# S2S VPN WireGuard (zwischen FritzBox und Firewall)

<div class="aussendiv" id="bkmrk-einleitung"><span class="text-h3 h-box">Einleitung</span></div>Dieses HowTo beschreibt die Konfiguration einer WireGuard Site-to-Site VPN-Verbindung einer Securepoint UTM mit einer Fritz!Box.

---

### <span id="bkmrk--18"></span><span class="mw-headline" id="bkmrk-schl%C3%BCssel-hinzuf%C3%BCgen-1">Schlüssel hinzufügen</span>

Damit eine Kommunikation zwischen der UTM und der Fritz!Box möglich ist, sind folgende Schlüssel notwendig:

<div class="einrücken" id="bkmrk-schl%C3%BCssel-vom-typ-x2"><div class="einrücken">- Schlüssel vom Typ x25519 für die UTM
- x25519 Schlüssel für die Fritz!Box

</div></div>Von beiden Schlüsseln wird der öffentliche und der private Teil benötigt.

<table class="sptable2 pd5 zh1 einrücken" id="bkmrk-schl%C3%BCssel-hinzuf%C3%BCgen-0"><tbody><tr class="Leerzeile"><td colspan="3"><span class="text-h5">Schlüssel hinzufügen</span></td></tr><tr class="Leerzeile"><td colspan="3">Schlüsselverwaltung öffnen unter <span class="MS spc__menu bc__grau-menu border-color__grau-menu font-color__white pipe-left"><span class="UTM spc__default spc__blank"> Authentifizierung </span> <span class="UTM spc__default spc__blank"> Schlüssel</span></span> Schaltfläche <span class="button button-default UTM" title="">Schlüssel hinzufügen</span> den Dialog öffnen</td></tr><tr><th>Beschriftung</th><th>Wert</th><th>Beschreibung</th><td class="Bild" rowspan="4"><span class="img-container"><span class="dialog-header pd3"><span class="available"><span class="dialog-menu">Schlüssel hinzufügen</span><span class="dialog-pfad">UTMbenutzer@firewall.name.fqdnAuthentifizierungSchlüssel</span></span><span class="dialog-rechts small"> </span></span>[![UTM v12.6 Schlüssel-Fritz!Box.png](https://wiki.securepoint.de/images/1/10/UTM_v12.6_Schl%C3%BCssel-Fritz%21Box.png)](https://wiki.securepoint.de/Datei:UTM_v12.6_Schl%C3%BCssel-Fritz!Box.png)</span></td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">Name:</span></td><td><span class="UTM ic-eingabe font-color__grau-l bc__white available"><span class="inner-block"><span class="inner-block__left"><span class="inner-block__right">x25519\_a.vpn</span></span></span></span></td><td>Eindeutigen Namen vergeben  
Hier der Schlüsselname für die UTM</td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">Typ:</span></td><td><span class="button button-dropdown UTM available" title="">X25519</span></td><td>Als Typ **X25519** auswählen</td></tr><tr class="Leerzeile"><td colspan="3">Dialog mit der Schaltfläche <div class="inline-block"><div class="dialog-button">  
</div><span class="Hover">Speichern und schließen</span></div> schließen.</td></tr><tr class="Leerzeile"><td colspan="3"><span class="text-h5">Fritz!Box-Schlüssel</span></td></tr><tr class="Leerzeile"><td colspan="3">Den oben beschriebenen Vorgang für einen Schlüssel mit dem Namen **x25519\_fritzbox-1** wiederholen.</td></tr><tr class="Leerzeile"><td colspan="3">- Den öffentlichen und privaten Teil des Schlüssel für die Fritz!Box **x25519\_fritzbox-1** im *.raw*-Format exportieren <div class="mw-collapsible mw-collapsed true icon info tolltip mw-made-collapsible" data-collapsetext="ausblenden" data-expandtext="‍" id="bkmrk-%E2%80%8D"><span aria-expanded="false" class="mw-collapsible-toggle mw-collapsible-toggle-default mw-collapsible-toggle-collapsed" role="button" tabindex="0"><a class="mw-collapsible-text">‍</a></span></div>
- Den Schlüssel **x25519\_fritzbox-1** auf der UTM anschließend löschen

