Hilfe & Dokumentation
Alles was du wissen musst um TunnelDesk einzurichten und zu nutzen.
Was ist TunnelDesk?
TunnelDesk ist ein Dienst der es dir ermöglicht, mehrere LTE-Router oder Heimnetzwerke zu einem privaten, verschlüsselten VPN-Netzwerk zusammenzuschließen — ohne eigenen Server, ohne Netzwerkkenntnisse, ohne offene Ports in deiner Firewall.
Typische Anwendungsfälle:
- Mehrere Baustellen mit LTE-Routern verbinden
- Heimnetzwerk und Büro sicher verbinden
- Geräte an verschiedenen Standorten in einem Netz
- Heimserver sicher von überall erreichbar machen
- Filialen oder Außenstellen verbinden
Kostenlos starten: Mit dem Free-Plan verbindest du bis zu
3 Router gratis — keine Kreditkarte, kein Zeitlimit.
Wie funktioniert TunnelDesk?
Im Hintergrund läuft WireGuard — das modernste und schnellste VPN-Protokoll das es gibt. TunnelDesk übernimmt die gesamte Verwaltung: Schlüssel generieren, Konfiguration erstellen, Routing einrichten. Du lädst nur eine fertige Config-Datei herunter und lädst sie auf deinen Router.
Die Architektur
Alle deine Router verbinden sich mit unserem Relay-Server in Deutschland:
# So sieht dein Netzwerk aus:
LTE Router A (Büro, 192.168.1.0/24)
│
│ WireGuard verschlüsselt
↓
TunnelDesk Relay (Frankfurt, Deutschland)
↑
│ WireGuard verschlüsselt
│
LTE Router B (Baustelle, 192.168.5.0/24)
# Ergebnis: Router A und B können sich direkt erreichen
# 192.168.1.x ↔ 192.168.5.x – sicher verschlüsselt
Was passiert technisch?
- Jeder Kunde bekommt ein isoliertes Netzwerk auf Kernel-Ebene (Network Namespace)
- Jeder Router bekommt eine interne VPN-IP (z.B.
10.1.0.2) - Der Relay-Server leitet Pakete weiter — kann sie aber nicht lesen (Ende-zu-Ende-Verschlüsselung)
- Deine echte IP-Adresse wird nie gespeichert
- Nur ein UDP-Port (51820) muss offen sein — beim Relay-Server, nicht bei dir
Kein Port-Forwarding nötig! Deine Router bauen die Verbindung
aktiv nach außen auf. Du musst in deiner Firewall oder beim Router nichts öffnen.
Schnellstart — in 5 Minuten verbunden
1
Konto erstellen
Auf tunneldesk.de/register registrieren.
E-Mail bestätigen — fertig. Kein Abo, keine Kreditkarte.
2
Netzwerk anlegen
Im Dashboard auf „+ Netzwerk erstellen" klicken,
einen Namen eingeben (z.B. „Baustellen-VPN") — fertig.
3
Router hinzufügen
Auf „Router hinzufügen" klicken, Namen eingeben,
optional dein lokales Netzwerk (z.B.
192.168.1.0/24) eintragen.
Eine fertige .conf-Datei wird generiert.
4
Config herunterladen
Auf „⬇ Config" klicken — du bekommst eine
tunneldesk-router.conf Datei.
5
Config auf Router laden
Die Datei in WireGuard auf deinem Router importieren.
Anleitungen für verschiedene Router-Typen findest du unten.
Nach wenigen Sekunden: verbunden ✓
OpenWrt einrichten
OpenWrt ab Version 21.02 hat WireGuard eingebaut.
1
WireGuard installieren (falls nicht vorhanden)
opkg update
opkg install wireguard-tools kmod-wireguard luci-proto-wireguard
reboot
2
Interface anlegen
LuCI → Network → Interfaces → Add new interface
Name:
Name:
wg0 · Protocol: WireGuard VPN
3
Config importieren
Unter „Load configuration…" die heruntergeladene
.conf-Datei hochladen. Alle Felder werden automatisch gefüllt.
4
Firewall einstellen
Network → Firewall → wg0 zur Zone „LAN" hinzufügen.
