Heimbereich

Fritzbox VPN – Ports & Priorisierung

Wer VPN über die Fritzbox nutzt – ob als eingebauten VPN-Server, fürs Homeoffice oder für einen VPN-Server im Heimnetz – stolpert früher oder später über zwei Themen: Welche Ports muss ich kennen bzw. freigeben, und wie sorge ich per Priorisierung (QoS) dafür, dass die VPN-Verbindung auch unter Last stabil bleibt? Diese Seite beantwortet beides, inklusive Zuordnung: welches Gerät nutzt typischerweise welches Protokoll.

Standard-Ports der VPN-Protokolle

IPsec / IKEv2 – das native Fritzbox-VPN

  • UDP 500 – IKE (Schlüsselaustausch/Aushandlung)
  • UDP 4500 – NAT-Traversal (ESP-in-UDP, nötig hinter fast jedem Router)
  • IP-Protokoll 50 (ESP) – die eigentlichen verschlüsselten Nutzdaten

Typische Geräte: die Fritzbox selbst als VPN-Server (MyFRITZ!, FRITZ!Fernzugang), iPhone/iPad und Android mit Bordmittel-VPN, Firmen-Notebooks mit IPsec-Clients (StrongSwan, Cisco).

WireGuard – modern & schnell (ab FRITZ!OS 7.50 nativ)

  • UDP 51820 – Standard-Port, frei wählbar

Typische Geräte: Fritzbox als WireGuard-Server, Smartphones und Notebooks mit der WireGuard-App, Raspberry Pi (PiVPN), Site-to-Site-Kopplung zweier Fritzboxen.

OpenVPN – läuft nicht auf der Fritzbox selbst

  • UDP 1194 – Standard-Port
  • TCP 443 – Alternative, kommt durch fast jede Firewall

Typische Geräte: Synology/QNAP-NAS, Raspberry Pi oder ein dedizierter Server im Heimnetz – die Fritzbox kann selbst kein OpenVPN und braucht dafür eine Portfreigabe auf das jeweilige Gerät. Die Server-Einrichtung ist unter OpenVPN beschrieben.

Ältere Protokolle

  • L2TP/IPsec: UDP 1701 + UDP 500/4500 – ältere Firmen-VPNs, Windows-Bordmittel
  • SSTP: TCP 443 – Microsoft-Umgebungen
  • PPTP: TCP 1723 + GRE (IP-Protokoll 47) – unsicher und veraltet, nicht mehr verwenden

Portfreigaben: Wann nötig, wann nicht?

Nicht nötig für das eingebaute Fritzbox-VPN (IPsec und WireGuard) – die Box terminiert die Verbindung selbst und öffnet die Ports automatisch.

Nötig für jeden VPN-Server im Heimnetz (NAS, Raspberry Pi). Einrichtung:

  • Internet > Freigaben > Portfreigaben öffnen
  • Das Gerät (z. B. NAS) auswählen > „Freigabe hinzufügen"
  • Protokoll UDP, Port z. B. 1194 (OpenVPN) oder 51820 (WireGuard) an die interne Geräte-IP

Priorisierung (QoS): VPN unter Last stabil halten

Die Fritzbox-Priorisierung findet sich unter Internet > Filter > Priorisierung und kennt drei Kategorien:

  • Echtzeitanwendungen – höchste Priorität; richtig für VoIP und Videokonferenzen über VPN
  • Priorisierte Anwendungen – bevorzugt vor allem anderen; richtig fürs Homeoffice-VPN
  • Hintergrundanwendungen – nachrangig; richtig für Downloads, Cloud-Backups

Zwei Wege führen zum Ziel:

Weg 1: Ganzes Gerät priorisieren (einfach)

  • Unter Priorisierte Anwendungen > „Neue Regel" das Homeoffice-Notebook auswählen
  • Zusätzlich unter Heimnetz > Netzwerk beim Gerät den Haken „Dieses Gerät priorisieren" setzen

Weg 2: Gezielt nach Protokoll und Port (präzise)

  • Unter Internet > Filter > Listen > Netzwerkanwendungen eine neue Anwendung anlegen
  • Protokoll und Ports eintragen – z. B. UDP 500 + 4500 (IPsec) oder UDP 51820 (WireGuard)
  • Diese Netzwerkanwendung dann als Regel unter Priorisierte Anwendungen zuweisen

Wichtig: Die Priorisierung wirkt nur in Senderichtung (Upload). Genau dort entscheidet sich aber die VPN-Stabilität – wenn ein Cloud-Backup den Upload sättigt, brechen ohne Priorisierung Videokonferenz und VPN-Session ein.

Diagnose & Troubleshooting

Ob ein VPN-Port von außen erreichbar ist, prüft man z. B. von einem externen Anschluss (Mobilfunk-Hotspot):

bashKlick markiert alles · Strg + C
nc -vzu meine-adresse.myfritz.net 51820
  • VPN-Status in der Fritzbox: Internet > Freigaben > VPN
  • Auslastung live beobachten: Internet > Online-Monitor
  • Bei Abbrüchen: prüfen, ob der Provider eine echte öffentliche IPv4 vergibt (DS-Lite/CGNAT verhindert eingehende VPN-Verbindungen – dann hilft nur IPv6 oder ein Tarifwechsel)

Quellen