TP-Link Omada WireGuard VPN einrichten: Rechtssicheres Gäste-WLAN Anleitung

Wenn Sie mehr über unsere Wireguard-Zugänge erfahren möchten, finden Sie hier genauere Infos: WireGuard Zugang mieten

Wenn Sie TP-Link Omada-Geräte in Ihrer Netzwerk-Infrastruktur nutzen und über einen Omada Controller verwalten, können Sie das Netzwerk zusätzlich absichern. Um sicherzustellen, dass Ihr Gäste-WLAN alle rechtlichen und datenschutzrelevanten Anforderungen erfüllt, helfen wir Ihnen weiter.

Mit Omada können Sie den gesamten Gäste-Traffic über einen WireGuard-Zugang zu einem externen Server leiten. Beschützerbox bietet WireGuard-Zugänge an für Server in Deutschland – so bleibt Ihre IP sauber, Sie arbeiten DSGVO-konform und vermeiden das Risiko der Störerhaftung.

In dieser Anleitung zeigen wir Schritt für Schritt, wie Sie einen Beschützerbox WireGuard-Zugang für Ihren TP-Link Omada Router einrichten und damit die Grundlage für ein rechtssicheres Gäste-WLAN schaffen.

Warum Beschützerbox?

• Schutz vor Störerhaftung: Durch die Weiterleitung über Beschützerbox-Server läuft der Gäste-Traffic nicht über Ihre eigene IP.
• Deutscher Anbieter & DSGVO-Konform: Beschützerbox GmbH ist ein in Deutschland ansässiger Telekommunikationsdiensteanbieter, die Gäste-Daten werden DSGVO-konform verarbeitet.
• Einfache Verwaltung & Monitoring: Die Lösung lässt sich bequem über unseren Cloud-Service oder direkt in Ihrer Infrastruktur verwalten.

Unterstützte Omada Router mit WireGuard

Nicht alle TP-Link Omada Router unterstützen WireGuard. Die folgenden Modelle haben WireGuard-Support:

Modell	WireGuard	Anmerkung
ER8411	Ja	Enterprise Router, 10G SFP+
ER7412-M2	Ja	Multi-Gig Router
ER7206 (TL-ER7206)	Ja	Gigabit VPN Router
ER605 (TL-R605)	Ja*	*Mit neuerer Firmware
ER605 v2	Ja	Gigabit VPN Router

Stellen Sie sicher, dass Ihr Router die aktuellste Firmware installiert hat und der Omada Controller auf dem neuesten Stand ist.

Wie verwalte ich die Zugänge?

Unsere Beschützerbox WireGuard-Zugänge können mit Hilfe unterschiedlicher Plattformen genutzt werden. Eine davon bietet TP-Link mit seiner Omada Router-Palette. Sie können die Router entweder in Verbindung mit einem Omada-SDN-Controller, einem Omada Hardware Controller (z.B. dem OC200) oder einem lokal gehosteten Omada Controller nutzen.

Im folgenden Teil zeigen wir Ihnen, wie Sie einen Beschützerbox WireGuard-Zugang für Ihr Gateway anlegen.

WireGuard-Zugang anlegen

1. Rufen Sie Ihren Omada Controller auf.
2. Wählen Sie den entsprechenden Standort im Dropdown-Menü oben rechts aus.
3. Gehen Sie auf "Settings" und dann auf "VPN", um dort den Unterpunkt "Wireguard" auszuwählen.
4. Klicken Sie auf "Create New Wireguard".
5. Dort legen Sie den Namen des Interface (z.B. wg0) fest.
6. Den "MTU"-Wert können Sie auf dem Standard 1420 belassen. Wenn Sie nachher merken, dass manche Webseiten langsam/gar nicht laden, gehen Sie z.B. auf 1360 (bei manchen Kabelinternet-Fritzboxen notwendig).
7. Der Standard Wireguard-"Listen Port" ist 51820.
8. Tragen Sie die IP-Adresse für das Interface ein, die Sie von uns erhalten haben.
9. Der "Private Key" wird automatisch generiert und sollte nicht geteilt werden.
10. Speichern Sie mit "Apply" die Konfiguration ab.
11. Nachdem Sie das Wireguard-Interface fertig angelegt haben, sehen Sie in der Übersicht die Details, und dabei den "Public Key". Diesen müssen Sie uns für die nächsten Schritte zusenden.

