Verschlüsseltes Overlay-Netz ohne offene Ports WireGuard-Mesh mit Identität statt Firewall-Regeln

Von Thomas Joos 2 min Lesedauer

Anbieter zum Thema

Verteilte Rechenzentren, Cloud-Instanzen und Außenstandorte brauchen sichere Verbindungen ohne offene Eingangsports. NetBird spannt ein WireGuard-Overlay auf, in dem jeder Knoten direkt und verschlüsselt mit seinen erlaubten Gegenstellen spricht. Die Identität steuert den Zugriff anstelle der Firewall-Regel am Gateway.

Verschlüsseltes Overlay-Netz ohne offene Ports(Bild:  Thomas Joos)
Verschlüsseltes Overlay-Netz ohne offene Ports
(Bild: Thomas Joos)

NetBird verbindet Server, virtuelle Maschinen und Clients über ein quelloffenes Overlay auf Basis von WireGuard. Die Software baut zwischen den Knoten direkte Peer-to-peer-Tunnel auf und kommt ohne VPN-Gateway, Sprungserver und Portfreigaben aus. Vier Komponenten bilden das System. Ein Agent auf jedem Host pflegt die WireGuard-Konfiguration, der Management-Dienst hält den Netzzustand und vergibt die Peer-Adressen, der Signal-Dienst vermittelt die Aushandlung, der Relay-Dienst übernimmt den Verkehr, sobald eine direkte Strecke scheitert.

Verbindung ohne offene Firewall

Für den Aufbau der Tunnel nutzt NetBird das ICE-Protokoll über die Pion-Bibliothek und ermittelt die Kandidaten per STUN. Zwei Peers hinter getrennten NAT-Grenzen finden so einen direkten Pfad, ohne dass ein Administrator eine eingehende Regel öffnet. Scheitert die Aushandlung hinter Carrier-Grade-NAT, leitet der Relay-Dienst den Verkehr weiter und hält den WireGuard-Tunnel über diese Strecke verschlüsselt. Der Zugriff folgt der Identität. Über Single Sign-on und Mehr-Faktor-Anmeldung aus dem angebundenen Identity-Provider erhält jeder Nutzer nur die Peers, die seine Richtlinie freigibt. Setup-Keys registrieren viele Maschinen automatisiert, ohne manuelle Anmeldung an jedem Host.

Betrieb im eigenen Rechenzentrum

NetBird läuft als Self-Hosting-Variante auf einer Linux-VM mit einem Prozessorkern und zwei Gigabyte Arbeitsspeicher, ergänzt um Docker mit Compose und eine öffentlich erreichbare Domain über die Ports 443 und 80 sowie UDP 3478. Seit dem vereinheitlichten Server-Binary bündelt ein einzelner Container alle Dienste, was den Betrieb im eigenen Rack schlanker macht. Als quelloffenes Projekt mit europäischem Ursprung hält der Betreiber Steuerung und Schlüssel im eigenen Rechenzentrum, was zu Vorgaben der digitalen Souveränität passt. Das Overlay führt IPv4 und IPv6 parallel, jedes Konto erhält ein eigenes IPv6-Präfix.

Neuerungen der aktuellen Version

Die Version 0.73 richtet den Blick auf die Stabilität der Clients. Eine Überwachung erkennt blockierte TUN-Geräte und startet den Dienst automatisch neu, ein zweiter Mechanismus fängt stehengebliebene Signal-Verbindungen ab. Transport- und Verbindungsfehler des Relays erscheinen jetzt im Status und in den Metriken, was die Fehlersuche im Betrieb kürzer macht. Beim Umgang mit IPv6 verbessert die Version das Verhalten der Exit-Nodes, und der DNS-Dienst beantwortet fehlende Adressen mit NODATA statt mit einem harten Fehler. Für verwaltete Flotten kommt die Verteilung von Konfigurationsprofilen über MDM auf Windows und macOS hinzu.

Fazit

NetBird ersetzt das klassische VPN-Gateway durch ein identitätsgesteuertes WireGuard-Overlay ohne offene Eingangsports. Die Peer-to-peer-Struktur mit Relay-Fallback verbindet verteilte Standorte direkt, die Self-Hosting-Variante hält Verwaltung und Schlüssel im eigenen Rechenzentrum. Mit IPv4 und IPv6 im Overlay und stabileren Clients wächst die Eignung für den produktiven Betrieb.

(ID:50886816)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu RZ- und Server-Technik

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung