Was ist NetBird? Zero-Trust Mesh-VPN für sicheren Infrastruktur-Zugriff

Timo Wevelsiep•Aktualisiert: 30.06.2026

Hinweis zum Inhalt: Versionen, Befehle und Preise können sich ändern. Bitte prüfen Sie kritische Schritte vor dem produktiven Einsatz eigenständig. Dieser Leitfaden ersetzt keine individuelle Beratung.

Verteilte Infrastruktur souverän fernwarten? WZ-IT baut Remote-Management-Plattformen mit NetBird als verschlüsseltem Netz-Backend. Zur Remote-Management-Plattform

NetBird ist ein quelloffenes, WireGuard-basiertes Zero-Trust-Overlay- bzw. Mesh-VPN, das Geräte, Server und Standorte direkt und verschlüsselt verbindet - identitätsbasiert und ohne offene Inbound-Ports. Statt VPN-Gateway, Jump-Host und Portfreigaben spannt NetBird ein verschlüsseltes Overlay-Netz auf, in dem jeder Teilnehmer (Peer) Peer-to-Peer mit den freigegebenen Gegenstellen spricht. Eine zentrale Steuerungsebene verteilt Schlüssel, Routen und Zugriffsregeln, der eigentliche Datenverkehr läuft direkt zwischen den Peers über WireGuard. Stand Mitte 2026 ist NetBird bei Version 0.73 (github.com/netbirdio/netbird), vollständig self-hostbar und zusätzlich als verwaltete NetBird Cloud verfügbar.

Inhaltsverzeichnis

Wie NetBird funktioniert
Zero Trust: identitätsbasierter Zugriff
Self-hosted vs. NetBird Cloud
NetBird vs. Tailscale vs. Headscale vs. reines WireGuard
Zugriff auf Infrastruktur ohne offene Ports
Fernwartung verteilter Maschinen und Anlagen
Kubernetes-Service-Zugriff von extern
Interne Dienste kontrolliert bereitstellen: NetBird Networks
Souveränität und unser Einsatz bei WZ-IT
Weiterführende Guides

Wie NetBird funktioniert

NetBird trennt sauber zwischen Steuerungs- und Datenebene. Die Control Plane besteht aus drei Server-Komponenten (docs.netbird.io):

Management-Service: der zentrale Koordinator. Er hält den Netzwerkstatus, verwaltet die öffentlichen WireGuard-Schlüssel der Peers, authentifiziert sie und verteilt Konfiguration und Zugriffsregeln ins Mesh.
Signal-Service: vermittelt die Peer-Discovery und das Aushandeln der Verbindung. Peers tauschen über Signal ihre Verbindungskandidaten (ICE) aus; die Nachrichten sind Ende-zu-Ende verschlüsselt, und Signal "tritt zur Seite", sobald die direkte Verbindung steht.
Relay-Service: ein TURN-artiger Fallback, der den Verkehr weiterleitet, wenn keine direkte Verbindung möglich ist. Da der WireGuard-Verkehr Punkt-zu-Punkt verschlüsselt ist, kann das Relay die Daten nicht entschlüsseln.

Die Datenebene ist WireGuard. Für die NAT-Traversal nutzt NetBird ICE (Pion-Implementierung) und STUN, um wo immer möglich eine direkte Peer-to-Peer-Verbindung herzustellen; nur wenn das scheitert, läuft der Tunnel über das Relay. Alle Peers bauen die Verbindung outbound-only nach außen auf - es ist also kein aus dem Internet erreichbarer Port nötig. Mehr zur Datenebene in unserer WireGuard-Expertise und im Leitfaden WireGuard zur Standortanbindung.

