Jetzt, da ja eine neue Fritzbox 5690 Pro in meinem Flur steht, kann ich endlich mal das (gar nicht so) neue WireGuard-VPN der Fritzbox ausprobieren. Ganz neu ist das VPN Protokoll für mich nicht, schließlich kann man es problemlos mit wg-easy und ähnlichen Tools aufsetzen. Trotzdem finde ich es praktisch, wenn so eine Funktion direkt im Router integriert ist und nicht auf einem separaten Server laufen muss.
So bleibt der Zugriff auf das eigene Netzwerk auch dann möglich, wenn der Server eines Tages mal nicht so funktioniert, wie er soll. Wenn mit der Box generell etwas nicht stimmt und die Internetverbindung komplett wegbricht, ist in der Regel ohnehin alles verloren. Zudem sind Portweiterleitungen in diesem Fall ebenso wenig notwendig wie ein zusätzlicher DynDNS-Dienst, das übernimmt AVM mit seinem MyFritz-Service.
WireGuard auf der Fritzbox einrichten
Einrichten lässt sich das Ganze in der Fritzbox unter Internet » Freigaben im Reiter VPN (WireGuard). Dort wählt man Verbindung hinzufügen und anschließend Einzelgerät verbinden. Den Namen der Verbindung könnt ihr frei wählen, üblicherweise nutzt man hier den Namen des Client-Rechners oder der Person, die das VPN nutzen wird. Zum Schluss muss das Anlegen der Verbindung noch bestätigt werden, etwa per Telefon, Tastendruck oder über die Fritz-App.
Anschließend zeigt euch die Fritzbox eine Seite mit einem QR Code. Den könnt ihr zum Beispiel mit dem Smartphone scannen, um die Verbindung direkt in die offizielle WireGuard App für Android zu übernehmen. Alternativ geht auch die Open-Source-App WG Tunnel, die deutlich mehr Funktionen bietet wie der „offizielle“ WireGuard-Client für Android. Ich persönlich nutze WG Tunnel, das ich über F-Droid installiert habe.
WireGuard Konfiguration in NetworkManager
Für Linux (und generell Desktop-PCs) bietet die Fritzbox die Möglichkeit, die Konfiguration herunterzuladen. Klickt auf den Button und speichert die Datei lokal auf der Festplatte ab. Die Datei wird standardmäßig als wg_config.conf
im Ordner Downloads
gespeichert. Der Name ist nicht ganz unwichtig, da einige WireGuard-Clients diesen Namen automatisch zur Benennung der Schnittstelle heranziehen.



Den Import erledigt ihr direkt über den NetworkManager am Desktop oder per Kommandozeile. Unter GNOME geht ihr in die Einstellungen, dann Netzwerk, dort klickt ihr auf das Plus Symbol und wählt Aus Datei importieren …. Danach die wg_config.conf
Datei auswählen und importieren. Den Namen der Verbindung könnt ihr dann in den Einstellungen beliebig anpassen, ich empfehle aber den Schnittstellennamen auf wg0
zu setzen.
$ nmcli connection import type wireguard file ~/Downloads/wg_config.conf
Verbindung »wg_config« (39724859-b102-4446-bdb2-1ec60f501360) erfolgreich hinzugefügt.
Das war es schon. Ihr könnt das VPN jetzt direkt über die Quick Settings in GNOME aktivieren. Auch andere Desktopumgebungen wie KDE bieten passende Möglichkeiten. Wenn ihr prüfen möchtet, ob die Verbindung steht, installiert unter GNOME die Erweiterung IP Finder. Sie zeigt euch die öffentliche IP-Adresse mitsamt Länderflagge. Sobald dort die Flagge eures Wohnorts erscheint statt eures aktuellen Aufenthaltsorts (bspw. im Urlaub im Ausland), steht das VPN.

![Nach dem Import lässt sich der Name der Verbindung noch anpassen. Auch das Interface lässt sich umbenennen, zum Beispiel auf das klassische wg0.]](https://linuxundich.de/wp-content/uploads/2025/05/networkmanager-wireguard_02-1280x856.webp)

Danke für die Anleitung. Hatte ich schon länger vor umzusetzen.
Seher gut, danke! Ich nutze Wireguard auch schon länger. Früher nur unter Openmediavault als Plugin und jetzt noch zusätzlich in der Fritzbox. Das ist Mega genial.
Welches tuxedo Notebook hast du hier im Einsatz und mit welcher Distribution lässt du es laufen?
Ich hab hier ein InfinityBook S 17 Gen6 am Start. Als Distro nutze ich Arch.
Ist das inzwischen auch wieder gültig für Leute die hinter einem DS-lite stecken? Also nur IPv6 bekommen?
als ich das vor ein paar Jahren probierte klappte wireguard nur wenn ich auch von außerhalb mit einer IPv6 ankam, von einem öffentlichen WiFi point mit IPv4 konnte keine Verbindung hergestellt werden.
etwas später fand ich im Forum, dass AVM den MyFritz Dienst „abgespeckt“ hat und eben eine Umwandlung Ipv4 auf 6 nicht mehr angeboten wird.
Wäre nice wenn hier nachgeprüft werden könnte.
Danke und MfG
Julian
Hui, da bin ich persönlich überfragt. Aber AVM schreibt selbst: „Mit DS-Lite sind fast alle IPv4-Anwendungen uneingeschränkt nutzbar. Lediglich der Zugriff über das Internet auf die FRITZ!Box oder Geräte im Heimnetz ist per IPv4 nicht möglich, da die FRITZ!Box vom Internetanbieter keine öffentliche IPv4-Adresse erhält. Im Heimnetz betriebene Server sind somit nicht per IPv4 aus dem Internet erreichbar.“ Von daher kommt es hier wahrscheinlich problematisch werden. Bei welchem Anbieter bist du?
Hi, ich hab mittlerweile auch Erfahrung mit Fritzbox und WireGuard. Leider negativ.
Ich hab einen WireGuard-Server bei mir im LAN, den ich von unterwegs aus nutze. Umgesetzt ist das mit einem GL.inet Router, den Mango. Der ist mein VPN-Server. Ich nutze von unterwegs aus vom iPhone und vom Notebook aus den Pi-Hole als DNS, vorgegeben in der WireGuard Konfiguration.
Neulich wollte ich bei meinen Eltern mit der Fritzbox auch ein solches Konstrukt einrichten. Daß die Fritzbox als Uplink-DNS also meinen Pi-Hole nutzt. Was im GL.inet Mango (also Client) tadellos funktioniert, stößt leider bei der Fritzbox an seine Grenzen. Denn die Fritzbox setzt sich selbst als IP immer davor, und so ist der via WireGuard gesetzte DNS hinfällig. Man sieht es in der Config, die man per Webinterface abrufen kann, die lokale IP der Fritzbox ist immer die erste Stelle des DNS. Obwohl ich den DNS „hinter“ dem VPN nutzen möchte. Ebenso in der Firma, da nutzen wir auch immer den Domaincontroller als DNS, was definitiv mit einer Fritzbox als Client nicht funktioniert. Lokale Namensauflösung und Filterung via Pi-Hole ist damit also hinfällig. Schade, daß sich AVM hier nicht an den Standard hält.