Fritzbox

1. Überblick

Die AVM FRITZ!Box ist ein All-in-One-Router, der in deutschen Heimnetzwerken und kleinen Büros weit verbreitet ist. AVM bietet Modelle für alle gängigen Anschlussarten: ADSL/VDSL über die integrierte DSL-Hardware, Kabelanschlüsse per DOCSIS 3.1 (z. B. FRITZ!Box 6690 Cable) sowie Glasfaser-Anschlüsse mit nativem SFP-Slot oder per GPON-Modem (z. B. FRITZ!Box 5590 Fiber). Ergänzend können alle aktuellen Modelle auch als reiner IP-Router betrieben werden, wenn ein externer Modem oder ein ONT vorgeschaltet ist.

Das Betriebssystem aller FRITZ!Box-Geräte heißt FRITZ!OS. AVM veröffentlicht regelmäßig Updates, die neue Funktionen, Sicherheits-Patches und Verbesserungen der Benutzeroberfläche mitbringen. Die Oberfläche ist unter http://fritz.box oder direkt über 192.168.178.1 erreichbar. Seit einigen Jahren bietet AVM auch eine vereinfachte Ansicht (Einfache Benutzeroberfläche) neben der klassischen Expertenansicht an.

Im Homelab-Kontext übernimmt die FRITZ!Box typischerweise mehrere Rollen gleichzeitig:

  • ISP-Router: PPPoE-Einwahl beim Provider, NAT, IPv4- und IPv6-Anbindung, DNS-Resolver (inkl. optionaler DNS-over-TLS-Weiterleitung).
  • WireGuard-Endpunkt: Seit FRITZ!OS 7.50 kann die Box als VPN-Gateway fungieren, sodass mobile Clients von unterwegs sicher ins Heimnetz tunneln können.
  • DECT-Basis und Smart-Home-Zentrale: Integrierter DECT-ULE-Controller für FRITZ!DECT-Steckdosen und -Heizkörperregler über das FRITZ!Smart-Home-System.
  • NAS-Ersatz (begrenzt): Per USB angeschlossene Speichermedien lassen sich über Samba, FTP oder FRITZ!NAS freigeben.

Für den Betrieb im Homelab spricht vor allem die breite Funktionspalette ohne zusätzliche Hardware sowie die aktive Pflege durch AVM mit langfristiger Update-Unterstützung.

2. Netzwerk-Konfiguration

2.1 IP-Einstellungen und DHCP-Server

Die FRITZ!Box betreibt standardmäßig einen DHCP-Server im Netz 192.168.178.0/24. IP-Bereich, Subnetzmaske, Gateway und DNS-Server lassen sich unter Heimnetz → Netzwerk → DNS-Rebind-Schutz / IP-Adressen anpassen. Soll das Heimnetz auf ein anderes Subnetz – z. B. 10.0.0.0/24 – umgestellt werden, trägt man dort die neue Gateway-IP ein; die Box passt DHCP-Bereich und eigene IP automatisch an.

Der DHCP-Adresspool ist frei konfigurierbar. Standardmäßig vergibt die Box Adressen von .20 bis .200, sodass unterhalb und oberhalb Raum für statisch zugewiesene Geräte bleibt.

2.2 Statische IP-Vergabe per MAC-Adresse

Für Heimnetz-Geräte wie Server, NAS oder Smart-Home-Hubs empfiehlt sich eine feste IP-Zuweisung. Die FRITZ!Box kann per DHCP-Reservierung auf Basis der MAC-Adresse immer dieselbe Adresse vergeben. Dazu unter Heimnetz → Netzwerk → Aktive Verbindungen das gewünschte Gerät auswählen und die Option Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen aktivieren. Die Reservierung wird dauerhaft gespeichert und gilt auch dann, wenn das Gerät offline ist.

2.3 Exposed Host

Der sogenannte Exposed Host leitet alle eingehenden Verbindungen, die keiner expliziten Portfreigabe zugeordnet sind, an ein definiertes Gerät im Heimnetz weiter. Diese Funktion findet sich unter Internet → Freigaben → Portfreigaben am unteren Ende der Seite. Typische Anwendungsfälle sind eine pfSense- oder OPNsense-Firewall hinter der FRITZ!Box oder ein doppeltes NAT, das aufgelöst werden soll.

Achtung: Ein Exposed Host empfängt ungefiltertes Traffic aus dem Internet. Das dahinterliegende Gerät muss selbst ausreichend abgesichert sein.

