Ist Portweiterleitung gefährlich?

Nicht von Natur aus, aber es ist der riskanteste Knopf in einem Heimrouter. Der verfügbar gemachte Dienst muss gepatcht und authentifiziert werden. Das sichere Muster lautet: Leiten Sie einen einzelnen Port für ein VPN (WireGuard oder OpenVPN) weiter und greifen Sie auf alles andere innerhalb des Tunnels zu, anstatt jeden Dienst offenzulegen.

Warum funktioniert die Portweiterleitung bei mir nicht?

Die häufigsten Gründe: Ihr ISP verwendet CGNAT (keine öffentliche IP zum Weiterleiten), Ihr Router verfügt über IPv6, Sie leiten aber nur IPv4 weiter, der Dienst, an den Sie weiterleiten, verfügt über eine eigene Firewall, die den Port blockiert, oder die Weiterleitungsregel benennt eine feste interne IP, die inzwischen über DHCP geändert wurde. Überprüfen Sie jedes.

Ist es sicher, UPnP eingeschaltet zu lassen?

In einem Netzwerk, das nur aus Ihren vertrauenswürdigen Geräten besteht, im Großen und Ganzen ja. Nein, in jedem Netzwerk mit Smart-Home-Geräten oder nicht vertrauenswürdigen Laptops – UPnP gibt jedem Gerät im LAN die Möglichkeit, beliebige Löcher in Ihre Firewall zu schlagen. Die meisten Heimrouter werden damit ausgeliefert; Erwägen Sie, es auszuschalten.

Kann ein VPN die Portweiterleitung ersetzen?

Für eingehenden Zugriff auf Ihr eigenes Netzwerk: Ja – betreiben Sie einen VPN-Server auf Ihrem Router und stellen Sie von außen eine Verbindung zu ihm her. Für eingehenden Datenverkehr von strangers (das einen öffentlichen Spieleserver oder eine Website betreibt): Nein – die Clients eines VPN müssen Ihre eigenen sein.

Benötige ich eine Portweiterleitung, um ein VPN zu nutzen?

Um out von einem VPN-Client aus zu verbinden, nein. An host einen VPN-Server zu Hause, ja – der eingehende VPN-Port muss weitergeleitet werden. Viele VPN-Anbieter bieten auch eine optionale Portweiterleitung für Anwendungsfälle wie BitTorrent-Seeding innerhalb ihres Netzwerks an.

Portweiterleitung erklärt: Lassen Sie das Internet mit einem Gerät in Ihrem Netzwerk kommunizieren

Portweiterleitung ist das, was Sie einrichten, wenn Sie einen Spieleserver hosten, eine persönliche Website zu Hause betreiben oder von unterwegs aus auf Ihren Desktop zugreifen möchten. Es ist auch eines der sicherheitskritischsten Dinge, die man einem Heimnetzwerk antun kann – wenn man etwas falsch macht, öffnet sich die Tür zum öffentlichen Internet. Es lohnt sich zu verstehen, bevor Sie den Schalter umlegen.

Der vollständige Artikeltext ist unten in englischer Sprache aufgeführt.

Portweiterleitung ist eine Routerkonfiguration, die besagt: „Wenn ein Paket an meiner öffentlichen IP an diesem Port ankommt, senden Sie es an dieses interne Gerät an diesem internen Port.“ Dabei handelt es sich um die explizite Überschreibung des NAT-Standardverhaltens „Kein unerwünschter eingehender Datenverkehr“. Ohne sie kann der Rest des Internets nichts in Ihrem Heimnetzwerk erreichen. Damit werden genau die von Ihnen gewählten Dienste erreichbar.

Die Mechanik

YIhr Router verfügt über eine Tabelle mit Weiterleitungsregeln. Jede Regel benennt: unterscheiden sich)

A Protokoll (TCP, UDP oder beides)

Wenn ein passendes Paket auf der WAN-Schnittstelle eintrifft, schreibt der Router das Ziel neu und sendet es nach innen. Antworten gehen über normales NAT zurück.

A funktioniertes Beispiel

Sie möchten einen Minecraft-Server hosten. Der Server läuft auf Ihrem Gaming-PC unter 192.168.1.50 und lauscht auf TCP/UDP-Port 25565. Sie konfigurieren eine Port-Weiterleitungsregel: öffentliches TCP+UDP 25565 → 192.168.1.50:25565. Jetzt erreicht jeder, der sich mit your.public.ip:25565 verbindet, den Server.

Damit dies sinnvoll ist, benötigen Sie auch eine stabile Adresse. Öffentliche IPs von Consumer-ISPs ändern sich gelegentlich. Verwenden Sie daher entweder einen dynamischen DNS-Dienst (DuckDNS, No-IP, Cloudflare DNS API), um einen Namen auf Ihre sich ändernde IP zu verweisen, oder fordern Sie eine statische IP von Ihrem ISP an, falls dieser eine solche anbietet automatisch:

UPnP IGD (Universal Plug and Play, Internet Gateway Device Profile) ist das ältere und umfassender unterstützte. Die Anwendung sendet eine XML-over-HTTP-Anfrage an eine lokale Multicast-Adresse, der Router antwortet, die App fragt nach der Öffnung eines Ports, der Router öffnet ihn consoles.

