TP-Link ER605 VPN Router hinter FritzBox: Wie Sie mit WireGuard mehr als nur die Router-IP von außen erreichbar machen

In der heutigen vernetzten Welt ist der sichere Zugriff auf das eigene Heim- oder Büronetzwerk von unterwegs unerlässlich. Viele setzen dabei auf ihre **FritzBox** als zentralen Router. Doch obwohl die FritzBox eine hervorragende All-in-One-Lösung ist, stößt ihre integrierte VPN-Funktionalität – oft beschränkt auf IPSec oder den proprietären Fritz!Fernzugang – an ihre Grenzen, wenn es um Flexibilität, Leistung oder die Unterstützung moderner Protokolle wie WireGuard geht. Hier kommt der TP-Link ER605 VPN Router ins Spiel, ein leistungsstarker und kostengünstiger Router, der sich perfekt eignet, um hinter einer FritzBox ein erweitertes Netzwerk mit moderner VPN-Technologie aufzubauen. Dieser Artikel zeigt Ihnen detailliert, wie Sie den ER605 mit WireGuard so konfigurieren, dass Sie von außen nicht nur den Router selbst, sondern Ihr gesamtes internes Netzwerk erreichen können.

Warum ein TP-Link ER605 hinter einer FritzBox sinnvoll ist

Die FritzBox ist in vielen deutschen Haushalten der Standard-Internetzugangsrouter. Sie bietet WLAN, Telefonie und grundlegende Netzwerkfunktionen. Für viele Anwender reicht das völlig aus. Wenn Sie jedoch spezifischere Anforderungen an Ihr Netzwerk haben, wie zum Beispiel:

• Die Nutzung von WireGuard für schnelle und sichere VPN-Verbindungen.
• Die Einrichtung komplexerer Firewall-Regeln.
• Die Segmentierung Ihres Netzwerks (VLANs).
• Ein dedizierter VPN-Server, der stets aktiv ist und mehr Kontrolle bietet.
• Den Zugriff auf mehrere Geräte und Dienste im internen Netzwerk (NAS, Smart Home Hubs, Server, Kameras) über eine einzige VPN-Verbindung.

… dann ist die Kombination aus FritzBox und einem spezialisierten VPN-Router wie dem TP-Link ER605 eine exzellente Wahl. Die FritzBox übernimmt weiterhin die Rolle des Internetzugangs und des WLAN-Access Points, während der ER605 die anspruchsvolleren Netzwerk- und VPN-Aufgaben übernimmt.

Die Vorteile von WireGuard

WireGuard hat sich in den letzten Jahren als das VPN-Protokoll der Wahl etabliert. Es ist bekannt für seine:

• Geschwindigkeit: Deutlich schneller als OpenVPN oder IPSec.
• Sicherheit: Nutzt moderne Kryptographie.
• Einfachheit: Sehr geringer Codeumfang, was die Angriffsfläche reduziert und die Konfiguration vereinfacht.
• Effizienz: Weniger Ressourcenverbrauch auf Client- und Serverseite.

Diese Eigenschaften machen WireGuard ideal für den Fernzugriff auf Ihr Heimnetzwerk, auch von mobilen Geräten aus.

Voraussetzungen für die Konfiguration

Bevor wir in die technischen Details eintauchen, stellen Sie sicher, dass Sie die folgenden Dinge bereit haben:

• Eine funktionierende FritzBox mit Internetzugang.
• Einen TP-Link ER605 VPN Router (Standalone oder über Omada SDN Controller).
• Einen Computer im Netzwerk zur Konfiguration beider Geräte.
• Grundlegende Netzwerkkenntnisse (IP-Adressen, Subnetze).
• Ein DynDNS-Dienst (z.B. MyFRITZ!, No-IP, DynDNS) oder eine feste öffentliche IP-Adresse, damit Ihr Heimnetzwerk immer unter einem festen Namen erreichbar ist.
• Optional: Ein Omada SDN Controller (Hardware oder Software) für eine zentralisierte Verwaltung des ER605. Die Konfiguration ist jedoch auch standalone möglich.

Schritt 1: Die FritzBox als Gateway konfigurieren

Die FritzBox agiert in unserem Setup als reines Modem mit WLAN und dient dem ER605 als Internet-Gateway. Der ER605 soll dabei alle eingehenden Anfragen für WireGuard verarbeiten.

