Fritzbox Dennis 11 min Lesezeit 2.161 Wörter

Fritzbox WireGuard VPN einrichten: Anleitung 2026

WireGuard-VPN auf der Fritzbox einrichten – Schritt für Schritt mit FRITZ!OS 7.50, QR-Code & DynDNS. Sicherer Heimnetz-Zugriff in wenigen Minuten.

Was ist WireGuard – und warum auf der Fritzbox?

Ich nutze WireGuard seit über einem Jahr täglich – und es war die beste Entscheidung, die ich in puncto Heimnetz-VPN je getroffen habe. Vorher lief bei mir OpenVPN, was grundsätzlich funktioniert, aber immer ein bisschen wie Handarbeit wirkte: umständliche Zertifikatsverwaltung, spürbar langsame Verbindungsaufbauzeiten, und die Konfiguration war jedes Mal eine kleine Expedition.

WireGuard ist anders. Das Protokoll wurde von Grund auf neu entworfen, mit einem Fokus auf Simplizität und Performance. Der gesamte Code des Kernels umfasst weniger als 4.000 Zeilen – zum Vergleich: OpenVPN hat ein Vielfaches davon. Weniger Code bedeutet weniger Angriffsfläche, einfacheres Auditing und in der Praxis eine deutlich schnellere und stabilere Verbindung.

Seit FRITZ!OS 7.50 hat AVM WireGuard direkt in die Fritzbox integriert. Das ist keine halbe Lösung oder ein nachträglich aufgesetztes Plugin, sondern ein vollwertiger WireGuard-Server, der direkt auf dem Router läuft. Du brauchst keinen zusätzlichen Server, keine Cloud-Dienste, keine laufenden Kosten. Dein Heimnetz ist der Server.

Das Ergebnis: Von unterwegs kannst du dich in wenigen Sekunden mit deinem Heimnetz verbinden, auf dein NAS zugreifen, den Heimdrucker nutzen oder deinen Heimnetz-DNS-Server für Pi-hole-Filterung verwenden – als wärst du zuhause.

Voraussetzungen

Bevor es losgeht, solltest du sicherstellen, dass alle Voraussetzungen erfüllt sind.

Fritzbox:

  • FRITZ!OS 7.50 oder neuer (WireGuard wurde mit genau dieser Version eingeführt)
  • Unterstütztes Modell (siehe nächster Abschnitt)

Internetanschluss:

  • Eine feste öffentliche IP-Adresse ist ideal, aber nicht zwingend notwendig
  • Mit DynDNS funktioniert es auch bei dynamischer IP – MyFRITZ! ist dabei die einfachste Option

Client-Gerät:

  • iOS / iPadOS: WireGuard-App aus dem App Store
  • Android: WireGuard-App aus dem Play Store
  • Windows: offizieller WireGuard-Client von wireguard.com
  • macOS: WireGuard-App aus dem Mac App Store
  • Linux: WireGuard ist in den meisten Distributionen bereits im Kernel, dazu wireguard-tools installieren

Empfohlen: Einen kurzen Test durchführen, ob dein Anschluss eine öffentliche IPv4-Adresse hat. Bei manchen Mobilfunk-Tarifen als Zuhause-Internet (z.B. LTE-Router) kann CGNAT ein Thema sein – dazu mehr im Troubleshooting-Abschnitt.

Welche Fritzbox unterstützt WireGuard?

Nicht jede Fritzbox kann WireGuard. AVM hat die Funktion zunächst auf die leistungsfähigeren Modelle beschränkt, da der WireGuard-Server etwas mehr CPU-Leistung benötigt als einfache Portfreigaben.

Stand 2026 unterstützen folgende Modelle WireGuard nativ:

  • FRITZ!Box 7590 AX
  • FRITZ!Box 7590
  • FRITZ!Box 7530 AX
  • FRITZ!Box 7530
  • FRITZ!Box 5530 Fiber
  • FRITZ!Box 4060

Wenn du eines der älteren Modelle wie die 7490 oder 7362 SL hast, wirst du kein WireGuard-Menü in der Oberfläche finden. In dem Fall lohnt es sich, über einen Wechsel nachzudenken – die 7590 AX ist aktuell der Testsieger für DSL-Anschlüsse und bietet neben WireGuard auch Wi-Fi 6.

