Letzte Woche hat mich mein Smart-Home-Gateway fast in den Wahnsinn getrieben: Ständige Verbindungsabbrüche, aber im Log der Fritzbox stand – wie so oft – absolut nichts Brauchbares. In solchen Momenten bringt dich die Standard-Oberfläche von AVM nicht weiter. Du musst tiefer graben, direkt an die Pakete ran.
Wenn die Diagnose-Tools im Dashboard lügen, ist der Paketmitschnitt über die versteckte Support-Seite deine letzte Rettung. Hier erfährst du, wie du den Traffic ziehst und in Wireshark zerlegst, ohne Zeit mit nutzlosen Assistenten zu verschwenden.
Das Werkzeug: Warum eigentlich Wireshark?
Bevor wir die Daten ziehen, kurz zum „Warum“: Wireshark ist für uns Admins das digitale Stethoskop. Während die Fritzbox dir nur oberflächlich sagt: „Gerät X ist verbunden“, zeigt dir Wireshark die nackte Wahrheit auf Paket-Ebene.
Es ist ein Open-Source-Sniffer, der den Traffic seziert. Du siehst jeden Handshake, jede DNS-Abfrage und jeden abgebrochenen TCP-Stream. Kurz gesagt: Wenn Daten durch dein Kabel oder die Luft fließen, macht Wireshark sie sichtbar. Ohne dieses Tool ist Fehlersuche im Netzwerk nur Raten.
Der entscheidende Vorteil gegenüber den Bordmitteln der Fritzbox: Wireshark dekodiert über tausend Protokolle. Statt nur „Verbindung fehlgeschlagen“ siehst du exakt, in welchem Schritt des Drei-Wege-Handshakes (SYN, SYN-ACK, ACK) es klemmt. Verschickt dein Gerät ein SYN und kommt nie ein SYN-ACK zurück? Dann steckt das Problem auf dem Hinweg – also bei der Fritzbox, der Firewall oder dem Provider. Kommt das SYN-ACK an, aber dein Client schickt nie das finale ACK? Dann liegt der Fehler bei deinem Endgerät. Diese eine Information spart dir oft Stunden an Trial-and-Error.
Lade dir Wireshark direkt von der offiziellen Seite herunter und meide windige Download-Portale, die dir Adware unterjubeln. Unter Windows installierst du dabei gleich Npcap mit (wird vom Setup angeboten), unter macOS gehört ChmodBPF dazu. Für reine PCAP-Analyse der Fritzbox-Dateien brauchst du diese Treiber zwar nicht zwingend, aber später willst du vielleicht auch direkt auf deinem Rechner sniffen – dann sind sie Pflicht.
Der direkte Weg: support.lua
Vergiss das Rumgeklicke in den Menüs. Wer tiefe Einblicke will, nutzt die Hintertür. Die Fritzbox hat seit Jahren ein verstecktes Diagnose-Interface, das AVM nicht an die große Glocke hängt.
- Log dich normal auf deiner Fritzbox ein.
- Ersetze alles nach der IP (oder
fritz.box) in der Adresszeile durch:/support.lua. (http://fritz.box/support.lua) - Scrolle runter bis zum Punkt Paketmitschnitte.
Dort passiert die Magie. Hier generiert die Box eine .pcap-Datei, die du direkt in Wireshark füttern kannst.
Falls du den Punkt „Paketmitschnitte“ nicht findest: Auf manchen FRITZ!OS-Versionen erreichst du die identische Seite direkt über fritz.box/html/capture.html. Beide URLs landen auf demselben Werkzeug. Du bekommst dort eine lange Liste aller Schnittstellen, jeweils mit einem „Start“-Button. Sobald du auf „Start“ klickst, beginnt die Box, eine Datei zu schreiben; mit „Stop“ wird der Download angeboten. Es gibt keinen Bestätigungsdialog und keinen Fortschrittsbalken – die Box schreibt einfach still im Hintergrund mit, bis du stoppst.
Ein Wort zur Berechtigung: Diese Seite ist kein Hack und auch nichts Illegales. Es ist eine offizielle Support-Funktion, die AVM normalerweise nur dann ins Spiel bringt, wenn der Support einen Mitschnitt von dir anfordert. Du darfst sie jederzeit für dein eigenes Netz nutzen. Wichtig nur: Schneide ausschließlich Traffic in deinem eigenen Netzwerk mit. Das Mitlesen fremden Datenverkehrs ist eine andere Geschichte und rechtlich heikel.
Welches Interface für welches Problem?
