Wenn WireGuard auf der Fritzbox mit einem Android-Smartphone verbunden ist, der Tunnel laut App steht, aber nichts aufgelöst oder erreicht wird, liegt das fast immer an DNS- oder Routen-Einstellungen. Der Tunnel selbst funktioniert dann technisch, nur Anfragen zu Namen oder ins Heimnetz finden nicht den richtigen Weg.
Typischerweise fehlt auf der Fritzbox ein sauber definierter DNS-Server für das VPN, oder Android nutzt trotz Tunnel noch den DNS vom Mobilfunk/WLAN. Sobald DNS und erlaubte Netze sauber konfiguriert sind, funktionieren Heimnetz-Zugriff, Name-Auflösung und Internetverkehr stabil über WireGuard.
Was im Hintergrund passiert, wenn der WireGuard-Tunnel „steht“
Ein grüner Status in der Android-WireGuard-App bedeutet zunächst nur, dass der Schlüsselaustausch klappt und Pakete getunnelt werden können. Ob sich das System wirklich wie gewünscht verhält, hängt aber von IP-Routen, DNS-Einstellungen und den erlaubten Netzbereichen ab. Genau an diesen Punkten entstehen die meisten Stolpersteine zwischen Fritzbox und Android.
Die Fritzbox verhält sich als WireGuard-Server wie ein Gateway ins Heimnetz. Sie entscheidet, welche Zielnetze ein eingebundener Client erreichen darf und ob Anfragen aus dem Tunnel wieder korrekt ins lokale Netz oder ins Internet weitergeleitet werden. Auf der Android-Seite bestimmt die WireGuard-App, welche Ziele überhaupt in den Tunnel geschickt werden und welcher DNS-Dienst genutzt werden soll.
Wenn nur IP-Adressen im Heimnetz erreichbar sind, aber keine Hostnamen, ist das ein starkes Signal für ein DNS‑Problem. Wenn weder IPs im Heimnetz noch im Internet erreichbar sind, obwohl der Tunnel aktiv ist, fehlt meist eine Route oder eine Freigabe auf der Fritzbox, oder Android schickt den Verkehr gar nicht erst in den Tunnel.
Typische Symptome bei Android und Fritzbox mit WireGuard
An den Symptomen lässt sich gut erkennen, ob DNS, Routing oder die Fritzbox-Konfiguration die Ursache ist. Das beschleunigt die Fehlersuche enorm.
Häufig zeigen sich einige wiederkehrende Muster:
- WireGuard-App auf Android zeigt „verbunden“, aber Webseiten laden gar nicht.
- Webseiten über IP-Adresse funktionieren, über Namen nicht.
- Heimgeräte per IP erreichbar, aber nicht über ihre Hostnamen.
- Nur das Heimnetz ist erreichbar, aber kein Internet über den Tunnel.
- Nur einzelne Dienste (z. B. Fritzbox-Oberfläche) gehen, andere interne Ziele bleiben tot.
Wenn nur alles mit IP-Adressen läuft, aber kein einziger Name funktioniert, spricht das fast immer für fehlende oder falsche DNS-Server im WireGuard-Profil. Wenn dagegen einige Netze erreichbar sind, andere jedoch nicht, stimmt meistens etwas mit AllowedIPs, dem Heimnetzbereich oder den Einträgen in der Fritzbox-WireGuard-Konfiguration nicht.
Wie die Fritzbox WireGuard und DNS behandelt
Die aktuelle Fritzbox-Generation mit WireGuard-Unterstützung stellt die Konfiguration für Android über Profile bereit, die meist als QR-Code oder Konfigurationsdatei importiert werden. Diese Profile enthalten neben den Schlüsseln auch IP-Adressen, erlaubte Netze und – je nach Einstellung – DNS-Server.
Im WireGuard-Menü der Fritzbox wird für jedes Profil festgelegt, ob der VPN-Client nur das Heimnetz nutzen darf oder zusätzlich das Internet über den Tunnel routen soll. Gleichzeitig entscheidet die Fritzbox, ob sie selbst als DNS-Server für den Client fungiert oder ob der Client seine eigenen DNS-Einstellungen verwendet.
