NetBird statt Port-Forwarding: Selfhosting-Dienste sicher betreiben für KMU in Kärnten
Port-Forwarding öffnet Ihre Firewall für Angreifer. NetBird schützt Server per WireGuard – kein offenes Port nötig. Jetzt sicher selfhosten in Kärnten.
Viele Kärntner Betriebe betreiben eigene Dienste – Nextcloud für Dokumente, Proxmox für virtuelle Server, Paperless für Belege. Der nächste Schritt liegt nahe: von unterwegs darauf zugreifen. Die Frage ist selten, ob man diesen Zugriff braucht, sondern wie man ihn sicher bekommt – ohne ein dauerhaftes Einfallstor in die eigene Infrastruktur zu öffnen.
Port-Forwarding war lange die naheliegende Antwort. Die Praxis zeigt jedoch: Es ist auch eine riskante.
Was Sie in diesem Artikel erfahren:
- Warum Port-Forwarding heute ein unnötiges Sicherheitsrisiko darstellt
- Wie NetBird das Verbindungsprinzip grundlegend umdreht
- Zwei konkrete Szenarien aus dem Projektalltag in Kärnten
- In drei Schritten zum eigenen, selbst gehosteten NetBird-Server
Port-Forwarding war gestern – das Problem dahinter
Port-Forwarding funktioniert simpel: Ein Port am Router wird geöffnet und auf einen internen Server weitergeleitet. Was praktisch klingt, schafft ein dauerhaftes Sicherheitsproblem.
Das Internet ist kein ruhiger Ort. Automatisierte Scanner durchsuchen sämtliche IP-Adressen rund um die Uhr nach offenen Ports – und finden sie innerhalb von Sekunden. Was folgt, sind Brute-Force-Angriffe, Exploit-Versuche und systematisches Zugangsdaten-Scanning. Dabei wird deutlich: Die Frage ist nicht, ob ein Angriff versucht wird, sondern wann.
Die größten Risiken im Überblick
- Permanente Angriffsfläche: Offene Ports sind dauerhaft exponiert – auch wenn gerade niemand zugreift
- IP-Sichtbarkeit: Ihre Heimadresse oder Firmen-IP ist für jeden öffentlich abrufbar
- CGNAT-Problem: Moderne Glasfaser- und Mobilfunkanschlüsse teilen sich oft eine IP-Adresse (DS-Lite) – Port-Forwarding ist dort technisch gar nicht möglich
- NAT-Loopback: Externe Domains funktionieren im eigenen WLAN häufig nicht korrekt
Für Unternehmen, die sensible Daten selbst hosten, ist das kein akzeptables Risikoprofil mehr.
Wie NetBird das Prinzip umdreht
NetBird ist eine Open-Source-Lösung, die auf dem modernen WireGuard-Protokoll (einem schnellen, modernen VPN-Standard) aufbaut. Der entscheidende Unterschied: Statt Ports zu öffnen, baut Ihr Server von innen nach außen eine verschlüsselte Verbindung zu einem zentralen Vermittlungsserver auf. Ihr Notebook oder Smartphone tut dasselbe.
Genau hier setzt das Prinzip an: Der Vermittlungsserver koordiniert nur den ersten Kontakt – danach fließt der Traffic direkt und verschlüsselt zwischen den Geräten, ohne Umweg. Kein offener Port. Keine sichtbare IP. Kein Angriffsziel.
Was NetBird konkret bringt
- Keine Portfreigabe im Router erforderlich
- Ihre WAN-IP bleibt von außen vollständig unsichtbar
- Funktioniert auch hinter CGNAT und DS-Lite (geteilte IP-Adressen bei Glasfaser und Mobilfunk)
- Direkte, verschlüsselte Peer-to-Peer-Verbindungen zwischen Geräten
- Kostenlos, kein Gerätelimit, SSO (Single Sign-On) inklusive
Klingt nach dem richtigen Ansatz für Ihr Unternehmen? Basic4web richtet NetBird für Kärntner Betriebe professionell ein – von der Planung bis zum laufenden Betrieb. Jetzt unverbindlich anfragen
Zwei Szenarien aus dem Projektalltag
Dienste für externe Nutzer bereitstellen
Ein Kärntner Betrieb betreibt Nextcloud lokal und will das Kundenportal öffentlich erreichbar machen – ohne den internen Server zu exponieren. Mit NetBird übernimmt ein kleiner VPS (Virtual Private Server – ein gemieteter Cloud-Server) die eingehenden HTTPS-Anfragen und leitet sie verschlüsselt über den NetBird-Tunnel an den lokalen Server weiter.
Das Ergebnis: Besucher sehen ausschließlich die IP des VPS. Der interne Server bleibt vollständig unsichtbar – und damit auch unangreifbar.
Sicheres Homeoffice-VPN für Mitarbeiter
Mitarbeiter verbinden sich mit dem NetBird-Client auf ihrem Notebook direkt ins Firmennetz – als wären sie vor Ort. Über die Access Policies im Web-Dashboard legen Sie fest, wer auf welches Subnetz oder welche IP zugreifen darf. Granulare Kontrolle, ohne komplexe Firewall-Konfiguration.
Anhand konkreter Projekterfahrungen zeigt sich: Das ist ein zentraler Baustein für ein sicheres Firmennetzwerk in Kärntner KMU – gerade für Betriebe ohne dedizierte IT-Abteilung.
In drei Schritten zum eigenen NetBird-Server
Für das Selfhosting brauchen Sie drei Dinge:
- Einen kleinen Linux-vServer (VPS) außerhalb Ihres Netzwerks – 1 vCPU, 2 GB RAM genügen
- Eine eigene Subdomain, z. B.
netbird.ihre-domain.at, die auf die vServer-IP zeigt - Docker & Docker Compose – auf dem vServer vorinstalliert oder schnell eingerichtet
Schritt 1: Docker auf dem vServer einrichten
Per SSH auf den vServer verbinden und Docker über das offizielle Installationsskript einrichten – in wenigen Minuten erledigt.
Schritt 2: NetBird per Quickstart-Skript starten
Die NetBird Self-Hosting Dokumentation stellt ein fertiges Quickstart-Skript bereit. Beim Start werden Domain und Reverse Proxy abgefragt.
Empfehlung: Wählen Sie Traefik als Reverse Proxy (ein Tool, das eingehende Anfragen an den richtigen Dienst weiterleitet). Er bezieht und erneuert SSL-Zertifikate über Let’s Encrypt vollautomatisch.
Schritt 3: Geräte verbinden
NetBird-Clients gibt es für Windows, macOS und Linux. Nach dem Download verbinden Sie Geräte über einen Setup-Key aus dem Web-Dashboard – in wenigen Minuten einsatzbereit, ohne technisches Vorwissen auf Nutzerseite.
Fazit: Was ist tragfähig, was bleibt Übergangslösung?
NetBird ist die richtige Wahl für alle, die eigene Dienste betreiben und von außen sicher darauf zugreifen müssen. Die selbst gehostete Version ist kostenlos, skaliert ohne Gerätelimit und schlägt Port-Forwarding in jedem Sicherheitsaspekt deutlich.
Wer auf Tailscale oder Cloudflare Tunnel ausweicht, wählt eine einfachere Einstiegshürde – leitet damit aber Firmendatenverkehr über externe Infrastrukturen. Für maximale Datensouveränität bleibt NetBird Self-Hosted die bessere Wahl.
Dieser Artikel richtet sich an IT-Verantwortliche, Geschäftsführer und technisch interessierte Anwender in Kärnten, die eigene Server oder Homelab-Dienste betreiben und eine sichere, professionelle Fernzugriffslösung suchen – ohne Kompromisse bei Kontrolle und Datenschutz.
Haben Sie Fragen zur Umsetzung oder möchten Sie NetBird professionell in Ihre Infrastruktur integrieren? Basic4web begleitet Sie von der Planung bis zum laufenden Betrieb – persönlich, vor Ort in Kärnten.
Häufige Fragen
Was ist NetBird genau?
NetBird ist ein Open-Source-Netzwerk-Overlay, das Geräte über WireGuard-Tunnel sicher verbindet – ohne offene Ports in Ihrer Firewall. Vergleichbar mit Tailscale, aber vollständig selbst hostbar und DSGVO-konform.
Warum ist Port-Forwarding gefährlich?
Jeder offene Port ist ein potenzielles Angriffsziel. Automatisierte Scannerdienste finden offene Ports innerhalb von Sekunden. NetBird eliminiert dieses Risiko vollständig, weil kein eingehender Traffic mehr nötig ist.
Ist NetBird eine Alternative zu einem klassischen VPN?
Ja – und in vielen Punkten mehr. NetBird ist einfacher zu konfigurieren als OpenVPN oder IPSec, bietet Peer-to-Peer-Verbindungen und funktioniert auch hinter CGNAT, wo klassische VPN-Lösungen versagen.
Was kostet NetBird für KMU in Kärnten?
Die selbst gehostete Version ist kostenlos. Die Cloud-Variante startet ebenfalls kostenlos für kleine Teams. Basic4web richtet NetBird für Kärntner Betriebe komplett ein – von der Planung bis zum laufenden Betrieb.
Thomas Kohlweiss
Ing. Dipl.-Ing. · Basic4web Kärnten
IT-Experte für KMU – Internet, IT-Sicherheit, KI & Smart Home. 15+ Jahre Erfahrung.