Wireguard Unterstützung mit der Fritz!Box - die Einrichtung
Die Fritz!OS Version 7.50 ist im Dezember 2022 veröffentlicht worden und damit auch die Unterstützung von Wireguard als VPN-Lösung. Dieser Artikel beschreibt Schritt für Schritt, wie Sie Wireguard auf Ihrer Fritz!Box und Ihren Endgeräten einrichten. Soviel sei schon einmal gesagt, die Einrichtung ist im Regelfall sehr einfach. Wer vorher Abstand von VPNs genommen hat, kann und sollte durchaus noch einmal einen Blick wagen.
Notiz: Im August 2022 ist ein Artikel erschienen, in welchem erläutert wurde was Wireguard eigentlich ist, welchem Zweck es dient und wie man Wireguard prinzipiell einsetzen kann. Wenn für Sie Wireguard noch ein fremder Begriff ist, dann lohnt es sich diesen Artikel zuerst zu lesen. Hier der Link auf diesen Artikel.
Voraussetzungen für die vereinfachte Einrichtung von Wireguard
In der Einleitung wurde die Formulierung „im Regelfall” verwendet. Das hat den Hintergrund, dass die vergleichsweise einfache Einrichtung von Wireguard unter bestimmten Voraussetzungen funktioniert. Diese sind „im Regelfall” auch gegeben, doch Ausnahmen sind möglich.
Wenn Sie eine der folgenden Voraussetzungen nicht verstehen oder nicht wissen ob diese erfüllt ist oder nicht, dann ist das nicht schlimm. Die Einrichtung einer Wireguard-Verbindung ist einfach und schnell erledigt. Damit können Sie auch einen Versuch wagen und wenn es nicht funktioniert im nach hinein forschen wo die Fehlerursache liegt.
Die erste Voraussetzung ist, dass auf Ihrer Fritz!Box die Fritz!OS Version 7.50 oder höher läuft.
Die Fritz!Box unterstützt eine vereinfachte Einrichtung von einem Endgerät, sprich Smartphone, Tablet, Notebook, PC, zu einer Fritz!Box. Man kann per Wireguard auch eine Fritz!Box mit einer Fritz!Box verbinden. Solch eine Verbindung einzurichten funktioniert auch, wird allerdings etwas aufwendiger.
Die Wireguard-Verbindung sollte an der Fritz!Box enden, welche Ihr Heimnetzwerk mit dem Internet verbindet (sozusagen die primäre Fritz!Box). Es gibt Heimnetzwerke wo Fritz!Boxen hintereinander geschaltet werden. Möchte man jetzt einen Wireguard-Tunnel auf eine hintere, sekundäre Fritz!Box einrichten dann geht das durchaus. Man muss hierfür nun eine Port-Weiterleitung in der primären Fritz!Box konfigurieren.
Die IP-Adressbereiche, zu welchem der Wireguard-Server und zu welchem der Wireguard-Client gehören, müssen sich unterscheiden. Als Voreinstellung für das private Heimnetzwerk verwendet eine Fritz!Box den IP-Adressbereich 192.168.178.0, Subnetz 255.255.255.0. Auch viele andere Router verwenden exakt diesen IP-Adressbereich als Voreinstellung. Ist man jetzt z.B. irgendwo zu Besuch und verbindet sich von solch einem Netzwerk zu seinem eigenen Heimnetzwerk, dann überlappen sich die IP-Adressbereiche beider Netzwerke. Als Resultat können die Datenpakete nicht mehr zugestellt werden. Als Lösung wird empfohlen, den IP-Adressbereich des eigenen Heimnetzwerkes auf einen zufälligen Wert anzupassen ( 192.168.x.0, Subnetz 255.255.255.0 mit x = 2 - 177 und 180 - 254 ) .
Notiz: Eine kurze Beschreibung wie Sie den IP-Adressbereich Ihrer Fritz!Box ändern können, findet sich im Anhang zu diesem Artikel.
Notiz: Es gibt eine Ausnahme. Befinden Sie sich zu Hause und verbinden testweise z.B. Ihr Smartphone mit Ihrer Fritz!Box per Wireguard, dann funktioniert das. Beide Geräte sind zum gleichen Netzwerk verbunden. Obige Voraussetzung gilt, wenn sich Server und Client in unterschiedlichen Netzwerken befinden. Das ist gegeben, wenn Sie sich außer Haus befinden.