Die relevanten Stellen auf der Fritzbox sind typischerweise:
- VPN oder WireGuard im Menü, je nach Firmware-Version.
- Das einzelne WireGuard-Profil, das für das Android-Gerät erstellt wurde.
- Optionen zum Zugriffsbereich (nur Heimnetz oder auch Internet).
- Einstellungen, ob DNS-Anfragen der VPN-Clients von der Fritzbox beantwortet werden.
Wenn hier die DNS-Funktion deaktiviert oder falsch eingestellt ist, nimmt Android zwar die IP-Konfiguration an, löst aber Namen über einen anderen DNS-Dienst auf, der das Heimnetz gar nicht kennt. Dann steht der Tunnel zwar, aber die gewünschten Ressourcen wirken unerreichbar.
Besonderheiten von Android bei DNS und WireGuard
Android behandelt VPNs und DNS etwas anders als klassische Desktop-Betriebssysteme. Je nach Android-Version und Herstelleroberfläche werden System-DNS, privater DNS (DNS over TLS) und die in WireGuard hinterlegten DNS-Server in einer bestimmten Reihenfolge ausgewertet. Dieses Verhalten kann dafür sorgen, dass trotz aktivem Tunnel weiterhin der DNS vom Mobilfunk- oder WLAN-Anbieter genutzt wird.
Aktuelle Android-Versionen bieten in den Netzwerkeinstellungen meist einen Bereich „Privates DNS“ oder ähnliche Bezeichnungen. Ist dort ein eigener DNS-Name hinterlegt, hat dieser oft Vorrang vor den DNS-Angaben des VPN. Dadurch landen die Anfragen gar nicht erst bei der Fritzbox, sondern bei einem externen Resolver, der keine lokalen Hostnamen und internen Zonen kennt.
Außerdem kann jede App eigene DNS-Implementierungen nutzen, etwa über DNS over HTTPS. In solchen Fällen laufen bestimmte Anfragen an WireGuard und der Fritzbox vorbei. Das ist eher selten die Hauptursache, kann aber erklären, warum einzelne Apps anders reagieren als der Browser oder das System selbst.
Schritte auf Android: Prüfen, ob DNS wirklich über den Tunnel geht
Um sicherzustellen, dass Android seine DNS-Anfragen auch wirklich in den Tunnel schickt, reichen ein paar gezielte Kontrollen. Der wichtigste Punkt ist, konkurrierende DNS-Konfigurationen im System zu entschärfen.
Ein möglicher Weg über die Android-Oberfläche kann so aussehen:
- In die Einstellungen wechseln und den Bereich für Netzwerk oder Verbindungen öffnen.
- WLAN- oder Mobilfunk-Einstellungen wählen und prüfen, ob dort manuell DNS-Server gesetzt wurden.
- Nach der Option „Privates DNS“ suchen und vorübergehend auf „Aus“ oder „Automatisch“ stellen, wenn ein eigener DNS-Name eingetragen ist.
- Die WireGuard-App öffnen, das Profil für die Fritzbox prüfen und sicherstellen, dass ein DNS-Server eingetragen ist, idealerweise die IP der Fritzbox im Heimnetz.
- Tunnel neu verbinden und testen, ob interne Namen nun aufgelöst werden.
Wenn sich nach diesen Schritten der DNS-Verkehr sichtbar ändert und Namen im Heimnetz plötzlich funktionieren, war der System-DNS der entscheidende Störfaktor. Bleibt das Verhalten unverändert, lohnt sich ein Blick auf die WireGuard-Profileinträge.
AllowedIPs und Routen: Warum die richtigen Netze wichtig sind
Der Eintrag AllowedIPs entscheidet, welcher Verkehr auf Android überhaupt in den Tunnel geht. Dieser Parameter entspricht im Prinzip einer Routingtabelle für WireGuard und legt fest, ob nur bestimmte Netze oder der komplette IPv4- und IPv6-Verkehr über die Fritzbox geleitet wird.