</td><td class="Bild" rowspan="3"><span class="img-container"><span class="dialog-header pd3"><span class="available"><span class="dialog-menu">Schlüssel</span><span class="dialog-pfad">UTMbenutzer@firewall.name.fqdnAuthentifizierung</span></span></span>[![UTM v12.6 Schlüssel Fritzbox-öffentlich.png](https://wiki.securepoint.de/images/7/7b/UTM_v12.6_Schl%C3%BCssel_Fritzbox-%C3%B6ffentlich.png)](https://wiki.securepoint.de/Datei:UTM_v12.6_Schl%C3%BCssel_Fritzbox-%C3%B6ffentlich.png)<span class="thumbcaption">Der fertige Zustand beider Schlüssel</span></span></td></tr><tr class="Leerzeile"><td colspan="3">Auf die Schaltfläche <span class="button button-default UTM" title="">Schlüssel importieren</span> klicken und den **öffentlichen** Teil des Fritz!Box-Schlüssels importieren.</td></tr><tr class="Leerzeile"><td>  
</td></tr></tbody></table>

---

### <span id="bkmrk--19"></span><span class="mw-headline" id="bkmrk-wireguard-verbindung-0">WireGuard-Verbindung hinzufügen</span>

<span id="bkmrk--20"></span>

<span class="text-h4 h-box">WireGuard-Konfiguration an der UTM</span>

Unter <span class="MS spc__menu bc__grau-menu border-color__grau-menu font-color__white pipe-left"><span class="UTM spc__default spc__blank"> VPN </span> <span class="UTM spc__default spc__blank"> WireGuard</span></span> auf die Schaltfläche <span class="button button-default UTM" title="">WireGuard Verbindung hinzufügen</span> klicken

<table class="sptable2 pd5 zh1 Einrücken" id="bkmrk-es-wird-empfohlen-di"><tbody><tr class="Leerzeile"><td colspan="3"><span id="bkmrk--21"></span></td></tr><tr class="Leerzeile"><td colspan="3"><div class="Hinweis-Container__einblenden color-box-shadow em1 fs__icon__em2 bc__hgrau rot"><span class="Hinweis-Container-Text__border UTM bc__hgrau textfont-color">Es wird empfohlen die WireGuard-Verbindung über die UTM zu erstellen. Daher sollte der **Schritt 1 - Konfiguration importieren** übersprungen werden.</span></div></td></tr><tr><th>Beschriftung</th><th>Wert</th><th>Beschreibung</th><td class="Bild" rowspan="4"><span class="img-container"><span class="dialog-header pd3"><span class="available"><span class="dialog-menu">WireGuard Verbindung hinzufügen</span><span class="dialog-pfad">UTMbenutzer@firewall.name.fqdnVPNWireGuard</span></span></span>[![UTM v12.6 VPN Wireguard Step1.png](https://wiki.securepoint.de/images/2/23/UTM_v12.6_VPN_Wireguard_Step1.png)](https://wiki.securepoint.de/Datei:UTM_v12.6_VPN_Wireguard_Step1.png)<span class="thumbcaption">WireGuard Assistent - Schritt 1</span></span></td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">Datei:</span></td><td><span class="button button-default UTM" title="">Datei auswählen</span></td><td>Falls die WireGuard-Verbindung über die Fritz!Box erstellt wurde, kann hier die entsprechende Konfigurationsdatei hochgeladen werden.  
Allgemein trägt die Konfigurationsdatei die Bezeichnung ***wg\_config.conf***.  
Entsprechend wird unter <span class="beschriftung UTM font-color__b-grau">Konfiguration:</span> das Konfigurationsfeld ausgefüllt. - Falls mehrere Peers vorhanden sind, wird bloß der erste Peer übernommen.

</td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">Konfiguration:</span></td><td><span class="UTM ic-eingabe font-color__grau-l bc__white cb available"><span class="inner-block"><span class="inner-block__left"><span class="inner-block__right"> </span></span></span></span></td><td>Falls eine WireGuard-Verbindung über die Fritz!Box erstellt wurde, kann die Konfiguration in dieses Konfigurationsfeld kopiert werden. - Falls mehrere Peers vorhanden sind, wird bloß der erste Peer übernommen.