2.4 DNS-Rebind-Schutz

Die FRITZ!Box besitzt einen eingebauten DNS-Rebind-Schutz, der verhindert, dass öffentliche Hostnamen auf private IP-Adressen aufgelöst werden. Das ist sinnvoll als Sicherheitsfunktion, kann aber zum Problem werden, wenn man Split-DNS nutzt oder Dienste wie Home Assistant Cloud oder eigene DDNS-Namen auf interne IPs verweisen lässt.

Ausnahmen lassen sich unter Heimnetz → Netzwerk → DNS-Rebind-Schutz eintragen. Dort kann pro Hostname oder Domain eine Ausnahme definiert werden, sodass der Schutz nur für diesen Eintrag deaktiviert wird, ohne ihn global abschalten zu müssen.

3. Fritzbox zurücksetzen ohne Passwort

Falls der Zugriff auf die Fritzbox nicht mehr möglich ist, weil das Kennwort vergessen wurde, lässt sich das Gerät über einen Notfallweg zurücksetzen.

  • PC per LAN direkt mit Fritzbox verbinden
  • PC-IP: 169.254.1.2, Subnetz: 255.255.0.0
  • Aufruf im Browser: http://169.254.1.1

Über diese Notfall-IP ist die FRITZ!Box auch ohne bekanntes Kennwort erreichbar. Die Seite bietet die Möglichkeit, entweder nur die Benutzereinstellungen zurückzusetzen (Einstellungen bleiben erhalten, Kennwort wird entfernt) oder einen vollständigen Werksreset durchzuführen. Der Werksreset löscht alle Einstellungen unwiderruflich.

Alternativ kann bei den meisten Modellen der Reset-Knopf auf der Rückseite der Box gedrückt gehalten werden (ca. 10 Sekunden), bis alle LEDs aufleuchten. Auch hier ist nach dem Neustart eine frische Einrichtung erforderlich.

Fritzbox Reset-Seite

Notfallseite für das Zurücksetzen der Fritzbox.

4. VPN mit WireGuard

WireGuard ist seit FRITZ!OS 7.50 nativ in die FRITZ!Box integriert und stellt damit eine moderne, schlanke Alternative zu dem bis dahin verfügbaren IPSec-VPN dar. Die Einrichtung erfolgt unter Internet → Freigaben → VPN (WireGuard).

4.1 Vergleich WireGuard vs. IPSec

Das ältere IPSec-VPN der FRITZ!Box arbeitet mit IKEv2 und unterstützt vor allem die Verbindung zu anderen FRITZ!Boxen sowie zu mobilen Clients über AVM-eigene Konfigurationsdateien. WireGuard hingegen ist ein offener Standard mit deutlich schlankerer Implementierung:

  • Wesentlich weniger Code als IPSec — geringere Angriffsfläche
  • Schnellerer Verbindungsaufbau durch stateless Handshake
  • Kompatibel mit allen WireGuard-Clients (Linux, Windows, macOS, Android, iOS)
  • Keine komplexe Phase-1/Phase-2-Konfiguration notwendig
  • Roaming-freundlich: Tunnelverbindung bleibt auch beim Wechsel der Client-IP erhalten

4.2 Konfiguration auf der FRITZ!Box

Unter Internet → Freigaben → VPN (WireGuard) lässt sich über Verbindung hinzufügen ein neues Profil anlegen. Die FRITZ!Box generiert dabei automatisch ein Schlüsselpaar (privater und öffentlicher Key) sowie eine zufällige Peer-IP aus dem gewählten VPN-Subnetz.

Es gibt zwei Profiltypen:

  • Einzelnes Gerät: Für einen einzelnen Client (Smartphone, Laptop). Der Client erhält eine feste IP im VPN-Tunnel, z. B. 10.0.0.2/32.
  • Heimnetz mit einem anderen FRITZ!Box-Heimnetz verbinden: Site-to-Site-Verbindung zwischen zwei FRITZ!Boxen, z. B. Büro und Zuhause.

Nach dem Anlegen des Profils zeigt die FRITZ!Box die vollständige WireGuard-Konfiguration an — entweder als Textblock zum Kopieren oder als QR-Code zum direkten Einscannen mit der WireGuard-App auf dem Smartphone.

4.3 QR-Code für mobile Clients

Der angezeigte QR-Code enthält alle notwendigen Parameter: den privaten Schlüssel des Clients, die Peer-Konfiguration mit dem öffentlichen Schlüssel der FRITZ!Box, den Endpoint (DynDNS-Hostname oder MyFRITZ!-Adresse, Port 51820 UDP) sowie die erlaubten IP-Bereiche. In der WireGuard-App auf Android oder iOS kann der Code direkt eingescannt werden, ohne die Konfiguration manuell einzutippen.