Wenn im Profil nur das Heimnetz, etwa 192.168.178.0/24, als AllowedIPs definiert ist, gehen ausschließlich Verbindungen zu diesem Netz durch den Tunnel. DNS-Server außerhalb dieses Bereichs werden dann nicht über WireGuard angesprochen. Soll sowohl Heimnetz als auch Internet über die Fritzbox erreichbar sein, müssen AllowedIPs entsprechend weit gefasst sein (zum Beispiel 0.0.0.0/0 und ::/0 für alle IPv4- und IPv6-Ziele).
Typische Fehlerbilder durch unpassende AllowedIPs-Einträge sind:
- Heimnetz funktioniert, Internet nicht: AllowedIPs enthält nur interne Netze.
- Internet geht, Heimnetz nicht: AllowedIPs schließt das Heimnetz aus oder verweist auf völlig andere Netze.
- DNS-Anfragen verlassen den Tunnel wieder: Der DNS-Server liegt außerhalb der konfigurierten Bereiche.
Beim Abgleich lohnt sich ein Blick in die Fritzbox-Konfiguration, denn der dort generierte Client-Eintrag gibt Hinweise, welche Netze vorgesehen sind. Auf Android sollten diese Angaben unverändert übernommen sein, es sei denn, es gibt sehr spezielle Anforderungen.
Wie man den WireGuard-Client auf Android sinnvoll aufsetzt
Damit Android verlässlich mit der Fritzbox spricht, ist ein sauber eingerichtetes WireGuard-Profil entscheidend. Die meisten aktuellen Fritzbox-Modelle erzeugen beim Anlegen eines VPN-Benutzers bereits einen QR-Code, den die Android-App direkt importieren kann. Trotzdem lohnt sich ein prüfender Blick.
Eine pragmatische Vorgehensweise beim Einrichten sieht zum Beispiel so aus:
- Auf der Fritzbox einen neuen WireGuard-Benutzer anlegen und die Option „Smartphone oder Tablet“ wählen.
- Im Einrichtungsdialog festlegen, ob nur das Heimnetz oder zusätzlich das Internet über VPN laufen soll.
- Den angezeigten QR-Code mit der WireGuard-App auf Android scannen und das Profil übernehmen.
- Im Profil auf Android die Punkte Endpoint, Public Key, AllowedIPs und DNS kontrollieren.
- Den Tunnel erstmals aktivieren und zunächst mit Zugriff auf die Fritzbox-Oberfläche testen.
Wenn der Zugriff auf die Benutzeroberfläche der Fritzbox funktioniert, ist der Tunnel grundsätzlich korrekt eingerichtet. Funktionieren dann auch andere Heimgeräte, ist die Basis gelegt. Bleiben dagegen nur die Namen problematisch, rückt DNS wieder in den Fokus.
Android verhält sich anders als Windows oder iOS
Wer bereits WireGuard mit Windows oder iOS im Zusammenspiel mit der Fritzbox nutzt, erwartet oft das gleiche Verhalten unter Android. Genau hier entstehen häufig Missverständnisse. Android priorisiert VPN-DNS nicht in jeder Konstellation so strikt wie andere Systeme und erlaubt Apps mit eigenem DNS-Verhalten, sich teilweise am Tunnel vorbei zu bewegen.
Auf Windows wirkt die WireGuard-Verbindung eher wie ein zusätzliches Interface mit klaren Routen und eindeutigem DNS-Eintrag. Bei iOS ist der System-DNS eng mit dem VPN-Profil verknüpft. Unter Android muss man dagegen stärker auf private DNS-Einstellungen, herstellerspezifische Anpassungen und Energiesparfunktionen achten, die die WireGuard-App im Hintergrund beeinflussen.
Das erklärt, warum ein identisches WireGuard-Profil auf Windows problemlos läuft, während auf Android trotz gleichem Public Key und gleicher Endpoint-Adresse scheinbar nichts zugänglich ist. Das Problem sitzt dann nicht in der Fritzbox, sondern in der Art, wie Android mit VPN-Diensten und DNS umgeht.
