Stellen Sie sich vor: Sie sind unterwegs, weit weg von Zuhause, und möchten auf Ihr gesamtes Heimnetzwerk zugreifen. Nicht nur auf die Fritz.Box selbst oder ein paar Geräte im Hauptnetz, sondern auf ein komplettes zweites Subnetz, wo Ihre Smart-Home-Zentrale, Ihr NAS-Server oder Ihre Entwicklungsumgebung residiert. Klingt wie ein Traum? Mit WireGuard VPN und Ihrer bewährten Fritz.Box als Türsteher kann dieser Traum Wirklichkeit werden!
Viele Fritz.Box-Nutzer kennen die integrierte VPN-Funktion. Sie ist praktisch, aber oft auf das Hauptnetz der Fritz.Box beschränkt. Wenn Sie jedoch ein komplexeres Setup mit einem Router hinter der Fritz.Box betreiben, der ein eigenes Subnetz aufspannt – zum Beispiel 192.168.1.0/24 hinter einer Fritz.Box mit 192.168.178.0/24 –, dann stehen Sie vor einer Herausforderung. Hier kommt WireGuard ins Spiel: Ein modernes, schnelles und sicheres VPN-Protokoll, das sich perfekt eignet, um diese Lücke zu schließen und Ihnen den vollständigen Zugriff zu ermöglichen.
Dieser detaillierte Leitfaden führt Sie Schritt für Schritt durch die Konfiguration. Wir zeigen Ihnen, wie Sie Ihre Fritz.Box so einrichten, dass sie als „Gateway” für Ihr WireGuard-VPN fungiert und somit den Weg zu Ihrem gesamten Heimnetzwerk – einschließlich des zweiten Subnetzes – ebnet. Machen Sie sich bereit, die volle Kontrolle über Ihr Heimnetzwerk zu erlangen, egal wo Sie sind!
Grundlagen: Was Sie wissen sollten
Bevor wir in die Tiefen der Konfiguration eintauchen, ist es wichtig, einige grundlegende Konzepte zu verstehen. Ein solides Netzwerkkonzept ist der Schlüssel zum Erfolg.
Die Fritz.Box als VPN-Server – und ihre Grenzen
Die Fritz.Box ist ein hervorragender Router für den Heimgebrauch. Ihre integrierte VPN-Funktion (oft auf IPsec basierend oder bei neueren Modellen auch mit WireGuard für den Direktzugriff auf die Fritz.Box selbst) ist einfach zu konfigurieren. Doch für Szenarien, in denen Sie ein *gesamtes, separates Subnetz* hinter einem zweiten Router erreichen möchten, stößt sie an ihre Grenzen. Die Fritz.Box weiß von Haus aus nichts von diesem zweiten Subnetz und kann somit keine Routen dorthin anbieten. Hier müssen wir mit einer geschickten Kombination aus WireGuard VPN und einer statischen Route in der Fritz.Box nachhelfen.
WireGuard: Der moderne VPN-Standard
WireGuard ist ein relativ neues, aber revolutionäres VPN-Protokoll. Es ist bekannt für seine Geschwindigkeit, Effizienz und die schlanke Codebasis. Im Gegensatz zu älteren Protokollen wie OpenVPN ist es extrem ressourcenschonend, was es ideal für den Einsatz auf kleinen Geräten wie einem Raspberry Pi macht. Es basiert auf modernster Kryptografie und bietet eine hohe Sicherheit. Für unser Vorhaben werden wir einen dedizierten WireGuard-Server in Ihrem Heimnetzwerk einrichten, der dann als Brücke zwischen Ihrem externen Gerät und dem zweiten Subnetz dient.
Das Netzwerkkonzept: Keine überlappenden Subnetze!
