Port forwarding explained via the visual metaphor of sea ports

Portweiterleitung – hast du vielleicht schon mal gehört, aber wahrscheinlich ist es dir noch kein Begriff. Nun, wir sind hier, um etwas Licht ins Dunkel zu bringen. Wir erläutern dir im Einzelnen den Zusammenhang zwischen VPN (Virtual Private Network) und Portweiterleitung. Funktioniert das Ganze mit VPNs überhaupt? Ist Portweiterleitung sicher? All das kannst du diesem Artikel entnehmen!

Kurzum: Was bedeutet Portweiterleitung und funktioniert es auch mit VPN?

Portweiterleitung gibt deinem Router den Befehl, bestimmten Daten die Umgehung einiger Kontrollsysteme zu ermöglichen. Damit erhalten externe Dienste leichteren Zugriff auf dein Gerät. Es sei jedoch gesagt, dass dies mit einigen Sicherheitsbedenken einhergeht und zahlreiche VPNs daher keine Portweiterleitung ermöglichen.

Inhaltsverzeichnis

    Funktionsweise der Portweiterleitung

    Im Rahmen der Portweiterleitung wird dem Network Address Translation (NAT)-System des Routers befohlen, Verbindungen zu bestimmten Ports zu ermöglichen. Stell dir das NAT als eine Art Paketdienst vor, der vor der Weiterleitung das Paket öffnen muss. Durch die Portweiterleitung wird dem Dienst mitgeteilt, wohin das Paket gehen soll, ohne es vorher öffnen zu müssen. Lies weiter, um dir die technische Seite etwas näher erläutern zu lassen!

    Information transmitted from the World Wide Web to the router and then to a phone and laptop

    Was (und warum) sind Ports?

    Um im technischen Jargon zu bleiben, Ports sind Adressen, die einem Gerät Diensten und Apps zuweisen, die Input von außen benötigen (meist das Internet). Port-Nummern reichen aus mathematischen Gründen von 0 bis 65.535. Die ersten 1.024 sind historisch den gängigsten Diensten zugeordnet. 

    Beispielsweise ist POP3 ein Protokoll, welches ein E-Mail-Client zum Abrufen von E-Mails vom Server verwendet und auf Port 110 zurückgreift. 

    Sobald die Zeit zum Senden und Empfangen von Internetdaten gekommen ist, wird die Port-Nummer der IP (Internet Protocol)-Adresse des Geräts hinzugefügt (die mit der Heimatadresse des Geräts vergleichbar ist – bloß im Internet), wodurch den verschiedenen beteiligten Prozessen signalisiert wird, wohin welches Datenpaket gesendet werden soll. 

    Würde deine IP-Adresse z. B. 321.45.678.90 lauten und du würdest einen POP3-E-Mail-Client verwenden, würden die an den E-Mail-Client adressierten Daten an 321.45.678.90:110 gesendet werden. 

    Dann kommt jedoch NAT ins Spiel.

    Wozu dient NAT?

    Die Network Address Translation (NAT / Netzwerkadressübersetzung) ist auf den Mangel an online verfügbaren IP-Adressen zurückzuführen. Lediglich die IP-Adresse deines Routers ist eindeutig – sie wird als „öffentliche IP“ bezeichnet, da sie von Online-Diensten identifiziert werden kann. Die verbundenen Geräte – Smartphones, Laptops, smarte Waschmaschinen – erhalten ausschließlich zur Kommunikation mit dem Router nicht-eindeutige IP-Adressen, die aufgrund ihrer Unsichtbarkeit im Netz als „private IPs“ bezeichnet werden.  

    NET sammelt Datenpakete von verbundenen Geräten, notiert sich deren Adressen, weist ihnen eine eigene eindeutige Adresse zu und leitet sie online weiter. Jedem, der nur mit dem Router interagiert, wird lediglich dessen IP-Adresse angezeigt, während IP-Adressen von mit dem Router verbundenen Geräten weiterhin sichtbar bleiben. Bei Verbindung zu solchen Geräten außerhalb eines Heimnetzwerks kann dies zu Problemen führen.

    Was hat dies alles mit Portweiterleitung zu tun?

    Die Portweiterleitung weist die NAT an, externe Verbindungen für eine bestimmte Kombination aus IP-Adresse und Port nicht nur zu erwarten, sondern auch zuzulassen. Durch Einrichtung von NAT ermöglicht es eine einfache Verbindung zu anderen mit dem Router verbundenen Geräten. Dein Heimnetzwerk wird also erweitert, um andere tolle Gadgets einzubeziehen.

