OpenWRT Router hinter Fritzbox (2026)

[Totti1001]

Servus,

mein Vorhaben sieht änhlich aus.
Ich hab eine Fritz7590 die an einem Glasfasermodem hängt. Die Firtzbox stellt weder Wlan noch LAN für Endgeräte.
Einzig ein Switch hängt an der Fritzbox für die Endgeräte und ein TP Link Omada OC200 fürs Wlan an dem Switch.
Nun hab ich einen Xiaomi 4a Router , den ich mit Openwrt geflasht hab. An diesen Xiaomi soll dann mein Switch und somit eben alle Endgeräte. Die Fritzbox soll nur noch für die Telefonfunktion laufen.
Warum das ganze? Ich möchte, dass alle Geräte hinter dem Xiaomi über VPN laufen. Mit der Fritzbox klappt das leider nicht, weil dann das Telefon (Telekom) nicht mehr geht.

Da ich in meinem jetzigen Netzwerk aber viele Geräte mit fester IP laufen habe, möchte ich das nicht alles umstellen. Daher meine laienhafte Überlegung: Den IP Bereich der Fritzbox ändern von derzeit 192.168.178.x auf einen beliebigen anderen Bereich. Den OpenWRT Router dann den Bereich der Fritzbox geben, also 192.178.168.x. , der ja jetzt noch auf 178.168.1.x bei der OpenWRT steht.
Was ich noch nicht möchte: Irgendwelche Firewall regeln, VLAN etc. Das steig ich nämlich überhaupt nicht durch.
Welchen Einstellungen müsste ich für mein vorhaben in der Fritzbox und dem OpenWRT vornehmen?
Meine Endgeräte sollen weiterhin Netzzugang haben und auch von außen erreichbar sein, so wie bisher auch.
Wenn ihr event. nen Link mit einer Anfängertauglichen Anleitung habt, wäre das auch schön.

 

[norKoeri]

alle Geräte hinter dem [OpenWrt-Router sollen] über VPN laufen

Das solltest Du ein wenig ausführen, ansonsten wirst Du vermutlich gar keine Antwort bekommen. Wenn Du unser Forum nach „joepie91“ (nicht als Nutzername sondern Stichwort) durchsuchst, findest Du schonmal einige Threads zu dem Thema, was Du nicht antworten solltest.

Aber wenn Du Telekom Deutschland hast und Dich in OpenWrt erstmal reinfuchsen willst, was spricht gegen eine Router-Kaskade, also ONT ↔︎ WAN FRITZ!Box LAN ↔︎ WAN OpenWrt LAN ↔︎ ‥? Die FRITZ!Box kannst Du auf IPv4-only stellen, denn Du hast mit der Telekom Deutschland ja nicht CGNAT oder DS-Lite sondern Dual-Stack.

 

[grünerbert]

Wo hast du denn den Thread ausgegraben, @Totti1001? Hab mich erst gewundert, dass von OpenWrt 19.07 die Rede ist, bis ich merkte, dass der OP von 2020 stammt 🧓

dass alle Geräte hinter dem Xiaomi über VPN laufen

Damit meinst du sicher, als VPN-Client im Netz eines kommerziellen VPN-Anbieters!? Alias "full tunnel", d.h., jeglicher Traffic soll durch den VPN-Tunnel geroutet werden? Dazu hier eine Anleitung des Anbieters Proton für OpenWrt, sollte mit anderen Anbietern ähnlich funktionieren.

Welchen Einstellungen müsste ich für mein vorhaben in der Fritzbox und dem OpenWRT vornehmen?
Meine Endgeräte sollen weiterhin Netzzugang haben und auch von außen erreichbar sein

Die statische Route wurde ja bereits genannt, diese stellst du in der Fritzbox ein.
Bei "Dienste von außen erreichbar" müsstest du etwas konkreter werden. Welche Dienste, welche Ports, welche Protokolle? Ohne den kommerziellen VPN würdest du einfach zwei Port-Weiterleitungen einrichten, eine im Xiaomi und eine in der Fritzbox. Aber beim VPN-Provider hast du keine Admin-Rechte, daher bezweifle ich gerade, ob das überhaupt geht!? Alternativ könntest du das NAS/Server o.ä. ins Netz der Fritzbox hängen, dann hätten die Geräte im Subnetz des Xiaomi-Routers darauf Zugriff, und du kannst per WireGuard auf die Fritzbox (oder eben Portfreigabe, was selten empfehlenswert ist) die Dienste nach außen freigeben.