Dies ist der absolut wichtigste Punkt: Ihre Subnetze dürfen sich nicht überlappen! Ein typisches Setup könnte so aussehen:
- Fritz.Box-Netzwerk (LAN 1):
192.168.178.0/24(Die Fritz.Box selbst hat oft192.168.178.1) - Zweites Subnetz (LAN 2):
192.168.1.0/24(Ihr zweiter Router hat z.B.192.168.178.20im Fritz.Box-Netz und ist der Gateway für192.168.1.1im LAN 2) - WireGuard VPN-Netzwerk:
10.0.0.0/24(Dies ist das virtuelle Netz, das WireGuard aufspannt)
Wenn sich diese Subnetze überlappen, kommt es zu Routing-Problemen und das VPN wird nicht funktionieren. Überprüfen Sie unbedingt Ihre Konfiguration, bevor Sie beginnen!
Voraussetzungen
- Fritz.Box: Ein aktuelles Modell mit der neuesten Firmware.
- Zweiter Router/Gerät: Ein Gerät in Ihrem Heimnetzwerk, das als WireGuard-Server fungieren kann (z.B. ein Raspberry Pi, ein alter PC mit Linux, ein NAS mit Docker/WireGuard-Unterstützung oder ein OpenWRT-Router). Dieses Gerät muss eine Netzwerkschnittstelle im Fritz.Box-Netzwerk haben und im Idealfall eine weitere, die Zugang zu Ihrem zweiten Subnetz hat, oder es muss so konfiguriert sein, dass es Routen in das zweite Subnetz kennt. In unserem Beispiel gehen wir davon aus, dass der WireGuard-Server *direkt* im Fritz.Box-Netzwerk steht und über die Fritz.Box zu einem *anderen* Router routen muss, der das zweite Subnetz aufspannt.
- WireGuard Client: Die WireGuard-App auf Ihrem Smartphone, Laptop oder einem anderen externen Gerät.
- Grundlegende Linux-Kenntnisse: Für die Konfiguration des WireGuard-Servers.
- Dynamischer DNS (DDNS): Falls Sie keine feste öffentliche IP-Adresse besitzen, ist ein DDNS-Dienst unerlässlich, damit Ihr externer Client Ihre Fritz.Box immer finden kann.
Schritt-für-Schritt-Anleitung: Die Konfiguration
Folgen Sie diesen Schritten sorgfältig, um Ihr Ziel zu erreichen.
1. Vorbereitung in der Fritz.Box
A. IP-Adressen und Subnetze planen
Nehmen wir unser Beispiel:
- Fritz.Box-Netz (LAN 1):
192.168.178.0/24 - WireGuard Server (im LAN 1): Eine feste IP-Adresse, z.B.
192.168.178.100 - Zweiter Router (im LAN 1): Der Router, der Ihr zweites Subnetz aufspannt, hat ebenfalls eine IP im Fritz.Box-Netz, z.B.
192.168.178.20. Dieser Router ist gleichzeitig der Gateway für sein eigenes Subnetz192.168.1.0/24. - Zweites Subnetz (LAN 2):
192.168.1.0/24 - WireGuard VPN-Netz:
10.0.0.0/24 - WireGuard Server IP (im VPN-Netz):
10.0.0.1 - WireGuard Client IP (im VPN-Netz):
10.0.0.2
B. Statische IP für den WireGuard Server zuweisen
Damit Ihre Portfreigabe und die statische Route immer funktionieren, muss Ihr WireGuard Server (z.B. der Raspberry Pi) immer die gleiche interne IP-Adresse erhalten. Gehen Sie in der Fritz.Box-Oberfläche (meist fritz.box) zu:
Heimnetz > Netzwerk > Netzwerkverbindungen
Suchen Sie Ihr Gerät (z.B. „raspberrypi”) und klicken Sie auf den Bearbeiten-Stift. Aktivieren Sie die Option "Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen." und speichern Sie. Überprüfen Sie, ob die zugewiesene IP-Adresse der von Ihnen geplanten entspricht (z.B. 192.168.178.100).