Feste IP-Adresse für den ER605 in der FritzBox vergeben

Um eine stabile Verbindung und Portweiterleitung zu gewährleisten, sollte der TP-Link ER605 eine feste IP-Adresse im Netzwerk der FritzBox erhalten. Nehmen wir an, das LAN Ihrer FritzBox hat das Subnetz 192.168.1.0/24.

1. Melden Sie sich an Ihrer FritzBox-Oberfläche an (meist fritz.box).
2. Navigieren Sie zu Heimnetz > Netzwerk > Netzwerkverbindungen.
3. Suchen Sie den **TP-Link ER605** in der Liste der verbundenen Geräte. Er wird initial per DHCP eine IP erhalten haben.
4. Klicken Sie auf das Bearbeiten-Symbol (Stift) neben dem ER605.
5. Aktivieren Sie die Option Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen.
6. Wählen Sie eine freie IP-Adresse außerhalb des DHCP-Bereichs der FritzBox, z.B. 192.168.1.2. Speichern Sie die Einstellung.

Dynamischer DNS-Dienst in der FritzBox einrichten

Da Ihre öffentliche IP-Adresse sich ändern kann, ist ein DynDNS-Dienst unerlässlich. Die FritzBox kann diesen direkt verwalten.

1. Navigieren Sie in der FritzBox zu Internet > Freigaben > Dynamic DNS.
2. Aktivieren Sie Dynamic DNS benutzen.
3. Wählen Sie Ihren Anbieter aus und geben Sie Ihre Zugangsdaten ein.
4. Überprüfen Sie nach dem Speichern, ob der Status Dynamic DNS aktiviert anzeigt.

Diese DynDNS-Adresse (z.B. meinheimnetz.dyndns.org) wird später Ihr WireGuard-Client verwenden, um Ihr Heimnetzwerk zu finden.

Portweiterleitung (oder Exposed Host/DMZ) für WireGuard

Damit Anfragen von außen den **ER605** und somit den WireGuard-Server erreichen, müssen Sie den benötigten Port in der FritzBox weiterleiten. Standardmäßig nutzt WireGuard UDP Port 51820.

Option A: Portweiterleitung (Empfohlen)

1. Navigieren Sie in der FritzBox zu Internet > Freigaben > Portfreigaben.
2. Klicken Sie auf Neue Portfreigabe.
3. Wählen Sie Gerät für Freigaben hinzufügen und wählen Sie den TP-Link ER605 aus (mit seiner festen IP 192.168.1.2).
4. Klicken Sie auf Neue Freigabe und wählen Sie Portfreigabe.
5. Wählen Sie Andere Anwendung.
6. Geben Sie unter Bezeichnung „WireGuard” ein.
7. Wählen Sie unter Protokoll UDP.
8. Geben Sie bei Port von, bis und an Port jeweils 51820 ein.
9. Speichern Sie die Einstellungen.

Option B: Exposed Host (DMZ) (Nur für Fortgeschrittene oder bei Problemen)

Wenn Sie dem **ER605** die volle Kontrolle über alle eingehenden Verbindungen geben möchten, können Sie ihn als „Exposed Host” einrichten. Dies leitet *alle* Ports an den ER605 weiter. Seien Sie sich der Sicherheitsimplikationen bewusst.

1. Navigieren Sie in der FritzBox zu Internet > Freigaben > Portfreigaben.
2. Wählen Sie den **TP-Link ER605** aus der Liste der Geräte.
3. Aktivieren Sie die Option Dieses Gerät für den uneingeschränkten Zugriff aus dem Internet über die IPv4-Adresse des Routers freigeben (Exposed Host).
4. Speichern Sie die Einstellung.

Schritt 2: TP-Link ER605 als VPN-Server konfigurieren

Jetzt widmen wir uns der eigentlichen Netzwerkkonfiguration und dem WireGuard-Server auf dem **TP-Link ER605**. Der ER605 muss ein eigenes Subnetz für Ihr internes Netzwerk betreiben, das sich vom FritzBox-Subnetz unterscheidet.

Netzwerkkonfiguration des ER605

Verbinden Sie den WAN-Port des ER605 mit einem LAN-Port der FritzBox. Verbinden Sie Ihren Konfigurations-PC mit einem LAN-Port des ER605.

