Netzwerkguide

Netbird einrichten – Open-Source Mesh-VPN als WireGuard-Alternative 2025

Zero-Config-VPN für Teams und verteilte Infrastruktur

S
SeeColors IT11. Juni 20264 Min. Lesezeit99 Aufrufe

Was ist Netbird?

Netbird ist eine Open-Source-Netzwerkplattform die auf WireGuard aufbaut und ein vollautomatisches Peer-to-Peer-Mesh-Netzwerk erstellt. Ähnlich wie Tailscale, aber vollständig self-hosted und kostenlos.

Netbird vs. WireGuard vs. Tailscale

Merkmal WireGuard Tailscale Netbird
Protokoll WireGuard WireGuard WireGuard
Konfiguration Manuell Automatisch Automatisch
Self-hosted Ja Teilweise Vollständig
Kosten Kostenlos Free/Paid Kostenlos (OSS)
Web-UI Nein Ja Ja
Peer-Discovery Manuell Automatisch Automatisch
SSO-Integration Nein Ja (paid) Ja (Authentik, Keycloak)

Wie funktioniert Netbird?

Netbird nutzt drei Komponenten:

  1. Management Server: Zentrale Steuereinheit, verwaltet Peers und Zugriffsregeln
  2. Signal Server: Hilft beim NAT-Traversal (Peers finden sich hinter Firewalls)
  3. Relay Server (TURN/STUN): Fallback wenn direkte P2P-Verbindung nicht möglich

Alle Geräte (Peers) installieren den Netbird-Client und verbinden sich mit dem Management-Server. Anschließend bauen sie direkte WireGuard-Tunnel zueinander auf – ohne zentralen VPN-Gateway.

Option A: Netbird Cloud (schnellster Einstieg)

Für Tests oder kleine Teams: app.netbird.io – kostenlos bis 5 Peers.

  1. Registrierung mit GitHub/Google-Account
  2. Peers → Add peer – Setup-Befehl für Linux/Windows/macOS
  3. Fertig – alle registrierten Peers sehen sich automatisch

Option B: Self-hosted Netbird

Voraussetzungen

  • Ubuntu 22.04/24.04 Server
  • Öffentliche IP oder Domain
  • Docker und Docker Compose installiert
  • Ports: 443 (HTTPS), 3478/UDP (STUN), 49152–65535/UDP (WireGuard)

Installation

git clone https://github.com/netbirdio/netbird.git
cd netbird/infrastructure_files/

Konfigurationsdatei anpassen:

cp setup.env.example setup.env
nano setup.env

Wichtige Einstellungen in setup.env:

NETBIRD_DOMAIN=vpn.ihredomain.de
NETBIRD_MGMT_IDP=google     # oder: azure, github, keycloak, authentik
NETBIRD_IDP_CLIENT_ID=...
NETBIRD_IDP_CLIENT_SECRET=...

Installation starten:

bash setup.sh
docker compose up -d

Das Dashboard ist erreichbar unter: https://vpn.ihredomain.de

Netbird-Client installieren

Linux (Ubuntu/Debian)

curl -fsSL https://pkgs.netbird.io/install.sh | sh

Peer anmelden:

netbird up --management-url https://vpn.ihredomain.de

Browser öffnet sich → SSO-Login → Peer ist registriert.

Windows

MSI-Installer von netbird.io/install herunterladen und installieren. System-Tray-Icon erscheint → „Connect" klicken → Browser-Login.

Docker-Container als Peer

docker run -d --name netbird   --cap-add=NET_ADMIN   --cap-add=SYS_ADMIN   --cap-add=SYS_RESOURCE   -e NB_MANAGEMENT_URL=https://vpn.ihredomain.de   -e NB_SETUP_KEY=<SETUP_KEY>   netbirdio/netbird:latest

Access Control Policies

Im Netbird-Dashboard unter Access Control:

Standardmäßig können alle Peers miteinander kommunizieren. Für Zero-Trust-Segmentierung:

  1. Groups erstellen: „Admins", „Server", „Workstations", „Guests"
  2. Policy erstellen:
    • Source: Admins → Destination: Server → Allow: All ports
    • Source: Workstations → Destination: Server → Allow: TCP 443, 80, 3389
    • Source: Guests → Destination: Server → Deny

DNS-Integration

Netbird kann interne DNS-Namen auflösen:

DNS → Add nameserver:

  • Nameserver: 192.168.10.1 (Ihr interner DNS)
  • Domains: firma.local, ad.firma.de
  • Matches: Peers in der Gruppe „All"

Sobald verbunden können Peers auf interne Hostnamen zugreifen.

Routing-Peer (Subnet Access)

Um ein komplettes Büronetz (z. B. 192.168.1.0/24) über Netbird zugänglich zu machen:

  1. Einen Linux-Rechner im Büronetz als Routing-Peer konfigurieren
  2. Im Dashboard: Peers → Routing peer → Add route:
    • Network: 192.168.1.0/24
    • Routing peer: Büro-Linux
  3. Alle Netbird-Peers können jetzt auf das komplette 192.168.1.0/24 zugreifen – wie ein klassisches Site-to-Site-VPN

FAQ

Wie viele Peers sind self-hosted kostenlos?
Self-hosted Netbird ist vollständig kostenlos und ohne Peer-Limit. Nur die Cloud-Version netbird.io hat Free-Tier-Limits.

Ist Netbird sicherer als klassisches VPN?
Netbird basiert auf WireGuard (modernes, auditiertiertes Protokoll) mit zusätzlichem Zero-Trust-Policy-Layer. Jeder Peer muss sich authentifizieren – kein zentraler Gateway der zum Single Point of Failure wird.

Kann Netbird Tailscale ersetzen?
Für Teams die volle Kontrolle wollen: Ja. Tailscale bietet einen besseren Free-Tier für kleine Teams, während Netbird self-hosted skalierbarer und ohne externe Abhängigkeiten ist.

Fazit

Netbird ist die beste Open-Source-Alternative zu Tailscale für Teams die ihre VPN-Infrastruktur selbst kontrollieren wollen. WireGuard-Performance, Zero-Config-Verbindungen und vollständige Self-hosted-Option machen es zur idealen Lösung für KMU und DevOps-Teams.

Wir implementieren sichere Netzwerklösungen für Unternehmen in Heidelberg, Mannheim und der Rhein-Neckar-Region. VPN-Beratung anfragen.

Artikel teilen

LinkedIn X / Twitter Facebook WhatsApp

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Inhalte zu erstellen.

Kommentar hinterlassen

#Netzwerk#VPN#Zero Trust#WireGuard#Netbird

Verwandte Artikel

Windows DNS Server – Zonen und Records konfigurieren 2025

4 Min.

Windows DHCP Server mit Failover – Ausfallsicher 2025

4 Min.

WLAN Sicherheit – WPA3 und 802.1X Enterprise 2025

4 Min.