Fritz!Box Trick: WireGuard VPN auf der FRITZ!Box 7590 AX einrichten und sicher nutzen

ProDuck Guest Article
|
26
visibility
13.09.2025public

Praxisguide: WireGuard auf der FRITZ!Box 7590 AX einrichten, Clients verbinden, Performance optimieren und sicher betreiben – inklusive Pro/Contra, Tabelle und FAQ.

WireGuard auf der FRITZ!Box 7590 AX: schnell, modern, sicher

Fritz!Box Trick: WireGuard VPN auf der FRITZ!Box 7590 AX einrichten und sicher nutzen

Ich habe die WireGuard-Funktion der FRITZ!Box 7590 AX ausgiebig getestet. Der Fritz!Box Tipp spart dir Zeit: Mit dem integrierten Assistenten sind sichere Tunnel in Minuten fertig – ohne kryptische Terminal-Kommandos. Hier zeige ich, wie du Schritt für Schritt vorgehst, typische Stolpersteine vermeidest und das Maximum an Performance herausholst. Dieser Fritz!Box Trick eignet sich gleichermaßen für den schnellen Remote-Zugriff und die Standortvernetzung im Home-Office.

Kurzfazit: WireGuard ist auf der 7590 AX ab FRITZ!OS 7.50 nativ an Bord, arbeitet flott, ist einfach zu administrieren und ersetzt für viele Szenarien IPSec/OpenVPN.

Voraussetzungen und Vorbereitung

Bevor ich mit WireGuard starte, prüfe ich immer drei Dinge. Ein sauberer Start erspart später 90 Prozent der Fehlersuche.

  • FRITZ!OS-Version: Öffne die Oberfläche unter fritz.box > System > Update. WireGuard gibt es ab FRITZ!OS 7.50. Idealerweise nutzt du die aktuelle stabile Version, um Bugfixes mitzunehmen.
  • MyFRITZ!-Konto oder DynDNS: Unter Internet > MyFRITZ!-Konto aktivieren. Alternativ funktioniert ein DynDNS-Dienst. Das ist wichtig, damit sich Clients von unterwegs verbinden, auch wenn deine öffentliche IP wechselt.
  • Backup: System > Sicherung > Sichern. Ich exportiere immer vor Netzwerkschrauberei die Einstellungen – ein Klick, viel Ruhe.

Falls du die 7590 AX erst anschaffst oder auf das AX-Modell wechseln willst, lohnt ein Blick auf die Produktinfos: [url="https://fritz.com/produkte/fritzbox/fritzbox-7590-ax/",name="FRITZ!Box 7590 AX Produktseite",title="Diese Seite führt zur offiziellen Produktseite der FRITZ!Box 7590 AX"].

[asin="B0D428KRRD",type="standard"]

WireGuard: Funktionsweise kurz erklärt

WireGuard setzt auf ein modernes, schlankes Design. Schlüsselpaare (Public/Private), ein UDP-Port (standardmäßig 51820) und bewährte Kryptografie (Curve25519, ChaCha20-Poly1305) bilden die Basis. Jede Gegenstelle hat ihren Schlüssel und eine klare Policy, welche Netze durch den Tunnel dürfen (AllowedIPs).

In der Praxis beeindruckt der schnelle Handshake: Er ist extrem kurz, Keepalive hält NAT-Verbindungen stabil, und die Latenz ist im Vergleich zu älteren VPNs gering. Das merkt man beim Datei-Browsing aufs NAS oder Remote-Desktop deutlich.

  • Sehr schnelle Einrichtung, klare Konfiguration
  • Hohe Performance, niedrige Latenz
  • Gute Mobile-Tauglichkeit (Wechsel LTE/WLAN)
  • UDP kann von restriktiven Firewalls blockiert werden
  • Kein integrierter „User-Directory“-Mechanismus (Profile managen)
  • Bei DS-Lite braucht es IPv6-Strategien

Einrichtung auf der FRITZ!Box 7590 AX

Die 7590 AX bringt einen Assistenten mit, der dich durch den Prozess führt. So gehe ich vor:

  1. Neues VPN-Profil anlegen: In der Weboberfläche auf Internet > Freigaben > VPN > WireGuard wechseln. „Gerät hinzufügen“ starten.
  2. Zugriffstyp wählen: Ich entscheide zwischen Benutzerzugang (Smartphone/Laptop) und Standortvernetzung (zwei Netze). Für Mobilgeräte nutze ich Benutzerzugang, bei Home-Office-Filiale die Standort-Option.
  3. QR-Code/Config generieren: Der Assistent erzeugt eine .conf-Datei und einen QR-Code. Für Smartphones scanne ich den Code, auf Desktop speichere ich die Config lokal.

