VPN: Sicherer Zugriff von unterwegs.

VPN kennen viele nur als Methode, um Geoblocking auszuschalten: Sie nutzen das vorgefertigte Tool eines Anonymisierungsdienstes auf Phone oder PC, um ausländische Streaming-Dienste zu empfangen, die aktuellere oder andere Filme und Serien zeigen als in Deutschland. Damit lassen Sie aber die umfassenden Möglichkeiten der VPN-Technik ungenutzt: Denn statt umständlich auf jedem Gerät eine VPN-Software zu installieren, können Sie auch das gesamte Heimnetz tarnen, um gesperrte US-Serien gleich am Fernseher statt am Notebook zu genießen. Außerdem gelingt mit VPN von überall der maximal geschützte Zugriff auf die Geräte im Heimnetz – selbst vom unsicheren Gratis- WLAN des Schnellrestaurants.

Surfshark VPN ab 2,29 Euro pro Monat

Der Verzicht auf diesen Rundumservice eines VPN hat aber einen guten Grund: Sie müssen dafür den passenden WLAN-Router haben und ihn auch richtig einstellen. Dann ist zugegebenermaßen auch die Installation eines VPN-Programms deutlich leichter.

Doch mit den Tipps und Tools in diesem Artikel wird Ihnen der Aufbau einer sicheren VPN-Verbindung zum oder aus dem Heimnetz genauso einfach fallen: Wir erklären, welche VPN-Funktionen in Heimnetz-Routern verfügbar sind, wofür Sie diese verwenden können und worauf Sie beim Einrichten achten sollten.

Im Anschluss zeigen wir Schritt für Schritt, wie Sie ein VPN im Router aktivieren und geben zusätzliche Tipps für verschiedene Routermodelle. Außerdem erfahren Sie, wie Sie mit einem Zweitrouter ein VPN aufbauen, selbst dann, wenn Ihr Internetrouter diese Funktion vermissen lässt.

Surfshark VPN ab 2,29 Euro pro Monat

Das bietet ein Router mit VPN-Funktion

Ein VPN arbeitet grundsätzlich nach dem Client-Server-Prinzip: Ein Client meldet sich mit der korrekten Authentifizierung bei einem VPN-Server an, um eine geschützte Verbindung aufzubauen. Um im Heimnetz alle Möglichkeiten eines VPN nutzen zu können, muss Ihr Router als VPN-Server und als VPN-Client arbeiten können.

Ein VPN-Server im Router ermöglicht es, dass Sie sich mit einem Notebook oder Smartphone außerhalb des Heimnetzes sicher mit dem Heimnetz verbinden können. Über die Verbindung zum VPN-Server im Router ist es dann möglich, alle dort vorhandenen Ressourcen – wie Dateien auf einem NAS, Netzwerkfreigaben oder Webserver-Dienste – so zu nutzen, als wären Sie zu Hause. Lediglich die Übertragungsrate fällt über die VPN-Verbindung geringer aus als im lokalen Netzwerk.

Lässt sich der Router auch als VPN-Client einsetzen, greift er über eine sicher verschlüsselte Verbindung auf einen entfernten VPN-Server zu. Besonders interessant ist diese Funktion, um Kontakt zu einem Anonymisierungsdienst oder VPN-Provider herzustellen, wie beispielsweise hide.me oder NordVPN . Üblicherweise nutzen Sie als Kunde dieser Dienste ein Tool oder eine App, um den Service vom Notebook, PC oder Smartphone aus zu nutzen. Mit einem VPN-Client im Router leiten Sie hingegen den gesamten Internetverkehr des Routers über Ihren VPN-Provider. Davon profitieren dann auch Fernseher, Mediaplayer, Spielekonsole und alle anderen Geräte, für die es keine VPN-Software gibt oder auf denen sie sich nur mit Schwierigkeiten installieren lässt. Bei einigen Routern können Sie einstellen, welche Geräte im Heimnetz über das VPN und welche über die gewöhnliche, unverschlüsselte Internetverbindung online gehen sollen.