Fall 1: Heimnetz nur über IP erreichbar – Hostnamen gehen nicht
Wenn die Fritzbox-Oberfläche über ihre IP-Adresse erreichbar ist und vielleicht auch andere Heimgeräte antworten, die Auflösung von Namen aber ausbleibt, deutet alles auf einen reinen DNS-Fehler hin. In diesem Szenario steht der Tunnel technisch solide, die IP-Routen passen, es fehlt aber ein funktionierender Resolver aus dem Heimnetz.
In so einer Situation bietet sich folgende Herangehensweise an:
- In der WireGuard-App prüfen, ob im Profil ein DNS-Server hinterlegt ist.
- Als DNS-Adresse die interne IP der Fritzbox eintragen oder den DNS-Server verwenden, den die Fritzbox als Standard im Heimnetz ausgibt.
- Sicherstellen, dass im Android-System kein fester DNS-Anbieter hinterlegt ist, der die Fritzbox umgeht.
- Nach der Änderung den Tunnel trennen, einige Sekunden warten und erneut verbinden.
Wenn nach diesen Anpassungen Hostnamen wie die der eigenen Geräte, NAS-Systeme oder Drucker aufgelöst werden, war die Ursache die fehlende DNS-Konfiguration im WireGuard-Profil. Bleiben nur einzelne Namen problematisch, kann es an Hostnamen liegen, die von der Fritzbox selbst nicht bekannt sind oder von Drittgeräten vergeben werden.
Fall 2: Nichts erreichbar, obwohl WireGuard „aktiv“ ist
Ein komplett blockierter Zugriff trotz aktivem Status ist ein etwas anderes Fehlerbild. Hier lohnt sich eine Unterscheidung: Ist wirklich gar kein Ziel über IP erreichbar, oder antwortet zumindest die Fritzbox-Oberfläche, wenn ihre interne Adresse verwendet wird? Erst wenn auch die Fritzbox selbst nicht erreichbar ist, sind grundlegende Parameter betroffen.
In solchen Fällen sind typische Ursachen:
- Thema AllowedIPs: Der Heimnetzbereich fehlt oder ist falsch eingetragen.
- Falsche Adresse der Fritzbox als Tunnel-Gegenstelle, etwa bei DynDNS oder IPv6.
- Probleme mit Mobilfunk-Firewalls oder restriktiven WLAN-Umgebungen, die UDP-VPN-Verkehr stark einschränken.
- Ein nicht passender Pre-Shared-Key zwischen Fritzbox und Android-Profil, falls verwendet.
Als schneller Test hilft oft, das Android-Gerät aus einem anderen Netz heraus zu verbinden, zum Beispiel von Mobilfunk zu einem anderen WLAN zu wechseln oder umgekehrt. Wenn der Tunnel aus einem Netz sofort funktioniert, spricht viel für Filterregeln im ursprünglichen Netzwerk. Bleibt das Verhalten überall gleich, liegt die Ursache im Zusammenspiel von Fritzbox-Konfiguration und WireGuard-Profil.
Fall 3: Heimnetz geht, Internet nicht – Split Tunneling und Fritzbox-Regeln
Wenn alle Geräte im Heimnetz zuverlässig erreichbar sind, aber Webseiten im Internet nicht laden, ist das meist eine Folge aus Einschränkungen in AllowedIPs oder den Einstellungen auf der Fritzbox. Häufig ist der VPN-Zugang gezielt so ausgelegt, dass nur das Heimnetz, nicht aber der generelle Internetverkehr durch den Tunnel fließt.
In den WireGuard-Einstellungen der Fritzbox gibt es Optionen, die sinngemäß festlegen, ob der VPN-Benutzer nur das Heimnetz oder auch das Internet über den Router nutzen darf. Je nach Auswahl erzeugt die Fritzbox ein anderes Profil mit entsprechend angepassten AllowedIPs. Auf Android erscheinen diese Vorgaben dann im Eintrag für die zulässigen Netze.
