank und wurde für die moderne Internet-Architektur entwickelt.
**Warum Fritzbox 7590AX?**
Die **Fritzbox 7590AX** ist ein beliebtes und leistungsstarkes Premium-Modell von AVM, das als Herzstück vieler Heimnetzwerke dient. Sie bietet eine zuverlässige Hardware und eine benutzerfreundliche Oberfläche für die Netzwerkkonfiguration. Obwohl die Fritzbox selbst mittlerweile Wireguard direkt unterstützt (ab FRITZ!OS 7.50), konzentrieren wir uns hier auf das Szenario, bei dem ein dedizierter Wireguard-Server im Heimnetzwerk betrieben wird. Dies bietet oft mehr Flexibilität, Kontrolle über erweiterte Einstellungen und die Möglichkeit, spezielle Routing-Anforderungen zu erfüllen, die über die Standardfunktionen der Fritzbox hinausgehen. Außerdem kann ein dedizierter Server leistungsfähiger sein, falls viele Clients gleichzeitig verbunden sind oder hohe Datenraten anfallen.
**Die Rolle der Portfreigabe:**
Damit externe Wireguard-Clients Ihren VPN-Server im Heimnetzwerk erreichen können, muss Ihre **Fritzbox** wissen, wohin sie die eingehenden VPN-Anfragen weiterleiten soll. Genau hier kommt die **Portfreigabe** ins Spiel. Sie öffnet einen spezifischen „Port” in Ihrer Firewall und leitet den Datenverkehr, der diesen Port erreicht, an die interne IP-Adresse Ihres Wireguard-Servers weiter. Dies ist der kritische Schritt, um externe Verbindungen zu ermöglichen.
### Vorbereitung ist die halbe Miete: Was Sie benötigen
Bevor wir mit der Konfiguration beginnen, stellen Sie sicher, dass Sie die folgenden Dinge bereithalten:
1. **Ihre Fritzbox 7590AX:** Stellen Sie sicher, dass die Firmware auf dem neuesten Stand ist (mindestens FRITZ!OS 7.29 oder höher, besser noch 7.50 oder neuer, auch wenn wir den Server extern betreiben). Dies gewährleistet nicht nur die besten Funktionen, sondern auch die neuesten Sicherheitsupdates.
2. **Ein Gerät als Wireguard-Server:** Dies kann ein Raspberry Pi, ein NAS (Network Attached Storage) wie von Synology oder QNAP, ein alter PC oder ein virtualisierter Server sein. Wichtig ist, dass dieses Gerät eine feste interne IP-Adresse in Ihrem Heimnetzwerk hat (z.B. 192.168.178.100). Wir empfehlen die Verwendung eines Linux-basierten Systems für den Wireguard-Server, da die Konfiguration dort am einfachsten und am besten dokumentiert ist.
3. **DynDNS-Dienst:** Da Ihre öffentliche IP-Adresse sich ändern kann (insbesondere bei Kabel- oder DSL-Anschlüssen), benötigen Sie einen Dienst, der Ihre dynamische IP-Adresse einem festen Hostnamen zuordnet. Die Fritzbox unterstützt standardmäßig **MyFRITZ!**, was eine hervorragende Option ist. Alternativ können Sie auch Dienste wie No-IP, Dynu oder DuckDNS nutzen. Dieser Hostname (z.B. `ihrname.myfritz.net`) wird später von Ihren Clients verwendet, um Ihre Fritzbox zu finden.
4. **Wireguard-Software:** Installieren Sie die Wireguard-Software auf Ihrem Servergerät und auf allen Client-Geräten, die sich später verbinden sollen (Windows, macOS, Linux, Android, iOS).
5. **Grundlegendes Netzwerkverständnis:** Kenntnisse über IP-Adressen, Subnetze und das Konzept von Server und Client sind hilfreich.
### Schritt 1: Wireguard-Server aufsetzen (Beispiel: Debian/Ubuntu Linux)
Dieser Schritt erfolgt auf dem Gerät, das als Ihr Wireguard-Server dienen soll.