Dann:
service network restart
Tipp: Bei OpenWrt kann die Config auch per SSH direkt importiert werden:
# Config per SCP auf den Router kopieren:
scp tunneldesk-router.conf root@192.168.1.1:/etc/wireguard/wg0.conf
# Dann auf dem Router:
wg-quick up wg0
GL.iNet Router einrichten
GL.iNet Router (z.B. GL-AXT1800, GL-MT3000) haben WireGuard direkt in der Oberfläche.
1
VPN → WireGuard Client öffnen
Im GL.iNet Admin-Panel (192.168.8.1) → VPN → WireGuard Client
2
Configuration hinzufügen
Auf „Add" klicken → „Upload Config File"
→ die heruntergeladene
.conf-Datei auswählen.
3
Verbinden
Auf „Connect" klicken. Status wechselt zu „Connected".
GL.iNet Router sind besonders gut geeignet da sie WireGuard nativ unterstützen
und sehr stabile LTE-Verbindungen halten.
Teltonika (RUT-Serie) einrichten
Für RUT240, RUT360, RUT950, RUT955 und andere RUT-Router.
1
WebUI öffnen
Admin-Panel aufrufen → Services → VPN → WireGuard
2
Neue Instanz erstellen
„Add" → Name vergeben → Interface hinzufügen.
Private Key aus der
Private Key aus der
.conf-Datei eintragen.
IP Address = Address-Wert aus der Config.
3
Peer konfigurieren
Im Peer-Abschnitt: Public Key, Endpoint
(
wg.tunneldesk.de:51820) und Allowed IPs
aus der .conf-Datei eintragen.
Persistent Keepalive: 25
FRITZ!Box einrichten
Hinweis: FRITZ!Box unterstützt WireGuard ab FRITZ!OS 7.50.
Ältere Versionen unterstützen nur IPSec. Bitte prüfe deine Firmware-Version.
1
Heimnetz → Netzwerk → VPN (WireGuard)
In der FRITZ!Box-Oberfläche unter Heimnetz → Netzwerk → VPN (WireGuard) öffnen.
2
Verbindung hinzufügen
„Verbindung hinzufügen" → „Eine WireGuard-Konfigurationsdatei importieren"
→ die heruntergeladene
.conf-Datei hochladen.
3
Fertig
FRITZ!Box verbindet sich automatisch. Status: „Verbunden".
MikroTik einrichten
# WireGuard Interface erstellen
/interface wireguard add name=wg-tunneldesk \
private-key="DEIN_PRIVATE_KEY_AUS_CONFIG"
# IP-Adresse setzen (aus Config)
/ip address add address=10.1.0.2/24 \
interface=wg-tunneldesk
# Peer (TunnelDesk Relay) hinzufügen
/interface wireguard peers add \
interface=wg-tunneldesk \
public-key="SERVER_PUBLIC_KEY_AUS_CONFIG" \
endpoint-address=wg.tunneldesk.de \
endpoint-port=51820 \
allowed-address=10.1.0.0/24 \
persistent-keepalive=25s
Routing verstehen
Beim Hinzufügen eines Routers kannst du zwischen zwei Modi wählen:
Modus 1: Nur VPN-Traffic
Der Router leitet nur Traffic innerhalb deines VPN-Netzwerks weiter
(10.x.x.x-Adressen). Dein normaler Internet-Traffic geht
weiterhin direkt über dein LTE.
# AllowedIPs in der Config:
AllowedIPs = 10.1.0.0/24
# Nur VPN-interne Adressen gehen durch den Tunnel
Modus 2: Lokales LAN teilen
Du gibst dein lokales Netzwerk (z.B. 192.168.1.0/24) an.
Dann können andere Router in deinem VPN-Netzwerk direkt auf deine
lokalen Geräte zugreifen — NAS, Drucker, IP-Kameras etc.
Modus 3: Gesamten Traffic routen
Aktiviere „Gesamten Traffic über VPN routen" — dann läuft alles über den Tunnel. Nützlich wenn du eine zentrale Internet-Verbindung nutzen möchtest.
Wichtig: Bei Modus 3 läuft dein gesamter Internet-Traffic
über unseren Server. Das kann die Geschwindigkeit reduzieren.
Empfehlung: Nur wenn du es wirklich brauchst.
