Jetzt, da ja eine neue Fritzbox 5690 Pro in meinem Flur steht, kann ich endlich mal das (gar nicht so) neue WireGuard-VPN der Fritzbox ausprobieren. Ganz neu ist das VPN Protokoll für mich nicht, schließlich kann man es problemlos mit wg-easy und ähnlichen Tools aufsetzen. Trotzdem finde ich es praktisch, wenn so eine Funktion direkt im Router integriert ist und nicht auf einem separaten Server laufen muss.

So bleibt der Zugriff auf das eigene Netzwerk auch dann möglich, wenn der Server eines Tages mal nicht so funktioniert, wie er soll. Wenn mit der Box generell etwas nicht stimmt und die Internetverbindung komplett wegbricht, ist in der Regel ohnehin alles verloren. Zudem sind Portweiterleitungen in diesem Fall ebenso wenig notwendig wie ein zusätzlicher DynDNS-Dienst, das übernimmt AVM mit seinem MyFritz-Service.

WireGuard auf der Fritzbox einrichten

Einrichten lässt sich das Ganze in der Fritzbox unter Internet » Freigaben im Reiter VPN (WireGuard). Dort wählt man Verbindung hinzufügen und anschließend Einzelgerät verbinden. Den Namen der Verbindung könnt ihr frei wählen, üblicherweise nutzt man hier den Namen des Client-Rechners oder der Person, die das VPN nutzen wird. Zum Schluss muss das Anlegen der Verbindung noch bestätigt werden, etwa per Telefon, Tastendruck oder über die Fritz-App.

Anschließend zeigt euch die Fritzbox eine Seite mit einem QR Code. Den könnt ihr zum Beispiel mit dem Smartphone scannen, um die Verbindung direkt in die offizielle WireGuard App für Android zu übernehmen. Alternativ geht auch die Open-Source-App WG Tunnel, die deutlich mehr Funktionen bietet wie der „offizielle“ WireGuard-Client für Android. Ich persönlich nutze WG Tunnel, das ich über F-Droid installiert habe.

WireGuard Konfiguration in NetworkManager

Für Linux (und generell Desktop-PCs) bietet die Fritzbox die Möglichkeit, die Konfiguration herunterzuladen. Klickt auf den Button und speichert die Datei lokal auf der Festplatte ab. Die Datei wird standardmäßig als wg_config.conf im Ordner Downloads gespeichert. Der Name ist nicht ganz unwichtig, da einige WireGuard-Clients diesen Namen automatisch zur Benennung der Schnittstelle heranziehen.

Die Fritzbox erzeugt die Konfiguration automatisch. Ihr müsst sie nur noch herunterladen oder den QR-Code nutzen. Danach lässt sich das VPN sofort einsetzen.
Die Fritzbox erzeugt die Konfiguration automatisch. Ihr müsst sie nur noch herunterladen oder den QR-Code nutzen. Danach lässt sich das VPN sofort einsetzen.
Wählt die Option Einzelgerät, um eine Verbindung zwischen einem mobilen Gerät oder Laptop und eurem Heimnetzwerk aufzubauen. Für Site to Site braucht es andere Einstellungen.
Wählt die Option Einzelgerät, um eine Verbindung zwischen einem mobilen Gerät oder Laptop und eurem Heimnetzwerk aufzubauen. Für Site-to-Site braucht es andere Einstellungen.
Der QR Code ist ideal für Smartphones. Unter Linux arbeitet ihr jedoch meist komfortabler mit der exportierten Konfigurationsdatei, die sich leicht in NetworkManager importieren lässt.
Der QR Code ist ideal für Smartphones. Unter Linux arbeitet ihr jedoch meist komfortabler mit der exportierten Konfigurationsdatei, die sich leicht in NetworkManager importieren lässt.

Den Import erledigt ihr direkt über den NetworkManager am Desktop oder per Kommandozeile. Unter GNOME geht ihr in die Einstellungen, dann Netzwerk, dort klickt ihr auf das Plus Symbol und wählt Aus Datei importieren …. Danach die wg_config.conf Datei auswählen und importieren. Den Namen der Verbindung könnt ihr dann in den Einstellungen beliebig anpassen, ich empfehle aber den Schnittstellennamen auf wg0 zu setzen.

$ nmcli connection import type wireguard file ~/Downloads/wg_config.conf
Verbindung »wg_config« (39724859-b102-4446-bdb2-1ec60f501360) erfolgreich hinzugefügt.