Wer unterwegs beides möchte, also Zugriff auf Heimgeräte und vollständigen Internetverkehr über die Fritzbox, sollte ein Profil wählen, das alle Routen über den Tunnel schickt. Der System-DNS auf Android muss dann mit dieser Anforderung zusammenpassen, damit Anfragen auch wirklich bei der Fritzbox landen.
Wo man die relevanten Einstellungen in der Fritzbox findet
Die Menüpunkte in der Fritzbox-Oberfläche hängen leicht von Firmware-Version und Modell ab, folgen aber einem ähnlichen Aufbau. Der Zugang erfolgt meist über den Browser mit der Standardadresse des Routers und dem Fritzbox-Kennwort. Dort steuert das Menü den Weg in den Bereich für VPN und WireGuard.
Typische Wege in der Oberfläche können sein:
- Internet oder Heimnetz öffnen und nach einem Punkt mit VPN oder WireGuard Ausschau halten.
- Über die Rubrik für Benutzer oder Konten gehen und einen Eintrag zur VPN-Nutzung aktivieren.
- Im WireGuard-Bereich ein neues Profil für das Android-Gerät erzeugen und die Zugriffsart auswählen.
- Bei Bedarf prüfen, ob DNS-Anfragen der VPN-Clients von der Fritzbox verarbeitet werden.
Innerhalb des einzelnen WireGuard-Profils zeigt die Fritzbox meist klar an, auf welche IP-Bereiche sich der Zugang erstreckt, welche Adresse das Gerät im Tunnel bekommt und wie der QR-Code für die Client-App lautet. Eine kurze Kontrolle dieser Angaben hilft, spätere Rätselraten zu vermeiden.
Typische Denkfehler bei DNS und WireGuard auf Android
Viele Probleme entstehen durch Annahmen, die auf dem Desktop stimmen, unter Android aber nicht. Dazu gehören Vorstellungen über die automatische Übernahme von DNS-Einstellungen, die Priorität von VPN-Verbindungen im System und die Wirkung von zusätzlichen Sicherheits- oder Datenschutzmodi.
Ein verbreiteter Irrtum ist, dass ein eingetragener DNS-Server im WireGuard-Profil automatisch jede andere DNS-Quelle übersteuert. Unter Android kann ein aktivierter privater DNS-Dienst aber trotz VPN die erste Wahl bleiben. Ebenso wird oft übersehen, dass manche Security-Apps VPN-Verbindungen filtern oder modifizieren und damit den Datenfluss der WireGuard-App beeinträchtigen.
Wer systemweit Werbeblocker, Filter-Dienste oder alternative DNS-Lösungen nutzt, sollte diese bei der Fehlersuche vorübergehend deaktivieren. Erst wenn WireGuard in einem schlanken Umfeld sauber läuft, lohnt es sich, diese Werkzeuge nacheinander wieder zu aktivieren und zu prüfen, ob sie das Verhalten verändern.
Einrichtungsszenario: Zugriff auf Heim-NAS über Android und Fritzbox
Ein häufiges Einsatzszenario ist der Zugriff auf ein Netzwerkspeichergerät im Heimnetz über ein Android-Smartphone. Ziel ist, unterwegs Dateien vom NAS zu öffnen, als wäre man im heimischen WLAN. Die Fritzbox übernimmt dabei die Rolle des Gateways, und WireGuard stellt die sichere Verbindung her.
Damit das zuverlässig funktioniert, kann man so vorgehen:
- Auf der Fritzbox sicherstellen, dass das NAS im Heimnetz eine feste IP-Adresse hat oder über einen stabilen Hostnamen im internen DNS erreichbar ist.
- Das WireGuard-Profil für das Android-Gerät mit Zugriff auf das Heimnetz konfigurieren und in der App importieren.
- Im Profil den DNS-Server auf die Fritzbox-Adresse setzen, damit der NAS-Name aufgelöst werden kann.
- Auf Android eine Datei-Manager-App oder einen SMB-Client verwenden, um das NAS über Hostnamen oder IP anzusprechen.