Wichtig: Die FRITZ!Box benötigt für den WireGuard-Endpunkt eine erreichbare öffentliche IP oder einen DynDNS-Eintrag. MyFRITZ! (der kostenlose AVM-DynDNS-Dienst) eignet sich hervorragend dafür und wird automatisch von der Box aktuell gehalten.

Fritzbox WireGuard-Konfiguration

WireGuard-Einrichtung in der FRITZ!Box-Oberfläche mit QR-Code-Export.

5. Portfreigaben

Unter Internet → Freigaben → Portfreigaben können eingehende Verbindungen von außen auf bestimmte Dienste im Heimnetz weitergeleitet werden. Typische Anwendungsfälle sind ein selbst gehosteter Webserver, ein SSH-Zugang, ein Game-Server oder ein MQTT-Broker.

5.1 TCP- und UDP-Portfreigaben

Eine Freigabe besteht aus:

  • Protokoll: TCP, UDP oder beides
  • Öffentlicher Port (oder Portbereich, z. B. 25000-25010)
  • Ziel-Gerät im Heimnetz (aus der Liste bekannter Geräte wählbar)
  • Ziel-Port (kann vom öffentlichen Port abweichen)

UPnP-basierte automatische Freigaben durch Heimnetz-Geräte lassen sich separat deaktivieren. Es empfiehlt sich, UPnP nur dann aktiv zu lassen, wenn konkret benötigt, da Geräte damit eigenständig Ports öffnen können.

5.2 MyFRITZ! und dynamisches DNS

Da Heimanschlüsse in der Regel eine dynamische öffentliche IP-Adresse haben, benötigt man für Portfreigaben einen stabilen Hostnamen. AVM bietet dafür den kostenlosen Dienst MyFRITZ! an, der unter Internet → MyFRITZ!-Konto eingerichtet wird. Nach der Registrierung erhält die Box einen festen Hostnamen der Form xxxxxxxxxxxx.myfritz.net, der bei jeder IP-Änderung automatisch aktualisiert wird.

Alternativ kann unter Internet → Freigaben → DynDNS ein eigener DynDNS-Anbieter eingetragen werden (z. B. DuckDNS, No-IP, Cloudflare über Update-URL).

5.3 IPv6-Portfreigaben

Bei aktivem IPv6-Anschluss verfügt jedes Heimnetz-Gerät über eine eigene global routable IPv6-Adresse. Damit entfällt NAT, aber die FRITZ!Box-Firewall blockiert eingehende IPv6-Verbindungen standardmäßig trotzdem. Freigaben für IPv6 werden ebenfalls unter Internet → Freigaben → Portfreigaben eingetragen — der Dialog bietet eine separate Option für IPv6.

Da sich der IPv6-Suffix eines Gerätes in manchen Konfigurationen ändern kann (EUI-64 vs. Privacy Extensions), ist es ratsam, dem Zielgerät über DHCP-Reservierung (DHCPv6 oder Router Advertisement Prefix) eine feste IPv6-Adresse zu geben, bevor die Freigabe eingerichtet wird.

Fritzbox Portfreigabe-Menü

Ansicht der eingerichteten Portfreigaben inkl. IPv6-Optionen.

6. Mesh-Netzwerk

AVM bezeichnet das eigene WLAN-Verbundsystem als FRITZ!Mesh. Es erlaubt mehrere FRITZ!-Geräte zu einem gemeinsam verwalteten WLAN zu verbinden, ohne dass Nutzer beim Wechsel zwischen Accesspoints die Verbindung neu aufbauen müssen.

6.1 Mesh-Master und Mesh-Slave

Im FRITZ!Mesh-Verbund übernimmt immer ein Gerät die Rolle des Mesh-Masters — in der Regel die FRITZ!Box, die als Router am Internet-Anschluss hängt. Alle anderen Geräte (FRITZ!Repeater, FRITZ!Powerline mit WLAN, weitere FRITZ!Boxen im IP-Client-Modus) agieren als Mesh-Nodes und synchronisieren ihre WLAN-Konfiguration mit dem Master.

