NetBird – Open-Source Zero-Trust-Networking

 (netbird.io)
8 Punkte von GN⁺ 2026-02-02 | 3 Kommentare | Auf WhatsApp teilen
  • Open-Source-Plattform, die ein WireGuard®-basiertes Overlay-Netzwerk mit Zero Trust Network Access (ZTNA) kombiniert und so sichere, zuverlässige Verbindungen bereitstellt
  • Schnell bereitstellbar ohne VPN-Gateway und Firewall-Konfiguration, mit stärkerer Zugriffskontrolle durch SSO, MFA und Gerätesicherheitsprüfungen
  • Vereinfacht den Betrieb von Unternehmensnetzwerken durch zentrales Netzwerkmanagement, granulare Richtlinien und Echtzeit-Aktivitätsprotokolle
  • Läuft in verschiedensten Umgebungen wie Linux, Windows, macOS, Mobile, Docker und Routern und kann dank BSD-3-Lizenz selbst gehostet werden
  • Moderne Lösung für den Netzwerkzugriff, die die Komplexität klassischer VPNs beseitigt und Sicherheit und Skalierbarkeit zugleich ermöglicht

Überblick über NetBird

  • NetBird ist eine Open-Source-Plattform, die ein WireGuard®-basiertes Peer-to-Peer-Netzwerk mit Zero Trust Network Access integriert
    • Bietet sichere und zuverlässige Remote-Verbindungen
    • Unterstützt die integrierte Bereitstellung von Netzwerkzugriff, Authentifizierung und Verwaltung auf einer einzigen Plattform
  • Man kann kostenlos starten, außerdem kann eine Enterprise-Demo angefragt werden

Hauptfunktionen

Secure Remote Access

  • Nach dem Prinzip der geringsten Rechte sind Benutzer- und Gruppen-Provisionierung, Netzwerksegmentierung und Richtliniendefinition möglich
    • Stärkere Zugriffskontrolle durch MFA und Prüfungen des Gerätesicherheitsstatus
    • Benutzer und Gruppen können direkt aus dem Identity Provider importiert und verwaltet werden

Zero-Config Deployment

  • Bietet ein WireGuard®-basiertes P2P-Netzwerk als Ersatz für bestehende VPNs
    • Funktioniert ohne Firewall-Konfiguration oder offene Ports
    • Gewährleistet sicheren Remote-Zugriff über SSO und MFA
    • Verbindungen zwischen VPCs und On-Premises-Standorten lassen sich innerhalb weniger Minuten einrichten

Seamless SSO with MFA

  • Integration mit führenden Identity Providern wie Okta, Microsoft und Google
    • Schützt den Netzwerkzugriff durch sitzungsbasiertes SSO und MFA
    • Unterstützt regelmäßige Re-Authentifizierung für Remote-Mitarbeitende

Dynamic Posture Checks

  • Nur Geräte, die die Sicherheitsregeln erfüllen, erhalten Zugriff
    • Führt verschiedene Prüfungen durch, darunter Firewall-, Antivirus- und standortbasierte Richtlinien
    • Kann mit MDM- und EDR-Lösungen integriert werden

Centralized Network Management

  • Gruppierung interner Ressourcen und Zugriffsverwaltung über eine einzige Konsole
    • Unterstützt DNS-Konfiguration, Hinzufügen privater Nameserver und API-Automatisierung
    • Teambezogene Zugriffskontrolle und Ressourcenverwaltung sind möglich

Detailed Activity Logging

  • Nachvollziehbar, wer wann was im Netzwerk getan hat
    • Protokolliert Konfigurationsänderungen und Ereignisse des Verbindungsverkehrs
    • Unterstützt Echtzeit-Event-Streaming an SIEM-Plattformen

Kundenbeispiele

  • Select Tech Group betreibt mehr als 55 Standorte und hat mit NetBird MFA, SSO und granulare Zugriffskontrolle umgesetzt
  • Unternehmen wie Axiros, netgo und DeltaQuad berichten von der Beseitigung der Komplexität bestehender VPNs und verbesserter Sicherheit
  • Nutzer nennen einfache Einrichtung, hohe Stabilität und die Einhaltung von Zero-Trust-Prinzipien als wichtigste Vorteile

Drei Kernmerkmale von NetBird

1. Einfach und sicher

  • Netzwerkerstellung in weniger als 5 Minuten, verschlüsselte Verbindungen und keine komplexe Firewall-Konfiguration erforderlich
  • Nur autorisierte Benutzer und Geräte können auf interne Ressourcen zugreifen

2. Von überall aus verbindbar

  • Unterstützt zahlreiche Plattformen wie Linux, Windows, macOS, Mobile, Docker und Router
  • Bietet nahtlose Verbindungen zwischen Cloud- und On-Premises-Umgebungen

3. Vollständig Open Source

  • Wird unter der BSD-3-Lizenz veröffentlicht und kann selbst gehostet werden
  • Kann in der NetBird Cloud oder auf eigenen Servern betrieben werden
  • Nutzer können den Code prüfen und direkt in der eigenen Infrastruktur betreiben