Hier scheitern die meisten. Wenn du das falsche Interface wählst, siehst du entweder gar nichts oder wirst mit irrelevantem Müll geflutet.
| Szenario | Interface in der Fritzbox |
|---|---|
| Internet-Probleme (DSL/Glasfaser) | Internetverbindung (meist eth0 oder routing0) |
| Probleme im Heimnetz (LAN) | eth0 oder lan |
| WLAN-Zicken (Smart Home/Handy) | ath0 (2.4 GHz) oder ath1 (5 GHz) |
| Telefonie-Glitches (VoIP) | Internetverbindung (da VoIP über eine virtuelle VC läuft) |
Die Bezeichnungen sind leider nicht über alle Modelle hinweg identisch. Eine FRITZ!Box 7590 zeigt andere Interface-Namen als eine 4060 oder ein älteres 7490-Modell. Lass dich davon nicht verunsichern – die Logik bleibt gleich: Es gibt immer eine Schnittstelle „nach draußen“ (zum Provider) und eine oder mehrere „nach drinnen“ (LAN, die einzelnen WLAN-Funkmodule). Im Zweifel hilft die Methode des Ausschlusses: Starte einen kurzen Mitschnitt auf einem Kandidaten, erzeuge gezielt Traffic (etwa einen Ping vom verdächtigen Gerät) und prüfe, ob er auftaucht.
Eine Besonderheit gibt es bei der Internetverbindung: Hier siehst du den Verkehr so, wie er die Box Richtung Provider verlässt – inklusive der PPPoE- oder IPoE-Kapselung bei DSL. Genau das ist Gold wert, wenn du dem Provider beweisen willst, dass die Pakete deine Box sauber verlassen haben und das Problem weiter draußen liegt.
Wichtig: Starte den Mitschnitt, provoziere den Fehler (z. B. die Webseite aufrufen, die nicht lädt) und stoppe den Mitschnitt sofort wieder. PCAP-Dateien werden extrem schnell riesig und fressen deinen RAM beim Analysieren.
Wireshark: Den Heuhaufen sortieren
Sobald du die Datei hast, ziehst du sie per Drag-and-Drop in Wireshark. Ohne Filter siehst du hier nur Grundrauschen. Nutze diese Display-Filter in der oberen Leiste, um Licht ins Dunkel zu bringen:
ip.addr == 192.168.178.20: Zeigt nur den Traffic eines spezifischen Geräts.tcp.flags.reset == 1: Findet Verbindungen, die hart abgebrochen wurden (oft der Grund für Timeouts).dns.flags.response.code != 0: Zeigt dir fehlgeschlagene DNS-Anfragen.
Wenn du diese drei verinnerlicht hast, knackst du schon 80 Prozent aller Heimnetz-Probleme. Ein paar weitere Filter haben sich bei mir im Alltag bewährt:
tcp.analysis.retransmission: Markiert wiederholt gesendete Pakete. Tauchen die gehäuft auf, hast du Paketverlust – ein klassisches Symptom für ein schlechtes WLAN oder ein überlastetes DSL.icmp: Reduziert die Ansicht auf Ping- und Fehlermeldungen. „Destination unreachable“ verrät dir hier sofort, dass ein Ziel oder eine Route tot ist.dhcp(bzw.bootpauf älteren Versionen): Perfekt, wenn ein Gerät partout keine IP-Adresse bekommt. Du siehst den kompletten Ablauf Discover, Offer, Request, Acknowledge.frame.time_delta > 1: Zeigt dir Pakete, vor denen über eine Sekunde Funkstille herrschte – ideal, um Hänger und Latenz-Spitzen aufzuspüren.
Ein unterschätztes Werkzeug ist außerdem „Follow TCP Stream“ (Rechtsklick auf ein Paket). Damit klappst du eine einzelne Unterhaltung zwischen zwei Geräten in der richtigen Reihenfolge auf und blendest alles andere aus. Bei unverschlüsseltem Verkehr siehst du sogar den Klartext-Inhalt – bei modernem HTTPS bleibt es naturgemäß verschlüsselt, aber die Metadaten (wer mit wem, wie lange, wie viele Bytes) sind oft schon aussagekräftig genug.
Unter Statistics → Conversations bekommst du eine Top-Liste aller Gesprächspartner. Sortier sie nach übertragenen Bytes, und der größte „Datenfresser“ in deinem Netz fällt dir sofort ins Auge. Genauso aufschlussreich: Statistics → Protocol Hierarchy zeigt dir prozentual, welche Protokolle dein Netz dominieren.
** Pro-Tipp aus der Praxis: Der “Buffer-Overflow”-Effekt** Wenn du versuchst, einen Gigabit-Download über die Fritzbox mitzuschneiden, wird der Prozessor der Box (CPU) in die Knie gehen. Die Fritzbox ist kein dedizierter Network-Tap.
