TP-Link Omada WireGuard VPN einrichten: Rechtssicheres Gäste-WLAN Anleitung

Wenn Sie mehr über unsere Wireguard-Zugänge erfahren möchten, finden Sie hier genauere Infos: WireGuard Zugang mieten

Wenn Sie TP-Link Omada-Geräte in Ihrer Netzwerk-Infrastruktur nutzen und über einen Omada Controller verwalten, können Sie das Netzwerk zusätzlich absichern. Um sicherzustellen, dass Ihr Gäste-WLAN alle rechtlichen und datenschutzrelevanten Anforderungen erfüllt, helfen wir Ihnen weiter.

Mit Omada können Sie den gesamten Gäste-Traffic über einen WireGuard-Zugang zu einem externen Server leiten. Beschützerbox bietet WireGuard-Zugänge an für Server in Deutschland – so bleibt Ihre IP sauber, Sie arbeiten DSGVO-konform und vermeiden das Risiko der Störerhaftung.

In dieser Anleitung zeigen wir Schritt für Schritt, wie Sie einen Beschützerbox WireGuard-Zugang für Ihren TP-Link Omada Router einrichten und damit die Grundlage für ein rechtssicheres Gäste-WLAN schaffen.

Warum Beschützerbox?

• Schutz vor Störerhaftung: Durch die Weiterleitung über Beschützerbox-Server läuft der Gäste-Traffic nicht über Ihre eigene IP.
• Deutscher Anbieter & DSGVO-Konform: Beschützerbox GmbH ist ein in Deutschland ansässiger Telekommunikationsdiensteanbieter, die Gäste-Daten werden DSGVO-konform verarbeitet.
• Einfache Verwaltung & Monitoring: Die Lösung lässt sich bequem über unseren Cloud-Service oder direkt in Ihrer Infrastruktur verwalten.

Unterstützte Omada Router mit WireGuard

Nicht alle TP-Link Omada Router unterstützen WireGuard. Die folgenden Modelle haben WireGuard-Support:

Modell	WireGuard	Anmerkung
ER8411	Ja	Enterprise Router, 10G SFP+
ER7412-M2	Ja	Multi-Gig Router
ER7206 (TL-ER7206)	Ja	Gigabit VPN Router
ER605 v1 (TL-R605)	Ja*	*Mit neuerer Firmware
ER605 v2	Ja	Gigabit VPN Router

Stellen Sie sicher, dass Ihr Router die aktuellste Firmware installiert hat und der Omada Controller auf dem neuesten Stand ist. Unsere Tests sind mit SDN-Versionen 5.X und 6.X durchgeführt worden.

Wie verwalte ich die Zugänge?

Unsere Beschützerbox WireGuard-Zugänge können mit Hilfe unterschiedlicher Plattformen genutzt werden. Eine davon bietet TP-Link mit seinen Omada Routern. Sie können die Router entweder in Verbindung mit einem Omada-SDN-Controller, einem Omada Hardware Controller (z.B. dem OC220) oder einem lokal gehosteten Omada Controller nutzen.

Im folgenden Teil zeigen wir Ihnen, wie Sie einen Beschützerbox WireGuard-Zugang für Ihr Gateway anlegen.

WireGuard-Zugang anlegen

1. Rufen Sie Ihren Omada Controller auf.
2. Wählen Sie den entsprechenden Standort im Dropdown-Menü aus.
3. Gehen Sie auf “Network Config” und wählen Sie im sich dann öffnenden Menü in der Sektion “VPN” den Punkt “Wireguard” aus.
4. Klicken Sie auf “Create New Wireguard”.

5. Dort legen Sie den Namen des Interface (z.B. wg0) fest.
6. Den “MTU”-Wert können Sie auf dem Standard 1420 belassen. Wenn Sie nachher merken, dass manche Webseiten langsam/gar nicht laden, gehen Sie z.B. auf 1360 (manchmal bei Fritz!Boxen notwendig).
7. Der Standard Wireguard-”Listen Port” ist 51820. Sie können aber auch einen anderen Port wählen.
8. Tragen Sie für die “Local IP” als Platzhalter 10.10.10.10 ein.
9. Der “Private Key” wird automatisch generiert und sollte nicht geteilt werden.
10. Speichern Sie mit “Apply” die Konfiguration ab.
11. Nachdem Sie das Wireguard-Interface fertig angelegt haben, sehen Sie in der Übersicht die Details, und dabei den “Public Key”. Kopieren Sie diesen.
12. Rufen Sie dann in der Beschützerbox-Cloud unter “Meine WireGuard-Zugänge” die Einstellungen Ihres Zugangs auf.
13. Fügen Sie oben den kopierten PublicKey ein und klicken Sie auf “Speichern”. Anschließend sehen Sie unten die neu generierte Konfiguration.
14. Kopieren Sie die dort eingetragene IP-Adresse, bearbeiten Sie den WireGuard-Zugang im Omada-Controller und ersetzen Sie die Platzhalter-IP.
15. Speichern Sie mit “Apply” die Konfiguration wieder ab.