Synchronisiert werden dabei:

  • SSID und WLAN-Kennwort (2,4 GHz und 5 GHz)
  • Gastnetz-Einstellungen
  • WLAN-Kanal und -Standard (sofern automatisch gewählt)
  • FRITZ!OS-Updates (alle Mesh-Nodes werden gemeinsam aktualisiert)

6.2 Unterstützte Geräteklassen

  • FRITZ!Repeater: Reine WLAN-Extender, die sich per WLAN oder LAN mit dem Mesh verbinden. Modelle wie der FRITZ!Repeater 6000 unterstützen Tri-Band mit dediziertem Backhaul-Band.
  • FRITZ!Powerline: Verbindung über das Stromnetz (Powerline/PLC) mit integriertem WLAN-Accesspoint. Geeignet für Räume, in denen LAN-Kabel schwer zu verlegen sind und WLAN-Reichweite nicht ausreicht.
  • Weitere FRITZ!Boxen: Können im IP-Client-Modus als Mesh-Node agieren und stellen dann sowohl LAN-Ports als auch WLAN zur Verfügung.

6.3 WLAN-Roaming

FRITZ!Mesh nutzt 802.11r (Fast BSS Transition) und 802.11v (BSS Transition Management), um mobilen Clients einen nahtlosen Accesspoint-Wechsel zu ermöglichen. Das Gerät bleibt mit derselben IP-Adresse verbunden, während die FRITZ!Box im Hintergrund den optimalen Accesspoint auswählt.

In der Praxis funktioniert das Roaming am besten, wenn alle Mesh-Nodes über LAN-Backhaul verbunden sind und ausreichende Signalüberlappung zwischen den Accesspoints besteht (empfohlen: -65 dBm Überlappungsbereich).

6.4 Mesh-Übersicht in FRITZ!OS

Die gesamte Topologie des Mesh-Verbundes ist unter Heimnetz → Mesh einsehbar. Dort werden alle verbundenen Nodes mit ihrer Verbindungsart (LAN, WLAN, Powerline), ihrem aktuellen Status und dem genutzten WLAN-Frequenzband angezeigt. Auch FRITZ!OS-Updates für alle Nodes können von hier aus eingeleitet werden.

Fritzbox Mesh Übersicht

Mesh-Übersicht mit verbundenen FRITZ!-Geräten und Verbindungstypen.

7. Leitungsdiagnose

Die FRITZ!Box bietet unter Internet → DSL-Informationen bzw. Internet → Kabel-Informationen detaillierte technische Daten zur Leitung.

7.1 DSL-Informationen

Im DSL-Informationsbereich stehen mehrere Reiter zur Verfügung, die verschiedene Aspekte der Leitungsqualität zeigen:

  • Übersicht: Aktuelle Sync-Rate (tatsächlich ausgehandelte Datenrate) in Downstream und Upstream, Leitungskapazität, Dämpfung und SNR (Signal-Rausch-Abstand). Ein niedriger SNR-Wert (unter 6 dB) deutet auf eine fehleranfällige Leitung hin.
  • Spektrum: Grafische Darstellung der genutzten Frequenzträger. Einbrüche im Diagramm können auf Störeinstrahlung (z. B. durch AM-Rundfunk, Powerline-Adapter oder schlechte Leitungsqualität in einem Frequenzbereich) hinweisen.
  • Statistik: Laufzeitdaten zur Verbindungsstabilität: Anzahl der Verbindungsabbrüche, Betriebszeit seit letztem Sync, Fehler-Counters.
  • Bitfehler: Verlauf von FEC-Korrekturen (Forward Error Correction) und CRC-Fehlern über die Zeit. FEC-Fehler zeigen an, dass die Leitung korrigierbare Fehler enthält, CRC-Fehler sind unkorrektierbar und führen zu Retransmissions und spürbaren Qualitätsproblemen.

Für eine Leitungsdiagnose beim Provider sind Sync-Rate, SNR, Dämpfung und die Fehler-Counters die wichtigsten Kennwerte. Ein Screenshot dieser Werte beschleunigt den Support-Prozess erheblich.

DSL Spektrum Balkendiagramm

Einbruch im Frequenzbereich durch Störung sichtbar.

DSL Bitfehler Verlauf

Tagesverlauf von FEC- und CRC-Fehlern.