Lesetipp: Die besten VPN-Dienste im Vergleich

Schritt für Schritt erklärt: Router als VPN-Server

Wenn Sie von außerhalb Ihres Netzwerks sicher darauf zugreifen wollen, erledigen Sie das über den VPN-Server im Router. Wo Sie sich gerade mit Notebook oder Smartphone befinden, über das Sie die Verbindung aufbauen, spielt dabei keine Rolle – Sie brauchen nur Zugang zum Internet: Der Zugriff auf das Heimnetz ist auf jeden Fall verschlüsselt und abhörsicher.

Schritt 1: Internetzugang vor VPN-Verbindung prüfen

Bei den Fritzboxen von AVM wie dem Modell 7590 mit Labor-Firmware finden sich die Einstellungen für den VPN-Server im Menü „Internet –› Freigaben –› VPN“.

Wer sein Heimnetz von außen per VPN erreichen möchte, benötigt von seinem Internetprovider eine öffentliche IPv4-Adresse, denn alle Heimnetzrouter mit VPN-Server arbeiten nur über dieses Internetprotokoll. Der eigene Internetzugang muss also mindestens über Dual-Stack angebunden sein, so dass in den WAN-Einstellungen des Routers neben einer öffentlichen IPv6-Adresse – genauer gesagt einem IPv6-Prefix – auch eine öffentliche IPv4-Adresse bereitsteht.

Da IPv4-Adressen weltweit inzwischen Mangelware sind, binden die meisten Zugangsprovider ihre privaten Internetkunden allerdings fast nur noch über Dual- Stack-Lite (DS Lite) ans Internet an. Bei DS Lite bekommt der Internetrouter zu Hause aber lediglich eine öffentliche IPv6-Adresse. Nur gegen Aufpreis oder im Rahmen eines Business-Tarifs erhalten Sie eine öffentliche IPv4-Adresse. Wer keine öffentliche IPv4-Adresse besitzt, kann daher den Router nur als VPN-Client nutzen.

Schritt 2: VPN-Funktionen des Routers untersuchen

Passen die Voraussetzungen für VPN beim Internetanschluss, prüfen Sie als Nächstes, ob sich Ihr Router als VPN-Server einsetzen lässt. Das ist etwa bei neueren Speedport-Modellen der Telekom der Fall, die dafür das moderne Wireguard -Protokoll nutzen. Bei den Fritzboxen von AVM ist VPN schon lange an Bord: Allerdings nutzen sie dazu das veraltete IPSec -Protokoll. Mit Fritz-OS 7.50 erhalten allerdings ausgewählte Fritzbox-Modelle das effizientere Wireguard.

Auch von vielen anderen Herstellern gibt es Routermodelle mit VPN-Server. Um sicherzugehen, ob das auch bei Ihrem Router der Fall ist, werfen Sie einen Blick ins Handbuch. Achten Sie dabei auf die Unterstützung sicherer VPN-Protokolle wie OpenVPN oder IPSec. Manche Router bieten als VPN-Protokoll lediglich das unsichere PPTP (Point-to- Point-Tunneling Protocol) an, dass Sie besser nicht mehr verwendet sollten.

Wenn der Internetrouter sich nicht als VPN-Server nutzen lässt, können Sie einen zweiten Router, der über diese Funktion verfügt, dahinterschalten. Allerdings müssen Sie in diesem Fall passende Portweiterleitungen im Hauptrouter einrichten. Außerdem lässt sich auch über diverse NAS-Systeme eine VPN-Verbindungen ins Heimnetz realisieren. Einzelheiten dazu und eine Anleitung fürs Einrichten der Portweiterleitungen liefert dieser Artikel .

Dieser nachgeschaltete Asus-Router warnt, dass seine private WAN-Adresse aus dem Netz des vorgeschalteten Hauptrouters nicht aus dem Internet erreichbar sein wird.

Schritt 3: DynDNS-Dienst im Router aktivieren

Für eine zuverlässige VPN-Verbindung ins Heimnetz muss der Router als VPN-Server jederzeit garantiert erreichbar sein. Ohne zusätzliche Einstellungen wird das nicht funktionieren, da der Internetprovider ihm die öffentliche IPv4-Adresse dynamisch zuweist – sie kann sich daher jederzeit ändern. Dieses Problem umgehen Sie mit einem DynDNS-Dienst: Er sorgt dafür, dass Sie Ihren Router von außerhalb immer unter der gerade aktuellen IPv4-Adresse erreichen. Dazu verknüpft er die IPv4-Adresse des Routers mit einer festen Webadresse oder DynDNS-Domain. Diese Adresse hinterlegen Sie in den Einstellungen des VPN-Clients, mit dem Sie auf das Heimnetz zugreifen wollen, und erreichen so den Router jederzeit.