    Verbindung mit deinem Internet-of-Things-Kocher gefällig, während du dich im Urlaub befindest? Benötigst du während der Arbeit Zugriff auf deinen Heim-Computer? Möchtest du die Baby-Cam aus der Ferne aktivieren? All dies wird mithilfe der Portweiterleitung möglich gemacht. 

    Ist Portweiterleitung auch mit einem VPN möglich?

    Ja, das ist. Obwohl Portweiterleitung für die meisten VPN-Nutzer nicht nötig sein mag, gibt es doch gute Gründe, die dafür sprechen.

    Zugriff auf das Heimnetzwerk

    Bei Einrichtung eines VPN in den eigenen vier Wänden möchtest du evtl. In der Lage sein, diese auch aus der Ferne zu steuern. In solchem Fall benötigst du ein VPN, das diese Ports weiterleitet. 

    Sicherere Server und Heimnetzwerke

    Die VPN-Portweiterleitung ist der Schlüssel zur Realisierung sicherer Server und Heimnetzwerke, dies trifft jedoch lediglich auf die erfahrensten Nutzer zu.  

    Aufgrund dessen kommt es wohl nicht überraschend, warum die meisten Nutzer getrost auf VPN-Portweiterleitung verzichten können – bist du im Alltag niemals damit konfrontiert gewesen, wird auch die Installation eines VPNs wenig daran ändern.

    Sollte doch einmal Bedarf entstehen – du entscheidest dich bspw. für das Hosten deiner Website über einen heimischen Server – lässt sich die Portweiterleitung, wie weiter unten im Artikel erläutert, auch manuell einrichten. Mit der Möglichkeit der automatischen Einrichtung wird dem Nutzer jedoch einiges an Arbeit abgenommen. Dies erfolgt über das Universal Plug-and-Play.

    Automatische Portweiterleitung, auch bekannt als Universal Plug-and-Play

    The words Universal Plug and Play under the Wi-Fi connection symbol

    Das UPnP – Universal Plug-and-Play – ist ein Set von Protokollen (gelesen: Kommunikationsregeln), die die automatische Portweiterleitung erst möglich machen. Hierdurch können sich Geräte, die sich im selben Netzwerk befinden, gegenseitig identifizieren, Ports öffnen und reibungslos zusammenarbeiten. 

    Der Zauber des „Null-Konfigurations-Networking“ – sprich das Realisieren von Netzwerken ganz ohne Mithilfe des Menschen – ermöglicht jedem UPnP-kompatiblen Gerät eines beliebigen Herstellers, sich einem Netzwerk anzuschließen, eine IP-Adresse zugewiesen zu bekommen, sich anderen Geräten gegenüber zu zeigen und mehr über die jeweils anderen im Netzwerk befindlichen Geräte zu erfahren.

    Dies ist für Heim- sowie kleine Büro-Netzwerke eine überaus praktische Fähigkeit. UPnP wird in Geschäftsumgebungen jedoch ungern gesehen, da eine große Anzahl an Geräten mit all ihren Funktionen für eine große Auslastung in einem lokalen Netzwerk sorgen würden. 

    Wie weit ist UPnP verbreitet? Nun, Forschung auf diesem Gebiet hat gezeigt, dass 76 % aller Router während ihres Betriebs UPnP aktiviert haben. Mediengeräte belegten mit 27 % den zweiten Platz. Damit ist die Wahrscheinlichkeit, dass Geräte darauf zurückgreifen, relativ hoch. 

    UPnP stellt jedoch nicht die einzige Möglichkeit dar, mit automatischer Portweiterleitung umzugehen. Port-Triggering ist, wenngleich etwas limitiert, die sicherere Lösung. 

    Portweiterleitung vs. Port-Triggering 

    Während Portweiterleitung und Port-Triggering ähnliche Konzepte sind, erfüllen sie doch unterschiedliche Funktionen. Im Falle der Portweiterleitung ist der Port stets offen. Dies bedeutet, dass sich Netzwerke-externe Geräte jederzeit verbinden können. 