1. **Wireguard installieren:**
Öffnen Sie ein Terminal auf Ihrem Linux-Server und installieren Sie Wireguard:
„`bash
sudo apt update
sudo apt install wireguard
„`
2. **Schlüsselpaare generieren:**
Für den Server und jeden Client benötigen wir ein Paar aus privatem und öffentlichem Schlüssel. Generieren Sie diese für den Server:
„`bash
umask 077 # Stellt sicher, dass die Schlüssel nur vom Besitzer gelesen werden können
wg genkey | sudo tee /etc/wireguard/privatekey_server
sudo cat /etc/wireguard/privatekey_server | wg pubkey | sudo tee /etc/wireguard/publickey_server
„`
Notieren Sie sich den Inhalt von `publickey_server`.
3. **Wireguard-Konfiguration für den Server (`wg0.conf`):**
Erstellen Sie die Konfigurationsdatei für die Wireguard-Schnittstelle:
„`bash
sudo nano /etc/wireguard/wg0.conf
„`
Fügen Sie den folgenden Inhalt ein. Passen Sie `PrivateKey` mit dem zuvor generierten Server-Privatschlüssel an.
„`ini
[Interface]
PrivateKey =
Address = 10.0.0.1/24 # Dies ist die IP-Adresse des Servers im VPN-Netzwerk
ListenPort = 51820 # Der Port, auf dem Wireguard Verbindungen entgegennimmt (kann geändert werden)
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
# DNS-Server für VPN-Clients (z.B. Fritzbox oder externer DNS)
# DNS = 192.168.178.1
# Hier werden später die Peers (Clients) hinzugefügt
# [Peer]
# PublicKey =
# AllowedIPs = 10.0.0.2/32 # Die VPN-IP-Adresse dieses Clients
„`
**Erklärung der wichtigen Zeilen:**
* `Address = 10.0.0.1/24`: Dies ist das IP-Subnetz, das Wireguard für seine VPN-Verbindungen verwendet. Der Server erhält die IP `.1`. Stellen Sie sicher, dass dieses Subnetz nicht mit Ihrem Heimnetzwerk (z.B. 192.168.178.0/24) kollidiert.
* `ListenPort = 51820`: Dies ist der UDP-Port, auf dem der Wireguard-Server auf eingehende Verbindungen wartet. Diesen Port müssen Sie sich merken, da er später in der Fritzbox Portfreigabe verwendet wird. Aus Sicherheitsgründen können Sie hier auch einen anderen, unüblicheren Port (z.B. 49152-65535) wählen.
* `PostUp` / `PostDown`: Diese Befehle konfigurieren die Firewall (`iptables`) auf Ihrem Server. Sie sind entscheidend, damit VPN-Clients nicht nur den Server, sondern auch das gesamte Heimnetzwerk und das Internet über den VPN-Tunnel erreichen können. `eth0` muss gegebenenfalls durch den tatsächlichen Namen Ihrer Netzwerkschnittstelle (z.B. `enp0s3`) ersetzt werden, die zum Internet führt. Finden Sie den Namen mit `ip a`.
* `MASQUERADE`: Dieser Befehl sorgt für Network Address Translation (NAT), sodass der Server den Datenverkehr der VPN-Clients ins Heimnetzwerk oder Internet weiterleiten kann.
4. **IP-Forwarding aktivieren:**
Damit der Server Pakete zwischen seinen Netzwerkschnittstellen weiterleiten kann, muss IP-Forwarding im Kernel aktiviert sein.
„`bash
sudo nano /etc/sysctl.conf
„`
Entkommentieren (oder hinzufügen) Sie die Zeile:
„`
net.ipv4.ip_forward=1
„`
Speichern und anwenden:
„`bash
sudo sysctl -p
„`
5. **Wireguard-Dienst starten:**
„`bash
sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0
sudo systemctl status wg-quick@wg0
„`
Überprüfen Sie den Status. Es sollte `active (exited)` oder `active (running)` anzeigen. `wg show` zeigt die aktuelle Konfiguration und ob Peers verbunden sind (noch keine).
### Schritt 2: Die Fritzbox für Wireguard vorbereiten – Portfreigabe einrichten
Nun müssen Sie Ihrer **Fritzbox 7590AX** mitteilen, dass Anfragen auf dem gewählten Wireguard-Port (z.B. 51820) an Ihren Wireguard-Server weitergeleitet werden sollen.