<div class="mw-collapsible true mw-collapsed bigdezent mw-made-collapsible" data-collapsetext="ausblenden" data-expandtext="Vorlage einer Konfigurationsdatei zum kopieren" id="bkmrk-vorlage-einer-konfig"><span aria-expanded="false" class="mw-collapsible-toggle mw-collapsible-toggle-default mw-collapsible-toggle-collapsed" role="button" tabindex="0"><a class="mw-collapsible-text">Vorlage einer Konfigurationsdatei zum kopieren</a></span></div></td></tr><tr class="Leerzeile"><td>  
</td></tr><tr class="Leerzeile"><td colspan="3"><span id="bkmrk--22"></span></td></tr><tr><th>Beschriftung</th><th>Wert</th><th>Beschreibung</th><td class="Bild" rowspan="9"><span class="img-container">[![UTM 12.6 VPN Wireguard Schritt2.png](https://wiki.securepoint.de/images/5/55/UTM_12.6_VPN_Wireguard_Schritt2.png)](https://wiki.securepoint.de/Datei:UTM_12.6_VPN_Wireguard_Schritt2.png)</span><div class="Abb">  
</div><span class="img-container"><span class="thumbcaption">WireGuard Assistent - Schritt 2</span></span></td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">Schnittstelle:</span></td><td><span class="UTM ic-eingabe font-color__grau-l hgrau available"><span class="inner-block"><span class="inner-block__left"><span class="inner-block__right">wg1</span></span></span></span></td><td>Name der Schnittstelle, die für die Verbindung angelegt wird (automatische Vorgabe, kann nicht geändert werden)</td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">Name:</span></td><td><span class="UTM ic-eingabe font-color__grau-l bc__white available"><span class="inner-block"><span class="inner-block__left"><span class="inner-block__right">wg\_s2s\_fritzbox</span></span></span></span></td><td>Eindeutiger Name für die Verbindung</td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">IPv4 Adresse:</span></td><td><span class="UTM ic-eingabe font-color__grau-l bc__white available"><span class="inner-block"><span class="inner-block__left"><span class="inner-block__right">10.0.0.1/24</span></span></span></span></td><td>IPv4 Adresse für die Netzwerkschnittstelle des Transfernetzes der UTM</td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">IPv6 Adresse:</span></td><td><span class="UTM ic-eingabe font-color__grau-l bc__white available"><span class="inner-block"><span class="inner-block__left"><span class="inner-block__right"> </span></span></span></span></td><td>IPv6 Adresse für die Netzwerkschnittstelle des Transfernetzes der UTM (optional)</td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">Listening Port:</span></td><td><span class="UTM ic-eingabe font-color__grau-l bc__white c available"><span class="inner-block"><span class="inner-block__left"><span class="inner-block__right">51820</span></span><span class="counter-icon">[![Link=](https://wiki.securepoint.de/images/9/9d/UTM_v11-8-2_Counter.png)](https://wiki.securepoint.de/Datei:UTM_v11-8-2_Counter.png "Link=")</span></span></span></td><td>Default-Port für WireGuard Verbindungen</td></tr><tr><td colspan="3"><span class="beschriftung UTM font-color__b-grau">Privater Schlüssel:</span></td></tr><tr><td class="mw10"><span class="button button-default UTM aktiv" title="">Aus Schlüsseln wählen</span></td><td><span class="button button-dropdown UTM available" title="">x25519\_a.vpn</span></td><td>Privater Schlüssel der UTM im Format x25519.  
Es sind nur solche Schlüssel auswählbar, die auch über einen privaten Schlüsselteil verfügen.</td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">Servernetzwerke global freigeben:</span></td><td><span class="UTM ic-eingabe font-color__grau-l bc__white cb available"><span class="inner-block"><span class="inner-block__left"><span class="inner-block__right"> </span></span></span></span></td><td>Zusätzliche Netzwerke für die (lokale) Serverseite, auf die der WireGuard-Tunnel der Peers zugreifen können</td></tr><tr class="Leerzeile"><td>  
</td></tr><tr class="Leerzeile"><td colspan="3"><span id="bkmrk--23"></span></td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">Verwende AD Benutzer als Peers:</span></td><td><span class="UTM ButtonAus"><span class="ButtonAus-Text">Aus</span></span></td><td>Die Verwendung <span class="UTM ButtonAn"><span class="ButtonAn-Text">An</span></span> von AD Benutzern als Peer wird dann empfohlen, wenn diese mit einem AD/LDAP-Server vebunden sind und diese die richtigen Attributseinstellungen vorweisen. Weiterhin muss eine Benutzergruppe auf der UTM mit einer Benutzergruppe im AD/LDAP verknüpft sein und diese die WireGuard-Berechtigung besitzen.  
Weitere Informationen sind im Wiki-Artikel [AD/LDAP-Anbindung](https://wiki.securepoint.de/UTM/AUTH/AD_Anbindung "UTM/AUTH/AD Anbindung") zu finden.</td><td class="Bild" rowspan="12"><span class="img-container">[![UTM 12.6 VPN Wireguard Schritt3.png](https://wiki.securepoint.de/images/8/80/UTM_12.6_VPN_Wireguard_Schritt3.png)](https://wiki.securepoint.de/Datei:UTM_12.6_VPN_Wireguard_Schritt3.png)</span><div class="Abb">  
</div><span class="img-container"><span class="thumbcaption">WireGuard Assistent - Schritt 3</span></span></td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">Name:</span></td><td><span class="UTM ic-eingabe font-color__grau-l bc__white available"><span class="inner-block"><span class="inner-block__left"><span class="inner-block__right">wg\_peer\_fritzbox-1</span></span></span></span></td><td>Bezeichnung der Gegenstelle für die Fritz!Box</td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">Peernetzwerke freigeben:</span></td><td><span class="UTM ic-eingabe font-color__grau-l bc__white cb available"><span class="inner-block"><span class="inner-block__left"><span class="inner-block__right"><span class="cb">»<small></small><span class="pd3 cb-content">192.168.178.1/24</span></span></span></span></span></span></td><td>Das interne Netz der Fritz!Box, auf das zugegriffen werden soll</td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">Endpunkt:</span></td><td><span class="UTM ic-eingabe font-color__grau-l bc__white available"><span class="inner-block"><span class="inner-block__left"><span class="inner-block__right">d-vpn.spdns.org</span></span></span></span></td><td>Öffentliche DNS auflösbarer FQDN der Fritz!Box</td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">Endpunkt Port:</span></td><td><span class="UTM ic-eingabe font-color__grau-l bc__white c available"><span class="inner-block"><span class="inner-block__left"><span class="inner-block__right">51820</span></span><span class="counter-icon">[![Link=](https://wiki.securepoint.de/images/9/9d/UTM_v11-8-2_Counter.png)](https://wiki.securepoint.de/Datei:UTM_v11-8-2_Counter.png "Link=")</span></span></span></td><td>Der Listening Port der Fritz!Box</td></tr><tr><td colspan="3"><span class="beschriftung UTM font-color__b-grau">Öffentlicher Schlüssel:</span></td></tr><tr><td><span class="button button-default UTM aktiv" title="">Aus Schlüsseln wählen</span></td><td><span class="button button-dropdown UTM available" title="">x25519\_fritzbox-1\_pub\_b64</span></td><td>Den öffentlichen Schlüsselteil der Fritz!Box auswählen  
- Öffentlicher Schlüssel vorhanden, aber nicht auswählbar? <div class="mw-collapsible true mw-collapsed dezent mw-made-collapsible" data-collapsetext="ausblenden" data-expandtext="Hinweis anzeigen" id="bkmrk-hinweis-anzeigen"><span aria-expanded="false" class="mw-collapsible-toggle mw-collapsible-toggle-default mw-collapsible-toggle-collapsed" role="button" tabindex="0"><a class="mw-collapsible-text">Hinweis anzeigen</a></span></div>