7.2 Kabel-Informationen (Coax / DOCSIS)

Kabelmodell-FRITZ!Boxen (z. B. 6591 Cable, 6690 Cable) zeigen unter Internet → Kabel-Informationen detaillierte DOCSIS-Diagnosedaten:

  • Downstream-Kanäle: Kanalfrequenz, Modulation (z. B. QAM256, QAM1024 bei DOCSIS 3.1), Pegel und SNR pro Kanal. Empfohlener Pegelbereich: -6 bis +15 dBmV.
  • Upstream-Kanäle: Sendeleistung, Modulation und Frequenz. Zu hohe Sendeleistung (über 48 dBmV) deutet auf Pegelproblem im Kabelnetz hin.
  • CMTS-Informationen: Adresse und Status des Cable Modem Termination Systems des Providers.
Kabel Pegel Übersicht Kabel Pegel Übersicht

Kanalübersicht mit kritischen Pegeln farblich hervorgehoben.

8. Sicherheit & Betrieb

8.1 FRITZ!OS-Updates

AVM veröffentlicht FRITZ!OS-Updates regelmäßig und in der Regel kostenfrei. Updates können entweder manuell über System → Update → FRITZ!OS-Version eingespielt oder automatisch bezogen werden. Die automatische Update-Option lässt sich so konfigurieren, dass die Box neue Versionen herunterlädt und installiert, sobald sie verfügbar sind — optional mit Information per E-Mail vor der Installation.

Im Mesh-Verbund lassen sich alle Nodes über die zentrale Mesh-Übersicht gemeinsam aktualisieren, sodass kein Gerät auf einer veralteten Firmware-Version verbleibt.

8.2 CSRF-Schutz und Session-Management

Die FRITZ!Box-Oberfläche ist gegen Cross-Site Request Forgery (CSRF) geschützt: Jede Sitzung erhält eine zufällig generierte Session-ID (SID), die bei jeder Aktion mitgesendet werden muss. Anfragen ohne gültige SID werden abgewiesen. Das verhindert, dass eine präparierte externe Webseite im Hintergrund unbemerkt Einstellungen der FRITZ!Box ändert, solange der Nutzer angemeldet ist.

8.3 Zugang nur aus dem Heimnetz

Standardmäßig ist die Benutzeroberfläche der FRITZ!Box nur aus dem lokalen Netz erreichbar. Ein Fernzugriff über das Internet muss explizit unter System → FRITZ!Box-Benutzer → Anmeldung im Heimnetz aktiviert werden. Es empfiehlt sich, diesen Fernzugriff zu deaktivieren und stattdessen ausschließlich über WireGuard-VPN auf die Oberfläche zuzugreifen — das eliminiert die Angriffsfläche vollständig.

Für Nutzer, die FRITZ!Box-Einstellungen unterwegs benötigen, bietet die offizielle MyFRITZ!App einen gesicherten Zugang über den MyFRITZ!-Dienst, ohne dass direkte Portfreigaben auf die Verwaltungsoberfläche notwendig sind.

8.4 Gastnetz konfigurieren

Die FRITZ!Box unterstützt ein separates WLAN-Gastnetz, das Gästen Internetzugang gewährt, ohne Zugriff auf das Heimnetz zu ermöglichen. Das Gastnetz wird unter WLAN → Gastzugang eingerichtet. Dort lassen sich konfigurieren:

  • Eigene SSID und eigenes WLAN-Kennwort
  • Zeitbegrenzung (z. B. automatische Abschaltung nach X Stunden oder Tagen)
  • Nutzung auf WLAN beschränken (kein Zugriff über LAN-Ports)
  • Zugangsbeschränkung: Nur bestimmte Webseiten erlauben oder sperren (Kindersicherung)

Das Gastnetz läuft in einem eigenen IP-Segment und ist durch die FRITZ!Box-interne Firewall vollständig vom Heimnetz isoliert. Geräte im Gastnetz können sich gegenseitig nicht sehen, sofern die Option Kommunikation zwischen Gastgeräten erlauben deaktiviert bleibt.

8.5 Weitere Sicherheitsempfehlungen

  • Ein starkes, einzigartiges Kennwort für die FRITZ!Box-Oberfläche vergeben und unter System → FRITZ!Box-Benutzer einen benannten Benutzer anlegen (der anonyme Zugang per Kennwort ohne Benutzernamen sollte deaktiviert sein).
  • UPnP deaktivieren, wenn keine Anwendungen im Heimnetz es aktiv benötigen (Heimnetz → Netzwerk → Heimnetzfreigaben → Einstellungen).
  • Den Protokollbereich (System → Ereignisse) gelegentlich prüfen, um fehlgeschlagene Anmeldeversuche oder unerwartete Verbindungsabbrüche zu erkennen.
  • FRITZ!OS zeitnah nach Veröffentlichung aktualisieren, da AVM sicherheitsrelevante Fixes teils ohne gesonderte Kommunikation in Updates einbettet.