1. **Anmeldung an der Fritzbox-Oberfläche:**
Öffnen Sie Ihren Webbrowser und navigieren Sie zur Adresse Ihrer Fritzbox (standardmäßig `http://fritz.box` oder `http://192.168.178.1`). Melden Sie sich mit Ihrem Kennwort an.
2. **Navigation zu den Portfreigaben:**
Im Menü links wählen Sie „Internet” > „Freigaben”. Gehen Sie zum Reiter „Portfreigaben”.
3. **Neue Portfreigabe hinzufügen:**
Klicken Sie auf „Gerät für Freigaben hinzufügen” oder „Neue Portfreigabe”.
* **Gerät auswählen:** Wählen Sie aus der Liste Ihr Wireguard-Servergerät aus. Es ist wichtig, dass dieses Gerät eine feste IP-Adresse hat (entweder manuell im Gerät oder über die Fritzbox-Netzwerkeinstellungen „Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen”).
* **Neue Portfreigabe:** Klicken Sie erneut auf „Neue Portfreigabe”.
* **Anwendung:** Wählen Sie „Andere Anwendung”.
* **Bezeichnung:** Geben Sie einen aussagekräftigen Namen ein, z.B. „Wireguard VPN”.
* **Protokoll:** Wählen Sie **UDP** (Wireguard verwendet UDP).
* **Von Port:** Geben Sie den externen Port ein, den die Fritzbox „abhören” soll (z.B. `51820`).
* **Bis Port:** Geben Sie den gleichen Port wie unter „Von Port” ein (z.B. `51820`).
* **An Port:** Geben Sie den internen Port ein, auf dem Ihr Wireguard-Server lauscht (dies ist der `ListenPort` aus Ihrer `wg0.conf`, also ebenfalls `51820`).
* **Speichern:** Klicken Sie auf „OK” oder „Übernehmen”, um die Portfreigabe zu speichern.
**Wichtiger Hinweis zur Sicherheit:** Eine Portfreigabe öffnet ein „Tor” in Ihrem Netzwerk. Stellen Sie sicher, dass nur die absolut notwendigen Ports freigegeben werden und dass der dahinterliegende Dienst (Ihr Wireguard-Server) sicher konfiguriert ist. Vermeiden Sie die Freigabe von Standard-Ports wie RDP (3389) oder SSH (22) direkt.
### Schritt 3: Wireguard-Clients konfigurieren
Nun müssen Sie die Geräte einrichten, von denen aus Sie auf Ihr Heimnetzwerk zugreifen möchten. Für jeden Client benötigen Sie eine eigene Konfiguration.
1. **Schlüsselpaare für den Client generieren:**
Generieren Sie für *jeden* Client ein eigenes Schlüsselpaar. Dies kann direkt auf dem Client-Gerät oder auf Ihrem Wireguard-Server erfolgen.
„`bash
# Für Client 1
wg genkey | tee privatekey_client1
cat privatekey_client1 | wg pubkey | tee publickey_client1
„`
Notieren Sie sich den öffentlichen Schlüssel jedes Clients.
2. **Client-Konfiguration auf dem Server hinzufügen:**
Öffnen Sie die Server-Konfigurationsdatei `sudo nano /etc/wireguard/wg0.conf` und fügen Sie für jeden Client einen `[Peer]`-Abschnitt hinzu. Ersetzen Sie die Platzhalter:
„`ini
# … (bestehende Server-Konfiguration) …
[Peer]
# Name des Clients (z.B. „Mein Smartphone”)
PublicKey =
AllowedIPs = 10.0.0.2/32 # Die VPN-interne IP-Adresse für diesen Client
# PersistentKeepalive = 25 # Optional: Hält die Verbindung bei NAT aktiv
[Peer]
# Name des zweiten Clients (z.B. „Mein Laptop”)
PublicKey =
AllowedIPs = 10.0.0.3/32 # Die VPN-interne IP-Adresse für diesen Client
# PersistentKeepalive = 25
„`
**Wichtig:** Nach dem Hinzufügen neuer Peers muss der Wireguard-Dienst auf dem Server neu gestartet werden, damit die Änderungen wirksam werden: `sudo systemctl restart wg-quick@wg0`.
3. **Client-Konfiguration für den Client erstellen (`client.conf`):**
Erstellen Sie auf *jedem Client-Gerät* eine Konfigurationsdatei. Die Datei kann einen beliebigen Namen haben, z.B. `smartphone.conf`.
„`ini
[Interface]
PrivateKey =
Address = 10.0.0.2/32 # Dies muss die AllowedIPs-Adresse aus dem Server-Peer-Eintrag sein
DNS = 192.168.178.1 # DNS-Server Ihres Heimnetzes (oft die IP der Fritzbox)
[Peer]
PublicKey =
Endpoint = ihre.dyndns.adresse.net:51820 # Ihre DynDNS-Adresse und der Port der Portfreigabe
AllowedIPs = 0.0.0.0/0 # Sendet den gesamten Traffic durch den VPN-Tunnel
# Wenn Sie nur auf Ihr Heimnetz zugreifen möchten, aber nicht den gesamten Traffic tunneln:
# AllowedIPs = 192.168.178.0/24, 10.0.0.0/24 # Beispiel für Fritzbox-Netz und VPN-Netz
PersistentKeepalive = 25 # Hilft bei NAT-Routern die Verbindung aufrechtzuerhalten
„`
**Erklärung der wichtigen Zeilen:**
* `Address`: Die VPN-interne IP des Clients, die dem `AllowedIPs` Eintrag des Clients auf dem Server entsprechen muss.
* `DNS`: Die IP-Adresse Ihres DNS-Servers im Heimnetz (meistens die IP der Fritzbox, `192.168.178.1`).
* `Endpoint`: Hier kommt Ihr DynDNS-Hostname und der Port ins Spiel. Die Clients nutzen diese Adresse, um Ihre Fritzbox und damit den Wireguard-Server zu finden.
* `AllowedIPs = 0.0.0.0/0`: Diese Einstellung bewirkt, dass der *gesamte* Internetverkehr des Clients durch den VPN-Tunnel geleitet wird. Ihre öffentliche IP-Adresse erscheint dann als die Ihres Heimnetzwerks. Wenn Sie dies nicht möchten und nur Zugriff auf Ihr Heimnetz benötigen, ersetzen Sie dies durch die spezifischen Subnetze (z.B. `192.168.178.0/24` für das Fritzbox-Netz und `10.0.0.0/24` für das Wireguard-Netz).
* `PersistentKeepalive = 25`: Sendet alle 25 Sekunden einen „Keepalive”-Paket, um die NAT-Verbindung aktiv zu halten, besonders nützlich, wenn sich der Client hinter einem NAT-Router befindet oder sich häufig bewegt.
4. **Client-Software einrichten:**
* **Desktop (Windows, macOS, Linux):** Installieren Sie die offizielle Wireguard-App. Importieren Sie die `.conf`-Datei.
* **Mobil (Android, iOS):** Installieren Sie die Wireguard-App. Die meisten Apps ermöglichen den Import per QR-Code. Um einen QR-Code zu generieren, installieren Sie auf Ihrem Linux-Server `qrencode` (`sudo apt install qrencode`) und führen Sie aus:
„`bash
sudo apt install qrencode # falls noch nicht installiert
wg-quick strip wg0.conf | qrencode -t ansiutf8 # Zeigt den QR-Code im Terminal an
# Oder für eine Bilddatei:
wg-quick strip wg0.conf | qrencode -o client1_config.png
„`
Importieren Sie die Konfiguration in der mobilen App über den QR-Code oder indem Sie die Datei manuell kopieren.
### Schritt 4: Verbindung testen und absichern
Nachdem alles eingerichtet ist, ist es Zeit, die Verbindung zu testen.
1. **Verbindung testen:**
Deaktivieren Sie WLAN auf Ihrem Mobilgerät und verbinden Sie sich über das Mobilfunknetz (oder verbinden Sie sich von einem externen Netzwerk aus). Starten Sie die Wireguard-VPN-Verbindung auf Ihrem Client.
* **Ping testen:** Versuchen Sie, die IP-Adresse Ihrer Fritzbox (192.168.178.1) oder eines anderen Geräts in Ihrem Heimnetz (z.B. Ihren Wireguard-Server 192.168.178.X) zu pingen. Wenn der Ping erfolgreich ist, funktioniert die VPN-Verbindung.
* **Internet-Zugriff testen (bei `AllowedIPs = 0.0.0.0/0`):** Besuchen Sie eine Website wie `www.whatismyip.com`. Die angezeigte IP-Adresse sollte die öffentliche IP-Adresse Ihrer Fritzbox sein, nicht die Ihres Mobilfunkanbieters.