Zero Trust: identitätsbasierter Zugriff

NetBird folgt dem Zero-Trust-Prinzip: Nichts ist erreichbar, bis eine Regel es erlaubt (default-deny). Der Zugriff wird nicht über die Netztopologie gesteuert, sondern über Identität und Policy:

Groups und Access Policies (ACLs): Peers werden Gruppen zugeordnet, Policies geben gezielt Zugriff von Quell- auf Zielgruppen frei, optional eingeschränkt auf bestimmte Protokolle und Ports.
SSO/IdP-Anbindung: NetBird bindet Identity Provider per OIDC an, etwa Keycloak, Authentik, Microsoft Entra ID (Azure AD), Google oder Okta. Seit Version 0.62 (Januar 2026) bringt die self-hosted Variante eine integrierte Identität mit und benötigt keinen externen IdP mehr.
Posture Checks: Zugriff lässt sich an den Gerätezustand knüpfen - Betriebssystem, NetBird-Client-Version, geografischer Standort oder laufende Prozesse.
Peer Approval und Identity-aware SSH: Neue Geräte müssen freigegeben werden; der integrierte SSH-Zugriff bildet Sitzungen auf authentifizierte Nutzeridentitäten ab und liefert einen sauberen Audit-Trail.

Diese Kombination macht NetBird zu mehr als einem VPN: Es ist eine identitätsbasierte Zugriffsschicht. Hintergrund dazu auf unserer NetBird-Expertise.

Self-hosted vs. NetBird Cloud

NetBird gibt es in zwei Betriebsmodellen. Self-hosted betreiben Sie Management, Signal und Relay selbst; seit Version 0.65 (Februar 2026) gibt es dafür ein Unified Server Binary, das alle Dienste in einem einzigen Container bündelt. Eine VM mit 1 CPU und 2 GB RAM reicht für ein funktionierendes Mesh. Die NetBird Cloud ist der verwaltete SaaS-Dienst mit kostenlosem Einstiegstarif und kostenpflichtigen Plänen - ohne eigene Infrastruktur, aber mit Control Plane beim Anbieter.

Zur Lizenz: Clients und die meisten Komponenten stehen unter der permissiven BSD-3-Clause, die Server-Verzeichnisse management/, signal/, relay/ und combined/ (das Unified Binary) unter AGPLv3. Self-hosting ist damit kostenfrei und die komplette Steuerungsebene quelloffen.

NetBird vs. Tailscale vs. Headscale vs. reines WireGuard

Kriterium	NetBird	Tailscale	Headscale	Reines WireGuard
Control Plane	quelloffen, self-hostbar	proprietär, nur Cloud	quelloffene Reimplementierung	keine
Lizenz	BSD-3 (Clients) + AGPLv3 (Server)	Clients BSD-3, Control Plane SaaS	BSD-3	GPLv2
Datenebene	WireGuard	WireGuard	WireGuard	WireGuard
Clients	eigene NetBird-Clients	Tailscale-Clients	Tailscale-Clients	wg / wg-quick
SSO/IdP	ja (OIDC, integriert)	ja	begrenzt	nein
Web-Dashboard	ja	ja	nein (Community-UIs)	nein
Zero-Trust-Policies	ja (default-deny)	ja	begrenzt	manuell (AllowedIPs)

Der entscheidende Unterschied liegt in der Control Plane. Tailscale ist ausgereift, der Koordinationsserver aber proprietär und cloud-only. Headscale ist eine quelloffene Reimplementierung dieses Servers, die die offiziellen Tailscale-Clients wiederverwendet - ohne offizielles Web-UI und mit eingeschränktem Funktionsumfang (/expertisen/headscale/). Reines WireGuard hat gar keine Steuerungsebene; Schlüssel, Routen und Zugriff pflegen Sie von Hand. NetBird ist als einziges der vier durchgängig quelloffen und self-hostbar inklusive eigener Clients, Dashboard und IdP-Anbindung.

Zugriff auf Infrastruktur ohne offene Ports

Ein Kerneinsatz von NetBird ist der sichere Zugriff auf Infrastruktur: Server, interne Dienste, Datenbanken und Admin-Oberflächen werden ausschließlich über das verschlüsselte Mesh erreichbar - nie direkt aus dem Internet. Das ersetzt offene Ports, Jump-Hosts und Bastion-Server. Statt einen SSH- oder Datenbank-Port zu exponieren, tritt der Server dem Mesh als Peer bei; erreichbar ist er nur für die per Policy berechtigten Identitäten.