Effekt der Netzwerkmodernisierung

  • SDN-basierte Architektur beseitigt die Komplexität bei der Verwaltung von VPN-Gateways und Firewalls
  • Konfiguration des Zugriffs auf Remote-Ressourcen über ein einziges Verwaltungsportal
  • Granulare Netzwerksegmentierung stellt sicher, dass nur autorisierte Benutzer auf bestimmte Ressourcen zugreifen können

Fazit

  • NetBird ist eine Open-Source-Networking-Lösung, die die Grenzen klassischer VPNs überwindet und das Zero-Trust-Modell umsetzt
  • Bietet Sicherheit, Einfachheit und Skalierbarkeit zugleich und ist ein modernes Tool für das Zugriffsmanagement, das sowohl für Entwicklungsteams als auch IT-Betriebsteams geeignet ist

Verwandte Beiträge

3 Kommentare

 
hiseob 2026-02-02

Ich bin von Zerotier zu NetBird gewechselt, hatte dann aber etwa einen Monat lang das Problem, dass es unter Windows nicht funktionierte (ich nutze es hauptsächlich zum Zocken zu Hause und nur gelegentlich, wenn ich schnell mal rein muss, daher konnte ich den Monat aushalten), bin dann zu Tailscale gewechselt und habe das Licht gesehen.
Wirkt ohnehin wie eine abgespeckte Kopie von Tailscale ... und wenn man sogar Headscale nutzt, hat NetBird ehrlich gesagt keinen großen Reiz mehr.
 
sixthtokyo 2026-02-06

Als ich den Artikeltitel gesehen habe, habe ich mich gefragt, worin der Unterschied zu Tailscale besteht, aber die Kommentare waren eine große Hilfe haha
 