</td></tr><tr><td rowspan="4"><span id="bkmrk--24"></span><span class="beschriftung UTM font-color__b-grau">Pre-Shared Key (optional):</span></td><td><span class="UTM ic-eingabe font-color__grau-l bc__white"><span class="inner-block"><span class="inner-block__left"><span class="inner-block__right">…8DmBioPyPNqZ7Rk=</span></span></span></span></td><td>Pre-Shared Key zur weiteren Absicherung der Verbindung</td></tr><tr><td> <span class="Hover">Anzeigen</span>  
 <span class="Hover">Verbergen</span></td><td>Zeigt / Verbirgt den Pre-Shared Key</td></tr><tr><td> <span class="Hover">Generieren</span></td><td>Erzeugt einen sehr starken Pre-Shared Key - Der Pre-Shared Key muss an beiden Enden der VPN-Verbindung identisch sein!

</td></tr><tr><td> <span class="Hover">In die Zwischenablage kopieren</span></td><td>Kopiert den PSK in die Zwischenablage</td></tr><tr><td rowspan="2"><span class="beschriftung UTM font-color__b-grau">Keepalive:</span></td><td><span class="UTM ButtonAus"><span class="ButtonAus-Text">Aus</span></span></td><td>Sendet regelmäßig ein Signal. Dadurch werden Verbindungen auf NAT-Routern offen gehalten. <span class="UTM ButtonAn"><span class="ButtonAn-Text">Ein</span></span> Die Aktivierung wird empfohlen.</td></tr><tr><td><span class="UTM ic-eingabe font-color__grau-l bc__white c mw5"><span class="inner-block"><span class="inner-block__left"><span class="inner-block__right">25</span></span><span class="counter-icon">[![Link=](https://wiki.securepoint.de/images/9/9d/UTM_v11-8-2_Counter.png)](https://wiki.securepoint.de/Datei:UTM_v11-8-2_Counter.png "Link=")</span></span></span> Sekunden</td><td>Abstand in Sekunden, in dem ein Signal gesendet wird</td></tr><tr class="Leerzeile"><td>  
</td></tr><tr class="Leerzeile"><td colspan="3"><span id="bkmrk--25"></span></td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">Routen zu den Netzwerken des Peers erstellen:</span></td><td><span class="UTM ButtonAus"><span class="ButtonAus-Text">Nein</span></span></td><td> Aktivierung wird empfohlen.  
Es werden Routen zu den Netzwerken / Hosts erstellt, die in Schritt 3 unter *Erlaubte IPs* eingetragen wurden mit der Schnittstelle als Gateway, die in Schritt 2 angezeigt wurde.</td><td class="Bild" rowspan="8"><span class="img-container">[![UTM 12.6 VPN Wireguard Schritt4.png](https://wiki.securepoint.de/images/0/09/UTM_12.6_VPN_Wireguard_Schritt4.png)](https://wiki.securepoint.de/Datei:UTM_12.6_VPN_Wireguard_Schritt4.png)</span><div class="Abb">  
</div><span class="img-container"><span class="thumbcaption">WireGuard Assistent - Schritt 4</span></span></td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">Zonen erstellen:</span></td><td><span class="UTM ButtonAn"><span class="ButtonAn-Text">Ja</span></span></td><td>Erzeugt eine neue Zone für die WireGuard Schnittstelle</td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">Zonenname:</span></td><td><span class="UTM ic-eingabe font-color__grau-l bc__white available"><span class="inner-block"><span class="inner-block__left"><span class="inner-block__right">wireguard-wg0-1</span></span></span></span></td><td>Einen Namen für die Zone eintragen</td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">Netzwerkobjekte für den Peer erstellen:</span></td><td><span class="UTM ButtonAn"><span class="ButtonAn-Text">Ja</span></span>  
<span class="UTM ic-eingabe font-color__grau-l bc__white cb available"><span class="inner-block"><span class="inner-block__left"><span class="inner-block__right"><span class="cb">»<small></small><span class="pd3 cb-content">wg\_peer\_fritzbox-1-0</span></span></span></span></span></span></td><td>Erzeugt bei Aktivierung <span class="UTM ButtonAn"><span class="ButtonAn-Text">Ja</span></span> Netzwerkobjekte (IPv4 und ggf. IPv6) für die Gegenstelle. Der automatische Vorschlag kann auch geändert werden.</td></tr><tr><td><span class="beschriftung UTM font-color__b-grau">Regeln zwischen dem Peer und internal-networks erstellen:</span></td><td><span class="UTM ButtonAus"><span class="ButtonAus-Text">Nein</span></span></td><td>Erzeugt bei Aktivierung autogenerierte Regeln, die die Inbetriebnahme erleichtern. <div class="Hinweis-Container__einblenden color-box-shadow em1 fs__icon__em2 bc__hgrau rot"><span class="Hinweis-Container-Text__border UTM bc__hgrau textfont-color">Diese Regeln müssen unbedingt durch eigene Regeln, die nur notwendige Dienste mit notwendigen Netzwerkobjekten erlauben, ersetzt werden.</span></div></td></tr><tr class="Leerzeile"><td colspan="3">Mit der Schaltfläche <span class="button button-default UTM" title="">Fertig</span> werden die Einstellungen übernommen.</td></tr><tr class="Leerzeile"><td colspan="3">Anschließend wird über die Schaltfläche <div class="inline-block"><div class="dialog-button"> <span class="">Neustarten</span></div><span class="Hover">Neustarten</span></div> der WireGuard-Dienst neu gestartet. <div class="mw-collapsible mw-collapsed true icon info tolltip mw-made-collapsible" data-collapsetext="ausblenden" data-expandtext="‍" id="bkmrk-%E2%80%8D-0"><span aria-expanded="false" class="mw-collapsible-toggle mw-collapsible-toggle-default mw-collapsible-toggle-collapsed" role="button" tabindex="0"><a class="mw-collapsible-text">‍</a></span></div></td></tr><tr class="Leerzeile"><td>  
</td></tr></tbody></table>