In der Praxis heißt das: SSH ohne Port-Exposition, Datenbankzugriff nur für definierte Gruppen, Admin-UIs hinter default-deny. Kombiniert mit Posture Checks (z. B. nur firmeneigene, aktuelle Geräte) und Identity-aware SSH entsteht ein nachvollziehbarer, identitätsgebundener Zugriff - die Grundlage für RBAC und Audit für Fernzugriff.

Fernwartung verteilter Maschinen und Anlagen

NetBird wird breit zur Fernwartung verteilter Maschinen, Anlagen und IoT-Geräte eingesetzt - als Netz- und Backend-Schicht. Jeder Standort wird outbound-only angebunden, ohne dass am Standort ein Port geöffnet werden muss. Darüber laufen zwei Zugriffsmuster:

Direkter Tool-Zugriff: Techniker erreichen über das Mesh direkt SSH, RDP, VNC oder ein HMI an der Anlage - so, als säßen sie im lokalen Netz.
Unter einem Browser-Gateway: In souveränen Plattformen liegt über NetBird ein Browser-Gateway wie Apache Guacamole, das RDP, VNC und SSH clientlos im Browser bereitstellt. NetBird ist dabei das unsichtbare Netz-Backend, das Gateway die auditierbare Zugriffsschicht. Details unter Was ist Apache Guacamole? und Fernwartung ohne VPN-Client.

Kubernetes-Service-Zugriff von extern

Für Kubernetes bietet NetBird den NetBird Kubernetes Operator (docs.netbird.io). Er erweitert die Kubernetes-API um Custom Resources (CRDs) und automatisiert die Anbindung deklarativ - genauso, wie Sie den Rest Ihrer Infrastruktur verwalten:

Routing-Peers als Pods: Der Operator deployt rootless NetBird-Clients als Pods in der netbird-Namespace. Sie treten dem Mesh bei und leiten Verkehr zu Cluster-internen Services.
Service-Exposure per Annotation: Über Annotationen an Services werden diese als Resources ins NetBird-Netz veröffentlicht und damit für berechtigte Peers erreichbar.

So greifen Entwickler, On-Call-SREs oder andere Cluster auf kubectl/API-Server, Dashboards und interne Services zu - über das verschlüsselte Overlay, ohne dass der Cluster oder seine Dienste öffentlich exponiert werden. Das eignet sich besonders für Multi-Cluster- und Hybrid-Cloud-Szenarien.

Interne Dienste kontrolliert bereitstellen: NetBird Networks

Mit dem Feature NetBird Networks bilden Sie ganze Teile Ihrer Infrastruktur im Overlay ab, auch für Geräte, die selbst keinen NetBird-Client laufen lassen können. Ein Network besteht aus vier Bausteinen (docs.netbird.io):

Routing-Peers: NetBird-Clients im internen Netz, die Verkehr aus dem Mesh zu Geräten ohne Client weiterleiten (typisch 2 vCPU / 4 GB RAM).
Resources: die Ziele - einzelne IPs, CIDR-Bereiche, Domains oder Wildcard-Domains.
Access Policies: Zugriff von Quellgruppen auf Resources, default-deny.
Network: die Klammer, die Routing-Peers und Resources eines Standorts oder einer VPC bündelt.

Für Dienste, die öffentlich erreichbar sein sollen, gibt es zusätzlich die (aktuell als Beta gekennzeichnete) Reverse-Proxy-Funktion mit automatischem TLS und Authentifizierung - ohne offene Ports. Seit Version 0.67 (März 2026) kann eine self-hosted Instanz zudem TCP/UDP/TLS proxyen, sodass sich VPN-, Reverse-Proxy- und Tunnel-Funktionen in einem Stack bündeln lassen. (Die ältere Option "Network Routes" bleibt vor allem für Exit-Nodes relevant.)

Souveränität und unser Einsatz bei WZ-IT

NetBird ist eine souveräne Wahl: vollständig self-hostbar, quelloffen und von einem europäischen Anbieter (NetBird, Berlin) getragen. Sie behalten Steuerungsebene, Schlüssel und Audit-Daten in der eigenen Infrastruktur in der EU - ein klarer Vorteil gegenüber rein cloud-basierten Mesh-Diensten und relevant im Hinblick auf Regulierung wie die NIS2-Richtlinie. Dieser Beitrag ist allgemeine Information und keine Rechtsberatung.