    Beim Port-Triggering wird ein Port dann geöffnet, wenn ein Gerät innerhalb des Netzwerks etwas außerhalb des Netzwerks anfordert. Der Port ist so lange geöffnet, bis das Netzwerk Rückmeldung auf die jeweilige Anfrage erhalten hat, und schließt dann nach einiger Zeit wieder. Im Falle eingehender Verbindungen findet keine Öffnung des Ports statt, was es Geräten außerhalb des Netzwerks nahezu unmöglich macht, die Ports zu öffnen.

    Aus diesem Grund stellt Port-Triggering, wenn es darum geht, aus der Ferne auf eine Webcam oder einen Heim-Computer zuzugreifen, die schlechtere Alternative dar.

    Disclaimer: Surfshark übernimmt keine Verantwortung für Sicherheitsrisiken, die auf die Nutzung der Portweiterleitung zurückzuführen sind.

    Nachteile der Portweiterleitung

    Wie vorher bereits erwähnt, bieten nicht alle VPN-Anbieter Portweiterleitung an, wofür es angesichts damit einhergehender Risiken in puncto Cybersicherheit durchaus gute Gründe gibt:

    Lässt Hackern ein Hintertürchen offen 

    Mithilfe der Portweiterleitung sind Hacker in der Lage, deine Sicherheit zu kompromittieren. Alles, was hierfür nötig ist, sind das Erlernen deiner Ports und deiner IP-Adresse, und schon ist deine Firewall überwunden. 

    Hilft dabei, VPN-Sicherheit zu umgehen 

    Angenommen, du schützt deine Verbindung mittels eines VPNs. Deine Daten sind verschlüsselt und dein Internetanbieter wird im Dunkel gelassen – keiner weiß, von wo du dich verbindest. Solltest du dich jedoch, wie mit einigen VPNs möglich, für die Weiterleitung eines Ports entscheiden, würdest du damit einen Zugang zu deinen Systemen schaffen, den selbst von deiner VPN-Software bereitgestellte zusätzliche Sicherheitsebenen nicht wieder schließen können

    Zieht Datenschutzverletzungen nach sich 

    Normale Portweiterleitung mag gefährlich sein, UPnP birgt jedoch noch weit gravierende Sicherheitsrisiken. Die Tatsache, dass es sich hierbei um einen automatisierten Prozess handelt, macht es Hackern sowie anderen böswilligen Akteuren den Missbrauch wesentlich leichter. Im Januar 2019 hat sich eine Hackergruppe Schwachstellen in UPnP-Routern zu Nutze gemacht, um Nutzer von Chromecast, Smart-TVs sowie Google Home mithilfe von Videos zum Abschluss eines PewDiePew-Abos auf YouTube zu bewegen. 

    Verwandelt dein Gerät in eine zentrale Angriffsstelle für Hacker 

    Wenngleich eher ärgerlich als wirklich gefährlich, ermöglichen solche UPnP-Schwachstellen Hackern den Einsatz ungeschützter Geräte in Botnetzen, Spam-Kampagnen sowie DDoS-Angriffe. Ganz zu schweigen von der Installation von Malware, Datenraub (z. B. Zugriffsdaten und Fotos) sowie Zugriff auf deine Geräte (wie bspw. Webcams).

    VPN und Antivirus aus einer Hand

    Jetzt Surfshark sichern

    Einrichtung der Portweiterleitung auf deinem Router – Windows 10

    Solltest du noch immer an der Weiterleitung deiner Ports interessiert sein, kannst du dies manuell tun. Das Ganze ist etwas komplizierter als beim Universal Plug-and-Play (daher existiert es überhaupt), letztendlich ist es aber auch kein Hexenwerk. 

    1. Zuerst muss sichergestellt werden, dass dein Gerät über eine statische IP-Adresse verfügt. Daher solltest du mit der Eingabe von PowerShell in die Suchleiste beginnen. 
    2. Führe einen Rechtsklick auf PowerShell aus und klicke auf Als Administrator ausführen. Daraufhin sollte sich ein Fenster öffnen.
    1. Tippe Get–NetIPConfiguration ein und gehe auf Enter.
    1. Notiere dir die Werte neben:
      • InterfaceIndex
      • IPv4Address
      • IPv4DefaultGateway
      • DNSServer
    2. Tippe nun ein -InterfaceIndex [den Wert von InterfaceIndex in Schritt #4] -IPAddress [den Wert von InterfaceIndex in Schritt #4] -PrefixLength 24 -DefaultGateway [den Wert von IPv4DefaultGateway in Schritt #4]. Beachte, dass die Eingabe der Klammern, Fragezeichen oder des Punktes nicht erforderlich ist – lediglich die Zahlen.
    1. Klicke auf Enter. Damit ist die statische IP-Adresse konfiguriert.
    2. Tippe nun folgendes ein: Set-DnsClientServerAddress -InterfaceIndex [den Wert von InterfaceIndex in Schritt #4] -ServerAddresses [den Wert von DNSServer in Schritt #4]. Beachte, dass die Eingabe der Klammern, Fragezeichen oder des Punktes nicht erforderlich ist – lediglich die Zahlen. Klicke auf Enter. Damit ist die statische IP-Adresse konfiguriert.
    1. Klicke auf Enter. Damit ist der DNS-Server konfiguriert.

