Wie richte ich Portweiterleitung ein?

Melden Sie sich auf der Admin-Seite Ihres Routers an (normalerweise 192.168.1.1 oder 192.168.0.1), finden Sie den Abschnitt Portweiterleitung (manchmal 'Virtueller Server' oder 'NAT') und fügen Sie eine Regel hinzu: den externen Port, das Protokoll (TCP und/oder UDP – WireGuard verwendet UDP) und die interne IP und den Port des Geräts, an das weitergeleitet werden soll. Geben Sie diesem Gerät zuerst eine statische/reservierte lokale IP, damit die Regel nicht bricht, wenn sich seine Adresse ändert. Speichern Sie und testen Sie dann von einem externen Netzwerk (mobile Daten), ob der Port erreichbar ist.

Ist Portweiterleitung sicher?

Es ist sicher, wenn Sie nur das weiterleiten, was Sie benötigen, und den Dienst dahinter sichern. Jeder weitergeleitete Port ist eine offene Tür zu einem bestimmten Dienst, sodass das Risiko besteht, etwas Schwaches zu exponieren – eine ungepatchte App, ein Standardpasswort, ein Admin-Panel. Leiten Sie das Minimum weiter, halten Sie diesen Dienst aktualisiert und authentifiziert, und bevorzugen Sie ein richtig konfiguriertes VPN (wie WireGuard) als Ihren einzigen weitergeleiteten Einstiegspunkt, anstatt viele Dienste direkt zu exponieren. Leiten Sie niemals einen Port zu einem Dienst weiter, den Sie nicht gehärtet haben.

Warum funktioniert meine Portweiterleitung nicht?

Häufige Ursachen: Die lokale IP des Geräts hat sich geändert (verwenden Sie eine statische/reservierte IP); das falsche Protokoll (WireGuard benötigt UDP, nicht TCP); eine Firewall auf dem Gerät selbst blockiert den Port; Testen von innerhalb Ihres eigenen Netzwerks (viele Router leiten nicht zurück – testen Sie mit mobilen Daten); oder, am häufigsten, Ihr ISP verwendet CGNAT, sodass Sie keine echte öffentliche IP haben und eingehende Weiterleitung unmöglich ist. Überprüfen Sie, ob Ihre öffentliche IP mit dem übereinstimmt, was Ihr Router zeigt; wenn nicht, sind Sie hinter CGNAT.

Was ist die Alternative zur Portweiterleitung, wenn ich CGNAT habe?

Wenn Ihr ISP Sie hinter CGNAT setzt, kann keine Router-Portweiterleitungsregel funktionieren, da Sie keine echte öffentliche IP haben. Optionen: Bitten Sie Ihren ISP um eine öffentliche/statische IP (manchmal verfügbar, oft kostenpflichtig); verwenden Sie ein Overlay-Netzwerk wie Tailscale oder NetBird, das Geräte ohne eingehende Ports verbindet; oder betreiben Sie Ihren Dienst auf einem günstigen VPS mit einer dauerhaften öffentlichen IP und verbinden Sie Ihr Zuhause damit. Der VPS-Weg ist der zuverlässigste für ein VPN, auf das Sie angewiesen sind.

Portweiterleitung erklärt: So erreichen Sie einen Server hinter Ihrem Router (2026)

Q: Was ist Portweiterleitung?

Portweiterleitung ist eine Router-Einstellung, die eingehenden Internetverkehr, der auf einem bestimmten Port ankommt, an ein ausgewähltes Gerät und einen Port innerhalb Ihres Heimnetzwerks sendet. Standardmäßig blockiert Ihr Router unerwünschte eingehende Verbindungen (über NAT), sodass nichts von außen einen Dienst erreichen kann, der zu Hause läuft. Eine Portweiterleitungsregel schafft eine gezielte Tür: Datenverkehr zu beispielsweise Port 51820 wird an die lokale IP Ihres WireGuard-Servers weitergeleitet. So machen Sie ein selbst gehostetes VPN, einen Spieleserver oder NAS aus dem Internet erreichbar.