Wenn der Zugriff über die IP funktioniert, nicht aber über den Namen, ist der entscheidende Hinweis gefunden: Das Problem liegt in der Namensauflösung. Erst wenn der DNS-Eintrag in der WireGuard-Konfiguration korrekt ist und keine konkurrierenden Dienste dazwischenfunken, fühlt sich der Zugriff genauso an wie im heimischen WLAN.
Szenario mit mehreren Heimnetzen und VLANs
In komplexeren Setups betreibt man mehrere Subnetze oder VLANs hinter der Fritzbox, etwa ein separates Netz für Gäste oder smarte Geräte. In so einer Umgebung reicht es oft nicht, nur das Standard-Heimnetz als AllowedIPs einzutragen. Der WireGuard-Client auf Android braucht dann Zugriff auf alle relevanten Bereiche, die über Router und Switches erreichbar sind.
Wer etwa ein IoT-Netz, ein Arbeitsnetz und ein klassisches Heimnetz nutzt, sollte prüfen, welche dieser Bereiche der Android-Client sehen darf. Entsprechend müssen AllowedIPs erweitert und auf der Fritzbox statische Routen oder Firewall-Regeln so gesetzt werden, dass der VPN-Traffic sauber durchgereicht wird. Sonst steht der Tunnel zwar, sieht aber nur einen kleinen Ausschnitt der Infrastruktur.
DNS spielt hier ebenfalls eine Rolle, denn mehrere Subnetze bringen oft unterschiedliche DNS-Zonen und Suchdomänen mit sich. Wenn Android nur den DNS der Fritzbox kennt, während ein anderes System den eigentlichen Namensdienst bereitstellt, kommt es schnell zu unerwarteten Lücken.
Sicherheit und Datenschutz beim mobilen VPN mit Fritzbox
Bei einem VPN über WireGuard und Fritzbox geht es nicht nur um Erreichbarkeit, sondern auch um Sicherheit. Die Schlüssel, die im Profil liegen, legitimieren das Android-Gerät im Heimnetz. Daher sollten Profile nicht achtlos geteilt oder ungeschützt in Cloud-Speichern abgelegt werden. Wer ein Gerät verliert, sollte auf der Fritzbox das entsprechende WireGuard-Profil zeitnah deaktivieren oder löschen.
Auf Android lohnt sich ein Blick auf die Berechtigungen der WireGuard-App und eventuelle Einschränkungen im Energiemanagement. Wird die App im Hintergrund aggressiv beendet, kann der Tunnel während längerer Ruhephasen wegbrechen, ohne dass man es sofort bemerkt. Für sensible Anwendungen ist es sinnvoll, die App von solchen Optimierungen auszunehmen.
Auch das Thema DNS hat eine sicherheitsrelevante Komponente. Externe DNS-Dienste liefern zwar oft zusätzlichen Schutz vor schädlichen Seiten, gleichzeitig verlassen DNS-Anfragen aber den geschützten Rahmen des Heimnetzes. Wer sich bewusst für die Fritzbox als zentralen Resolver entscheidet, sollte sich klar machen, dass der Router dann die Rolle eines vertrauenswürdigen Mittlers übernimmt.
Fehlervermeidung bei zukünftigen WireGuard-Profilen
Wenn die Verbindung einmal sauber läuft, lohnt sich ein Blick darauf, wie zukünftige Profile gleich von Beginn an stabil konfiguriert werden können. Der wichtigste Schritt ist, beim Anlegen auf der Fritzbox immer den gewünschten Verwendungszweck zu definieren: Nur Heimnetz, Heimnetz und Internet oder Sonderfälle mit eingeschränkten Netzen.
Beim Export des Profils sollte man sich kurz notieren, welche DNS-Einstellungen gelten und ob Sonderregeln für Android aktiv sind. Das hilft später, wenn weitere Geräte hinzugefügt werden oder eine Android-Version mit geänderten Netzwerkfunktionen auf den Markt kommt. Wer wiederkehrende Muster dokumentiert, vermeidet doppelte Fehlersuchen.