Dienste freigeben (Reverse Proxy)
Mit TunnelDesk kannst du Dienste aus deinem Heimnetz sicher über das Internet erreichbar machen — ohne Port-Forwarding, mit automatischem HTTPS.
1
Zu „Dienste freigeben" gehen
Im Dashboard oben auf „🔗 Dienste" klicken.
2
Dienst hinzufügen
Subdomain wählen (z.B.
mein-nas),
IP des Geräts im Heimnetz eingeben (z.B. 192.168.1.100),
Port eingeben (z.B. 5000).
3
Fertig
Dein Dienst ist erreichbar unter
https://mein-nas.tunneldesk.de — mit gültigem HTTPS-Zertifikat.
Plan-Limits
| Plan | Freizugebende Dienste | Eigene Domain |
|---|---|---|
| Free | 1 Dienst | ✗ |
| Starter | 5 Dienste | ✓ (CNAME) |
| Business | Unbegrenzt | ✓ (+ SSL) |
Pläne & Limits
| Feature | Free | Starter (4,90€) | Business (14,90€) |
|---|---|---|---|
| Router | 3 | 10 | Unbegrenzt |
| VPN-Netzwerke | 1 | 3 | 10 |
| Traffic | Unbegrenzt | Unbegrenzt | Unbegrenzt |
| Proxy-Dienste | 1 | 5 | Unbegrenzt |
| Eigene Domain | ✗ | ✓ | ✓ |
| Uptime-SLA | – | – | 99,9% |
| Support | Community | Priorität |
FAQ – Allgemein
Brauche ich technisches Wissen?
▾
Nein. Du lädst eine Datei herunter und lädst sie auf deinen Router.
Das ist alles. Die gesamte Konfiguration passiert automatisch im Hintergrund.
Für die Router-spezifische Einrichtung findest du oben Schritt-für-Schritt-Anleitungen.
Muss ich etwas an meiner Firewall öffnen?
▾
Nein! Deine Router bauen die Verbindung aktiv nach außen auf.
Der einzige offene Port ist auf unserem Server (UDP 51820) — nicht bei dir.
Du musst in deinem Router oder bei deinem Internetanbieter nichts konfigurieren.
Was passiert wenn mein LTE-Router die IP wechselt?
▾
Nichts — das ist der große Vorteil. WireGuard mit
PersistentKeepalive = 25 hält die Verbindung aktiv und
verbindet sich automatisch neu wenn sich die IP ändert.
Dynamische IPs sind kein Problem.
Wie schnell ist die Verbindung?
▾
WireGuard ist das schnellste VPN-Protokoll — deutlich schneller als OpenVPN oder IPSec.
Die Geschwindigkeit hängt hauptsächlich von deiner LTE-Verbindung ab.
Der Relay-Server in Frankfurt hat eine 1-Gbit-Anbindung.
Typische Latenz: 5–30ms (je nach LTE-Anbieter).
Kann ich TunnelDesk kündigen?
▾
Ja, jederzeit. Abonnements laufen monatlich und können zum Ende des
Abrechnungsmonats gekündigt werden — direkt im Dashboard unter
Einstellungen → Abo verwalten. Keine Mindestlaufzeit.
FAQ – Technik
Welche Router werden unterstützt?
▾
Jeder Router der WireGuard unterstützt. Das sind unter anderem:
| Router | WireGuard | Empfehlung |
|---|---|---|
| GL.iNet (alle) | ✓ nativ | ⭐ Beste Wahl |
| OpenWrt ≥ 21.02 | ✓ nativ | ⭐ Sehr gut |
| Teltonika RUT-Serie | ✓ nativ | ⭐ Sehr gut |
| FRITZ!Box (FRITZ!OS ≥ 7.50) | ✓ nativ | ✓ Gut |
| MikroTik (RouterOS ≥ 7) | ✓ nativ | ✓ Gut |
| Asus (Merlin Firmware) | ✓ mit Firmware | ✓ OK |
| Synology NAS | ✓ nativ | ✓ OK |
| Raspberry Pi | ✓ nativ | ✓ OK |
| Standard-Router (Vodafone etc.) | ✗ meist nicht | – |
Können sich alle Router gegenseitig sehen?