Mein Rat: Limitiere für den Test die Bandbreite oder schalte während des Mitschnitts alle anderen hungrigen Clients (Netflix-Streams etc.) ab. Sonst verfälscht die hohe CPU-Last der Box die Latenzzeiten im Trace, und du suchst nach Geister-Problemen, die erst durch den Mitschnitt selbst entstanden sind.
Typische Fehler und wie du sie vermeidest
Die meisten Fehlanalysen entstehen nicht in Wireshark, sondern schon beim Mitschneiden. Diese Stolperfallen kosten dich sonst eine komplette Diagnose-Runde:
Du schneidest am falschen Ort mit. Wenn dein Problem-Gerät per WLAN verbunden ist, du aber das LAN-Interface aufzeichnest, siehst du den entscheidenden Funkverkehr nie. Mach dir vorher klar, über welchen physischen Weg dein Gerät hängt.
Du startest den Trace zu spät. Verbindungsprobleme spielen sich oft in den ersten Millisekunden ab (Handshake, DNS-Auflösung). Starte den Mitschnitt also bevor du den Fehler auslöst, nicht erst, wenn es schon hakt.
Du interpretierst TCP-Resets falsch. Ein einzelnes RST-Paket ist nicht automatisch ein Drama – viele Anwendungen beenden Verbindungen absichtlich hart, statt sie sauber abzubauen. Erst eine Häufung von Resets oder Resets mitten in einer aktiven Übertragung sind ein echtes Alarmsignal.
Du vergisst, die Uhrzeit zu notieren. Wenn du den exakten Moment des Fehlers kennst, kannst du in Wireshark über die Zeitspalte gezielt dorthin springen. Notier dir also, wann genau der Abbruch passierte.
Sicherheit und Datenschutz beim Mitschnitt
Ein PCAP ist ein vollständiges Abbild deines Netzwerkverkehrs zum Aufnahmezeitpunkt. Behandle solche Dateien entsprechend vertraulich. Auch wenn moderne Inhalte per TLS verschlüsselt sind, enthält ein Trace eine Menge Metadaten: welche Geräte (MAC- und IP-Adressen) du im Netz hast, welche Server und Domains sie kontaktieren, zu welchen Zeiten du online bist.
Wenn der AVM-Support oder ein Forum dich um einen Mitschnitt bittet, überleg zweimal, bevor du die Rohdatei hochlädst. Sinnvoll ist es, den Trace vorher in Wireshark auf die relevanten Pakete einzudampfen (über File → Export Specified Packets nach dem Setzen eines Filters) und alles Unnötige rauszuwerfen. So gibst du nur preis, was wirklich zur Diagnose nötig ist.
Und ganz grundsätzlich: Mitschnitte gehören nicht dauerhaft auf einen Cloud-Speicher oder in einen ungeschützten Ordner. Lösche sie, sobald die Analyse durch ist. Wenn du beim Stöbern im Trace auf verdächtige ausgehende Verbindungen stößt – etwa ein Gerät, das ständig unbekannte Server kontaktiert – ist das ein guter Anlass, deine Portfreigaben zu überprüfen und gegebenenfalls über einen sicheren Fernzugriff per WireGuard-VPN nachzudenken, statt Ports stumpf nach außen zu öffnen.
Troubleshooting-Checkliste
- Datei ist leer? Prüfe, ob du das richtige Interface gewählt hast. Oft ist
lanbei Mesh-Systemen tückisch. - Wireshark zeigt nur “Malformed Packets”? Die Fritzbox nutzt manchmal ein spezielles Kapselungsformat. Achte darauf, beim Download auf der Support-Seite die Option “im Wireshark-Format” (falls angeboten) zu wählen.
- Passwort-Abfrage in Wireshark? PCAPs sind unverschlüsselt. Wenn du aber HTTPS-Traffic analysieren willst, brauchst du die Session-Keys aus dem Browser – das führt hier aber zu weit.
- Viele DNS-Fehler im Trace? Bevor du tiefer gräbst, lohnt ein Blick auf deine Namensauflösung. Manchmal liegt es schlicht am voreingestellten Provider-DNS. In dem Fall hilft es, den DNS-Server der Fritzbox zu ändern.
- Box hängt nach dem Mitschnitt? Ein Neustart räumt den Speicher wieder auf. Bevor du an Einstellungen schraubst, sichere vorsorglich deine Fritzbox-Konfiguration.