Endpunkt einstellen

1. Wechseln Sie anschließend auf den Reiter "Peers", wie oben ausgewählt, und klicken Sie auf "Create New Peer".
2. Legen Sie den Namen des Endpunkts fest (z.B. dessen Hostnamen).
3. Wählen Sie unter "Interface" das soeben angelegte Wireguard-Interface aus.
4. Unter Endpoint tragen Sie die IP-Adresse des Beschützerbox-Servers ein. Aktuell bietet Omada noch kein hinterlegen des FQDN an.
5. Als "Endpoint Port" tragen Sie den von uns übermittelten zugehörigen Port ein.
6. Unter "Allow Address" wird 0.0.0.0/0 eingetragen.
7. Den Keepalive-Wert können Sie auf dessen Standard belassen.
8. Dann hinterlegen Sie den von uns zugesendeten "Public Key" des Endpoints.
9. Zum Schluss speichern Sie über "Apply" ab.

Routing einrichten

1. Gehen Sie in den Einstellungen auf den Reiter "Transmission" und wählen Sie "Routing" aus.
2. Klicken Sie auf "Create New Route".
3. Legen Sie den Namen fest, z.B. "wg0_routing"
4. Unter "Destination IP" geben Sie die von uns übermittelte Server-IP-Adresse für das Wireguard-Netzwerk ein.
5. Wechseln Sie anschließend auf "Interface" beim "Route Type".
6. Als "Interface" legen Sie nun das lokale Netzwerk fest, das über den Wireguard-VPN geroutet werden soll - z.B. das default LAN-Netzwerk.
7. Am Ende speichern Sie mit "Apply" alles ab.

Zugang testen

1. Verbinden Sie sich mit dem WLAN eines Access Points, der über das Gateway und den VPN geroutet wird. Alternativ können Sie sich auch per LAN mit dem Router verbinden.
2. Rufen Sie unsere Testseite /ip auf. Dort wird Ihnen angezeigt, ob Sie mit einer Beschützerbox-IP surfen und der Datenverkehr entsprechend geschützt ist.
3. Alternativ können Sie über Webseiten wie https://wieistmeineip.de prüfen, ob sich die öffentliche IP-Adresse Ihres Testgeräts ändert, wenn Sie vom einen Netzwerk in das andere wechseln und die Webseite anschließend neuladen.
4. Sollte Ihnen auf unserer IP-Testseite angezeigt werden, dass Sie nicht geschützt sind, und sich die öffentliche IP-Adresse nicht ändern, kontaktieren Sie bitte unseren Support.

Häufige Fragen zu WireGuard mit Omada

Warum laden manche Webseiten nicht oder nur langsam?

Das liegt häufig am MTU-Wert. Der Standard von 1420 funktioniert in den meisten Fällen, aber bei manchen Internetanschlüssen (z.B. Kabelinternet mit Fritzbox) müssen Sie den Wert reduzieren. Versuchen Sie 1360 oder 1380. Gehen Sie dazu in die WireGuard-Interface-Einstellungen und passen Sie den MTU-Wert an.

Kann ich nur einen FQDN statt IP-Adresse verwenden?

Aktuell unterstützt der Omada Controller noch keine FQDN (vollqualifizierte Domainnamen) für den WireGuard-Endpoint. Sie müssen die IP-Adresse des Beschützerbox-Servers eintragen. Wir informieren Sie, wenn sich die Server-IP ändert.

Mein ER605 hat kein WireGuard - was tun?

Stellen Sie sicher, dass Sie die neueste Firmware auf dem Router installiert haben und der Omada Controller aktuell ist. Bei älteren ER605 (v1) Modellen wurde WireGuard erst mit späteren Firmware-Updates hinzugefügt. Falls nach dem Update WireGuard immer noch fehlt, unterstützt Ihr Modell möglicherweise kein WireGuard nativ.

Wie routen ich nur das Gäste-VLAN über WireGuard?

Im Routing-Schritt wählen Sie bei "Interface" nicht das gesamte LAN, sondern nur das spezifische VLAN, das Sie für Gäste nutzen. So bleibt Ihr internes Netzwerk über den normalen Internetanschluss erreichbar, während nur der Gäste-Traffic über den VPN läuft.

Komplettlösung gesucht?

Wenn Sie mehr über unsere Wireguard-Zugänge erfahren möchten, finden Sie hier genauere Infos: WireGuard Zugang mieten

Falls Sie nicht nur auf der Suche nach einem rechtssicheren Wireguard-Zugang sind, sondern gleich einen größeren Teil oder sogar Ihr gesamtes Netzwerk zuverlässig verwaltet haben möchten, sind Sie bei uns ebenfalls richtig.

Wir bieten Ihnen die passende Lösung für Ihre Ansprüche an das Netzwerk an. Mehr Informationen finden Sie hier.