 

[Totti1001]

Sorry aber ich dachte, ich hätte klar gemacht, dass mein Wissen in der Sache sehr beschränkt! ist. Von daher bringt es mir herzlich wenig wenn mit für euch selbstverständlichen Begriffen, umher geschmissen wird. Oder anders gesagt, ich verstehe nur Bahnhof.
Mit Diensten von außen meinte ich einfach mein Heimnetzwerk, was ich jetzt auch über Wireguard erreiche mit dem Handy. Nur kann ich Wireguard nicht als Netzgerät in der Fritz laufen lassen (über Proton VPN) weil dann mein Telefon nicht mehr funktioniert. Telekom mag anscheinend kein VPN.

Aber ums euch und mir einfach zu machen, lass ich das ganze.
Und was so schlimm daran ist, einen -wenn auch alten - Thread mit vergleichbaren Inhalt zu nehmen anstatt für's gleiche Themen einen neuen aufzumachen, verstehe ich auch nicht wirklich.

 

[JonDings]

Wenn ich das richtig verstehe, möchtest du ein VPN-Gateway bauen. Also ein VPN als lokales Netz und einen VPN-Tunnel raus als WAN-Anschluss (siehe dazu: https://www.computerbase.de/forum/threads/fritzbox-7590-und-zwei-wireguard-verbindungen.2271320/).

Im Prinzip hattest du schon alles richtig eingerichtet. Du hast halt nur das Default-Routing-Problem: Es kann im Prinzip nur eine Route nach 0.0.0.0/0 (also die Default-Route) geben.

Wenn du einen VPN-WAN-Tunnel einrichtest, müsste theoretisch der VPN-Traffic durch den eigenen Tunnel laufen, was natürlich nicht geht. Daher markiert WireGuard den Traffic. Dieser wird per automatischer Routing-Regeln abgefangen und via einer weiteren Routing-Tabelle über die „alte“ Default-Route geschickt, während sämtlicher andere Traffic halt durch den Tunnel geleitet wird – eben auch der Traffic für das LAN-VPN-Netz sowie das Telefon.

Ich kenn mich mit Fritzboxen nicht aus aber mich wundert das bei dem 1. Versuch nicht irgendwelche schalter oder Einstellmöglichkeiten gab. Zumindestens so das dein internes VPN auch über WAN geleitet wird und nicht durch den Tunnel.
Damit Telefon funktioniert könnte man statt 0.0.0.0/0 vieleicht sämtliche Netze ausser der Bereich deines SIP-Servers.

Die bezahlversion von Proto-VPN soll sowas wie natpmp bieten bei dem es wohl mögkich ist ein Server durch den Tunnel zu erreichen.

Da du nun aber bereits ein Openwrt Router hinter der Fritzbox hast würde ich das Problem aufteilen:
1. Part Funktionierender Openwrt Router hinter der Fritzbox
2. Part internes VPN netz auf dem Openwrt Router
3. Part vpn-out-tunnel

 

[grünerbert]

Bitte nicht jedes Wort auf die Goldwaage legen.

alten - Thread mit vergleichbaren Inhalt zu nehmen

Das Wiederbeleben eines alten Thread alias "Necropost" gilt in vielen Foren als unschön, von daher wird davon abgeraten. Aber kein Grund, sich das zu sehr zu Herzen zu nehmen.
Man kann bei so einem Setup manches falsch machen, und es ist dir nicht geholfen, wenn du durch eine Fehlkonfiguration dein ganzes Heimnetz ins Internet freigibst. Von daher wirst du um ein wenig Einlesen bzw. YouTube-Erklär-Videos schauen nicht drum herum kommen. Und deswegen kann dir hier auch niemand eine 5 Minuten Anleitung geben, ohne dein genaues Setup zu kennen. Zumal noch die Frage wäre, was du mit "dem VPN" überhaupt erreichen willst!?
Was du eigentlich vorhast, ist eine sog. Routerkaskade. Im Grunde nicht kompliziert, aber da du mit OpenWrt noch keine Erfahrung hast, würde ich an deiner Stelle lieber eine zweite Fritzbox als Router2 nehmen. Das kann eine gebrauchte 7520 sein oder 4040, bekommt man für unter 50 €, teils 20 €.