GN⁺ 2026-02-02
Hacker-News-Kommentare
  • Das NetBird-Team ist transparent und gut erreichbar
    Ich bin vor 2 Jahren vollständig von Tailscale auf NetBird umgestiegen und betreibe es in einer Self-Hosting-Umgebung
    Auch Versions-Upgrades liefen reibungslos, sodass man merkt, dass dem Team nicht nur Cloud-, sondern auch Self-Hosting-Nutzer wichtig sind
    • Unser Team hat NetBird ausprobiert, aber die Clients wurden nicht auf dem selbst gehosteten Server registriert
      Vermutlich lag es eher an einem Fehler in der Benutzerkonfiguration
      In der Dokumentation ist die Abgrenzung zwischen Cloud-Funktionen und Self-Hosting-Funktionen unklar, daher ist Vorsicht geboten
      In der Community-Version fehlen einige Funktionen, deshalb sollte man geplant an die Sache herangehen
      Trotzdem wirkt es ausgereifter als Headscale, und da es im Gegensatz zu Tailscale keine Registry-Änderungen erfordert, halte ich es für eine vielversprechendere Lösung fürs Self-Hosting
  • Ich habe mir die Zugriffskontrollfunktionen von NetBird angesehen, aber die Funktion, die ich brauche, scheint zu fehlen
    Ich hätte gern eine Struktur, bei der Nutzer beim Verbinden mit einem WireGuard-Endpunkt zunächst nur auf ein Standard-Subnetz zugreifen können und nach MFA-Authentifizierung auf zusätzliche Subnetze
    Zum Beispiel erst Zugriff auf Wiki oder internen Chat und nach MFA erweiterter Zugriff auf sensible Ressourcen wie GitLab
  • Ich entwickle gerade Connet
    Statt eines L4-Overlays wie WireGuard oder eines öffentlichen L7-Endpunkts wie ngrok werden dabei Remote-Services lokal projiziert
    Mit Caddy auf einem VPS kann man es auch ähnlich wie ngrok nutzen
    Bestehende Lösungen wie NetBird, Tailscale, frp oder rathole boten keinen intuitiven, FOSS-basierten, selbst gehosteten P2P-Zugang
    Connet löst das, und auch die Cloud-Version auf connet.dev ist letztlich nur eine Verpackung des FOSS-Projekts
    • Das wirkt wie etwas nur für Computer
      Laut README muss man Befehle ausführen, daher dürfte es auf Smartphones schwierig sein
      In mobilen Umgebungen wäre eine Konfiguration im ngrok-Stil wohl realistischer
    • Die Idee ist interessant, aber alle Services auf localhost zu projizieren, ist sicherheitsseitig riskant
      Mit einem CGNAT-IP-Bereich wie bei Twingate könnte man jedem Service eine eigene IP zur Isolation geben
  • Ich war lange ZeroTier-Nutzer und bin vor Kurzem auf NetBird umgestiegen (selbst gehostet auf einem Hetzner-VPS)
    Die DNS-Funktion ist hervorragend, und das Zugriffskontrollmodell ist intuitiv
    Bei Bedarf lässt sich auch unkompliziert einmaliger Zugriff vergeben
    Allerdings gibt es die Android-App nicht auf F-Droid, und beim Roaming kommt es gelegentlich zu Unterbrechungen
    Insgesamt ist es aber großartige Software, und ich hoffe, sie entwickelt sich weiter
    • Ich frage mich, ob ZeroTier oder NetBird mehr als nur einen GUI-Wrapper für WireGuard bieten
      Mich würde auch interessieren, wie leicht sie sich in ein bereits aufgebautes WireGuard-Mesh integrieren lassen
    • Unsere Firma nutzt ebenfalls ZeroTier, aber in letzter Zeit gab es sporadische Verbindungsabbrüche und DNS-Probleme
      Mich würde interessieren, wie die iOS-App von NetBird ist
    • Ich nutze die JetBird-App auf F-Droid; die offizielle App habe ich nicht verwendet, aber meine Erfahrungen mit JetBird waren gut
  • Klingt interessant. Ich frage mich, worin genau der Unterschied zu Tailscale (oder Headscale) besteht
    Ich hatte Tailscale ohnehin als möglichen Ersatz für meine bestehende WireGuard-Konfiguration im Blick
  • Ich empfehle Headscale
    Es ist kostenlos, kompatibel mit den offiziellen Tailscale-Clients und sehr einfach einzurichten
    https://headscale.net/stable/
    • Könntest du kurz erklären, wofür du es nutzt?
      Auf der Tailscale-Website gibt es so viele Begriffe, dass ich kaum ein Gefühl dafür bekomme, wie man es im Heimgebrauch sinnvoll einsetzt
    • Wir verwalten in China zwei Netzwerke mit jeweils rund 400 Geräten über Headscale
      Das offizielle Tailscale-DERP funktioniert dort nicht, aber mit aktiviertem integriertem DERP läuft alles problemlos
    • Wenn man sich das Headscale-Anforderungsdokument ansieht,
      muss man statt nur eines Ports für WireGuard mehrere Ports freigeben
      Genannt werden tcp/80, tcp/443, udp/3478, tcp/50443, und das ist aus Sicherheitssicht belastend
      Auch wenn man einen Reverse Proxy nutzt, ist es schade, dass so viele Ports exponiert werden müssen
    • Kürzlich wurde die Unterstützung für Postgres eingestellt und nur noch sqlite empfohlen
      Das wirkt wie ein Signal, dass Tailscale den Einsatzbereich von Headscale implizit einschränken will
    • Ich frage mich, ob sich ein VPN wie Mullvad zusammen mit einem Exit Node nutzen lässt
  • Ich entwickle Octelium
    Es ist eine FOSS-basierte Zero-Trust-Plattform für sicheren Zugriff und kann als VPN, ZTNA, API-Gateway, PaaS oder ngrok-Alternative genutzt werden
    Es bietet clientbasierten und clientlosen Zugriff, passwortloses SSH, OIDC/SAML, WebAuthn-MFA, auf OpenTelemetry basierende Sichtbarkeit und viele weitere Funktionen
    Im README ist alles ausführlich beschrieben
    • Kurz gesagt arbeitet Octelium auf OSI-Schicht 7, Tailscale dagegen auf Schicht 3–4
    • Das Projekt ist interessant
      Mich würde interessieren, ob langfristig ein Enterprise-Plan geplant ist und ob bei externen Beiträgen ein CLA verlangt wird
  • Der Release-Zyklus ist viel zu schnell
    Ich pflege es in einem Gentoo-Overlay, und wenn ich ein Versions-Update machen will, ist schon wieder eine neue Version erschienen
    Die Release-Frequenz sollte auf höchstens einmal pro Woche begrenzt werden
  • In meinem Setup ist Tailscale die einzige nicht selbst gehostete Komponente, und das war mir immer etwas unangenehm
    Ich habe einen Caddy-Container im Tailnet und route alle Subdomains dorthin
    SSL übernimmt ebenfalls Caddy
    Funnel nutze ich nicht; die Services liegen nur hinter dem VPN
    Allerdings ist die 90-Tage-Ablaufgrenze für Auth Keys unpraktisch für die Verwaltung entfernter Embedded-Geräte
    Ich suche nach einer dauerhafteren und automatisierbaren Authentifizierungsmethode
    • In Tailscale kann man das Ablaufen von Schlüsseln deaktivieren. Ich habe das auf dem Gateway so eingestellt
      Alle internen Geräte laufen bei mir unter der Domain .home und werden über das Tailnet geroutet
    • Laut offizieller Dokumentation
      kann man die Schlüsselablaufzeit manuell deaktivieren. Das geht auch tagbasiert
    • Mit tagbasierter Node-Authentifizierung kann man die 6-Monats-Ablauffrist beibehalten oder vollständig deaktivieren
    • Wir nutzen Headscale als selbst gehostete Control Plane und es läuft stabil
    • Ich stimme der Caddy-Konfiguration im Tailnet zu. Bei uns funktioniert sie ebenfalls gut
  • Die Entwicklung des Projekts ist beeindruckend
    Ähnliche Alternativen sind OpenZiti, Headscale und Nebula
    Als nützliche Ressource empfehle ich awesome-tunneling