    Beim Rest handelt es sich um eine allgemeine Empfehlung. Im Einzelnen ist der Routertyp ausschlaggebend:

    1. Melde dich bei deinem Router an. Dies erfolgt normalerweise über die Eingabe der Router-Adresse im Browser.
    2. Notiere dir vor dem Wechsel von DCHP auf Manuell die IPv4-Adresse. 
    3. Lokalisiere den Tab zur Portweiterleitung – Ort und Name sind vom genutzten Router abhängig, du benötigst daher ggf. etwas Zeit. 
    4. Füge deine gewählten Eintritts- und Austrittsports sowie das Protokoll hinzu. Mit über 1.000 und unter 65.000 bist du auf der sicheren Seite – hier eine Liste der für die gängigsten Prozesse verwendeten Ports
    5. Tippe entweder deine statische oder lokale IP-Adresse jenes Gerätes ein, für das du die Portweiterleitung zu initiieren wünschst. 
    6. Klicke auf Aktivieren bzw. auf eine auf der Benutzeroberfläche deines Routers vorhandene ähnliche Schaltfläche. 

    Damit hast du nun die Portweiterleitung auf deinem Router aktiviert.

    Einrichtung der Portweiterleitung auf deinem Router – macOS

    Portweiterleitung auf macOS benötigt? Gehe dafür folgendermaßen vor. 

    1. Folge den Anweisungen auf der Apple-Website, um eine statische IP-Adresse zu erhalten.
    1. Notiere dir vor dem Wechsel von DCHP auf Manuell die IPv4-Adresse.
    1. Wechsle auf Manuell. 
    2. Gehe nun in die als 0.0.0.0. angezeigte Zeile deiner IPv4-Adresse. 
    3. Notiere die Adresse des Routers.

    Beim Rest handelt es sich um eine allgemeine Empfehlung. Im Einzelnen ist der Router-Typ ausschlaggebend:

    1. Melde dich bei deinem Router an. Dies erfolgt normalerweise über die Eingabe der Router-Adresse im Browser.
    2. Notiere dir vor dem Wechsel von „DHCP“ zu „Manuell“ die IPv4-Adresse.
    3. Lokalisiere den Tab zur Portweiterleitung – Ort und Name sind vom genutzten Router abhängig, du benötigst daher ggf. etwas Zeit.
    4. Füge deine gewählten Eintritts- und Austrittsports sowie das Protokoll hinzu. Mit über 1.000 und unter 65.000 bist du auf der sicheren Seite – hier eine Liste der für die gängigsten Prozesse verwendeten Ports.
    5. Tippe entweder deine statische oder lokale IP-Adresse jenes Gerätes ein, für das du die Portweiterleitung zu initiieren wünschst.
    6. Klicke auf Aktivieren bzw. auf eine auf der Benutzeroberfläche deines Routers vorhandene Schaltfläche.

    Damit hast du nun die Portweiterleitung auf deinem Router aktiviert.

    Einrichtung der Portweiterleitung für dein VPN-Server

    Verfügst du über einen VPN-Server zu Hause und möchtest für den Online-Zugriff aus der Ferne die Portweiterleitung darauf einrichten, kannst du die Anweisungen folgen. Denke daran: Dies hängt im Einzelnen stark vom jeweils verwendeten RouterTyp ab: 