Bei diesem Router von Asus finden sich alle Einstellungen zum OpenVPN-Server übersichtlich unter einer Menü-Oberfläche – samt Anleitungen zur Einrichtung von VPN-Clients.

Inzwischen bieten die meisten Hersteller von Heimnetzroutern, darunter AVM, Asus, Netgear oder TP-Link, jeweils einen eigenen, kostenlosen DynDNS-Dienst an. Der DynDNS-Dienst in einer AVM Fritzbox zum Beispiel heißt „MyFritz“: Sie aktivieren ihn im Webmenü des Routers unter „Internet –› MyFritz-Konto“.

Außerdem haben Sie bei allen Routermodellen die Möglichkeit, einen vom Routerhersteller unabhängigen DynDNS-Anbieter wie No-IP.com zu nutzen. Bei einer Fritzbox finden Sie die passenden Einstellungen unter „Internet –› Freigaben –› DynDNS“. Dort geben Sie den Domainnamen an, den der DynDNS-Dienst für den Router bereitstellt, sowie die dazugehörigen Anmeldedaten.

Achtung: DynDNS funktioniert nur an dem Router, der direkt ans Internet angeschlossen ist. An einem nachgeschalteten Router zeigt DynDNS nur eine private IP-Adresse aus dem LAN des Hauptrouters an, die aber vom Internet aus nicht erreichbar ist.

Schritt 4: VPN-Server im Router einrichten

In der neuen Fritz-OS-Firmware sind die verschiedenen VPN-Verbindungsmöglichkeiten übersichtlich aufgelistet. Ganz unten findet sich hier das neue Wireguard-VPN.

Nun können Sie den VPN-Server im Router einschalten. Dabei erstellt er die Informationen, die Sie später im VPN-Client eintragen müssen, damit sich dieser sicher am VPN-Server anmelden kann. Nutzt der Router das Protokoll OpenVPN, bekommen Sie eine VPN-Konfigurationsdatei mit den Zugangskennungen, die Sie auf dem Client speichern. Beim IPSec-Protokoll handelt es sich um ein so genanntes Shared Secret, eine längere Buchstaben-Ziffern-Kombination. Die bei OpenVPN-Verbindungen verwendete Konfigurationsdatei hat die Endung „.ovpn“ und lässt sich bei Bedarf mit dem Windows Editor öffnen und anpassen. Zusätzlich erwartet der VPN-Server im Router vom Client auch die Eingabe eines Benutzernamens samt zugehörigem Passwort. Dieses Benutzerkonto müssen Sie vorher im Router einrichten, zum Beispiel bei einer Fritzbox unter „System –› FRITZ!Box-Benutzer –› Benutzer“.

Ein aktueller Asus-Router beispielsweise bietet in seinen VPN-Server-Einstellungen neben dem unsicheren PPTP auch die beiden sicheren VPN-Protokolle OpenVPN und IPSec. Wählen Sie hier OpenVPN und aktivieren den VPN-Server. Außerdem können Sie für erhöhte Sicherheit noch einen vom Standard-Port abweichenden Server-Port eintragen. Mit „Exportieren“ laden Sie die „ovpn“-Datei auf den Client, der später VPN-Zugriff erhalten soll. Im unteren Bereich der Konfigurationsseite tragen Sie noch einen Benutzer und ein Passwort ein. Die Einstellungen speichern Sie mit „Anwenden“.

Schritt 5: VPN-Zugangsdaten auf den Client übertragen

Als letzten Schritt speichern Sie die erstellten Zugangsinformationen auf dem Gerät, mit dem Sie später übers Internet ins Heimnetz kommen wollen. Dazu nutzen Sie entweder die VPN-Einstellungen des Betriebssystems oder ein spezielles VPN-Client-Programm.

