Wozu VPN wenn es SSH gibt? Teil 2 Reverse Edition
WireGuard-Tunnel mit FritzOS und VPS – Heimnetz überall erreichbar machen
1. Warum überhaupt ein VPS mit WireGuard?
Ein VPS im Internet kann als „Brücke“ dienen, wenn man sein Heimnetz von überall aus sicher erreichbar machen will.
Besonders in Firmennetzen, wo direkte VPN-Verbindungen blockiert sind, kann man über den VPS einen stabilen Tunnel aufbauen und dort per SSH, Proxy oder sogar Browser ins Heimnetz gelangen.
2. Fallstricke mit FritzOS und WireGuard
Die WireGuard-Integration in FritzOS ist praktisch, aber leider nicht so flexibel wie ein eigener Server.
- Die FritzBox stellt beim Anlegen einer Verbindung viele Rückfragen:
- „Wurde die Verbindung schon auf der Gegenseite erstellt?“
- „Router oder Einzelgerät?“
- „Soll der gesamte Traffic über den Tunnel?“
- FritzOS verlangt bestimmte Angaben wie entferntes IPv4-Netzwerk, Subnetzmaske und manchmal auch DNS-Domains.
- Wichtig: Private Keys nicht verwechseln! → Der VPS braucht den eigenen privaten Key, die FritzBox ihren. Häufig wird der falsche verwendet, das ist eine Standard-Falle.
- Auch die Ports unterscheiden sich: FritzOS wählt oft zufällige UDP-Ports, diese müssen auf dem VPS in der Firewall freigeschaltet sein.
3. VPS vorbereiten (Debian/Ubuntu-Beispiel)
WireGuard installieren:
sudo apt update
sudo apt install wireguard
Netzwerk konfigurieren:/etc/wireguard/wg-home.conf
[Interface]
PrivateKey = <VPS-Private-Key>
Address = 10.99.0.1/24
ListenPort = 51820
[Peer]
# FritzBox
PublicKey = <FB-Public-Key>
PresharedKey = <Optional>
AllowedIPs = 192.168.178.0/24, 10.99.0.2/32
Endpoint = fritzbox.dyndns.org:<FB-Port>
PersistentKeepalive = 25
Firewall freischalten:
sudo ufw allow 51820/udp
(oder im VPS-Provider-Panel UDP-Port öffnen).
Tunnel starten & dauerhaft aktivieren:
sudo systemctl enable --now wg-quick@wg-home
4. Nutzung von SSH über den VPS ins Heimnetz
Sobald der WireGuard-Tunnel steht, kannst du den VPS als Jump Host nutzen.
Linux / macOS
ssh -J vps-user@vps.domain.tld pi@192.168.178.20
Oder per .ssh/config:
Host heimserver
HostName 192.168.178.20
User pi
ProxyJump vps-user@vps.domain.tld
Dann reicht:
ssh heimserver
5. Windows 11 Besonderheiten (managed, kein Admin)
Viele Guides schlagen Lösungen vor, die Adminrechte erfordern (WinFsp, SSHFS-Win, Rclone-Mount).
Auf einem managed Windows 11 ohne Admin geht das nicht. Aber es gibt Workarounds:
5.1 SSH-Key-Management (Windows 11 ohne Adminrechte)
Unter Windows 11 ist OpenSSH-Client schon vorinstalliert – auch ohne Adminrechte.
Damit kann man sich eigene Schlüssel erstellen und diese manuell auf den Server übertragen.
Schlüssel erzeugen:
ssh-keygen -t ed25519 -C "mein-win11-laptop"
- Speicherort: Standardmäßig
C:\Users\<Benutzer>\.ssh\id_ed25519(Privat) undid_ed25519.pub(Public). - Passphrase: optional (empfohlen).
Public-Key auf den Server kopieren:
Da ssh-copy-id auf Windows fehlt, nutzt man Powershell mit einer Pipe:
type $env:USERPROFILE\.ssh\id_ed25519.pub | ssh user@vps "cat >> ~/.ssh/authorized_keys"
Damit ist der Key hinterlegt, und du kannst dich beim nächsten Mal ohne Passwort verbinden:
ssh user@vps
5.2 SSH über Jump Host (PowerShell)
Mit Bordmitteln:
ssh -J user@vps user@heimserver
5.3 SFTP-Zugriff
- Der Windows Explorer kann kein SFTP, nur FTP.
- Lösung: WinSCP Portable nutzen → keine Installation nötig.
- Verbindungstyp: SFTP/SSH → Server: VPS → bei Bedarf Proxy/Jumphost eintragen.
- Vorteil: Explorer-ähnliche Oberfläche, Drag & Drop zwischen Explorer und Server möglich.
6. Bonus: Browserzugriff ins Heimnetz
Wenn du unterwegs direkt ins Heimnetz-Webinterfaces willst, kannst du den SSH-Tunnel auch als SOCKS5-Proxy nutzen:
ssh -D 1080 user@vps
In Firefox mit FoxyProxy:
- Proxytyp: SOCKS5
- Adresse:
localhost - Port:
1080
So surfst du mit dem Browser durchs Heimnetz, als wärst du zu Hause.
7. Profit
- VPN-Bridge steht.
- Heimnetz per SSH, SFTP oder Browser erreichbar.
- Auch aus restriktiven Netzen (Uni, Firma, Hotel).
- Ohne Adminrechte auf Windows.