Sie können prinzipiell eine Wireguard-Verbindung von jedwedem Ort aus aktivieren, wenn dieser über eine Internetanbindung verfügt. Um eine Wireguard-Verbindung zu Ihrem Heimnetzwerk zu etablieren, braucht es aber die Internet-Adresse Ihres Heimnetzwerkes. Diese kann sich allerdings automatisch von Zeit zu Zeit ändern. Somit benötigen Sie noch einen sogenannten DynDNS-Dienst. AVM bietet solch einen Dienst an, welcher direkt unter MyFritz! integriert ist. Auch die vereinfachte Einrichtung von Wireguard geht davon aus, dass Sie sich für MyFritz! angemeldet haben. Fazit, wer von der vereinfachten Einrichtung von Wireguard profitieren möchte, sollte über ein aktuelles MyFritz! Konto verfügen (Quelle 1).
Sie können einen Wireguard-Tunnel nur dann zu Ihrem Heimnetzwerk etablieren, wenn dieses aus dem Internet erreichbar ist. Der Hintergrund ist, dass manche Heimnetzwerke mittels des Internetprotokolls IPv4 eben nicht so ohne weiteres aus dem Internet erreichbar sind. Mehr Informationen finden Sie unter dem Schlagwort “DS-Lite” (Quelle 2). Auch hierfür existieren Lösungen, diese können allerdings recht umständlich werden.
Wireguard auf einer Fritz!Box einrichten
Vorab der Hinweis, dass Sie für jedes Endgerät eine eigene Wireguard-Verbindung einrichten müssen. Somit beschreiben die folgenden Schritte wie Sie eine Wireguard-Verbindung auf Ihrer Fritz!Box einrichten.
-
Öffnen Sie die Benutzeroberfläche Ihrer Fritz!Box. Sie können sich zu Ihrer Fritz!Box verbinden, in dem Sie „fritz.box” in einem Webbrowser eingeben. Alternativ kann man es auch mit der IPv4-Adresse „192.168.178.1” versuchen. Diese IPv4-Adresse entspricht der Voreinstellung einer Fritz!Box, kann aber vom Anwender geändert werden.
-
Klicken Sie links auf „Internet”, dann „Freigabe” und dann rechts im Fenster auf den Reiter „VPN (WireGuard)”.
-
Klicken Sie rechts unten auf „Verbindung hinzufügen”.
- Wählen Sie „Vereinfachte Einrichtung” und klicken auf „Weiter”.
- Vergeben Sie einen für diese Verbindung passenden Namen. Beachten Sie dabei dass Sie für jedes Endgerät eine eigene Wireguard-Verbindung einrichten müssen. Es ergibt somit Sinn, den Namen oder eine Bezeichnung des zu verbindenden Endgerätes zu verwenden. Klicken Sie auf „Fertigstellen”.
-
Nun erfolgt ein Bestätigungsprozess, um sicher zu stellen, dass Sie auch tatsächlich die Kontrolle über die Fritz!Box haben. Das kann das Drücken einer Taste an Ihrer Fritz!Box sein, die Eingabe eines Codes an einem angeschlossenen Telefon oder die Eingabe eines Codes, welcher von einer Authenticator-App Ihres Smartphones ausgegeben wird (Quelle 3).
-
Bei erfolgreicher Bestätigung erscheint ein Fenster mit finalen Hinweisen, wie Sie die Konfiguration der Wireguard-Verbindung auf ein Smartphone, Tablet, Notebook oder PC übertragen können. Achtung, schließen Sie dieses Fenster noch nicht, sondern fahren Sie sofort mit der Einrichtung des zur Verbindung passenden Endgerätes fort. Der Hintergrund ist, dass Sie z.B. für die Einrichtung eines Smartphones den angezeigten QR-Code benötigen. Sobald Sie das Fenster schließen können Sie sich dieses aber nicht wieder anzeigen lassen, sondern müssen eine neue Wireguard-Verbindung auf der Fritz!Box einrichten.
Wireguard auf einem Smartphone oder Tablet einrichten
Hier die Beschreibung wie Sie Wireguard auf einem Smartphone oder Table einrichten. Die Beschreibung und die Screenshots orientieren sich dabei an dem Android-Betriebssystem.
-
Installieren Sie den Wireguard-Client aus dem Play-Store.
-
Öffnen Sie den gerade installierten Wireguard-Client.
-
Tippen Sie auf das „+” Symbol, um eine neue Wireguard-Verbindung einzurichten.
-
Tippen Sie auf „von QR-Code scannen”. Erlauben Sie den Zugriff auf die Kamera, wenigstens einmalig, da ja sonst der QR-Code nicht eingelesen werden kann.
-
Scannen Sie den QR-Code von dem Bestätigungsfenster, welches in der Fritz!Box nach erfolgter Einrichtung erschienen ist (siehe Schritt 7).