-4%
FRITZ!Box 7590 AX | DSL-Router | Wi-Fi 6 bis zu 3.600MBit/s | intelligentes WLAN Mesh | höchster Sicherheitsstandard | einfache Einrichtung | Made in Europe
Empfehlung

FRITZ!Box 7590 AX | DSL-Router | Wi-Fi 6 bis zu 3.600MBit/s | intelligentes WLAN Mesh | höchster Sicherheitsstandard | einfache Einrichtung | Made in Europe

Fritz!Box 7590 AX – Wi-Fi 6, WireGuard nativ, Testsieger für DSL-Anschlüsse

199,00 €206,90 €
Auf Lager
Zum Angebot * Affiliate-Link. Preis kann abweichen.Preis geprüft: 08.06.2026

Schritt-für-Schritt: WireGuard auf der Fritzbox einrichten

Ich gehe davon aus, dass du bereits Zugang zur Fritzbox-Oberfläche unter fritz.box hast. Der gesamte Prozess dauert erfahrungsgemäß etwa 10 Minuten.

Schritt 1: FRITZ!OS aktualisieren

Navigiere in der Fritzbox-Oberfläche zu Einstellungen (falls nicht schon sichtbar: oben rechts auf das Zahnrad-Symbol) und dann zu System → Update. Klicke auf Neue FRITZ!OS-Version suchen. Falls ein Update verfügbar ist, installiere es und warte, bis die Fritzbox neu gestartet ist.

WireGuard ist ab FRITZ!OS 7.50 verfügbar. Du kannst die aktuelle Version unter System → FRITZ!OS-Version ablesen.

Schritt 2: VPN-Menü öffnen

Nach dem Update (oder wenn deine Fritzbox bereits aktuell ist) navigiere zu Internet → Freigaben → VPN (WireGuard). Wenn dieser Menüpunkt nicht erscheint, wird dein Modell leider nicht unterstützt.

Schritt 3: Neue Verbindung hinzufügen

Klicke auf Verbindung hinzufügen. Die Fritzbox fragt dich nach dem Verbindungstyp:

  • Verbindung zu einem Smartphone oder Tablet – Für iOS, Android und ähnliche mobile Geräte. Der Einfachheitshalber wird ein QR-Code generiert.
  • Verbindung zu einem einzelnen Computer – Für Windows, macOS oder Linux. Du erhältst eine Konfigurationsdatei zum Download.
  • Verbindung zwischen zwei FRITZ!Boxen – Für Site-to-Site-Setups (dazu später mehr).

Für den normalen Heimnetz-Zugriff wähle Verbindung zu einem Smartphone oder Tablet oder Verbindung zu einem einzelnen Computer, je nachdem, welches Gerät du verbinden möchtest.

Schritt 4: Verbindung benennen und konfigurieren

Vergib einen aussagekräftigen Namen, zum Beispiel iPhone Dennis oder Laptop Buero. Das hilft dir später, den Überblick zu behalten, wenn mehrere Geräte verbunden sind.

Darunter siehst du die Option Alle Netzwerkverbindungen über diesen Tunnel leiten (auch Full-Tunnel genannt). Ich empfehle, diese Option zunächst deaktiviert zu lassen – dann wird nur der Heimnetz-Traffic durch den VPN-Tunnel geleitet, der Rest geht direkt ins Internet. Das ist in den meisten Fällen das sinnvollere Setup (mehr dazu im Abschnitt Split-Tunnel).

Klicke auf Fertigstellen. Die Fritzbox generiert nun das Schlüsselpaar und die Konfiguration.

Schritt 5: Konfiguration auf das Gerät übertragen

Für Smartphones und Tablets (QR-Code):

Nach dem Fertigstellen zeigt die Fritzbox einen QR-Code an. Öffne die WireGuard-App auf deinem Smartphone, tippe auf das +-Symbol und wähle Von QR-Code erstellen. Scanne den QR-Code mit der Kamera. Die Verbindung wird sofort importiert. Vergib einen Namen und tippe auf Erstellen.

Für Computer (Konfigurationsdatei):

Klicke auf Konfiguration herunterladen. Du erhältst eine .conf-Datei. Öffne den WireGuard-Client auf deinem Computer, klicke auf Tunnel importieren und wähle die heruntergeladene Datei aus.

Schritt 6: Verbindung testen

Aktiviere die WireGuard-Verbindung in deiner App oder deinem Client. Eine erfolgreiche Verbindung erkennst du an:

  • Der Verbindungsstatus wechselt auf “Aktiv” oder “Connected”
  • In der Fritzbox-Oberfläche unter VPN (WireGuard) erscheint die Verbindung als aktiv mit Zeitstempel und übertragenem Datenvolumen
  • Du kannst die Fritzbox-Oberfläche unter fritz.box oder 192.168.178.1 im Browser erreichen, auch wenn du dich außerhalb des Heimnetzes befindest

Ein einfacher Test: Trenne dich vom WLAN, aktiviere nur mobile Daten, schalte dann den VPN-Tunnel ein und öffne http://192.168.178.1 im Browser. Wenn die Fritzbox-Anmeldemaske erscheint, funktioniert alles korrekt.

