Kennen Sie das auch? Sie haben eine hochmoderne Glasfaserleitung, eine blitzschnelle FritzBox 5590, und freuen sich über atemberaubende Download-Geschwindigkeiten. Doch sobald Sie Ihren Wireguard-VPN aktivieren, um sicher auf Ihr Heimnetzwerk zuzugreifen oder Daten hochzuladen, macht sich Ernüchterung breit. Während der Download durch den VPN hindurch vielleicht noch zufriedenstellend ist, kriecht der Upload plötzlich nur noch mit einem Bruchteil der erwarteten Geschwindigkeit vor sich hin. Dieses Phänomen ist bei der FritzBox 5590 im Zusammenhang mit Wireguard leider weit verbreitet und sorgt bei vielen Nutzern für Kopfzerbrechen. Wir gehen der Sache auf den Grund und erklären, warum Ihr vermeintliches High-End-Gerät hier ins Straucheln gerät.
Wireguard: Der moderne VPN-Standard mit beeindruckendem Potenzial
Bevor wir uns dem Problem widmen, werfen wir einen kurzen Blick auf Wireguard selbst. Dieses vergleichsweise junge VPN-Protokoll hat sich in kurzer Zeit einen exzellenten Ruf erarbeitet. Es zeichnet sich durch seine extrem schlanke Codebasis, hohe Sicherheit und vor allem seine beeindruckende Performance aus. Im Vergleich zu älteren Protokollen wie OpenVPN oder IPsec benötigt Wireguard deutlich weniger Rechenleistung für die Verschlüsselung und ist oft um ein Vielfaches schneller. Es gilt als effizient und zukunftssicher. Das macht die Diskrepanz zwischen Erwartung und Realität bei der FritzBox 5590 umso frustrierender.
Die FritzBox 5590: Ein Glasfaser-Powerhouse – auf dem Papier
Die FritzBox 5590 ist AVMs Topmodell für Glasfaseranschlüsse und ein technisches Meisterwerk. Mit ihrem leistungsstarken Prozessor (oft ein Dual-Core- oder Quad-Core-SoC, je nach genauer Revision), Wi-Fi 6 (AX), 2,5-Gbit/s-LAN-Ports und einer intuitiven Benutzeroberfläche bringt sie alles mit, was man von einem modernen Router erwartet. Sie ist schnell, stabil und für die meisten Heimanwendungen, vom Streaming bis zum Online-Gaming, mehr als ausreichend dimensioniert. Auch die Integration von Wireguard als VPN-Server direkt in die FritzOS-Oberfläche ist ein großer Pluspunkt für viele Nutzer, die sich eine einfache und sichere Lösung wünschen. Doch gerade bei der Wireguard-Upload-Performance scheint dieses Kraftpaket seine Grenzen zu erreichen.
Das Phänomen „Ausgebremst”: Wenn der Upload zur Geduldsprobe wird
Viele Nutzer berichten von folgendem Szenario: Sie haben eine Glasfaserleitung mit beispielsweise 1 Gbit/s Download und 500 MBit/s Upload. Verbinden sie sich über Wireguard mit ihrer FritzBox 5590, erreichen sie beim Download problemlos 300-500 MBit/s oder mehr. Doch beim Upload sehen die Zahlen plötzlich ganz anders aus: Oft sind es nur 30, 40 oder 50 MBit/s – manchmal sogar noch weniger. Dies ist nur ein Bruchteil dessen, was die Leitung eigentlich hergibt und was man von einer modernen VPN-Lösung erwarten würde. Die große Frage ist: Warum?
Warum so langsam? Die technischen Hintergründe entschlüsselt
Die Gründe für die eingeschränkte Upload-Performance der FritzBox 5590 mit Wireguard sind vielschichtig und liegen tief in der Hardware, der Software-Implementierung und den architektonischen Entscheidungen des Herstellers begründet.