mein Heimnetzwerk, was ich jetzt auch über Wireguard erreiche mit dem Handy

Genau dafür brauchst du eine Port-Weiterleitung, denn deine Anfragen von unterwegs landen zunächst bei deiner 7590. Damit kommst du ins äußere Netz, manchmal auch "Demilitarisierte Zone" (DMZ) genannt. Um nun ins innere Netz (hinter Router2) zu kommen, musst du -- egal, ob Router2 eine Fritzbox oder OpenWrt oder Asus oder TP Link ist -- eine Portweiterleitung in der 7590 auf den WireGuard-Port von Router2. Und natürlich müssen sich die Port-Nummern der beiden unterscheiden.
Die WireGuard-Server-Einrichtung ist in OpenWrt etwas technischer als in der Fritzbox; ein weiteres Argument für eine Fritzbox als Router2. Zudem musst du nachher händisch die DynDNS-Adresse in deiner WireGuard-App ändern, nämlich auf die der (äußeren) Fritzbox 7590, sonst schlägt deine Verbindung fehl.
Als Hauptproblem, wie mein Vorredner schon andeutete, sehe ich, dass dein Router2 gleichzeitig Wireguard-Client (im Netz des VPN-Anbieters) und Wireguard-Server (für deine mobilen Geräte) sein soll. Genau hier sehe ich den Knackpunkt. Vielleicht hat jemand im Forum schon so etwas umgesetzt. Ich habe sowohl Wireguard-Client mit kommerziellem VPN-Anbieter (in OpenWrt, nach o.g. Anleitung) umgesetzt, als auch Wireguard-Server für mobile Endgeräte, aber nicht beides gleichzeitig auf demselben Gerät.

 

[Totti1001]

Vielen Dank, das ist auch für mich verständlich . Ich werde mir aber deine Verlinkungen erstmal in Ruhe anschauen .
Warum überhaupt VPN ? Weil ich jetzt leider nach Umstellung von o2 DSL auf Telekom Glasfaser auch gemerkt hab, dass es teilweise erhebliche Probleme mit dem sogenannten peering bei mir gibt und ich nicht für jedes Betroffene Endgerät extra die Proton Software installieren wollte .
Mit einer Sache hast du aber vollkommen recht , Openwrt überfordert mich total .
Da ist ne alte Fritz sicher besser für mich geeignet.
Ich hatte es mit openwrt die Tage probiert und ich hatte sogar noch Netz Zugriff 😉 und auch die eingerichtete Wireguard Verbindung auf der 7590 für mein Handy hat noch funktioniert aber bei der Einrichtung von Wireguard auf dem openwrt Router war dann Feierabend . Das lief auf Grund der zahlreichen Einstellungen überhaupt nicht.
Zin Glück hatte ich ein Backup der Fritz gemacht und konnte so wieder schnell zurück .
Man sollte vielleicht einfach seine Grenzen akzeptieren
...
Aber nochmal danke , dass du es so einfach wie möglich dargestellt hast , ohne viel Fachbegriffe , die mir eh nicht viel sagen .

Edit: was würdest du empfehlen , wenn ich ne zweite Fritz dafür nutzen würde ? Meine 7590 nur als "Modem" und die 4040 bzw 7520 als Router hinter der 7590? Oder die 7520 als Modem? 4040 hat ja kein DECT .

 

[mykoma]

Ich habe die neuen Beiträge Mal in ein neues Thema verschoben, seit 2020 ist viel Wasser durch den Rhein geflossen.

 

[norKoeri]

erhebliche Probleme mit dem [… Internet-]Peering

1. Können wir noch ein Stück zurückgehen und Du beschreibst uns Deine Apps und die Symptome, die Du siehst? Nicht dass Du verschiedene Probleme hast und bei einigen dann ein VPN nicht hilft. Oder hattest Du das schon getestet?
2. Willst Du als (unbedingt) VPN-Anbieter Proton nutzen? Also zufällig den selben VPN-Anbieter wie @grünerbert rausgesucht hatte oder hattest Du seinen Vorschlag übernommen?
3. Bitte parallel einen Thread im Bereich Internet-Provider aufmachen, ob Du noch irgendwelche Rechte bezüglich des Internet-Vertrags hast, also Storno, Rücktritt oder Sonderkündigung. Jedenfalls verstehe ich eine jüngste Aussage so, dass jedem Neukunden ein Wechsel zusteht. Wird wohl aber jemand Durchklagen müssen.

Meine 7590 nur als "Modem" und […] 7520 als Router hinter der 7590? Oder die 7520 als Modem?

Musst leider Du überlegen, also was mehr Aufwand ist,

a) DECT-Telefon auf die FRITZ!Box 7520 ummelden oder​

b) IP-Bereich in der FRITZ!Box 7590 ändern.​

Nutzt Du denn überhaupt noch irgendwas aus der FRITZ!-Produktwelt, also Smart-Home oder WLAN-Punkte?