AVM bietet für den Zugang unter Windows das VPN-Client-Tool Fritz-Fernzugang. Wer bei der korrekten Einrichtung des Clients Probleme hat, kann sich noch zusätzlich das Tool „Fritzbox-Fernzugang einrichten“ herunterladen. Beide Tools finden Sie hier . Eine ausführliche Anleitung für den VPN-Server in der Fritzbox lesen hingegen hier .

Die Einrichtung des Fritzbox-VPNs für Android- und iOS-Smartphones können Sie direkt im entsprechenden Betriebssystem vornehmen. Wie das funktioniert, steht für Android hier , für iOS hier .

Zur Einrichtung einer OpenVPN-Verbindung unter Windows nutzen Sie den kostenlosen OpenVPN-Client  und starten das Tool. Sollte sich das Eingabefenster nicht öffnen, klicken Sie mit der rechten Maustaste auf das neue Verbindungsicon rechts unten in der Taskleiste. Wählen Sie nun im Kontextmenü die Option „Datei importieren“, und geben Sie den Pfad zur gespeicherten Konfigurationsdatei VPN-Config.ovpn an. Mit einem Doppelklick darauf liest das Tool die Datei ein. Wählen Sie anschließend „Verbinden“ – bei Bedarf erneut über das Kontextmenü des Icons rechts unten – und geben nun die Zugangsdaten des berechtigten VPN-Nutzers ein. Die Verbindung wird nun hergestellt.

Als Client-App für Smartphones empfiehlt sich „ OpenVPN Connect “. Um die Open-VPN-Konfigurationsdatei auf das Smartphone zu übertragen, verwenden Sie am besten einen Cloudspeicher, auf den Sie mit PC und Smartphone zugreifen können. 

Schritt für Schritt erklärt: Router als VPN-Client

Neben der VPN-Server-Funktion können einige Router auch die Rolle als VPN-Client spielen. Dabei meldet sich nicht ein einzelnes Gerät bei einem VPN-Dienst an, sondern der Router und verbindet auf diese Weise das gesamte lokale Netzwerk sicher mit einem entfernten VPN-Server.

Firmen nutzen dies zum Beispiel, um ein Home-Office-Büro oder eine Außenstelle über die verschlüsselte VPN-Verbindung sicher mit dem Netzwerk am Unternehmenssitz zu verbinden. Für den Einsatz im Heimnetz viel interessanter ist die Möglichkeit, den eigenen Router mit dem Server eines VPN-Providers zu verbinden – inklusive der hinter dem Router angeschlossenen Geräte. Davon profitieren auch die Geräte, auf die man sonst keinen Software- VPN-Client installieren kann, wie zum Beispiel Smart-TVs.

Das sorgt zum einen für mehr Anonymität bei der Internetnutzung und kann außerdem zur Umgehung von Geoblockaden eingesetzt werden.

Praktisch: Dabei müssen Sie auf keinerlei netzwerktechnische Feinheiten achten. Es ist völlig egal, ob Ihr Internetzugang per Dual-Stack oder DS-Lite erfolgt. Auch lässt sich die VPN-Client-Funktion problemlos in einem Router nutzen, der hinter dem Hauptrouter angeschlossen wird.

Vom VPN-Provider wie zum Beispiel Hide.me bekommen Sie die zum jeweiligen Serverstandort passende Konfigurationsdatei für den OpenVPN-Client im Router.

Schritt 1: Der Router benötigt eine OpenVPN-Client-Funktion

Damit der Router als VPN-Client auf den Server eines VPN-Dienstes zugreifen kann, müssen beide Seiten dasselbe Protokoll verstehen – am weitesten verbreitet hierfür ist OpenVPN. Deswegen lässt sich eine Fritzbox zu diesem Zweck nicht einsetzen (siehe Kasten links). Aktuell bieten beispielsweise Asus, Netgear und Zyxel einige Routermodelle an, um eine entsprechende VPN-Verbindung zu einem Anonymisierungsdienst herstellen zu können. In unserem Praxistest stellte sich allerdings heraus, dass nicht jeder Router mit OpenVPNClient-Funktion auch tatsächlich eine funktionierende Verbindung zum VPN-Dienst herstellen kann. Bei TP-Link-Routern und manchen Asus-Geräten ohne die Funktion VPN-Fusion hatten wir keinen Erfolg, was wohl auf Fehler in der aktuellen Firmware zurückzuführen ist. 