Sie haben einen WireGuard-Server, einen Spieleserver oder ein NAS zu Hause eingerichtet – und von außen verbindet sich nichts. Das fehlende Element ist fast immer die Portweiterleitung: die Router-Einstellung, die eine gezielte Tür zu einem Dienst in Ihrem Netzwerk öffnet. Dieser Leitfaden erklärt, was Portweiterleitung ist, wie man sie einrichtet, welche Sicherheitsrisiken zu beachten sind und die CGNAT-Hürde, die sie stoppt – mit der Alternative, wenn dies der Fall ist.

Was ist Portweiterleitung?

Standardmäßig verwendet Ihr Router NAT, um eine öffentliche IP-Adresse auf alle Ihre Geräte zu verteilen, und er blockiert unerwünschte eingehende Verbindungen – sodass nichts im Internet einen Dienst erreichen kann, der zu Hause läuft. Das ist gut für die Sicherheit, bedeutet aber auch, dass Ihr selbst gehosteter Server unerreichbar ist.

Portweiterleitung schafft eine kontrollierte Ausnahme: eine Regel, die besagt: "Datenverkehr, der auf externem Port X ankommt, geht an die lokale IP und den Port dieses Geräts." Senden Sie den UDP-Port von WireGuard an Ihren Server 192.168.1.50, und plötzlich ist Ihr Tunnel von überall erreichbar.

Wie man es einrichtet

Geben Sie dem Gerät eine statische lokale IP (reservieren Sie sie im DHCP Ihres Routers), damit die Regel später nicht bricht.
Öffnen Sie die Admin-Seite Ihres Routers (oft 192.168.1.1), finden Sie Portweiterleitung (auch bekannt als "Virtueller Server" oder "NAT").
Fügen Sie eine Regel hinzu: externer Port, Protokoll (WireGuard = UDP) und die interne IP und der Port des Geräts.
Speichern und von außen testen – verwenden Sie mobile Daten, nicht Ihr eigenes WLAN (viele Router leiten intern nicht zurück).

Für den WireGuard-Server selbst, siehe Selbsthosting eines VPNs auf Contabo mit WireGuard, und kombinieren Sie die Portweiterleitung mit dynamischem DNS, damit eine sich ändernde Heim-IP den Zugriff nicht unterbricht.

TCP, UDP und die Verwendung eines anderen externen Ports

Zwei Details führen oft zu Verwirrung, nachdem die Regel korrekt aussieht:

Wählen Sie das richtige Protokoll. Weiterleiten von UDP für WireGuard, TCP für eine Website oder SSH, oder beides, wenn ein Dienst beides benötigt. Das Weiterleiten von TCP, wenn der Dienst UDP ist, ist einer der häufigsten Fehler, bei denen "die Regel da ist, aber nichts verbindet".
Der externe und der interne Port müssen nicht übereinstimmen. Sie können extern 41194 → intern 51820 weiterleiten, sodass die Außenwelt mit einem ungewöhnlichen Port spricht, während Ihr Server seinen normalen beibehält. Dies reduziert das Rauschen von Bots, die den Standardport scannen; setzen Sie einfach den Endpoint jedes Clients auf den externen Port. Es ist eine leichte Härtung, kein echter Schutz.

Ein kurzer Port-Referenz: WireGuard UDP 51820, OpenVPN UDP 1194, HTTPS TCP 443, SSH TCP 22. Vermeiden Sie es, 22 oder Admin-Ports direkt ins Internet weiterzuleiten, es sei denn, Sie haben sie gesichert.

Die Sicherheitsseite

Jeder weitergeleitete Port ist eine offene Tür zu einem Dienst – das Risiko besteht darin, etwas Schwaches zu exponieren:

Leiten Sie das Minimum weiter – idealerweise einen gut gesicherten Einstiegspunkt.
Halten Sie diesen Dienst aktualisiert und authentifiziert (keine Standardpasswörter, keine exponierten Admin-Panels).
Bevorzugen Sie ein richtig konfiguriertes VPN (WireGuard) als Ihren einzigen weitergeleiteten Port, um dann alles andere durch den Tunnel zu erreichen, anstatt viele Dienste direkt weiterzuleiten.