#### <span id="bkmrk--26"></span><span class="mw-headline" id="bkmrk-wireguard-konfigurat-1">WireGuard-Konfiguration an der Fritz!Box</span>

<span id="bkmrk--27"></span>

Den öffentlichen Teil des Schlüssels der UTM **x25519\_a.vpn** im *.raw*-Format exportieren.

<span id="bkmrk--28"></span>

Eine Konfigurationsdatei mit folgendem Inhalt wird erstellt. Dazu wird eine Datei in einem beliebigem Editor geöffnet.

```
[Interface]
PrivateKey = $PRIVATE_KEY_FRITZBOX
ListenPort = $LISTENPORT_WIREGUARD_FRITZBOX
Address = $LOCAL_IP_FRITZBOX/$NETMASK
<br></br>[Peer]
PublicKey = $PUBLIC_KEY_UTM
PresharedKey = $PRESHAREDKEY
AllowedIPs = $NETWORK_SECUREPOINT/$NETMASK
Endpoint = $HOSTNAME_UTM:$LISTENPORT_WIREGUARD_UTM
PersistentKeepalive = 1
```

<table class="sptable pd5 zh1 Einrücken" id="bkmrk-beschriftung-wert-be"><tbody><tr><th class="mw11">Beschriftung</th><th>Wert</th><th>Beschreibung</th><td class="Bild" rowspan="10"><span class="img-container">[![FRITZ!Box-7590 VPN WireGuard Konfigurationsdatei.png](https://wiki.securepoint.de/images/0/0d/FRITZ%21Box-7590_VPN_WireGuard_Konfigurationsdatei.png)](https://wiki.securepoint.de/Datei:FRITZ!Box-7590_VPN_WireGuard_Konfigurationsdatei.png)</span><div class="Abb">  
</div><span class="img-container"><span class="thumbcaption">Beispiel solch einer Konfigurationsdatei</span></span></td></tr><tr><td>PrivateKey =</td><td>$PRIVATE\_KEY\_FRITZBOX</td><td>*Private Key* aus dem heruntergeladenem Schlüssel eintragen</td></tr><tr><td>ListenPort =</td><td>$LISTENPORT\_WIREGUARD\_FRITZBOX</td><td>ListenPort der Fritz!Box eintragen  
Im Beispiel *51378*</td></tr><tr><td>Address =</td><td>$LOCAL\_IP\_FRITZBOX/$NETMASK</td><td>Statische IP-Adresse der Fritz!Box im internem Netzwerk mit Netzmaske eintragen  
Im Beispiel *192.168.178.1/24*</td></tr><tr><td>PublicKey =</td><td>$PUBLIC\_KEY\_UTM</td><td>Den heruntergeladenem public Key der UTM eintragen</td></tr><tr><td>PresharedKey =</td><td>$PRESHAREDKEY</td><td>Den preshared Key der UTM eintragen</td></tr><tr><td>AllowedIPs =</td><td>$NETWORK\_SECUREPOINT/$NETMASK</td><td>Internes Netzwerk / interne Netzwerke / Transfernetzwerk der Securepoint eintragen  
Im Beispiel 10.0.0.0/24 (aus Schritt 2 - IPv4 Adresse)  
Mehrere IP-Adressen sind durch ein Komma zu trennen.  
Beispiel: IPv4 Adresse: 10.0.1.0/24,10.0.2.0/24</td></tr><tr><td>Endpoint =</td><td>$HOSTNAME\_UTM:$LISTENPORT\_WIREGUARD\_UTM</td><td>Hostname der UTM und Endpoint der UTM (aus Schritt 2 - Schnittstelle) eintragen. Beides durch einen Doppelpunkt trennen.</td></tr><tr><td>PersistentKeepalive =</td><td>1</td><td>Abstand in Sekunden, in dem ein Signal gesendet wird (aus Schritt 3 - Peer)  
Im Beispiel *25*</td></tr><tr class="Leerzeile"><td colspan="3" id="bkmrk-falls-etwas-an-der-k"><div class="Hinweis-Container__einblenden color-box-shadow em1 fs__icon__em2 bc__hgrau g"><span class="Hinweis-Container-Text__border UTM bc__hgrau textfont-color">Falls etwas an der Konfigurationsdatei geändert wird, kann es vorkommen, dass die Fritz!Box die geänderte Konfiguration nicht sofort akzeptiert. Ein Neustart der Fritz!Box ist dann notwendig.</span></div></td></tr><tr class="Leerzeile"><td>  
</td></tr></tbody></table>