C. Portfreigabe für WireGuard einrichten
Damit der WireGuard Client aus dem Internet Ihren WireGuard Server erreichen kann, müssen Sie den WireGuard UDP-Port (Standard ist 51820) in der Fritz.Box auf Ihren WireGuard Server weiterleiten. Gehen Sie zu:
Internet > Freigaben > Portfreigaben
Klicken Sie auf "Gerät für Freigaben hinzufügen" oder "Neue Portfreigabe":
- Gerät: Wählen Sie hier Ihren WireGuard Server (z.B. Raspberry Pi mit
192.168.178.100). - Anwendung: Wählen Sie „Andere Anwendung”.
- Bezeichnung: WireGuard VPN
- Protokoll: UDP
- Port extern: 51820 (oder ein anderer, von Ihnen gewählter Port)
- Port intern: 51820 (muss dem Port entsprechen, den Ihr WireGuard Server später verwendet)
Speichern Sie die Einstellung. Es ist absolut wichtig, dass der *externe* und *interne* Port übereinstimmen und dass es sich um UDP handelt.
D. Statische Route auf der Fritz.Box hinzufügen (Der entscheidende Schritt!)
Damit die Fritz.Box weiß, wie sie Pakete zu Ihrem zweiten Subnetz (192.168.1.0/24) schicken soll, die vom WireGuard VPN kommen, müssen Sie eine statische Route hinzufügen. Gehen Sie zu:
Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4-Routen
Klicken Sie auf "Neue IPv4-Route":
- IP-Netzwerk:
192.168.1.0(Das Ziel-Subnetz, das Sie über VPN erreichen möchten) - Subnetzmaske:
255.255.255.0 - Gateway:
192.168.178.20(Die IP-Adresse Ihres *zweiten Routers* im Fritz.Box-Netzwerk. Die Fritz.Box weiß dann, dass sie alle Pakete für192.168.1.xan diesen Router schicken muss.)
Speichern Sie die Route. Dieser Schritt ist fundamental, denn ohne ihn kennt die Fritz.Box den Weg zu Ihrem zweiten Subnetz nicht.
E. Dynamischer DNS (Optional, aber empfohlen)
Wenn Sie keine feste öffentliche IP-Adresse haben, richten Sie einen DDNS-Dienst in der Fritz.Box ein:
Internet > Zugangsdaten > DynDNS
Wählen Sie einen Anbieter (z.B. No-IP, DynDNS) und geben Sie Ihre Daten ein. Ihre Fritz.Box meldet dann Ihre aktuelle öffentliche IP-Adresse an den DDNS-Dienst, sodass Ihr WireGuard Client immer die korrekte Adresse kennt.
2. WireGuard Server einrichten (z.B. auf einem Raspberry Pi)
Verbinden Sie sich via SSH mit Ihrem WireGuard Server (z.B. ssh [email protected]).
A. WireGuard installieren
Aktualisieren Sie Ihr System und installieren Sie WireGuard:
sudo apt update
sudo apt upgrade -y
sudo apt install wireguard -y
B. Schlüsselpaare generieren
Jeder Peer (Server und Client) benötigt ein privates und ein öffentliches Schlüsselpaar.
cd /etc/wireguard/
umask 077 # Stellt sicher, dass die Schlüssel nur für Root lesbar sind
wg genkey | tee privatekey_server | wg pubkey > publickey_server
Notieren Sie sich den Inhalt von privatekey_server und publickey_server. Sie werden diese später benötigen.