 

[JonDings]

Ich gehe davon aus das das ursprüngliche Problem hier Formuliert wurde:
https://www.computerbase.de/forum/threads/fritzbox-7590-und-zwei-wireguard-verbindungen.2271320/

da du mit OpenWrt noch keine Erfahrung hast, würde ich an deiner Stelle lieber eine zweite Fritzbox als Router2 nehmen.

macht eigendlich überhaupt kein Sinn wenn es mit Fritz nicht geht.

Allerdings kann ich nicht so richtig glauben das es nicht funktionieren soll. Was sagt den die google KI dazu ?
Kann man nicht einzelne Geräte von der WAN-Über-Proton verbindung Ausnehmen ?
Eventuell die Fritzbox selber ?
Ich habe von FritzOS allerdings keine Ahnung.

Ansonsten ist das schon der richtige Weg hab ich auch mal auf einem Openwrt Docker Container so eingerichtet.
Hatte dazu allerdings ein script geschrieben was das routing händisch vornahm.
Und bin mir auch nicht sicher ob das so überhaupt notwendig gewesen ist Oder ob das nicht automatisch gegangen wäre.

Ich kann auch nicht viel bei der Weboberfläche helfen weil ich die meist nicht nutze, sondern den ssh zugriff und configurations datein

Wie gesagt ich würde erst mal den WAN Anschluss des Openwrt routers an die fritzbox anschliessen (zugriff via dhcp) dann in der Fritzbox eine Route einrichten damit du kein doppel-nat hast

So das du erst mal ein router hast an dem du spielen und lernen kannst und die Fritzbox würde ich dann nur anfassen wenn es um Portweiterleitung etc geht.

 

[Totti1001]

Ich hab schon gesucht aber bei der Fritz kann man wohl Telefon und Internet nicht trennen bei einer VPN Einrichtung. Man kann zwar bei einer Wireguard Netz Verbindung einzelne Geräte auswählen, die über VPN laufen sollen aber Telefonie ist dann trotzdem tot . Mehrfach getestet .
Funktionieren tut nur die Einrichtung als Einzelgerät in der Fritz , was dann eine Einrichtung für jedes Gerät erfordert .

Und Proton habe ich bereits vorher gehabt , unabhängig von gruenbert.
Und es ist tatsächlich so , dass ich damit das peering der Telekom umgehe .
Ich hab übrigens bereits eine Kündigung an die Telekom geschickt , ohne jegliche Rückmeldung bisher .
Und obwohl in allen bisherigen Schreiben Dezember 24 als Vertragsdatum, nehmen die jetzt das Anschlußdatum . Aber anderes Thema ..
Wobei das Problem dann wäre , dass hier bisher kein anderer Anbieter Glasfaser anbietet .

Die Frage ob 7520 als Router und 7590 dahinter bezog sich darauf , ob die 7520 leistungsschwächer ist und geeigneter wäre nur als Modem und Telefon Funktion zu fungieren und die 7590 dahinter für den Netzverkehr . Einrichtung ist ja im Gegensatz zu Openwrt relativ einfach .

Ich denke aber Openwrt ist erstmal gestorben , ist einfach zu kompliziert für mich .

 

[grünerbert]

Man kann zwar bei einer Wireguard Netz Verbindung einzelne Geräte auswählen, die über VPN laufen sollen aber Telefonie ist dann trotzdem tot . Mehrfach getestet .

Hier wird eine Verbesserung fürs Telekom-Peering diskutiert unter "Split-Tunneling" bzw. "Policy Based Routing".

Dezember 24 als Vertragsdatum, nehmen die jetzt das Anschlußdatum .

Laut BGH-Urteil ist das Datum des Vertragsschlusses maßgebend.

Die Frage ob 7520 als Router und 7590 dahinter bezog sich

Es ging darum, ob man den VPN-Client auf einem kaskadierten Router laufen lässt, da hatte ich statt OpenWrt eine zweite Fritzbox vorgeschlagen.
Aber nachdem ich den anderen Thread quergelesen habe, fiel mir ein: Für den Fernzugriff ins Heimnetz kannst du dir auf dem UgreenNAS einfach ein SoftVPN installieren. Die bekanntesten sind Tailscale und Netbird, gibt noch ein paar mehr. Bei Tailscale gibt es ein Feature namens "Subnet Router", damit kannst du auf alle weiteren Geräte im Heimnetz zugreifen, also auch solche, auf denen keine Tailscale-Software läuft. Weiterer Vorteil: Du musst dir überhaupt keine Gedanken um NAT, Firewalls und Port-Forwarding machen. Es lässt sich (fast) alles grafisch einrichten. Höchstens 1-2 Befehle musst du im NAS mal auf der Kommandozeile ausführen.