Häufige Fragen
Was mache ich, wenn fritz.box/support.lua nicht lädt? ▾
Meistens liegt es daran, dass du nicht eingeloggt bist oder dein DNS spinnt. Log dich zuerst ganz normal im Dashboard ein. Wenn der Hostname fritz.box zickt, nutz die IP: 192.168.178.1/support.lua. Achte darauf, dass du im Heimnetz bist und nicht via VPN oder Gast-WLAN zugreifst – da sperrt AVM diese tiefen Funktionen oft ab. Klappt der Login gar nicht mehr und du kommst nirgends rein, erreichst du die Box im Notfall über die Recovery-IP 169.254.1.1.
Kann ich mit Wireshark Passwörter oder HTTPS-Inhalte mitlesen? ▾
Kurz: Nein.
Wir haben 2026, fast alles ist via TLS/SSL verschlüsselt. Du siehst in Wireshark zwar, dass Daten fließen und zu welchem Server sie gehen, aber der Inhalt bleibt Datensalat. Um HTTPS zu knacken, müsstest du die Session-Keys deines Browsers exportieren und in Wireshark hinterlegen. Für die reine Netzwerk-Diagnose (Latenz, Paketverlust) brauchst du den Inhalt aber ohnehin nicht.
Welches Interface ist das richtige für DSL- oder Glasfaser-Probleme? ▾
Wenn dein Internet hakt, ist das Ziel die Schnittstelle nach draußen. Wähl in der Liste den Punkt „Internetverbindung“ (intern oft als routing0 oder dev/eth0 gelistet). Alles, was dort auftaucht, ist das, was dein Provider sieht und schickt. Wenn du internes WLAN-Chaos suchst, nimm stattdessen die Interfaces mit ath im Namen.
Zwingt der Paketmitschnitt die Fritzbox in die Knie? ▾
Absolut. Der Prozessor in der Fritzbox ist für das Routing optimiert, nicht für das Wegschreiben von massiven Datenmengen auf die Festplatte/den Browser. Wenn du einen Gigabit-Download startest und gleichzeitig mitschneidest, wird die Box instabil oder verwirft selbst Pakete.
Mein Tipp: Traces so kurz wie möglich halten und unnötige Hintergrund-Last (Streams etc.) währenddessen abschalten.
Warum ist meine .pcap-Datei so riesig und Wireshark stürzt ab? ▾
Ein paar Sekunden Traffic können locker hunderte Megabyte fressen. Wenn Wireshark beim Öffnen streikt, hast du zu lange aufgezeichnet. Nutze beim nächsten Mal die Stop-Taste, sobald der Fehler auftritt. Falls du eine riesige Datei bändigen musst: Nutz das Kommandozeilen-Tool editcap (wird mit Wireshark installiert), um den Trace in kleinere Stücke zu schneiden.
Sehe ich im Trace, wenn ein Gerät heimlich nach Hause telefoniert? ▾
Teilweise, ja. Den Inhalt verschlüsselter Verbindungen siehst du nicht, aber sehr wohl, mit welchen Servern ein Gerät spricht und wie oft. Filtere mit ip.addr == <IP des Geräts> und schau dir unter Statistics → Conversations die Ziel-Adressen an. Kontaktiert dein vermeintlich harmloses Smart-Home-Gadget im Minutentakt obskure Server im Ausland, weißt du Bescheid. Für eine saubere Auflösung der Ziel-Domains hilft es, parallel den dns-Filter laufen zu lassen.
Brauche ich für die Analyse zwingend einen leistungsstarken PC? ▾
Für das Öffnen kleiner Traces reicht jeder normale Rechner. Erst bei sehr großen Dateien (mehrere Gigabyte) wird der Arbeitsspeicher zum Flaschenhals, weil Wireshark gern den kompletten Trace in den RAM lädt. Halte die Mitschnitte kurz, dann bleibt auch ein älteres Notebook flott. Für riesige Dateien greifst du besser zum Kommandozeilen-Bruder tshark, der deutlich genügsamer mit dem Speicher umgeht.
Fazit
Ganz ehrlich: Die meisten Leute kratzen bei Netzwerk-Problemen nur an der Oberfläche und hoffen, dass ein Neustart der Fritzbox alles regelt. Mit dem Wissen über die support.lua und Wireshark spielst du jetzt in einer völlig anderen Liga. Du rätst nicht mehr, du weißt.
Warte nicht erst, bis dein Netz komplett brennt. Mein Rat: Zieh dir genau jetzt einen „sauberen“ Trace, während alles läuft. Nur wenn du weißt, wie ein gesundes Netzwerk aussieht, erkennst du die feinen Unterschiede, wenn es kracht.
Hast du verdächtige IPs gefunden oder bricht dein Handshake ständig ab? Dann ist es Zeit, die Firewall-Regeln zu prüfen.