Ab Fw 10.94 integriert Lancom VPN per Wireguard in die VPN-fähigen Router.
Damit ist VPN besonders zu Android-Geräten wieder deutlich einfacher möglich.

Lancom Router bieten (Stand 02/2026) keine Hardware-Beschleunigung, d.h. Wireguard ist bei Lancom langsamer als IPsec.

Unter Windows ist der Wireguard Client relativ alt und arbeitet nur mit Admin-Rechten.

Wireguard ist OpenSource, trotzdem zählt Lancom die Wireguard-Verbindungen in seinen kostenpflichtigen Verbindungen mit.

Für jede neue Verbindung ist ein neuer Port erforderlich.

Lancom arbeitet wie auch bei IPsec ohne Transfer-Netz, der Client bekommt eine statische IP aus dem Router-LAN.
Der Einsatz eines dedizierten Tunnelnetzes ist üblicher und stabiler.

LANconfig kann einen QR-Code für die Gegenseite erzeugen.

Lancom Router (Test: FW 10.94)

LANconfig 10.94 hat noch keinen Assistenten für Wireguard.
Für jede Verbindung muß ein separater Port verwendet werden!

• VPN -> Wireguard -> WG aktivieren, Cookie Challenge wenn möglich aktivieren (erhöht die Sicherheit)
• Verbindung erstellen
  • Local Private Key: Schlüssel erzeugen
  • Peer Private Key: nicht erforderlich, nur für die QR-Konfig
  • Preshared Key: Optional, bei Bedarf und je nach Gegenstelle erzeugen (R&S Firewall: leer lassen)
• Peer Konfig erzeugen: zeigt den eigenen Public Key (für Gegenseite), Fenster über "X" wieder schließen
  • Peer Public Key: Public Key der Gegenseite eintragen
• IP-Router: IPv4 Route zum Zielnetz hinzu fügen, WG-Router von oben  (Maskierung aus)
• es gibt kein Tunnelnetzwerk bei Lancom
  • Peer: Tunneladdress = Allowed IPs (Pflicht) - bei Lancom über Routing Tabelle
  • Instance: Tunneladdress = optionale Tunneladresse (Gegenseite)

Gegenseite (OPNsense, R&S Firewall)

• WG Instanz erstellen
  • IP-Adresse: freies Tunnelnetz (Bsp. 10.10.10.1) - muß nicht auf der Gegenseite hinterlegt werden
  • Konfiguration wie üblich (Public Key auf Gegenseite hinterlegen)
  • Erlaubte IP-Adressen: Netzwerk(e) der Gegenseite in CIDR-Schreibweise
• WG-Peer (ohne Generator!) erstellen
  • Public Key: Kopiere public key von Lancom Router
  • Pre-shared key: optional
  • Allowed IPs: Netzwerk(e) der Gegenseite in CIDR-Schreibweise  (keine Transfernetz-Tunneladresse)
  • Endpoint address: 10.1.102.252 (Public WAN IP)
  • Endpoint port: 51820 (o.a.)
  • Instances <von oben>
  • Keepalive interval: 25
• Firewall konfigurieren

• Lancom KB: Konfiguration Wireguard Client-to-Side Verbindung zwischen Lancom Router und Android Client
• Lancom KB: Konfiguration Wireguard Site-to-Site Verbindung zwischen Lancom Router und R&S Firewall