2. **Absicherung und Wartung:**
* **Fritzbox-Firmware:** Halten Sie Ihre **Fritzbox 7590AX**-Firmware immer auf dem neuesten Stand, um von Sicherheitsupdates zu profitieren.
* **Wireguard-Software:** Aktualisieren Sie auch die Wireguard-Software auf Ihrem Server und Ihren Clients regelmäßig.
* **Server-Firewall:** Stellen Sie sicher, dass auf Ihrem Wireguard-Server nur die notwendigen Ports geöffnet sind. Für den Zugriff von außen sollte nur der Wireguard-UDP-Port offen sein. Eine zusätzliche Firewall wie `ufw` (Uncomplicated Firewall) unter Linux kann dabei helfen.
* **Schlüsselverwaltung:** Behandeln Sie Ihre privaten Schlüssel wie streng geheime Passwörter. Kompromittierte Schlüssel erfordern eine Neugenerierung und Neukonfiguration aller betroffenen Peers.
* **DynDNS:** Überprüfen Sie, ob Ihr DynDNS-Dienst korrekt aktualisiert wird, falls sich Ihre öffentliche IP-Adresse ändert. MyFRITZ! übernimmt dies in der Regel automatisch und zuverlässig.
* **Port-Obfuskation:** Obwohl der Wireguard-Port standardmäßig 51820 ist, können Sie aus „Security by Obscurity”-Gründen einen anderen, weniger üblichen Port wählen. Ändern Sie dazu den `ListenPort` in der Server-Konfiguration und passen Sie die Portfreigabe in der Fritzbox sowie den `Endpoint` in den Client-Konfigurationen an.
### Troubleshooting: Wenn es nicht klappt
Sollten Probleme auftreten, gehen Sie systematisch vor:
* **Fritzbox-Log prüfen:** In der Fritzbox-Oberfläche unter „System” > „Ereignisse” können Sie sehen, ob es Probleme mit der Internetverbindung, DynDNS oder der Portfreigabe gibt.
* **Wireguard-Server-Logs:** Auf Ihrem Linux-Server können Sie die Wireguard-Logs einsehen: `sudo journalctl -u wg-quick@wg0`.
* **Firewall auf dem Server:** Ist die Firewall auf Ihrem Wireguard-Server (z.B. `ufw` oder `iptables`) korrekt konfiguriert und erlaubt sie den Wireguard-Traffic (UDP, der gewählte Port)? Deaktivieren Sie diese testweise, um sie als Fehlerquelle auszuschließen (nicht für den Dauerbetrieb!).
* **IP-Adressen und Subnetze:** Stimmen alle IP-Adressen und Subnetzmasken in den Konfigurationsdateien überein? Kollidiert das Wireguard-Subnetz (z.B. 10.0.0.0/24) nicht mit Ihrem Heimnetzwerk?
* **Schlüsselpaare:** Haben Sie die richtigen öffentlichen und privaten Schlüssel an den richtigen Stellen verwendet? Ein häufiger Fehler ist die Vertauschung von Public und Private Keys oder die Verwendung des Client Public Keys anstelle des Server Public Keys im Client.
* **DynDNS-Auflösung:** Lässt sich Ihr DynDNS-Hostname von außen korrekt auflösen? Testen Sie dies mit `nslookup ihre.dyndns.adresse.net` von einem externen Netz aus.
* **Reboot:** Manchmal hilft ein Neustart des Wireguard-Servers oder sogar der Fritzbox, um temporäre Probleme zu lösen.
### Fazit
Mit dieser detaillierten Anleitung haben Sie nun die Möglichkeit, einen robusten und **sicheren Fernzugriff** auf Ihr Heimnetzwerk mit Ihrer **Fritzbox 7590AX** und einem **Wireguard VPN Server** einzurichten. Sie profitieren von der Geschwindigkeit und Sicherheit von Wireguard und behalten die volle Kontrolle über Ihre Daten. Ob für Home-Office, den Zugriff auf Ihr Smart Home oder den sicheren Dateizugriff – die Investition in diese Konfiguration zahlt sich in puncto Sicherheit und Komfort aus. Nehmen Sie die Kontrolle über Ihr digitales Zuhause selbst in die Hand!