Es ist außerdem sinnvoll, ein funktionierendes Profil als Referenz zu behalten und bei neuen Geräten daran zu orientieren. Auf diese Weise lassen sich Unterschiede im Verhalten schnell erkennen, etwa wenn ein Gerät eines anderen Herstellers plötzlich andere Prioritäten bei DNS und VPN setzt.
FAQ: Häufige Fragen zu WireGuard, Fritzbox, Android und DNS
Warum baut Android den WireGuard-Tunnel auf, aber nichts lädt im Browser?
In vielen Fällen fehlt eine passende Route oder das DNS wird nicht über den Tunnel geleitet. Prüfen Sie, ob die AllowedIPs im Android-Profil das gewünschte Heimnetz und bei Bedarf 0.0.0.0/0 für den gesamten Internetverkehr enthalten. Achten Sie außerdem darauf, dass in der Fritzbox für den WireGuard-Benutzer der Zugriff auf das Heimnetz und auf das Internet über den VPN-Tunnel freigegeben ist.
Wie erkenne ich, ob DNS über WireGuard oder über das Mobilfunknetz läuft?
Sie können auf Android im WireGuard-Profil kontrollieren, ob ein DNS-Server eingetragen ist, der im Heimnetz erreichbar ist, etwa die IP-Adresse der Fritzbox oder eines internen DNS-Servers. Zusätzlich lässt sich mit einer Netzwerkanalyse-App oder mit einem Browser-Test gegen eine interne Adresse prüfen, ob die Namensauflösung über die VPN-Verbindung funktioniert. Sobald interne Hostnamen nur im VPN funktionieren, ist ein Hinweis gegeben, dass die DNS-Anfragen über den Tunnel gehen.
Kann ich WireGuard auch nutzen, wenn ich nur IP-Adressen und keine Hostnamen verwenden möchte?
Ja, Sie können ausschließlich mit IP-Adressen arbeiten und DNS vollständig umgehen. In diesem Fall müssen die AllowedIPs das interne Netz umfassen, und die Fritzbox muss die Weiterleitung des Verkehrs in das Heimnetz zulassen. Dienste rufen Sie dann im Browser oder in Apps über die entsprechende IP-Adresse und den zugehörigen Port auf.
Welche DNS-Server trage ich in der Fritzbox für WireGuard-Geräte ein?
Sie können die Fritzbox selbst als DNS-Server nutzen, indem Sie ihre interne IP-Adresse, meist 192.168.178.1 oder eine ähnliche Adresse, eintragen. Alternativ tragen Sie einen internen DNS-Server ein, falls Ihr Heimnetz über einen solchen Server verfügt, etwa in einer Umgebung mit eigenen VLANs oder einem separaten Router. Achten Sie darauf, dass die entsprechenden Netze in AllowedIPs liegen, damit der DNS-Server über den Tunnel erreichbar ist.
Wie verhindere ich DNS-Leaks über Mobilfunk oder WLAN bei aktivem VPN?
DNS-Leaks vermeiden Sie, indem Sie im Android-WireGuard-Profil einen DNS-Server aus dem Heimnetz eintragen und AllowedIPs so wählen, dass sämtliche gewünschten Ziele, einschließlich 0.0.0.0/0, über den Tunnel laufen. Dazu sollte in der Fritzbox für den entsprechenden WireGuard-Benutzer die Option gesetzt sein, dass der gesamte Internetverkehr über die VPN-Verbindung laufen darf. So werden DNS-Anfragen nicht an externe Resolver des Mobilfunkanbieters oder des WLANs geschickt.
Warum funktionieren externe Webseiten nicht, obwohl ich auf Geräte im Heimnetz zugreifen kann?
In diesem Fall wird meist nur das Heimnetz geroutet, während das Internet weiterhin über den lokalen Zugang des Smartphones laufen soll. Wenn externe Seiten jedoch gar nicht erreichbar sind, fehlt häufig entweder eine korrekte Route für 0.0.0.0/0 oder die Fritzbox hat den Internetzugang über VPN für diesen Benutzer nicht erlaubt. Kontrollieren Sie die WireGuard-Benutzerkonfiguration auf der Fritzbox und das Profil auf dem Android-Gerät.