    1. Öffne zunächst die Benutzeroberfläche deines Routers. Hierfür ist meist die Eingabe dessen IP-Adresse im Browser erforderlich;
    2. Gehe auf den Portweiterleitung-Bildschirm/-Tab. Hierfür sind ggf. einige Klicks erforderlich;
    3. Tippe in Abhängigkeit des verwendeten VPN-Protokolls Folgendes ein:
      1. PPTP: Stelle den lokalen Port auf 1723 und das Protokoll für PPTP selber auf TCP, während du für den GRE-Tunnel Port 47 wählst und beim Protokoll auf „Andere“ klickst;
      2. IPSec: Stelle für den IPSec-Tunnel deinen lokalen Port auf 500 und das Protokoll auf UDP, wobei du für den IPSec-Tunnel Port 4500 und das UDP-Protokoll wählst;
      3. OpenVPN: Lokaler Port auf 1194 und Protokoll auf UDP;
      4. IKEv2: Hier muss der Port auf 500 und das Protokoll auf UDP gesetzt werden;
      5. WireGuard: Setze den Port auf 51820 und das Protokoll auf UDP.
    4. Nun kannst du durch Nutzung der öffentlichen IP-Adresse auf deinem VPN-Server eine VPN-Verbindung auf einem anderen Computer einrichten.

    Disclaimer: Surfshark übernimmt keine Verantwortung für Sicherheitsrisiken, die auf die Nutzung der Portweiterleitung zurückzuführen sind.

    VPN-Clients und VPN-Portweiterleitung

    Die Unterstützung der Portweiterleitung durch ein VPN ist möglich. Einige verfügbare VPN-Dienste ermöglichen vollständige Portweiterleitung. Andere lassen lediglich bestimmte Ports durch. Aufgrund der unterschiedlichen Kompatibilität solltest du, falls Portweiterleitung wichtig für dich ist, auf jeden Fall dich darüber informieren lassen: Nach den Infos auf der VPN-Webseite suchen, den Kundensupport kontaktieren oder einen Blick in die häufig gestellten Fragen werfen.

    Surfshark VPN unterstützt die Portweiterleitung nicht. Diese Entscheidung wurde aus Sicherheitsgründen getroffenDas Öffnen eines Ports kann mit einem Loch in deiner Cybersicherheit beschrieben werden, welches Zugriff auf deine Geräte gewährt.

    Darüber hinaus birgt es Risiken für die Identifizierung weiterer Schwachstellen. So wurde im Jahr 2015 „Port Fail“ präsentiert. Dies konnte als Nebenwirkung einer VPN-Portweiterleitung gesehen werden, wodurch die echte IP-Adresse eines Nutzers im Netz unter Umständen offengelegt wurde. Da bei einem VPN der Schutz deiner Daten, einschließlich IP-Adresse, im Mittelpunkt steht, war dies freilich kein optimales Resultat. Durch die Nicht-Unterstützung der Portweiterleitung vermeidet es Surfshark, Opfer derartiger Angriffe zu werden. 

    Freilich wird die Deaktivierung der Portweiterleitung für einige Nutzer Nachteile mit sich bringen. Mehr Sicherheit macht diesen Kompromiss jedoch lohnenswert. 

    Fazit: Portweiterleitung lohnt sich nicht

    Portweiterleitung soll die Internetkommunikation mehr reibungslos gestalten und für eine einfachere Vernetzung von Geräten ohne Firewall-Unterbrechungen sorgen. Ungeprüften Verbindungen externer Geräte jedoch Tür und Tor zu öffnen, birgt einige Risiken, insbesondere dann, wenn der Prozess über UPnP automatisiert wird. Aus diesem Grund haben sich führende VPN-Anbieter, darunter Surfshark, für eine Einschränkung der Portweiterleitung auf den eigenen Geräten entschlossen. Schließlich hat die Sicherheit von Nutzerdaten für uns oberste Priorität.

    VPN für mehr Sicherheit

    Jetzt Surfshark sichern

    Häufig gestellte Fragen

    Ist VPN-Portweiterleitung sicher?

    Portweiterleitung ist niemals sicher, da hierdurch ein unsicherer Tunnel zu deinem Gerät geschaffen wird, was sich Verbindungen von außen zu Nutze machen. 

    Kann man mittels Portweiterleitung gehackt werden?

    Ja, da Portweiterleitung ein klaffendes Loch in deiner Cybersicherheit hinterlässt. 

    Wird Portweiterleitung mein Internet ruinieren?

    Portweiterleitung wird deine Internetverbindung nicht ruinieren, es sei denn, irgendwas läuft gründlich schief. Sie kann dich jedoch dem Risiko von Hackerangriffen aussetzen.