Leiten Sie niemals einen Port zu einem Dienst weiter, den Sie nicht gehärtet haben.

Ein Code-Editor – ein weitergeleiteter Port leitet externen Datenverkehr zu einem bestimmten Dienst, wie einem WireGuard-Server in Ihrem LAN.

UPnP und Port-Triggering: die automatischen Optionen

Manuelle Regeln sind nicht der einzige Weg, um einen Port zu öffnen:

UPnP ermöglicht es Apps, automatisch eine Portweiterleitung anzufordern (Spielkonsolen und Torrent-Clients verlassen sich darauf). Bequem, aber es bedeutet, dass jedes Gerät in Ihrem LAN Ports ohne Nachfrage öffnen kann – ein echtes Sicherheitsrisiko. Lassen Sie es für gelegentliches Spielen eingeschaltet, schalten Sie es aus und leiten Sie manuell weiter für alles, was Ihnen wichtig ist.
Port-Triggering öffnet einen eingehenden Port nur nachdem ein Gerät ausgehenden Datenverkehr auf einem Trigger-Port sendet, und schließt ihn dann wieder. Es ist dynamischer als eine statische Regel und nützlich für Apps mit wechselnden Ports, aber es eignet sich nicht für einen immer eingeschalteten Dienst wie ein VPN, das den Port dauerhaft geöffnet benötigt.

Für ein selbst gehostetes VPN ist eine einzelne manuelle UDP-Regel zu einem Server mit statischer IP die richtige Wahl – vorhersehbar und überprüfbar, im Gegensatz zu UPnP.

Die CGNAT-Hürde – und die Lösung

Der häufigste Grund, warum Portweiterleitung "nicht funktioniert", ist nicht eine falsch konfigurierte Regel – es ist CGNAT. Viele ISPs (insbesondere Mobilfunk und einige Glasfaser) setzen Sie hinter Carrier-Grade NAT, wo Sie eine öffentliche IP mit anderen Kunden teilen und keine eigene echte öffentliche IP haben. Keine Routerregel kann einen Port weiterleiten, den Sie nicht kontrollieren.

Überprüfen Sie: Wenn die von Ihrem Router gemeldete WAN-IP nicht mit dem übereinstimmt, was eine "Was ist meine IP"-Seite zeigt, sind Sie hinter CGNAT. Die Lösungen: Bitten Sie Ihren ISP um eine öffentliche IP, verwenden Sie ein Overlay-Netzwerk (Tailscale/NetBird), das keinen eingehenden Port benötigt, oder betreiben Sie Ihren Dienst auf einem günstigen VPS mit einer dauerhaften öffentlichen IP. Ein Contabo VPS für 4,99 € pro Monat bietet Ihnen eine echte öffentliche IP und einen sauberen WireGuard-Einstiegspunkt ohne Portweiterleitungs- oder CGNAT-Probleme – vergleichen Sie Hosts in unserem besten selbst gehosteten VPN-Leitfaden.

Das Fazit

Portweiterleitung öffnet eine gezielte Tür durch das NAT Ihres Routers, damit das Internet einen Dienst zu Hause erreichen kann – unerlässlich für einen selbst gehosteten WireGuard-Server und am besten kombiniert mit einer statischen lokalen IP und dynamischem DNS. Leiten Sie nur weiter, was Sie gesichert haben, bevorzugen Sie einen einzigen VPN-Einstiegspunkt, und wenn CGNAT Sie blockiert, ist ein günstiger VPS mit einer dauerhaften öffentlichen IP der saubere Weg, dies zu umgehen.

Redaktioneller Leitfaden basierend darauf, wie NAT, Portweiterleitung und CGNAT in Heimnetzwerken funktionieren. Die Ergebnisse hängen von Ihrem ISP und Router ab. Kommerzielle Links tragen das Attribut rel="sponsored nofollow"; eine Affiliate-Provision kann ohne zusätzliche Kosten für Sie anfallen.

★ Nürnberger DSGVO-Rechenzentrum · ✓ Dedizierte IPv4 inklusive · 200+ Mbps garantiert

Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→