Wichtig: Notiere dir den extern erreichbaren Namen (MyFRITZ!/DynDNS) und den gewählten Port. Sie erscheinen in der Konfiguration, sind aber gut zu kennen, wenn später Firewalls mitspielen müssen.

Clients verbinden (iOS/Android/Windows/macOS)

Auf allen Plattformen ist die Einrichtung ähnlich bequem:

  • App installieren: Die offizielle WireGuard-App aus App Store/Play Store bzw. den Desktop-Client für Windows/macOS/Linux.
  • Profil importieren: Smartphone: QR-Code scannen. Desktop: .conf importieren. Nach dem Import das Profil benennen und aktivieren.
  • Always-on/On-Demand: Unter iOS/Android lässt sich „On-Demand“ konfigurieren, z. B. nur in fremden Netzen oder immer, wenn bestimmte Domains/IPs genutzt werden. Ich setze gern „Always-on“ im öffentlichen WLAN, um mich nicht auf Erinnerungen zu verlassen.

In meinen Tests war der Wechsel zwischen Mobilfunk und WLAN mit aktivem WireGuard nahtlos. Kurzzeitige Paketverluste lassen sich per „PersistentKeepalive“ lindern (siehe Performance-Tipps).

Sicherheit und Best Practices

WireGuard ist schlank, aber nicht nachlässig. Ein paar Gewohnheiten bringen viel:

  • Starke Schlüssel: Die Generierung übernimmt die Box, ich verwalte die Privatschlüssel der Clients mit Passwort-Safe/MDM.
  • Optionaler Pre-Shared Key (PSK): Für zusätzliche Sicherheit lässt sich ein PSK je Peer ergänzen.
  • AllowedIPs: Entscheide zwischen Split-Tunnel (nur 192.168.178.0/24, also dein Heimnetz) und Full-Tunnel (0.0.0.0/0 und ::/0) für kompletten Traffic über die Box.
  • QR-Codes/Configs vertraulich: Diese enthalten Keys und Endpunkte. Ich verteile sie nur verschlüsselt und lösche temporäre Kopien.

Praxis-Tipp: Lege pro Gerät ein eigenes Profil an. So kannst du bei Verlust eines Smartphones den einzelnen Zugang sofort sperren, ohne andere Geräte zu berühren.

Performance und Stabilität

Aus meinen Messungen mit einer 250/40-Mbit-Leitung liefert WireGuard nahe an die Leitungskapazität, wenn ein paar Stellschrauben passen:

  • MTU optimieren: Standardwerte funktionieren meist. Bei Fragmentierung (spürbar an Abbrüchen/hoher Latenz) teste ich MTU 1380–1420 per Client-Konfig.
  • Persistent Keepalive: 25–30 Sekunden sind ein guter Startwert, um NAT/Carrier-Netze wach zu halten – speziell bei Mobilgeräten.
  • DS-Lite/IPv6 beachten: Wenn dein Provider DS-Lite nutzt, kann eingehendes IPv4 fehlen. Lösung: Zugriff über IPv6-Endpunkt oder einen externen vServer/Reverse-Proxy.
  • DNS über die Box: In der Client-Config setze ich die DNS auf die FRITZ!Box (z. B. 192.168.178.1). Alternativ schnelle Resolver (DoT/DoH) – wichtig ist Konsistenz.

Fehlersuche und typische Stolpersteine

Wenn es klemmt, gehe ich strukturiert vor:

  • Ereignis-Log & WG-Status: Unter System > Ereignisse und im WireGuard-Menü siehst du, ob der Handshake ankommt.
  • AllowedIPs, Routen, DNS, Uhrzeit: Falsche AllowedIPs blockieren gern den Rückweg. Auch schief gehende Zeit (NTP) killt Handshakes.
  • Doppelte IPs/Keys vermeiden: Jeder Peer braucht eindeutige IPs und Schlüsselpaare.
  • App-Berechtigungen: Unter iOS/Android muss die App VPN-Berechtigungen haben – „Always-on“ erfordert zusätzliche Systemfreigaben.