Ist es möglich, nur das Heimnetz zu tunneln und den Rest des Internetverkehrs normal zu nutzen?
Ja, dies lässt sich über Split Tunneling lösen, indem Sie in AllowedIPs nur die internen Netze eintragen, zum Beispiel 192.168.178.0/24 und weitere Heimnetze oder VLANs. Der sonstige Internetverkehr geht weiterhin über Mobilfunk oder das lokale WLAN, während Zugriffe auf interne Server durch die Fritzbox geleitet werden. Diese Methode ist sinnvoll, wenn Sie lediglich auf NAS, Smart-Home-Geräte oder andere Heimdienste zugreifen möchten.
Wie gehe ich vor, wenn interne Hostnamen nicht auflösbar sind, IP-Adressen aber funktionieren?
Dann arbeitet der Tunnel zwar, aber die Namensauflösung ist nicht richtig eingebunden. Tragen Sie im Android-WireGuard-Profil einen DNS-Server ein, der die internen Namen kennt, üblicherweise die Fritzbox oder ein interner DNS-Dienst, und stellen Sie sicher, dass dessen IP-Adresse in AllowedIPs enthalten ist. Danach sollten Hostnamen im heimischen Adressraum wieder erreichbar sein.
Was muss ich in der Fritzbox einstellen, damit Android den Tunnel sauber nutzen kann?
Im WireGuard-Bereich der Fritzbox legen Sie ein neues Gerät an, aktivieren den Zugriff auf das Heimnetz und bei Bedarf den Internetverkehr über VPN. Kontrollieren Sie die automatisch generierten Netze für AllowedIPs und ergänzen Sie bei Bedarf weitere Subnetze oder VLAN-Bereiche. Exportieren Sie anschließend die Konfiguration für Android und prüfen Sie sie im Client noch einmal auf korrekte Routen und DNS-Einträge.
Wie kann ich prüfen, ob meine Routen für mehrere Heimnetze und VLANs stimmen?
Notieren Sie sich sämtliche internen Netze in der Fritzbox, etwa 192.168.178.0/24, 192.168.10.0/24 oder 10.0.0.0/24, und tragen Sie diese in AllowedIPs auf dem Android-Gerät ein. Anschließend testen Sie schrittweise den Zugriff auf Geräte in den jeweiligen Netzen, zum Beispiel Router, NAS oder Verwaltungsoberflächen von Switches. Wenn einzelne Netze nicht erreichbar sind, liegt das meist an fehlenden Routen in der Fritzbox oder an Firewallregeln zwischen den VLANs.
Wie bleibt die Verbindung sicher, wenn ich unterwegs häufig öffentliche WLANs nutze?
Sie erhöhen die Sicherheit, indem Sie den gesamten Internetverkehr über die Fritzbox leiten und in AllowedIPs den Standard-IPv4-Bereich 0.0.0.0/0 verwenden. Zusätzlich sollten starke Passwörter, zeitnahe Updates der Fritzbox-Firmware und ein sorgfältig verwalteter WireGuard-Schlüsselbestand selbstverständlich sein. So schützt der Tunnel Ihre Daten bereits ab dem Endgerät, bevor diese überhaupt das fremde Netzwerk verlassen.
Fazit
Mit der richtigen Kombination aus AllowedIPs, DNS-Einträgen und den passenden Freigaben in der Fritzbox lässt sich ein stabiler WireGuard-Zugang von Android ins Heimnetz aufbauen. Ob Sie nur interne Geräte erreichen oder den gesamten Internetverkehr leiten möchten, entscheidet die Konfiguration im Client und im Router. Wer einmal sauber prüft, welche Netze und DNS-Server tatsächlich durch den Tunnel laufen sollen, erhält eine zuverlässige und zugleich flexible VPN-Lösung. So steht der Tunnel nicht nur symbolisch, sondern überträgt auch genau den Datenverkehr, den Sie unterwegs benötigen.