C. WireGuard Server Konfigurationsdatei erstellen
Erstellen Sie die Konfigurationsdatei für den WireGuard Server unter /etc/wireguard/wg0.conf:
sudo nano /etc/wireguard/wg0.conf
Fügen Sie folgenden Inhalt ein:
[Interface]
# Die private IP des WireGuard Servers im VPN-Netz
Address = 10.0.0.1/24
# Der UDP-Port, auf dem der WireGuard Server lauscht
ListenPort = 51820
# Der private Schlüssel des Servers
PrivateKey = [Inhalt von privatekey_server hier einfügen]
# PostUp/PostDown-Skripte für NAT und IP-Weiterleitung
# Erlaubt das Weiterleiten von Paketen und maskiert die VPN-Client-IP hinter der Server-IP
# Ersetzen Sie 'eth0' durch das Netzwerkinterface Ihres Servers, das mit der Fritz.Box verbunden ist
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
# Der öffentliche Schlüssel Ihres WireGuard Clients
PublicKey = [Öffentlicher Schlüssel Ihres Clients hier einfügen]
# Die private IP-Adresse des Clients im VPN-Netz
AllowedIPs = 10.0.0.2/32
Wichtig: Ersetzen Sie [Inhalt von privatekey_server hier einfügen] und [Öffentlicher Schlüssel Ihres Clients hier einfügen] durch die tatsächlichen Werte. Das Interface für PostUp/PostDown (eth0) sollte dasjenige sein, das die Verbindung zur Fritz.Box herstellt. Dies können Sie mit ip a überprüfen.
D. IP-Forwarding aktivieren
Damit der WireGuard Server Pakete zwischen seinen Netzwerkschnittstellen weiterleiten kann, muss IP-Forwarding aktiviert sein. Bearbeiten Sie die Datei /etc/sysctl.conf:
sudo nano /etc/sysctl.conf
Suchen Sie die Zeile #net.ipv4.ip_forward=1 und entfernen Sie das #, sodass die Zeile so aussieht:
net.ipv4.ip_forward=1
Speichern und schließen Sie die Datei. Wenden Sie die Änderung an:
sudo sysctl -p
E. WireGuard starten und aktivieren
Starten Sie den WireGuard-Dienst und aktivieren Sie ihn, damit er beim Systemstart automatisch geladen wird:
sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0
Überprüfen Sie den Status:
sudo wg show
Sie sollten die Konfiguration mit Ihren Schlüsseln und Peers sehen.
3. WireGuard Client konfigurieren (auf Ihrem Remote-Gerät)
Installieren Sie die WireGuard-App auf Ihrem externen Gerät (Smartphone, Laptop, Tablet).
A. Schlüsselpaare generieren
Generieren Sie auf Ihrem Client ebenfalls ein Schlüsselpaar. Die WireGuard-Apps bieten oft eine Funktion dazu. Notieren Sie sich den privaten und öffentlichen Schlüssel des Clients.
B. Konfigurationsdatei erstellen
Erstellen Sie eine neue WireGuard-Konfiguration. Die Benutzeroberfläche der Apps variiert, aber die Parameter sind dieselben:
[Interface]
# Die private IP des Clients im VPN-Netz
Address = 10.0.0.2/32
# Der private Schlüssel des Clients
PrivateKey = [Inhalt von privatekey_client hier einfügen]
# Optional: Ein DNS-Server im Heimnetz oder ein öffentlicher DNS
DNS = 192.168.178.1 (Fritz.Box) oder 8.8.8.8 (Google)
[Peer]
# Der öffentliche Schlüssel Ihres WireGuard Servers
PublicKey = [Öffentlicher Schlüssel Ihres Servers hier einfügen]
# Der Endpunkt Ihres Servers (Ihre öffentliche IP oder DDNS-Adresse der Fritz.Box und der Port)
Endpoint = Ihr_DDNS_Name_oder_öffentliche_IP:51820
# WICHTIG: Alle Subnetze, die Sie erreichen möchten!
# Das WireGuard-Netz, das Fritz.Box-Netz und das zweite Subnetz
AllowedIPs = 10.0.0.0/24, 192.168.178.0/24, 192.168.1.0/24
# Hält die Verbindung bei NAT-Routern stabil (optional, aber empfohlen)
PersistentKeepalive = 25
Ersetzen Sie die Platzhalter durch Ihre tatsächlichen Werte. Der AllowedIPs-Eintrag ist hier von entscheidender Bedeutung: Er sagt Ihrem Client, welche IP-Adressbereiche über das VPN geroutet werden sollen. Wenn Sie Ihr gesamtes Internet über das VPN leiten möchten, setzen Sie AllowedIPs = 0.0.0.0/0.