<span id="bkmrk--29"></span>

Im Interface der Fritz!Box anmelden und unter Internet → Freigaben→ Reiter VPN (WireGuard) wechseln.  
Dort auf <span class="button button-default AVM" title="">Verbindung hinzufügen</span> klicken.

<div class="einrücken" id="bkmrk-abb.1-im-neuem-fenst"><div class="einrücken"><div class="flexbox"><div class="flexelement items_3">[![FRITZ!Box-7590 VPN Wireguard Schritt1.png](https://wiki.securepoint.de/images/f/f7/FRITZ%21Box-7590_VPN_Wireguard_Schritt1.png)](https://wiki.securepoint.de/Datei:FRITZ!Box-7590_VPN_Wireguard_Schritt1.png)<div class="flex_unten"><div class="Abb">Abb.1</div><div class="thumbcaption">Im neuem Fenster auf <span class="spc__default spc__blank UTM"> Benutzerdefinierte Einrichtung</span> klicken und dann auf Weiter &gt;.</div></div></div><div class="flexelement items_3">[![FRITZ!Box-7590 VPN Wireguard Schritt2.png](https://wiki.securepoint.de/images/6/6d/FRITZ%21Box-7590_VPN_Wireguard_Schritt2.png)](https://wiki.securepoint.de/Datei:FRITZ!Box-7590_VPN_Wireguard_Schritt2.png)<div class="flex_unten"><div class="Abb">Abb.2</div><div class="thumbcaption">Bei der Frage unter *Benutzerdefinierte Einstellungen festlegen* auf <span class="spc__default spc__blank UTM"> Ja</span> klicken und anschließend auf Weiter &gt;.</div></div></div><div class="flexelement items_3">[![FRITZ!Box-7590 VPN Wireguard Schritt3.png](https://wiki.securepoint.de/images/6/6e/FRITZ%21Box-7590_VPN_Wireguard_Schritt3.png)](https://wiki.securepoint.de/Datei:FRITZ!Box-7590_VPN_Wireguard_Schritt3.png)<div class="flex_unten"><div class="Abb">Abb.3</div><div class="thumbcaption">Bei *Name der WireGuard-Verbindung* einen Namen eintragen und über <span class="button button-default UTM" title="">Durchsuchen...</span> die erstellte Konfiguationsdatei auswählen. Dann auf Fertigstellen klicken. <div class="Hinweis-Container__einblenden color-box-shadow em1 fs__icon__em2 bc__hgrau g"><span class="Hinweis-Container-Text__border UTM bc__hgrau textfont-color">Ggf. kann die Aktivierung der Option <span class="spc__default spc__blank UTM inline"> *NetBIOS über diese Verbindung zulassen*</span> Probleme z.B. mit SMB oder FTP beheben.</span></div></div></div></div></div></div></div>Nach dem automatischem Wechsel auf den Dialog VPN (WireGuard) wird auf Aktualisieren geklickt und die WireGuard-Verbindung ist aktiv.  
 Sollte unter anderem beim Hochladen der Konfigurationsdatei ein Fehler auftreten, wird unter System → Ereignisse die entsprechende Fehlermeldung angezeigt.