Das war es schon. Ihr könnt das VPN jetzt direkt über die Quick Settings in GNOME aktivieren. Auch andere Desktopumgebungen wie KDE bieten passende Möglichkeiten. Wenn ihr prüfen möchtet, ob die Verbindung steht, installiert unter GNOME die Erweiterung IP Finder. Sie zeigt euch die öffentliche IP-Adresse mitsamt Länderflagge. Sobald dort die Flagge eures Wohnorts erscheint statt eures aktuellen Aufenthaltsorts (bspw. im Urlaub im Ausland), steht das VPN.

Die GNOME Oberfläche erlaubt den Import von VPN Konfigurationen mit wenigen Klicks. Damit ist der Tunnel in Sekundenschnelle einsatzbereit und ohne Terminal nutzbar.
Die GNOME-Oberfläche erlaubt den Import von VPN-Konfigurationen mit wenigen Klicks. Damit ist der Tunnel in Sekundenschnelle einsatzbereit und ohne Terminal nutzbar.
Nach dem Import lässt sich der Name der Verbindung noch anpassen. Auch das Interface lässt sich umbenennen, zum Beispiel auf das klassische wg0.]
Nach dem Import lässt sich der Name der Verbindung noch anpassen. Auch das Interface lässt sich umbenennen, zum Beispiel auf das klassische wg0.]
Ist die Konfiguration einmal importiert, könnt ihr die VPN-Verbindung jederzeit über die Schnellzugriffe aktivieren. So bleibt euer System stets mit dem Heimnetz verbunden.
Ist die Konfiguration einmal importiert, könnt ihr die VPN-Verbindung jederzeit über die Schnellzugriffe aktivieren. So bleibt euer System stets mit dem Heimnetz verbunden.
guest
6 Kommentare
Inline Feedbacks
Zeige alle Kommentare
Winni

Danke für die Anleitung. Hatte ich schon länger vor umzusetzen.

leachimus

Seher gut, danke! Ich nutze Wireguard auch schon länger. Früher nur unter Openmediavault als Plugin und jetzt noch zusätzlich in der Fritzbox. Das ist Mega genial.

Welches tuxedo Notebook hast du hier im Einsatz und mit welcher Distribution lässt du es laufen?

Julian

Zudem sind Portweiterleitungen in diesem Fall ebenso wenig notwendig wie ein zusätzlicher DynDNS-Dienst, das übernimmt AVM mit seinem MyFritz-Service.

Ist das inzwischen auch wieder gültig für Leute die hinter einem DS-lite stecken? Also nur IPv6 bekommen?
als ich das vor ein paar Jahren probierte klappte wireguard nur wenn ich auch von außerhalb mit einer IPv6 ankam, von einem öffentlichen WiFi point mit IPv4 konnte keine Verbindung hergestellt werden.

etwas später fand ich im Forum, dass AVM den MyFritz Dienst „abgespeckt“ hat und eben eine Umwandlung Ipv4 auf 6 nicht mehr angeboten wird.

Wäre nice wenn hier nachgeprüft werden könnte.
Danke und MfG
Julian

Hans

Hi, ich hab mittlerweile auch Erfahrung mit Fritzbox und WireGuard. Leider negativ.
Ich hab einen WireGuard-Server bei mir im LAN, den ich von unterwegs aus nutze. Umgesetzt ist das mit einem GL.inet Router, den Mango. Der ist mein VPN-Server. Ich nutze von unterwegs aus vom iPhone und vom Notebook aus den Pi-Hole als DNS, vorgegeben in der WireGuard Konfiguration.
Neulich wollte ich bei meinen Eltern mit der Fritzbox auch ein solches Konstrukt einrichten. Daß die Fritzbox als Uplink-DNS also meinen Pi-Hole nutzt. Was im GL.inet Mango (also Client) tadellos funktioniert, stößt leider bei der Fritzbox an seine Grenzen. Denn die Fritzbox setzt sich selbst als IP immer davor, und so ist der via WireGuard gesetzte DNS hinfällig. Man sieht es in der Config, die man per Webinterface abrufen kann, die lokale IP der Fritzbox ist immer die erste Stelle des DNS. Obwohl ich den DNS „hinter“ dem VPN nutzen möchte. Ebenso in der Firma, da nutzen wir auch immer den Domaincontroller als DNS, was definitiv mit einer Fritzbox als Client nicht funktioniert. Lokale Namensauflösung und Filterung via Pi-Hole ist damit also hinfällig. Schade, daß sich AVM hier nicht an den Standard hält.