Nutzungsszenarien und Datenschutz

Was mache ich damit konkret? Drei bewährte Patterns:

  • Heimnetz-Zugriff: NAS, Smart-Home-Zentrale, Drucker oder eine lokale Passwortverwaltung – per Split-Tunnel bleibt dein normaler Internetverkehr lokal, nur der Zugriff aufs Heimnetz läuft durch den Tunnel.
  • Öffentliches WLAN: In Hotels oder Cafés nutze ich Full-Tunnel, damit sämtlicher Traffic verschlüsselt über meine FRITZ!Box geht. Das schützt vor neugierigen Zwischenstationen.
  • Minimalprinzip: Pro Profil nur die nötigsten Rechte und Netze. Protokollierung in der Box begrenzt lassen, um Datenschutz zu wahren.

Split-Tunnel vs. Full-Tunnel im Überblick

PropertySplit-TunnelFull-Tunnel
Zielnetz (AllowedIPs)z. B. 192.168.178.0/240.0.0.0/0 und ::/0
Performance-Eindruck⭐⭐⭐⭐⭐⭐⭐⭐⭐
Datenschutz im öffentlichen WLANGut für Heimnetz-ZugriffSehr hoch – kompletter Traffic geschützt
KompatibilitätWeniger Probleme mit Streaming/Geo-BlockingManchmal Captive-Portals/Geo-Regeln beachten

Verständlich in 5 Minuten: Schrittfolge im Alltag

Pragmatisch zusammengefasst, so richte ich für neue Geräte ein:

  1. In der FRITZ!Box neues WireGuard-Profil für „Smartphone“ anlegen.
  2. QR-Code scannen, Profil aktivieren, Test: ping 192.168.178.1.
  3. AllowedIPs auf Heimnetz (Split) oder 0.0.0.0/0 (Full) setzen.
  4. Optional PSK ergänzen, Keepalive 25s, DNS auf die Box.
  5. Profil benennen, sichere Ablage der Config, Log prüfen.
  • help

    Welche Ports muss ich im Router/Provider-Gerät freigeben?

    Standard ist UDP 51820. Wenn deine FRITZ!Box selbst die öffentliche IP hat, ist keine manuelle Portfreigabe nötig. Hängt sie hinter einem anderen Router-Modem, leite UDP 51820 an die FRITZ!Box weiter.

  • help

    Funktioniert WireGuard hinter DS-Lite?

    Ja, aber eingehende IPv4-Verbindungen scheitern. Nutze IPv6-Endpunkte oder einen externen Server als Relay. Alternativ prüfe, ob dein Provider Dual-Stack freischaltet.

  • help

    Warum sehe ich mein NAS nicht im Explorer?

    Broadcasts/Multicasts werden oft nicht über VPN geroutet. Greife per IP/Hostname direkt zu (z. B. smb://192.168.178.10). Achte auf richtige AllowedIPs und ggf. lokale Firewallregeln am NAS.

Fazit und Empfehlung

WireGuard auf der FRITZ!Box 7590 AX ist einer der nützlichsten Alltagshelfer im Heimnetz: schnell eingerichtet, flott im Betrieb und gut wartbar. Mit klaren AllowedIPs, PSK pro Gerät und einem passenden Keepalive läuft das Setup stabil – egal ob fürs Home-Office, die Ferienwohnung oder das sichere Surfen im Café.

Meine Empfehlung: Richte dir zuerst ein Split-Tunnel-Profil fürs Heimnetz ein und ergänze bei Bedarf ein Full-Tunnel-Profil für öffentliches WLAN. Prüfe danach die Logs – wenn Handshakes stabil sind, bist du fertig.

Wenn du noch keine 7590 AX nutzt oder aufrüsten willst, informiere dich hier: [url="https://fritz.com/produkte/fritzbox/fritzbox-7590-ax/",name="FRITZ!Box 7590 AX Produktseite",title="Diese Seite führt zur offiziellen Produktseite der FRITZ!Box 7590 AX"].

Fritz!Box Tipp
VPN
WireGuard
Post Overview