DynDNS einrichten (falls keine feste IP)

Die meisten Heimanschlüsse haben keine feste öffentliche IP-Adresse. Das bedeutet: Deine IP ändert sich regelmäßig, und dein WireGuard-Client weiß nach einer Weile nicht mehr, wo er deinen Heimnetz-Server findet.

Die Lösung heißt DynDNS: Ein Hostname, der immer auf deine aktuelle IP zeigt. Die Fritzbox aktualisiert diesen Hostname automatisch bei jeder IP-Änderung.

MyFRITZ! – die einfachste Option

AVM bietet mit MyFRITZ! einen kostenlosen DynDNS-Dienst an, der direkt in die Fritzbox integriert ist. So richtest du ihn ein:

  1. Gehe zu Internet → MyFRITZ!-Konto
  2. Falls noch kein Konto vorhanden: Klicke auf Neues MyFRITZ!-Konto erstellen und folge den Anweisungen
  3. Nach der Einrichtung bekommst du eine Adresse wie deinname.myfritz.net
  4. Diese Adresse wird automatisch in den WireGuard-Konfigurationen verwendet, die die Fritzbox generiert

Wenn du bereits ein MyFRITZ!-Konto hast, ist die DynDNS-Konfiguration bei der WireGuard-Einrichtung automatisch vorhanden.

Alternative DynDNS-Dienste

Wer keinen AVM-Account möchte, kann auch Dienste wie DynDNS.com, No-IP oder Duck DNS verwenden. Die Fritzbox unterstützt unter Internet → Freigaben → DynDNS eine Vielzahl von Anbietern über das Standard-DynDNS-Protokoll. Die Konfigurationsdetails variieren je nach Anbieter – in der Fritzbox-Oberfläche findest du für jeden unterstützten Dienst eine Vorlage.

Split-Tunnel konfigurieren

Split-Tunneling bedeutet: Nicht der gesamte Internet-Traffic wird durch den VPN-Tunnel geleitet, sondern nur der Traffic, der für dein Heimnetz bestimmt ist. Alles andere geht direkt ins Internet.

Wann ist Split-Tunnel sinnvoll?

  • Du möchtest auf dein NAS zugreifen, aber YouTube und Netflix sollen weiterhin direkt streamen (schneller, keine VPN-Latenz)
  • Du nutzt standortbasierte Dienste auf deinem Smartphone, die durch einen VPN-Tunnel mit Heimnetz-IP nicht funktionieren würden
  • Du willst Bandbreite sparen, weil dein gesamter mobiler Traffic sonst durch dein Heimnetz-Uplink geleitet würde

Praktisches Beispiel: Du bist unterwegs und willst auf dein Synology NAS zu Hause zugreifen, um eine Datei herunterzuladen. Mit Split-Tunnel wird nur der Traffic zu 192.168.178.x durch den VPN-Tunnel geleitet. Spotify, Chrome und alle anderen Apps funken direkt ins Internet, als wärst du nicht im VPN.

Einstellungen in der Fritzbox

Die Fritzbox konfiguriert Split-Tunnel automatisch, wenn du die Option Alle Netzwerkverbindungen über diesen Tunnel leiten beim Erstellen der Verbindung deaktiviert lässt. In diesem Fall werden in der generierten WireGuard-Konfigurationsdatei nur die Heimnetz-Routen (z.B. AllowedIPs = 192.168.178.0/24) eingetragen, nicht 0.0.0.0/0.

Möchtest du nachträglich zwischen Full-Tunnel und Split-Tunnel wechseln, musst du die Verbindung in der Fritzbox löschen und neu erstellen – eine direkte Bearbeitung ist in der Fritzbox-Oberfläche aktuell nicht möglich. Alternativ kannst du die .conf-Datei manuell im WireGuard-Client bearbeiten und die AllowedIPs-Zeile anpassen.

Roadwarrior vs. Site-to-Site

Diese zwei Begriffe begegnen einem immer wieder, wenn es um VPN geht. Kurz erklärt:

Roadwarrior bezeichnet das klassische Szenario: Ein einzelnes Gerät (Laptop, Smartphone) verbindet sich von unterwegs mit einem VPN-Server – in diesem Fall deiner Fritzbox. Das Gerät bekommt Zugang zum Heimnetz. Du bist der “Roadwarrior”, deine Fritzbox ist der Server. Das ist das Setup, das wir in dieser Anleitung aufgebaut haben, und es ist das, was die meisten rootops-Leser brauchen.