▾
Ja — alle Router in einem Netzwerk können sich gegenseitig über ihre
VPN-IPs (
10.x.x.x) erreichen. Wenn du zusätzlich
lokale Netzwerke (192.168.x.x) freigibst, können auch
Geräte hinter den Routern erreichbar sein.
Verschiedene Netzwerke (verschiedene Kunden) sind vollständig isoliert.
Was ist der Unterschied zwischen VPN-IP und lokaler IP?
▾
VPN-IP (z.B.
Lokale IP (z.B.
10.1.0.2): Die Adresse deines Routers
im TunnelDesk-Netzwerk. Über diese können andere Router in deinem Netz deinen Router erreichen.Lokale IP (z.B.
192.168.1.100): Die Adresse eines
Geräts in deinem Heimnetz hinter dem Router. Um dieses zu erreichen, musst du
das lokale Netzwerk (192.168.1.0/24) beim Router-Hinzufügen angeben.
Wie lade ich die Config auf meinen Router?
▾
Im Dashboard auf „⬇ Config" klicken — du bekommst eine
.conf-Datei. Diese Datei importierst du in der WireGuard-Oberfläche
deines Routers. Anleitungen für die gängigsten Router findest du oben in dieser Dokumentation.
FAQ – Sicherheit & Datenschutz
Kann TunnelDesk meinen Traffic mitlesen?
▾
Nein. WireGuard verschlüsselt alle Verbindungen Ende-zu-Ende
mit ChaCha20-Poly1305. Nur die kommunizierenden Parteien (deine Router)
besitzen die privaten Schlüssel. Der Relay-Server leitet nur verschlüsselte
Pakete weiter — er kann den Inhalt nicht entschlüsseln.
Werden meine IP-Adressen gespeichert?
▾
Nein. Eingehende IP-Adressen werden maximal 3 Minuten im RAM-Cache
gehalten (für das Routing) und nie persistent gespeichert oder geloggt.
Damit erfüllen wir die Anforderungen des TTDSG (§ 3) und der DSGVO (Art. 5).
Wo stehen die Server?
▾
Alle Server stehen in Deutschland (Frankfurt/Nürnberg).
Daten werden ausschließlich in Deutschland verarbeitet und gespeichert.
Es findet keine Übertragung in Drittländer statt.
Sind meine WireGuard-Keys sicher?
▾
Die privaten Keys deiner Router werden in unserer Datenbank gespeichert
damit du die Config jederzeit erneut herunterladen kannst. Du kannst
jederzeit einen Router löschen und neu hinzufügen — dabei werden neue
Keys generiert. Für maximale Sicherheit: Schlüssel selbst generieren
und nur den Public Key bei uns hinterlegen (kommt mit Business-Plan).
FAQ – Probleme lösen
Router zeigt „Offline" obwohl er läuft
▾
Das Dashboard zeigt „Offline" wenn der letzte WireGuard-Handshake
länger als 3 Minuten her ist. Mögliche Ursachen:
- Config noch nicht auf dem Router importiert
- WireGuard auf dem Router nicht gestartet
- Falscher Port oder Endpoint in der Config
- Firewall blockiert UDP 51820 ausgehend
ping 10.1.0.1 aus dem Router-Terminal.
Wenn er antwortet: Verbindung steht.
Router B kann Router A nicht erreichen
▾
Prüfe folgendes:
- Beide Router müssen im Dashboard „Online" zeigen
- Ping auf die VPN-IP testen:
ping 10.1.0.2 - Wenn lokale IPs (192.168.x.x) nicht erreichbar: lokales Netzwerk beim Router angegeben?
- Firewall auf dem Zielgerät prüfen
Ich habe mein Passwort vergessen
▾
Auf der Anmeldeseite auf „Passwort vergessen?" klicken.
Du bekommst einen Reset-Link per E-Mail (gültig 1 Stunde).
Falls keine E-Mail ankommt: Spam-Ordner prüfen.
Ich brauche weitere Hilfe
▾
Schreib uns: support@tunneldesk.de
Bitte beschreibe dein Problem möglichst genau: Router-Modell, Fehlermeldung, was hast du bereits versucht. Wir antworten in der Regel innerhalb von 24 Stunden.
Bitte beschreibe dein Problem möglichst genau: Router-Modell, Fehlermeldung, was hast du bereits versucht. Wir antworten in der Regel innerhalb von 24 Stunden.