1. Die CPU als Flaschenhals (trotz scheinbarer Leistung)
Auch wenn die FritzBox 5590 eine leistungsstarke CPU besitzt, ist diese nicht primär für die hochintensive und kontinuierliche Kryptografie-Berechnung optimiert, die ein VPN-Server erfordert. Die Verschlüsselung und Entschlüsselung von Datenpaketen, insbesondere bei hohen Datenraten, ist eine sehr rechenintensive Aufgabe. Wireguard verwendet dabei den modernen ChaCha20-Poly1305-Algorithmus. Viele CPUs in Consumer-Routern verfügen über Hardware-Beschleunigung für AES-Verschlüsselung (z.B. AES-NI), die bei OpenVPN oder IPsec zum Einsatz kommt. Für ChaCha20-Poly1305 ist eine solche spezialisierte Hardware-Beschleunigung in Routern dieser Klasse jedoch selten oder gar nicht vorhanden. Das bedeutet, dass die FritzBox 5590 die gesamte Verschlüsselungsarbeit in Software auf der CPU erledigen muss, was diese stark belastet.
2. Single-Threaded Performance und die Natur von VPN-Implementierungen
Ein weiterer entscheidender Faktor ist, dass viele VPN-Implementierungen, auch die von Wireguard auf Consumer-Routern, oft nicht optimal für die Nutzung mehrerer CPU-Kerne (Multi-Threading) ausgelegt sind. Selbst wenn die FritzBox 5590 einen Mehrkernprozessor hat, kann es sein, dass die Wireguard-Verschlüsselung hauptsächlich auf einem einzigen Kern stattfindet. Wenn dieser eine Kern an seine Leistungsgrenze stößt, limitiert er die Gesamtgeschwindigkeit, selbst wenn andere Kerne noch ungenutzt sind. Der Upload ist dabei oft kritischer, da der Router hier die Datenpakete von Ihrem Client *aktiv* verschlüsseln und versenden muss, während der Download „nur” empfangen, entschlüsseln und weiterleiten muss.
3. AVMs Wireguard-Implementierung: Kernel- vs. Userspace-Performance
Wireguard ist standardmäßig so konzipiert, dass es direkt im Kernel des Betriebssystems läuft, was für maximale Performance sorgt. Dies minimiert den Overhead, der durch den Wechsel zwischen Kernel- und Userspace entsteht. Es ist jedoch nicht immer garantiert, dass die Implementierung durch einen Hersteller wie AVM diese Kernel-Integration in vollem Umfang und ohne zusätzliche Wrapper oder Software-Layer nutzt, die wiederum Performance kosten könnten. AVM muss Wireguard in ihr eigenes FritzOS integrieren, was zu Kompromissen führen kann, um Stabilität und Kompatibilität mit den anderen Funktionen des Routers zu gewährleisten.
4. Priorisierung und Ressourcenverteilung im FritzOS
Eine FritzBox ist ein Allrounder: Sie ist Telefonanlage, DSL/Glasfaser-Modem, WLAN-Access-Point, Medienserver, Firewall und vieles mehr. Alle diese Funktionen konkurrieren um die knappen Ressourcen der CPU und des Speichers. AVM muss hier Prioritäten setzen. Die VPN-Performance, insbesondere der Upload, mag dabei nicht die höchste Priorität genießen, da die meisten Heimanwender selten große Datenmengen über einen externen VPN-Zugang hochladen. Die Optimierung des Kern-Features – des Internetzugangs und des WLANs – steht in der Regel an erster Stelle. Dies führt dazu, dass für rechenintensive Aufgaben wie die Wireguard-Verschlüsselung bei voller Auslastung weniger Ressourcen zur Verfügung stehen, als man sich wünschen würde.
5. Der Netzwerk-Stack und weitere Software-Overheads
Neben der reinen Verschlüsselung muss der Router die Datenpakete auch durch seinen gesamten Netzwerk-Stack leiten: NAT (Network Address Translation), Firewall-Regeln, eventuelles QoS (Quality of Service) und die Anbindung an die WAN-Schnittstelle. Jede dieser Stufen kann einen kleinen Overhead verursachen, der sich bei hohen Datenraten summiert und die Performance zusätzlich drosselt.
Vergleich mit Alternativen: So geht’s auch anders
Um zu verdeutlichen, dass das Problem nicht bei Wireguard selbst liegt, lohnt sich ein Blick auf dedizierte Lösungen. Ein einfacher Raspberry Pi 4 oder ein anderer Mini-PC, der als reiner Wireguard-Server hinter der FritzBox betrieben wird, erreicht oft deutlich höhere Upload-Geschwindigkeiten – nicht selten über 200-300 MBit/s. Diese Geräte können die CPU-Ressourcen voll auf die VPN-Aufgabe konzentrieren und nutzen oft eine direktere Linux-Kernel-Implementierung von Wireguard, die für maximale Performance optimiert ist.
