NetBird statt Port-Forwarding: Selfhosting-Dienste sicher betreiben für KMU in Kärnten
Port-Forwarding öffnet Ihre Firewall für Angreifer. NetBird schützt Server per WireGuard – kein offenes Port nötig. Jetzt sicher selfhosten in Kärnten.
Du betreibst Nextcloud, Proxmox oder Paperless-ngx selbst – und willst von unterwegs darauf zugreifen. Die naheliegende Lösung war lange Zeit Port-Forwarding. Das Problem: Du reißt damit ein Loch in deine Firewall, das Angreifer rund um die Uhr automatisiert absuchen.
Mit NetBird gibt es einen besseren Weg – und der macht Port-Forwarding komplett überflüssig.
Was du in diesem Artikel erfährst:
- Warum Port-Forwarding ein Sicherheitsrisiko ist
- Wie NetBird das Problem grundlegend löst
- Was du für den eigenen NetBird-Server brauchst
- Zwei Praxis-Szenarien für KMU und Homelab
Was ist NetBird – und warum ist es anders?
NetBird ist eine Open-Source-Lösung, die auf dem modernen WireGuard-Protokoll aufbaut. Anders als klassische VPNs oder Port-Weiterleitungen dreht es das Verbindungsprinzip komplett um: nicht eingehend, sondern ausgehend.
Was NetBird konkret bringt
- Kein offenes Port im lokalen Router
- Deine WAN-IP bleibt von außen unsichtbar
- Funktioniert sogar ohne öffentliche IPv4 (DS-Lite / CGNAT – die Shared-IP-Technik vieler Glasfaser- und Mobilfunkanschlüsse)
- Direkte, verschlüsselte Peer-to-Peer-Verbindungen (direkt zwischen Geräten, ohne Umweg über einen Server)
- Kostenlos, kein Gerätelimit, SSO (Single Sign-On) inklusive
Warum Port-Forwarding ein Problem ist
Port-Forwarding war jahrelang Standard. Heute ist es ein unnötiges Risiko – besonders für Unternehmen, die sensible Daten selbst hosten.
Die größten Risiken im Überblick
- Angriffsfläche: Offene Ports werden von Bots automatisiert gescannt und angegriffen
- NAT-Loopback-Probleme: Externe Domains laden oft nicht im eigenen WLAN
- CGNAT: Bei modernen Glasfaser- oder Mobilfunkanschlüssen gibt es oft gar keine eigene öffentliche IPv4-Adresse mehr – Port-Forwarding funktioniert dann schlicht nicht
- Sichtbarkeit: Deine Heimadresse oder Firmen-IP ist für jeden sichtbar
NetBird löst all das – ohne Kompromisse bei der Erreichbarkeit.
Klingt interessant? Basic4web setzt NetBird für Kärntner KMU auf – von der Planung bis zum laufenden Betrieb. Jetzt unverbindlich anfragen
Wie NetBird funktioniert
Von innen nach außen verbinden
Statt Ports zu öffnen, baut dein lokaler Server von innen nach außen einen verschlüsselten Tunnel zu einem zentralen Vermittlungsserver auf. Dein Notebook oder Smartphone tut von unterwegs genau dasselbe.
Direktverbindung – kein Umweg
Der Vermittlungsserver vermittelt nur den ersten Kontakt – danach fließt der Traffic direkt und verschlüsselt zwischen den Geräten. Der Router bleibt dabei komplett geschlossen.
Das Ergebnis: deine IP-Adresse bleibt unsichtbar. Selbst ohne öffentliche IPv4 funktioniert alles reibungslos.
In 3 Schritten zum eigenen NetBird-Server
Für das Selfhosting brauchst du:
- Einen kleinen Linux-vServer (VPS – Virtual Private Server) außerhalb deines Netzwerks – 1 vCPU, 2 GB RAM genügen
- Eine eigene Subdomain, z. B.
netbird.deine-domain.at, die auf die vServer-IP zeigt - Docker & Docker Compose – vorinstalliert auf dem vServer
Schritt 1: Docker auf dem vServer installieren
Per SSH auf den vServer verbinden und Docker über den offiziellen Installations-Script einrichten.
Schritt 2: NetBird mit dem Quickstart-Skript installieren
Die NetBird Self-Hosting Dokumentation bietet ein fertiges Quickstart-Skript. Beim Start wirst du nach der Domain und dem Reverse Proxy gefragt.
Tipp: Wähle Traefik als Reverse Proxy (ein Tool, das eingehende Anfragen an den richtigen Dienst weiterleitet) – er holt und erneuert SSL-Zertifikate über Let’s Encrypt vollautomatisch.
Schritt 3: Clients verbinden
NetBird-Clients gibt es für Windows, Mac und Linux. Nach dem Download verbindest du Geräte über einen Setup-Key aus dem Web-Dashboard.
Zwei Praxis-Szenarien
Dienste für externe Nutzer bereitstellen
Du willst Nextcloud oder ein Kundenportal öffentlich erreichbar machen – aber ohne deinen lokalen Server zu exponieren?
Der vServer nimmt HTTPS-Anfragen entgegen und leitet sie über den NetBird-Tunnel weiter. Besucher sehen nur den vServer – dein lokaler Server bleibt unsichtbar.
Sicheres Homeoffice-VPN für Mitarbeiter
Mit dem NetBird-Client auf dem Notebook verbinden sich Mitarbeiter direkt ins Firmennetz – als wären sie vor Ort. Über die Access Policies im Dashboard legst du fest, wer auf welche IP oder welches Subnetz zugreifen darf.
Das ist ein zentraler Baustein für ein sicheres Firmennetzwerk in Kärntner KMU.
Fazit: Lohnt sich der Umstieg?
Klares Ja – sofort wechseln
NetBird ist kostenlos, skaliert ohne Gerätelimit und ist deutlich sicherer als jede Portfreigabe. Der Einrichtungsaufwand ist überschaubar, der Sicherheitsgewinn erheblich.
Was du vorher beachten solltest
Der vServer braucht regelmäßige Updates und eine Basis-Härtung. Wer das scheut, kann auf Tailscale oder Cloudflare Tunnel ausweichen – leitet damit aber Firmendatenverkehr über externe Infrastrukturen.
Für maximale Datensouveränität ist NetBird Self-Hosted die beste Wahl.
Hast du Fragen zur Umsetzung oder möchtest du NetBird professionell in deine Infrastruktur integrieren? Basic4web begleitet dich von der Planung bis zum laufenden Betrieb – persönlich, vor Ort in Kärnten.
Thomas Kohlweiss
Ing. Dipl.-Ing. · Basic4web Kärnten
IT-Experte für KMU – Internet, IT-Sicherheit, KI & Smart Home. 15+ Jahre Erfahrung.