Endpunkt einstellen

1. Wechseln Sie anschließend auf den Reiter “Peers”, und klicken Sie auf “Create New Peer”.
2. Legen Sie den Namen des Endpunkts fest (z.B. dessen Hostnamen).
3. Wählen Sie unter “Interface” das soeben angelegte Wireguard-Interface aus.
4. Unter Endpoint tragen Sie die Domain aus der Peer-Konfiguration in der Beschützerbox-Cloud ein.
5. Als “Endpoint Port” tragen Sie den Port hinter dem Doppelpunkt des Endpoints aus Punkt 4 ein.
6. Unter “Allow Address” tragen Sie 0.0.0.0/0 ein.
7. Den Keepalive-Wert können Sie auf dessen Standard belassen.
8. Dann hinterlegen Sie den “PublicKey” des Endpoints.
9. Zum Schluss speichern Sie über “Apply” ab.

Routing einrichten

1. Gehen Sie unter “Network Config” im Block “Transmission” auf “Routing”.
2. Klicken Sie auf “Create New Route”.
3. Legen Sie den Namen fest, z.B. “wg0_routing”
4. Unter “Destination IP” geben Sie die IP-Adresse an, die Sie aus der Cloud für Ihr WireGuard-Interface kopiert haben.
5. Wechseln Sie anschließend auf “Interface” beim “Route Type”.
6. Als “Interface” legen Sie nun das lokale Netzwerk fest, das über den Wireguard-VPN geroutet werden soll - z.B. das default LAN-Netzwerk.
7. Am Ende speichern Sie mit “Apply” alles ab.

Zugang testen

1. Verbinden Sie sich mit dem WLAN eines Access Points, der über das Gateway und den VPN geroutet wird. Alternativ können Sie sich auch per LAN mit dem Router verbinden.
2. Rufen Sie unsere Testseite /ip auf. Dort wird Ihnen angezeigt, ob Sie mit einer Beschützerbox-IP surfen und der Datenverkehr entsprechend geschützt ist.
3. Alternativ können Sie über Webseiten wie https://wieistmeineip.de prüfen, ob sich die öffentliche IP-Adresse Ihres Testgeräts ändert, wenn Sie vom einen Netzwerk in das andere wechseln und die Webseite anschließend neuladen.
4. Sollte Ihnen auf unserer IP-Testseite angezeigt werden, dass Sie nicht geschützt sind, und sich die öffentliche IP-Adresse nicht ändern, kontaktieren Sie bitte unseren Support.

Häufige Fragen zu WireGuard mit Omada

Warum laden manche Webseiten nicht oder nur langsam?

Das liegt häufig am MTU-Wert. Der Standard von 1420 funktioniert in den meisten Fällen, aber bei manchen Internetanschlüssen (z.B. Kabelinternet mit Fritz!Box) kann es sein, dass Sie den Wert reduzieren müssen. Versuchen Sie 1380 oder 1360 - der Wert 1300 sollte immer funktionieren. Gehen Sie dazu in die WireGuard-Interface-Einstellungen und passen Sie den MTU-Wert an. Beachten Sie dabei, dass ein niedrigerer Wert die Bandbreite reduziert.

Mein ER605 hat kein WireGuard - was tun?

Stellen Sie sicher, dass Sie die neueste Firmware auf dem Router installiert haben und der Omada Controller aktuell ist. Bei älteren ER605 (v1) Modellen wurde WireGuard erst mit späteren Firmware-Updates hinzugefügt. Falls nach dem Update WireGuard immer noch fehlt, unterstützt Ihr Modell möglicherweise kein WireGuard nativ.

Wie routen ich nur das Gäste-VLAN über WireGuard?

Im Routing-Schritt wählen Sie bei “Interface” nicht das gesamte LAN, sondern nur das spezifische Netzwerk bzw. VLAN, das Sie für Gäste nutzen. So bleibt Ihr internes Netzwerk über den normalen Internetanschluss erreichbar, während nur der Gäste-Traffic über den VPN läuft.

Komplettlösung gesucht?

Wenn Sie mehr über unsere Wireguard-Zugänge erfahren möchten, finden Sie hier genauere Infos: WireGuard Zugang mieten

Falls Sie nicht nur auf der Suche nach einem rechtssicheren Wireguard-Zugang sind, sondern gleich einen größeren Teil oder sogar Ihr gesamtes Netzwerk zuverlässig verwaltet haben möchten, sind Sie bei uns ebenfalls richtig.

Wir bieten Ihnen die passende Lösung für Ihre Ansprüche an das Netzwerk an. Mehr Informationen finden Sie hier.