Con un FRITZ!Box puoi usare WireGuard per accedere in modo cifrato alle risorse della tua LAN (NAS, stampanti, Home Assistant, RDP/SSH) quando sei fuori casa, mantenendo però la navigazione Internet “in locale” (split‑tunnel). La base è: creare un profilo “dispositivo singolo” sul FRITZ!Box, importarlo su PC/Android e poi rifinire routing, DNS e (se vuoi) togliere IPv6 dalla configurazione.
Prerequisiti chiave
Per funzionare dall’esterno, il FRITZ!Box deve avere o un IPv6 raggiungibile o un IPv4 pubblico assegnato dall’ISP (se sei sotto CGNAT senza IPv6 pubblico, la VPN in ingresso non si alza). Inoltre conviene registrare MyFRITZ! così il router è sempre raggiungibile a un indirizzo stabile (MyFRITZ! address). Ultimo punto spesso sottovalutato: le due reti ai capi della VPN devono essere diverse, perché se ti colleghi da una rete che usa la stessa sottorete del FRITZ!Box la comunicazione VPN può rompersi; molti FRITZ!Box nascono su 192.168.178.0/24.
FRITZ!Box: preparazione rete e MyFRITZ!
Attiva MyFRITZ!: FRITZ!Box UI → “Internet” → “MyFRITZ! Account”, inserisci l’email e conferma il link che ricevi.
(Consigliato) Cambia la LAN se sei ancora su 192.168.178.0/24: “Home Network” → “Network” → “Network Settings”, mostra le impostazioni LAN e imposta un IPv4 diverso (es. 192.168.10.1/255.255.255.0).
Nota importante per cavo: non usare indirizzi 192.168.100.x sulla LAN del FRITZ!Box (riservati in ambito DOCSIS).
FRITZ!Box: crea il profilo WireGuard (device singolo)
FRITZ!Box UI → “Internet” → “Permit Access” → scheda “VPN (WireGuard)” → “Add Connection”.
Scegli “Connect a single device”, assegna un nome (es. “Notebook‑FuoriCasa” / “Pixel‑FuoriCasa”) e completa.
Per PC scarica il file “Download Settings” in formato .conf. Per Android puoi usare direttamente il QR code nella schermata del FRITZ!Box (in alternativa import da file).
Tratta .conf e QR come credenziali: chi li ottiene può connettersi come quel dispositivo, quindi non inviarli in chiaro e non conservarli in posti “pubblici”.
PC Windows: import, split‑tunnel, DNS e “niente IPv6”
Installa WireGuard e importa il tunnel: apri WireGuard → “Add Tunnel” → seleziona il .conf scaricato dal FRITZ!Box → “Activate”. Tieni presente che la configurazione standard può instradare tutte le richieste web attraverso il FRITZ!Box (full‑tunnel); tu invece vuoi split‑tunnel, quindi va rifinito il routing.
Modifiche pratiche nel file .conf (prima di importarlo, oppure da WireGuard dopo l’import):
Split‑tunnel (accedi alla LAN di casa ma navighi su Internet dalla rete in cui ti trovi): in [Peer] imposta AllowedIPs solo sulle sottoreti di casa, ad esempio:
Text
AllowedIPs = 192.168.10.0/24, 192.168.20.0/24
(aggiungi qui eventuali altre VLAN/sottoreti locali).
DNS “giusto” per risorse locali: in [Interface] metti come DNS l’IP del FRITZ!Box nella LAN (es. DNS = 192.168.10.1) oppure un tuo DNS interno (Pi‑hole/AdGuard/Home Assistant). Se vuoi che anche la risoluzione dei siti pubblici resti “in locale” (non via casa), valuta di non impostare DNS nel tunnel e usare invece record/hosts per i nomi interni.
Eliminare IPv6 “per ora”: rimuovi dal .conf eventuali righe IPv6, tipicamente Address = ...:.../128 e qualunque AllowedIPs = ::/0 o reti ...::/ (lascia solo IPv4). Se vuoi essere drastico anche lato FRITZ!Box, nella scheda IPv6 puoi agire sull’opzione “IPv6 support enabled”, ma fallo solo se il tuo ISP non dipende da meccanismi IPv6/DS‑Lite: il FRITZ!Box supporta sia IPv4 sia IPv6 e alcune linee lavorano proprio in Dual‑Stack/DS‑Lite.
Android: QR code, split‑tunnel, test rapido
Installa l’app WireGuard, poi “+” → “Scan from QR code” e inquadra il QR mostrato dal FRITZ!Box; salva e attiva il tunnel con l’interruttore On/Off. Se non riesci a scansionare, puoi anche scaricare le impostazioni e importarle da file/archivio nell’app.
Controlli veloci (valido sia PC sia Android):
Da remoto apri una risorsa LAN (es. http://192.168.10.2, \\NAS\share, RDP su 192.168.10.x) per verificare che le rotte locali passino nel tunnel.
Se navighi “in locale” come desideri, il tuo IP pubblico sui siti di test deve risultare quello della rete in cui sei (4G/ufficio), non quello di casa; se invece esce quello di casa, hai ancora un full‑tunnel (AllowedIPs troppo ampio, tipo 0.0.0.0/0).
Se non risolvi nomi tipo nas.lan, il problema è quasi sempre DNS: o imposti un DNS raggiungibile via VPN (FRITZ!Box o DNS interno), o usi IP/hosts per i servizi locali.