Beide Protokolle sind praktisch und eine Quelle ständiger Sicherheitsvorfälle. UPnP verfügt über keine Authentifizierung: Jedes Gerät im LAN – einschließlich einer kompromittierten IoT-Glühbirne – kann beliebige Lücken in der Firewall öffnen. In vielen Sicherheitshandbüchern wird empfohlen, UPnP zu deaktivieren und Ports manuell weiterzuleiten. Der bereitgestellte Dienst muss sein:

Patched. Offenes SSH im Internet ist in Ordnung; Open SSH auf einem 5 Jahre alten ungepatchten Router ist eine Botnet-Rekrutierungsanzeige.
Authenticated. Der Dienst muss ein Passwort erfordern, idealerweise einen starken Schlüssel. Die Standardanmeldeinformationen sind katastrophal.
Monitored. Selbst gute Dienste sehen ständig Scan-Verkehr. Mithilfe von Protokollen können Sie feststellen, wann sich normaler Datenverkehr in etwas anderes verwandelt.

Sie sollten jeden weitergeleiteten Port als permanentes Ziel automatisierter Angriffe behandeln. Der Standard-Port für den von Ihnen bereitgestellten Dienst erkennt den Scan-Verkehr innerhalb von Minuten nach der Inbetriebnahme.

XPLZ76 Es gibt keine Möglichkeit, an weiterzuleiten. Die Portweiterleitung funktioniert bei CGNAT-Verbindungen einfach nicht.

XPLZ84 VPN

Für den Fernzugriff auf Ihr eigenes Netzwerk ist ein VPN fast immer die bessere Wahl als die Portweiterleitung. Führen Sie WireGuard auf dem Router (oder auf einem dedizierten Gerät) aus, stellen Sie von außen eine Verbindung zu Ihrem Heimnetzwerk her und greifen Sie auf interne Dienste zu, als wären Sie zu Hause – ohne diese direkt dem Internet auszusetzen. Der einzelne Port, den Sie weiterleiten (der VPN-Port), ist ein gut geprüfter Dienst und nicht mehrere beliebige.

Häufig gestellte Fragen

Ist Portweiterleitung gefährlich?: Nicht von Natur aus, aber es ist der riskanteste Knopf in einem Heimrouter. Der verfügbar gemachte Dienst muss gepatcht und authentifiziert werden. Das sichere Muster lautet: Leiten Sie einen einzelnen Port für ein VPN (WireGuard oder OpenVPN) weiter und greifen Sie auf alles andere innerhalb des Tunnels zu, anstatt jeden Dienst offenzulegen.
Warum funktioniert die Portweiterleitung bei mir nicht?: Die häufigsten Gründe: Ihr ISP verwendet CGNAT (keine öffentliche IP zum Weiterleiten), Ihr Router verfügt über IPv6, Sie leiten aber nur IPv4 weiter, der Dienst, an den Sie weiterleiten, verfügt über eine eigene Firewall, die den Port blockiert, oder die Weiterleitungsregel benennt eine feste interne IP, die inzwischen über DHCP geändert wurde. Überprüfen Sie jedes.
Ist es sicher, UPnP eingeschaltet zu lassen?: In einem Netzwerk, das nur aus Ihren vertrauenswürdigen Geräten besteht, im Großen und Ganzen ja. Nein, in jedem Netzwerk mit Smart-Home-Geräten oder nicht vertrauenswürdigen Laptops – UPnP gibt jedem Gerät im LAN die Möglichkeit, beliebige Löcher in Ihre Firewall zu schlagen. Die meisten Heimrouter werden damit ausgeliefert; Erwägen Sie, es auszuschalten.
Kann ein VPN die Portweiterleitung ersetzen?: Für eingehenden Zugriff auf Ihr eigenes Netzwerk: Ja – betreiben Sie einen VPN-Server auf Ihrem Router und stellen Sie von außen eine Verbindung zu ihm her. Für eingehenden Datenverkehr von strangers (das einen öffentlichen Spieleserver oder eine Website betreibt): Nein – die Clients eines VPN müssen Ihre eigenen sein.
Benötige ich eine Portweiterleitung, um ein VPN zu nutzen?: Um out von einem VPN-Client aus zu verbinden, nein. An host einen VPN-Server zu Hause, ja – der eingehende VPN-Port muss weitergeleitet werden. Viele VPN-Anbieter bieten auch eine optionale Portweiterleitung für Anwendungsfälle wie BitTorrent-Seeding innerhalb ihres Netzwerks an.