Schritt 2: Konto beim VPN-Anbieter einrichten

Die Gegenstelle für Ihren Router als VPN-Client ist der Server eines VPN-Providers: Alle Dienste unterstützen inzwischen auch die Einbindung von Routern. Im Zweifel hilft ein Blick in die Hilfe- oder Support-Einstellungen auf der Homepage des jeweiligen Anbieters. Für den Zugang benötigen Sie ein kostenpflichtiges Abo beim VPN-Dienst.

Wichtig: Bei der Verbindung vom Router zum VPN-Provider legen Sie sich auf einen VPN-Server in einem bestimmten Land fest. Auf den Hilfeseiten des VPN-Providers finden Sie eine Liste mit Servern in den vom Anbieter unterstützen Ländern: Von dort laden Sie sich die passende „ovpn“-Konfigurationsdatei herunter.

Mit aktueller Firmware kann sich der Netgear Nighthawk XR500 mit einem beliebigen VPN-Provider verbinden. Dazu müssen Sie allerdings den Text der ovpn-Datei umständlich in ein Textfeld im Router kopieren.

Schritt 3: Konfigurationsdatei in den Router importieren

Öffnen Sie im Router das Menü mit den Einstellungen für die VPN-Client-Funktion. Dort findet sich eine Option, um die Konfigurationsdatei des VPN-Providers zu importieren. Im selben Menü tragen Sie außerdem die Zugangsdaten des VPN-Providers ein. Nach Übernahme der Einstellungen lässt sich die VPN-Verbindung im Router aktivieren.

Wenn Sie den Standort des VPN-Servers ändern wollen, benötigen Sie dafür wiederum die passende ovpn-Datei aus der Serverliste des VPN-Dienstes. Sie müssen sie wie gezeigt herunterladen und ebenfalls in den Router importieren: Die meisten aktuellen Router mit VPN-Client-Funktion bieten die Möglichkeit, mehrere Verbindungen einzutragen und bei Bedarf zu wechseln.

Im Zyxel-Router Armor G5 lässt sich einstellen, welche Anschlüsse (LAN, WLAN) die VPN-Verbindung nutzen sollen. Alle übrigen Anschlüsse verbinden sich ohne VPN mit dem Internet.

Praktisch ist außerdem, wenn Sie im Router die VPN-Verbindung nur für bestimmte Heimnetzgeräte aktivieren können. Bei Zyxels Armor-5G-Router zum Beispiel lässt sich der VPN-Tunnel mit LAN-Ports und/ oder WLAN-Modulen verknüpfen: Haben Sie im Menü eingestellt, dass die VPN-Verbindung beispielsweise über den LAN-Port 3 und die beiden WLAN-Modulen laufen soll, schicken alle WLAN-Geräte im Heimnetz sowie das an LAN-Port 3 angeschlossene Gerät ihre Daten über die VPN-Verbindung. Die Geräte an den anderen LAN-Buchsen kommunizieren dagegen ohne Verschlüsselung mit dem Internet.

Bei Asus-Routern mit VPN-Fusion erfolgt diese Zuweisung anhand der MAC-Adressen der Geräte. Hier können Sie sogar bis zu vier verschiedene VPN-Verbindungen gleichzeitig laufen lassen, denen Sie jeweils unterschiedliche Heimnetzgeräte zuweisen. So kann der Fernseher mit einem USVPN-Server verbunden sein, das iPad mit einer Gegenstelle in England und das Notebook mit Schweden. Und der Büro-PC kommt ganz normal ohne VPN-Verbindung ins Internet.

Mit VPN-Fusion bietet Asus bei seinen Gaming-Routern die Möglichkeit, mehrere VPN-Verbindungen gleichzeitig zu unterschiedlichen Servern herzustellen, denen Sie außerdem bestimmte Heimnetz-Clients zuweisen können.

© Asus

Siehe auch : Auf blockierte Webseiten zugreifen – so geht's