Lösungsansätze und Workarounds: Wie Sie das Beste herausholen können
Wenn Sie von der langsamen Wireguard-Upload-Geschwindigkeit Ihrer FritzBox 5590 betroffen sind, gibt es einige Möglichkeiten, die Situation zu verbessern oder die Einschränkungen zu umgehen:
1. Der dedizierte VPN-Server hinter der FritzBox (Empfehlung)
Dies ist die bei weitem effektivste Lösung. Installieren Sie einen Wireguard-Server auf einem separaten Gerät (z.B. einem Raspberry Pi, einem alten PC oder einem Thin Client), das dauerhaft in Ihrem Heimnetzwerk läuft. Sie müssen dann lediglich den Port für Wireguard (standardmäßig UDP 51820) in der FritzBox auf die IP-Adresse Ihres dedizierten VPN-Servers weiterleiten. Die FritzBox agiert dann nur noch als „Torwächter”, während die rechenintensive VPN-Arbeit von dem spezialisierten Gerät übernommen wird. Dies entlastet die FritzBox und bietet Ihnen die volle Wireguard-Performance.
2. Erwartungen anpassen
Für gelegentliche Zugriffe auf Ihr Smart Home, zum Abrufen von E-Mails oder für sicheres Banking ist die Wireguard-Performance der FritzBox 5590 in der Regel ausreichend. Wenn Sie jedoch regelmäßig große Dateien hochladen oder eine hohe Upload-Geschwindigkeit für andere Anwendungen benötigen, müssen Sie die Grenzen des Geräts akzeptieren oder auf einen dedizierten Server umsteigen.
3. Firmware-Updates abwarten (mit Vorsicht)
AVM pflegt seine Geräte vorbildlich und liefert regelmäßig Firmware-Updates. Es ist nicht ausgeschlossen, dass zukünftige Updates kleine Optimierungen in der Wireguard-Implementierung bringen könnten. Eine grundlegende Steigerung der Performance, die hardwarebedingte Limits aufhebt, ist jedoch unwahrscheinlich. Verlassen Sie sich daher nicht ausschließlich darauf.
4. Alternative VPN-Protokolle (weniger empfohlen)
Die FritzBox unterstützt auch andere VPN-Protokolle wie IPsec. Diese bieten unter Umständen eine andere Performance-Charakteristik, aber meist ist Wireguard in Bezug auf Effizienz und Geschwindigkeit immer noch überlegen, selbst wenn es auf der FritzBox gedrosselt ist. IPsec ist oft komplexer einzurichten und birgt eigene Performance-Fallen.
Fazit: Ein exzellenter Router mit einer spezifischen Schwäche
Die FritzBox 5590 ist zweifellos ein exzellenter Router und ein Meisterwerk der Integration. Sie bietet Komfort, Stabilität und eine beeindruckende Funktionsvielfalt für den Alltag eines Glasfaser-Haushalts. Ihre Wireguard-Upload-Performance ist jedoch eine spezifische Schwachstelle, die hauptsächlich auf die Rechenanforderungen der modernen Verschlüsselungsalgorithmen, die fehlende Hardware-Beschleunigung für ChaCha20-Poly1305 und die Multitasking-Natur des FritzOS zurückzuführen ist. Sie ist kein Totalausfall für Wireguard, aber auch kein High-Performance-VPN-Server.
Für anspruchsvolle Nutzer, die die volle Upload-Geschwindigkeit ihres Glasfaseranschlusses auch via VPN nutzen möchten, führt kaum ein Weg an einem dedizierten Wireguard-Server vorbei. Wer jedoch nur gelegentlich und für weniger bandbreitenintensive Aufgaben eine sichere Verbindung benötigt, wird mit der FritzBox 5590 und Wireguard durchaus glücklich werden können. Wichtig ist, die technischen Limits zu verstehen und die Erwartungen entsprechend anzupassen, um Frustration zu vermeiden.