Site-to-Site verbindet zwei Netzwerke miteinander. Beispiel: Du hast ein Büro mit einer Fritzbox und zuhause eine weitere Fritzbox. Mit einer Site-to-Site-Verbindung können Geräte in beiden Netzwerken direkt miteinander kommunizieren, als wären sie im gleichen LAN. Die Fritzbox unterstützt das ebenfalls nativ unter Verbindung zwischen zwei FRITZ!Boxen.

Site-to-Site ist interessant, wenn du zum Beispiel ein Ferienwohnung-Netzwerk mit deinem Heimnetz verbinden möchtest, oder wenn du in zwei Haushalten lebst und gemeinsame Netzwerkressourcen (NAS, Drucker) teilen willst.

Troubleshooting: WireGuard verbindet sich nicht

Wenn WireGuard keine Verbindung aufbaut, sind es meistens ein paar bekannte Probleme. Ich gehe hier die häufigsten durch.

Verbindung schlägt fehl – Port 51820 nicht offen

WireGuard nutzt standardmäßig den UDP-Port 51820. Bei der Fritzbox-nativen Implementierung öffnet die Fritzbox diesen Port automatisch, da sie selbst der WireGuard-Server ist. Du musst hier nichts manuell freischalten.

Wenn die Verbindung trotzdem fehlschlägt, prüfe zunächst, ob dein Internetanschluss tatsächlich eine öffentliche IPv4-Adresse hat. Gehe auf eine Seite wie whatismyip.com und vergleiche die angezeigte IP mit der IP, die die Fritzbox unter Übersicht anzeigt. Wenn beide übereinstimmen, hast du eine direkte öffentliche IP. Wenn nicht, steckst du hinter CGNAT (dazu weiter unten).

Kein Internetzugriff über VPN

Du bist verbunden, aber Webseiten laden nicht? Das ist meistens ein DNS-Problem. Prüfe in der WireGuard-Konfigurationsdatei die DNS-Zeile. Dort sollte 192.168.178.1 stehen (die IP deiner Fritzbox, die auch als DNS-Server fungiert). Wenn dort eine andere Adresse oder gar kein Eintrag steht, ändere es entsprechend.

Wenn du Full-Tunnel nutzt (also den gesamten Traffic durch den VPN leitest), muss der DNS-Server ebenfalls über den Tunnel erreichbar sein. Die Fritzbox-IP 192.168.178.1 ist in diesem Fall korrekt.

DNS-Leak prüfen

Selbst wenn du im Full-Tunnel-Modus bist, kann es passieren, dass DNS-Anfragen am VPN-Tunnel vorbeigehen und direkt zu deinem ISP-DNS-Server gehen. Das nennt sich DNS-Leak.

So prüfst du es: Verbinde dich mit dem VPN-Tunnel, dann öffne https://dnsleaktest.com und klicke auf Extended Test. Wenn dort ausschließlich DNS-Server auftauchen, die du erkennst (z.B. dein ISP oder der von dir konfigurierte DNS), ist alles in Ordnung. Wenn unbekannte Server auftauchen, leckst du DNS-Anfragen.

Die Lösung: Stelle in der WireGuard-Konfiguration sicher, dass der DNS-Eintrag gesetzt ist und im Full-Tunnel-Modus AllowedIPs = 0.0.0.0/0, ::/0 lautet.

Nach Fritzbox-Neustart getrennt

WireGuard-Verbindungen auf der Fritzbox sind persistent – die Konfiguration bleibt nach einem Neustart erhalten. Was nicht erhalten bleibt, ist der aktive Tunnel-Status des Clients. Du musst die Verbindung auf dem Client-Gerät neu aufbauen (oder Auto-Connect aktivieren).

In der WireGuard-App auf dem Smartphone findest du unter den Verbindungseinstellungen die Option, den Tunnel bei Bedarf automatisch zu aktivieren (unter iOS als “On-Demand” bezeichnet). So verbindet sich das Gerät automatisch, sobald es kein bekanntes WLAN erkennt.

FRITZ!OS-Version zu alt

WireGuard wurde mit FRITZ!OS 7.50 eingeführt. Wenn du in der Fritzbox-Oberfläche unter Internet → Freigaben kein VPN (WireGuard)-Tab siehst, obwohl dein Modell unterstützt wird, ist deine Firmware veraltet. Aktualisiere auf die neueste Version unter System → Update.