C. Verbindung herstellen
Aktivieren Sie das WireGuard-VPN auf Ihrem Client. Es sollte sich mit Ihrem Server verbinden.
Fehlerbehebung und Tipps
- IP-Konflikte: Überprüfen Sie erneut, ob sich Ihre Subnetze (Fritz.Box-Netz, zweites Subnetz, WireGuard-VPN-Netz) nicht überlappen. Dies ist die häufigste Fehlerquelle!
- Firewall auf dem Server: Wenn Sie eine zusätzliche Firewall (z.B. UFW) auf Ihrem WireGuard Server verwenden, stellen Sie sicher, dass UDP-Port 51820 und der gesamte WireGuard-Interface-Traffic erlaubt sind.
- Portfreigabe: Ist die Portfreigabe in der Fritz.Box korrekt auf die statische IP des WireGuard Servers eingerichtet und das Protokoll UDP?
- Statische Route: Ist die statische Route in der Fritz.Box korrekt konfiguriert? Zielnetz, Subnetzmaske und Gateway müssen stimmen. Das Gateway ist die IP des zweiten Routers im Fritz.Box-Netz!
- AllowedIPs auf dem Client: Haben Sie alle gewünschten Subnetze in den
AllowedIPsdes Clients aufgeführt? - IP-Forwarding: Ist
net.ipv4.ip_forward=1auf dem WireGuard Server wirklich aktiv? - Logs prüfen: Auf dem WireGuard Server können Sie nützliche Informationen mit
sudo journalctl -u wg-quick@wg0 -fodersudo wg showerhalten. - Ping-Test: Pingen Sie vom Client aus IPs im Fritz.Box-Netz (z.B.
192.168.178.1) und dann IPs im zweiten Subnetz (z.B.192.168.1.1oder andere Geräte).
Sicherheitshinweise
- Verwenden Sie starke, einzigartige Schlüssel für Ihre WireGuard-Peers.
- Halten Sie Ihren WireGuard Server (z.B. Raspberry Pi) immer auf dem neuesten Stand (
sudo apt update && sudo apt upgrade). - Geben Sie auf der Fritz.Box nur die unbedingt notwendigen Ports frei.
- Beschränken Sie den Zugriff auf Ihren WireGuard Server über SSH auf Schlüssel-Authentifizierung statt Passwörter.
Fazit
Herzlichen Glückwunsch! Wenn Sie diesen Schritten gefolgt sind, haben Sie nun ein leistungsstarkes und sicheres WireGuard VPN eingerichtet, das Ihnen den vollen Zugriff auf Ihr gesamtes Heimnetzwerk ermöglicht, einschließlich des zweiten Subnetzes hinter Ihrer Fritz.Box. Diese Konfiguration überwindet die standardmäßigen Einschränkungen und bietet Ihnen maximale Flexibilität und Kontrolle über Ihre Smart-Home-Geräte, Server oder andere Netzwerkressourcen, egal wo auf der Welt Sie sich befinden.
Die Kombination aus der robusten Fritz.Box und dem schlanken, schnellen WireGuard VPN ist eine ideale Lösung für fortgeschrittene Heimnetzwerk-Nutzer. Es erfordert zwar etwas mehr Initialaufwand und Verständnis für Netzwerkkonzepte, aber die Vorteile – Sicherheit, Geschwindigkeit und umfassender Zugriff – sind diesen Aufwand mehr als wert. Genießen Sie Ihr erweitertes und jederzeit erreichbares Heimnetzwerk!