Wer VPN über die Fritzbox nutzt – ob als eingebauten VPN-Server, fürs Homeoffice oder für einen VPN-Server im Heimnetz – stolpert früher oder später über zwei Themen: Welche Ports muss ich kennen bzw. freigeben, und wie sorge ich per Priorisierung (QoS) dafür, dass die VPN-Verbindung auch unter Last stabil bleibt? Diese Seite beantwortet beides, inklusive Zuordnung: welches Gerät nutzt typischerweise welches Protokoll.
Standard-Ports der VPN-Protokolle
IPsec / IKEv2 – das native Fritzbox-VPN
- UDP 500 – IKE (Schlüsselaustausch/Aushandlung)
- UDP 4500 – NAT-Traversal (ESP-in-UDP, nötig hinter fast jedem Router)
- IP-Protokoll 50 (ESP) – die eigentlichen verschlüsselten Nutzdaten
Typische Geräte: die Fritzbox selbst als VPN-Server (MyFRITZ!, FRITZ!Fernzugang), iPhone/iPad und Android mit Bordmittel-VPN, Firmen-Notebooks mit IPsec-Clients (StrongSwan, Cisco).
WireGuard – modern & schnell (ab FRITZ!OS 7.50 nativ)
- UDP 51820 – Standard-Port, frei wählbar
Typische Geräte: Fritzbox als WireGuard-Server, Smartphones und Notebooks mit der WireGuard-App, Raspberry Pi (PiVPN), Site-to-Site-Kopplung zweier Fritzboxen.
OpenVPN – läuft nicht auf der Fritzbox selbst
- UDP 1194 – Standard-Port
- TCP 443 – Alternative, kommt durch fast jede Firewall
Typische Geräte: Synology/QNAP-NAS, Raspberry Pi oder ein dedizierter Server im Heimnetz – die Fritzbox kann selbst kein OpenVPN und braucht dafür eine Portfreigabe auf das jeweilige Gerät. Die Server-Einrichtung ist unter OpenVPN beschrieben.
Ältere Protokolle
- L2TP/IPsec: UDP 1701 + UDP 500/4500 – ältere Firmen-VPNs, Windows-Bordmittel
- SSTP: TCP 443 – Microsoft-Umgebungen
- PPTP: TCP 1723 + GRE (IP-Protokoll 47) – unsicher und veraltet, nicht mehr verwenden
Portfreigaben: Wann nötig, wann nicht?
Nicht nötig für das eingebaute Fritzbox-VPN (IPsec und WireGuard) – die Box terminiert die Verbindung selbst und öffnet die Ports automatisch.
Nötig für jeden VPN-Server im Heimnetz (NAS, Raspberry Pi). Einrichtung:
- Internet > Freigaben > Portfreigaben öffnen
- Das Gerät (z. B. NAS) auswählen > „Freigabe hinzufügen"
- Protokoll UDP, Port z. B. 1194 (OpenVPN) oder 51820 (WireGuard) an die interne Geräte-IP
Priorisierung (QoS): VPN unter Last stabil halten
Die Fritzbox-Priorisierung findet sich unter Internet > Filter > Priorisierung und kennt drei Kategorien:
- Echtzeitanwendungen – höchste Priorität; richtig für VoIP und Videokonferenzen über VPN
- Priorisierte Anwendungen – bevorzugt vor allem anderen; richtig fürs Homeoffice-VPN
- Hintergrundanwendungen – nachrangig; richtig für Downloads, Cloud-Backups
Zwei Wege führen zum Ziel:
Weg 1: Ganzes Gerät priorisieren (einfach)
- Unter Priorisierte Anwendungen > „Neue Regel" das Homeoffice-Notebook auswählen
- Zusätzlich unter Heimnetz > Netzwerk beim Gerät den Haken „Dieses Gerät priorisieren" setzen
Weg 2: Gezielt nach Protokoll und Port (präzise)
- Unter Internet > Filter > Listen > Netzwerkanwendungen eine neue Anwendung anlegen
- Protokoll und Ports eintragen – z. B. UDP 500 + 4500 (IPsec) oder UDP 51820 (WireGuard)
- Diese Netzwerkanwendung dann als Regel unter Priorisierte Anwendungen zuweisen
Wichtig: Die Priorisierung wirkt nur in Senderichtung (Upload). Genau dort entscheidet sich aber die VPN-Stabilität – wenn ein Cloud-Backup den Upload sättigt, brechen ohne Priorisierung Videokonferenz und VPN-Session ein.
Diagnose & Troubleshooting
Ob ein VPN-Port von außen erreichbar ist, prüft man z. B. von einem externen Anschluss (Mobilfunk-Hotspot):
nc -vzu meine-adresse.myfritz.net 51820- VPN-Status in der Fritzbox: Internet > Freigaben > VPN
- Auslastung live beobachten: Internet > Online-Monitor
- Bei Abbrüchen: prüfen, ob der Provider eine echte öffentliche IPv4 vergibt (DS-Lite/CGNAT verhindert eingehende VPN-Verbindungen – dann hilft nur IPv6 oder ein Tarifwechsel)