Bei WZ-IT setzen wir NetBird als verschlüsseltes Netz-Backend unserer Remote-Management- und Fernwartungs-Plattformen ein: Standorte outbound-only angebunden, Zugriff identitätsbasiert und default-deny, darüber ein auditierbares Browser-Gateway. Wie das in der Praxis aussieht, zeigt die Case Study ABCO Water Systems - produktiv für verteilte Anlagen in Australien. Konzeption, Aufbau und Betrieb übernehmen wir auf Wunsch komplett im Rahmen unserer Remote-Management-Plattformen.

Weiterführende Guides

NetBird-Expertise - Einsatz und Betrieb
WireGuard zur Standortanbindung - die Datenebene unter NetBird
Fernwartung ohne VPN-Client
Sichere Fernwartung von Maschinen und Anlagen

Infrastruktur ohne offene Ports erreichbar machen? Lernen Sie uns kennen oder sehen Sie sich unsere Remote-Management-Plattformen an.

Sie möchten Remote Access & Fernwartung nicht selbst betreiben? WZ-IT übernimmt Einrichtung, Betrieb und Wartung – DSGVO-konform aus Deutschland.

Managed Remote Access & Fernwartung →Managed Remote Access & Fernwartung →Managed Remote Access & Fernwartung →

Häufig gestellte Fragen

Antworten auf die wichtigsten Fragen

NetBird ist ein quelloffenes, WireGuard-basiertes Zero-Trust-Overlay- bzw. Mesh-VPN. Es verbindet Geräte, Server und Standorte direkt, verschlüsselt und identitätsbasiert zu einem privaten Netz, ohne VPN-Gateway, Jump-Host oder offene Inbound-Ports. Eine zentrale Steuerungsebene verteilt Schlüssel, Routen und Zugriffsregeln, der Datenverkehr läuft Peer-to-Peer über WireGuard.

Ja. Die NetBird-Clients und die meisten Komponenten stehen unter der permissiven BSD-3-Clause-Lizenz, die Server-Komponenten Management, Signal und Relay unter AGPLv3. Self-hosting ist kostenlos. Daneben gibt es die verwaltete NetBird Cloud mit kostenlosem Einstiegstarif und kostenpflichtigen Plänen.

Beide nutzen WireGuard als Datenebene und ein zentrales Koordinationssystem. Bei NetBird ist die gesamte Control Plane (Management, Signal, Relay) quelloffen und vollständig self-hostbar. Tailscales Control Plane ist proprietär und wird ausschließlich als Cloud-Dienst betrieben. NetBird bringt zudem flexible OIDC-IdP-Anbindung und seit Version 0.62 eine integrierte Identität für Self-Hosting mit.

Nein. Jeder Peer baut die Verbindung aktiv nach außen auf (outbound-only). NetBird ermittelt per ICE/STUN eine direkte Peer-to-Peer-Route und nutzt einen Relay-Server nur als Fallback. Am Standort muss kein Port aus dem Internet erreichbar sein, was die Angriffsfläche deutlich verkleinert.

Über den NetBird Kubernetes Operator. Er erweitert die Kubernetes-API um Custom Resources, deployt Routing-Peers als Pods und macht interne Services per Annotation im NetBird-Netz erreichbar. So erreichen Sie kubectl/API, Dashboards und Cluster-interne Dienste über das verschlüsselte Overlay, ohne sie öffentlich zu exponieren.

Über das Feature NetBird Networks: Ein Routing-Peer im internen Netz veröffentlicht Resources (einzelne IPs, CIDR-Bereiche oder Domains) ins Mesh, Zugriff gibt es nur über Access Policies (default-deny). Für öffentlich erreichbare Dienste bietet NetBird zusätzlich eine Reverse-Proxy-Funktion mit automatischem TLS und Authentifizierung, ohne offene Ports.

Ja, vollständig. Sie betreiben Management-, Signal- und Relay-Service selbst, seit Version 0.65 auch als Unified Server Binary in einem einzigen Container. Eine kleine VM mit 1 CPU und 2 GB RAM genügt für ein funktionierendes Mesh. So bleibt die gesamte Steuerungsebene unter eigener Kontrolle in der EU.