1. Melden Sie sich am Webinterface des ER605 an (Standard-IP ist oft 192.168.0.1 oder 192.168.1.1 – prüfen Sie die Doku). Wenn Sie den Omada SDN Controller nutzen, verbinden Sie den ER605 damit und konfigurieren ihn dort.
2. WAN-Konfiguration:
   • Navigieren Sie zu Network > WAN.
   • Stellen Sie sicher, dass der WAN-Typ auf Dynamic IP steht, damit der ER605 die IP-Adresse (z.B. 192.168.1.2) von der FritzBox erhält. Alternativ können Sie hier Static IP auswählen und manuell die zuvor in der FritzBox zugewiesene IP-Adresse 1992.168.1.2 mit Gateway 192.168.1.1 (FritzBox) eintragen. Dies ist oft stabiler.
3. LAN-Konfiguration (Internes Netzwerk):
   • Navigieren Sie zu Network > LAN.
   • Ändern Sie die IP-Adresse des ER605 für sein LAN auf ein **anderes Subnetz** als das der FritzBox. Zum Beispiel: Wenn die FritzBox 192.168.1.1 ist, setzen Sie den ER605 auf 192.168.2.1 mit dem Subnetz 255.255.255.0 (entspricht /24).
   • Aktivieren Sie den DHCP-Server für dieses LAN (z.B. von 192.168.2.100 bis 192.168.2.200), damit Geräte, die direkt am ER605 angeschlossen sind, automatisch eine IP erhalten.
4. Nach diesen Änderungen müssen Sie sich wahrscheinlich neu mit dem ER605 verbinden, da sich seine IP-Adresse geändert hat.

WireGuard Server Konfiguration auf dem ER605

Dieser Schritt ist entscheidend, um den Fernzugriff auf Ihr gesamtes internes Netzwerk zu ermöglichen.

1. Navigieren Sie im ER605-Interface zu VPN > WireGuard.
2. Aktivieren Sie den WireGuard VPN Server.
3. Interface erstellen:
   • Klicken Sie auf Add New oder Create Interface.
   • Geben Sie einen Namen ein (z.B. „WG_Server”).
   • Generieren Sie ein Private Key und den dazugehörigen Public Key (falls noch nicht geschehen). Speichern Sie diese Schlüssel sicher.
   • Geben Sie eine Server-IP-Adresse für den VPN-Tunnel an. Dies ist ein *eigenes* Subnetz, das nur für WireGuard-Verbindungen genutzt wird. Beispiel: 10.0.0.1/24.
   • Stellen Sie sicher, dass der Listen Port auf 51820 (UDP) eingestellt ist.
   • Speichern Sie das Interface.
4. Peer(s) hinzufügen (Ihre Client-Geräte):
   • Klicken Sie unter dem WireGuard-Interface auf Add New Peer.
   • Geben Sie einen Namen für den Client ein (z.B. „Mein_Smartphone”).
   • Geben Sie den Public Key des Clients ein. Diesen generieren Sie auf dem Client-Gerät (siehe nächster Schritt).
   • Bei Endpoint IP/Domain und Endpoint Port lassen Sie diese Felder leer, da der Client sich zum Server verbindet und der Server keine feste IP des Clients benötigt (ausser Sie hätten einen statischen Client, was selten ist).
   • Ganz wichtig: Unter Allowed IPs definieren Sie, welche IP-Bereiche der Client über den VPN-Tunnel erreichen darf. Um Ihr gesamtes internes Netzwerk zu erreichen, geben Sie hier ein: 10.0.0.X/32 (für die spezifische IP, die der Client im VPN-Tunnel haben soll, z.B. 10.0.0.2/32 für den ersten Client), gefolgt von Kommas und den Subnetzen, die er erreichen soll.
     • Um das interne ER605-Netzwerk zu erreichen: 192.168.2.0/24
     • Um auch das FritzBox-Netzwerk zu erreichen (falls gewünscht): 192.168.1.0/24
     • Wenn der Client über den VPN-Tunnel auch ins Internet soll (Full Tunneling): 0.0.0.0/0 (Dies leitet *allen* Client-Traffic durch Ihr Heimnetzwerk, auch Internetverkehr. Oft nicht gewünscht, wenn nur Heimnetzwerkzugriff benötigt wird.)

     Für den Zugriff auf das interne Netzwerk und die VPN-IP-Adresse des Clients sollte es beispielsweise so aussehen (für Client 1): 10.0.0.2/32, 192.168.2.0/24, 192.168.1.0/24

   • Speichern Sie den Peer. Wiederholen Sie dies für jeden Client.

Firewall-Regeln auf dem ER605

Damit WireGuard-Clients auf das interne LAN zugreifen können, müssen Sie möglicherweise entsprechende Firewall-Regeln auf dem **ER605** einrichten, falls diese nicht automatisch erstellt werden.

1. Navigieren Sie zu Security > Access Control > ACL (oder Firewall > ACL je nach Firmware/Omada Version).
2. Erstellen Sie eine Regel, die den Datenverkehr vom VPN-Interface (oder der WireGuard-IP-Range 10.0.0.0/24) zum LAN-Interface (192.168.2.0/24) erlaubt.
   • Source Type: IP Group/Range (10.0.0.0/24)
   • Destination Type: IP Group/Range (192.168.2.0/24)
   • Service: ANY
   • Action: Allow
3. In der Regel ist der Traffic zwischen VPN- und LAN-Schnittstellen auf dem ER605 standardmäßig erlaubt, wenn die Routing-Tabellen korrekt sind und Allowed IPs richtig gesetzt sind. Überprüfen Sie dies bei Problemen.

Schritt 3: WireGuard Client Konfiguration

Nun müssen Sie Ihre Client-Geräte (Smartphone, Laptop etc.) mit der WireGuard-App konfigurieren.

1. Laden Sie die WireGuard App für Ihr Betriebssystem herunter (Windows, macOS, Linux, Android, iOS).
2. Neues Tunnel-Profil erstellen:
   • Klicken Sie auf Tunnel hinzufügen oder Generate new keypair.
   • Geben Sie dem Tunnel einen Namen (z.B. „Heimnetz_VPN”).
   • Generieren Sie einen neuen Private Key und kopieren Sie den dazugehörigen Public Key. Dieser Public Key muss beim ER605-Server als Peer hinzugefügt werden (falls noch nicht geschehen).
   • Unter Adresse (Interface-Sektion des Clients): Weisen Sie dem Client eine freie IP-Adresse aus dem WireGuard-Tunnel-Subnetz zu, z.B. 10.0.0.2/32 (für den ersten Client).
   • Unter DNS-Server: Geben Sie die IP-Adresse Ihres ER605 (192.168.2.1) oder eines internen DNS-Servers ein. Wenn Sie keinen internen DNS-Server haben, können Sie auch öffentliche DNS-Server wie 1.1.1.1 oder 8.8.8.8 verwenden, um Namensauflösungen für Internetseiten zu ermöglichen. Für interne Namen sollten Sie den ER605 als DNS verwenden oder eine lokale DNS-Lösung wie Pi-hole.
3. Peer-Konfiguration (Verbindung zum ER605-Server):
   • Fügen Sie einen Peer hinzu.
   • Geben Sie den Public Key des ER605-WireGuard-Servers ein (den Sie bei der Server-Konfiguration generiert haben).
   • Unter Endpoint: Geben Sie Ihre DynDNS-Adresse der FritzBox und den WireGuard-Port ein, z.B. meinheimnetz.dyndns.org:51820.
   • Wichtig: Unter Allowed IPs definieren Sie, welche IP-Bereiche über diesen Tunnel geroutet werden sollen. Um Ihr internes ER605-Netzwerk zu erreichen, geben Sie hier ein: 192.168.2.0/24, 192.168.1.0/24, 10.0.0.0/24.
   • Wenn Sie den gesamten Traffic des Clients über den VPN-Tunnel leiten möchten (Full Tunneling), verwenden Sie 0.0.0.0/0.
   • Lassen Sie Persistent Keepalive leer oder setzen Sie es auf 25 Sekunden, um NAT-Timeouts zu vermeiden.
4. Speichern Sie das Client-Profil.