-
Vergeben Sie einen Namen für die Wireguard-Verbindung. Bei mir war die erlaubte maximale Länge des Namens kürzer als auf der Fritz!Box und ich musste abkürzen.
-
Die Einrichtung ist abgeschlossen. Sie können ab jetzt den Wireguard-Tunnel durch einen Tipp auf den Schieberegler, rechts neben dem just vergebenen Namen, aktivieren bzw. wieder deaktivieren.
Wireguard auf einem Notebook einrichten
Hier die Beschreibung wie Sie Wireguard auf einem PC oder Notebook mit Windows-Betriebssystem einrichten.
-
Rufen Sie mit einem Webbrowser die Webseite von Wireguard auf (Quelle 4).
-
Laden Sie den Wireguard-Client für das Windows-Betriebssystem herunter und installieren diesen.
-
Speichern Sie die Wireguard-Konfigurationsdatei, in dem Sie die entsprechende Option aus dem Abschlussfenster der Einrichtung von Wireguard für eine Fritz!Box wählen (Schritt 7).
-
Starten Sie den Wireguard-Client und wählen Sie „importiere Tunnel aus Datei”.
-
Laden Sie die gerade gespeicherte Wireguard-Konfigurationsdatei.
-
Die Einrichtung ist abgeschlossen. Sie können ab jetzt die Wireguard-Verbindung durch einen klick auf die entsprechend benannte Schaltfläche, aktivieren bzw. wieder deaktivieren.
ich hoffe Sie denken nun ebenfalls, dass die Einrichtung eines VPN zu einer Fritz!Box vergleichsweise einfach geworden ist,
Matthias (12.12.2022)
Den IP-Adressbereich eines Heimnetzwerkes ändern
Unter den Voraussetzungen wurde empfohlen den IP-Adressbereich Ihres Heimnetzwerkes zu ändern, um die Wahrscheinlichkeit von überlappenden IP-Adressbereichen zu verringern.
Hier eine kurze Beschreibung wie Sie den IP-Adressbereich Ihres Heimnetzwerkes ändern können.
Öffnen Sie die Benutzeroberfläche Ihrer Fritz!Box. Sie können sich zu Ihrer Fritz!Box verbinden, in dem Sie „fritz.box” in einem Webbrowser eingeben. Alternativ kann man es auch mit der IPv4-Adresse „192.168.178.1” versuchen. Diese IPv4-Adresse entspricht der Voreinstellung einer Fritz!Box, kann aber vom Anwender geändert werden. Siehe auch die folgende Beschreibung. Sprich haben Sie die IP-Adresse Ihrer Fritz!Box in der Vergangenheit geändert, dann müssen Sie sich entsprechend erinnern und die aktuelle IP-Adresse eingeben. Alternativ können Sie die IP-Adresse Ihrer Fritz!Box ermitteln, in dem Sie auf der Kommandozeile eines verbundenen PCs den Befehl „ipconfig” eingeben. Die IP-Adresse des Standardgateways sollte die IP-Adresse Ihrer Fritz!Box sein.
Die Einstelloptionen für die IP-Adressen finden sich unter Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IPv4-Einstellungen/IPv6-Einstellungen
Ändern Sie den dritten Wert hinter „IPv4-Adresse” auf einen Ihnen genehmen Wert aus den Bereichen 2 - 177 oder 180 - 254. Die notwendige Korrektur für die Einstellungen des DHCP-Servers, erfolgt bei einer Änderung automatisch mit.
Notiz: Warum wurden die Subnetze mit den Werten 1, 178 und 179 ausgeschlossen? Das Subnetz 178 ist der voreingestellte Wert einer Fritz!Box. Zur Vermeidung von einer Überlappung mit einer Wireguard-Verbindung sollte man gerade diesen voreingestellten Wert ändern. Auch der Ausschluss des Subnetzes 1 hat diesen Hintergrund. Manche Router-Hersteller verwenden das Subnetz 1 und nicht 178 als Voreinstellung, also vermeidet man diesen Wert am besten ebenfalls. Das Subnetz 179 ist der voreingestellte Wert für ein Gastnetz. Entsprechend kann es auch damit eher zu einer Überlappung kommen.
Quellen:
[1] https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/966_MyFRITZ-Konto-erstellen-und-in-FRITZ-Box-einrichten/
[2] https://dasheimnetzwerk.de/Lexikon/Netzwerkkonzepte/Eintrag_DSLite.html
[3] https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/3282_Ausfuhrung-von-Funktionen-zusatzlich-bestatigen/
[4] https://www.wireguard.com/install/