CGN / CGNAT bei Mobilfunk-Internet

Einige Internetanbieter – vor allem bei LTE-Anschlüssen und bei manchen Kabelanbietern – betreiben CGNAT (Carrier-Grade NAT). Das bedeutet: Deine Fritzbox hat keine eigene öffentliche IP-Adresse, sondern teilt sich eine mit vielen anderen Kunden. Von außen ist deine Fritzbox in diesem Fall nicht direkt erreichbar, und WireGuard funktioniert nicht.

Erkennungszeichen: Die IP unter whatismyip.com unterscheidet sich von der IP, die deine Fritzbox anzeigt, und beginnt oft mit 100.64.x.x (der CGNAT-Range).

In diesem Fall hilft leider nur: Beim Anbieter eine eigene öffentliche IP-Adresse anfragen (oft gegen Aufpreis möglich), oder auf Tailscale wechseln, das CGNAT umgeht (dazu im nächsten Abschnitt).

Bei mobilem Daten ist CGNAT die Regel – deshalb funktioniert WireGuard auf der Fritzbox zuverlässig nur über WLAN oder einen Festnetzanschluss mit öffentlicher IP, nicht als Roadwarrior über Mobilfunk-Daten des Verbindungsaufbauenden Geräts.

Fritzbox WireGuard vs. Tailscale: Was ist besser?

Ich werde regelmäßig gefragt, ob ich eher Fritzbox WireGuard oder Tailscale empfehle. Die ehrliche Antwort: Es kommt drauf an.

Fritzbox WireGuard:

  • Kein externer Dienst, keine Cloud, keine Daten bei Dritten
  • Volle Kontrolle, läuft komplett auf deiner Hardware
  • Kostenlos, keine laufenden Gebühren
  • Direkt in die Fritzbox-Oberfläche integriert, kein separater Server
  • Einfacher Roadwarrior-Zugriff mit wenigen Klicks eingerichtet
  • Einschränkung: Funktioniert nur, wenn deine Fritzbox eine öffentliche IP hat (kein CGNAT)
  • Einschränkung: Multi-Device-Management ist etwas umständlicher (jede Verbindung einzeln anlegen)

Tailscale:

  • Deutlich einfacher für Multi-Device-Setups (10+ Geräte)
  • Funktioniert auch hinter CGNAT durch cleveres NAT-Traversal (Hole Punching)
  • Kostenloser Plan für Privatnutzer mit bis zu 100 Geräten ausreichend
  • Für die Fritzbox gibt es keinen nativen Client – Tailscale läuft auf einem anderen Gerät im Netz (z.B. einem Raspberry Pi) als Exit-Node oder Subnet-Router
  • Nachteil: Abhängigkeit von Tailscale als Unternehmen und deren Koordinationsserver (auch wenn der Traffic peer-to-peer läuft)
  • Nachteil: Etwas mehr Einrichtungsaufwand beim ersten Setup

Meine Empfehlung:

Wenn du einen einfachen Heimnetz-Zugriff willst und eine unterstützte Fritzbox mit öffentlicher IP hast, ist die Fritzbox-native WireGuard-Lösung die unkomplizierteste Wahl. Keine Abhängigkeiten, keine laufenden Kosten, funktioniert sofort.

Wenn du mehrere Geräte verbinden willst, CGNAT ein Thema ist, oder du ein komplexeres Netzwerk mit mehreren Standorten verwalten möchtest, ist Tailscale die bessere Wahl. Der kostenlose Plan reicht für Privatnutzer aus, und die Einrichtung ist überraschend einfach.

Fazit

WireGuard auf der Fritzbox ist eine der besten Heimnetz-Verbesserungen, die du mit wenigen Klicks umsetzen kannst. Die native Integration in FRITZ!OS macht das Setup deutlich einfacher als früher mit OpenVPN, und die Verbindungsqualität ist spürbar besser.

Stand 2026 ist das Setup auf einer aktuellen 7590 AX oder 7530 in unter 10 Minuten erledigt. Wenn du danach noch einen Schritt weitergehen willst: Mit einer sinnvollen Portfreigabe-Konfiguration kannst du bestimmte Dienste im Heimnetz auch ohne VPN sicher erreichbar machen. Und wenn du Pi-hole als DNS-Server im Heimnetz betreibst, nutzt du automatisch dessen Werbefilterung auch unterwegs, sobald WireGuard aktiv ist.

Tags FRITZ!Box VPN Sicherheit

Weitere Artikel

Fritzbox

Fritzbox Portfreigabe einrichten: sicher in 5 Schritten

Fritzbox

Fritzbox Gastnetz einrichten: WLAN isolieren + IoT-Geräte richtig trennen

Fritzbox

Fritzbox Kindersicherung: Einrichten + DNS-Blocking als Extra-Schutz