Schritt 4: Testen und Fehlerbehebung

Nachdem alles konfiguriert ist, ist es Zeit für den Test:

1. Deaktivieren Sie WLAN oder mobile Daten auf Ihrem Client und verbinden Sie sich über ein externes Netzwerk (z.B. Hotspot oder Mobilfunk).
2. Aktivieren Sie den WireGuard-Tunnel in der App.
3. Testen Sie den Zugriff:
   • Pingen Sie die IP des ER605 im internen Netz: ping 192.168.2.1
   • Pingen Sie ein anderes Gerät im ER605-LAN (z.B. Ihr NAS): ping 192.168.2.X
   • Versuchen Sie, auf Netzwerkfreigaben (SMB), Webinterfaces oder andere Dienste Ihrer internen Geräte zuzugreifen (z.B. \192.168.2.X oder http://192.168.2.X).
   • Wenn Sie auch das FritzBox-Netzwerk freigegeben haben: Pingen Sie ein Gerät im FritzBox-Netzwerk: ping 192.168.1.X.

Häufige Probleme und Lösungen

• Keine Verbindung zum WireGuard-Server:
  • Überprüfen Sie die FritzBox-Portweiterleitung (UDP 51820 an 192.168.1.2).
  • Stellen Sie sicher, dass der DynDNS-Dienst aktuell ist und die korrekte öffentliche IP-Adresse anzeigt.
  • Überprüfen Sie, ob der WireGuard-Server auf dem ER605 aktiv ist und den richtigen Port abhört.
  • Stellen Sie sicher, dass Sie den korrekten öffentlichen Schlüssel des Servers im Client und den öffentlichen Schlüssel des Clients auf dem Server hinterlegt haben.
• Verbindung steht, aber kein Zugriff auf interne Geräte:
  • Dies ist meist ein Problem mit den Allowed IPs. Überprüfen Sie diese sorgfältig auf dem Server *und* dem Client. Auf dem Client sollten alle Netzwerke enthalten sein, auf die Sie zugreifen möchten (z.B. 192.168.2.0/24, 192.168.1.0/24, 10.0.0.0/24). Auf dem Server müssen die Allowed IPs für den Client die *eigene* VPN-IP des Clients (10.0.0.2/32) und die internen Netzwerke (192.168.2.0/24, 192.168.1.0/24) enthalten.
  • Überprüfen Sie die Firewall-Regeln auf dem ER605: Ist der Traffic vom VPN-Netzwerk zum LAN-Netzwerk erlaubt?
  • Stellen Sie sicher, dass keine IP-Adresskonflikte zwischen dem VPN-Netz (10.0.0.0/24), dem ER605-LAN (192.168.2.0/24) und dem FritzBox-LAN (192.168.1.0/24) bestehen.
  • Prüfen Sie, ob die Geräte im internen Netzwerk auf Pings reagieren und ob ihre eigenen Firewalls den Zugriff zulassen.

Sicherheitshinweise und Best Practices

• Verwenden Sie immer starke, einzigartige Schlüsselpaare für Ihre WireGuard-Verbindungen.
• Geben Sie in den Allowed IPs nur die IP-Bereiche an, die Sie wirklich erreichen müssen, um die Angriffsfläche zu minimieren.
• Halten Sie die Firmware Ihres **ER605** und die WireGuard-Clients stets aktuell.
• Sichern Sie Ihre Konfigurationsdateien und Schlüssel sicher ab.
• Überlegen Sie, ob Sie den **ER605** in einem dedizierten VLAN oder einem anderen segmentierten Netzwerk einrichten möchten, um die Sicherheit weiter zu erhöhen.

Fazit

Die Kombination aus einer **FritzBox** und einem TP-Link ER605 VPN Router mit WireGuard bietet eine leistungsstarke und flexible Lösung für den sicheren Fernzugriff auf Ihr gesamtes Heim- oder Büronetzwerk. Indem Sie die FritzBox als Internet-Gateway und den ER605 als spezialisierten VPN-Server nutzen, profitieren Sie von den Vorteilen des schnellen und sicheren WireGuard-Protokolls und können auf alle Ihre internen Geräte und Dienste zugreifen – weit über die bloße Erreichbarkeit der Router-IP hinaus. Die anfängliche Konfiguration mag etwas aufwendiger erscheinen, doch die gewonnene Kontrolle, Sicherheit und Geschwindigkeit sind die Mühe definitiv wert.