Publiziert: Zuletzt aktualisiert:

NetBird

NetBird ist ein quelloffenes Overlay-Netzwerk auf Basis von WireGuard, das verschlüsselte Peer-to-Peer-Verbindungen zwischen verteilten Standorten und Servern selbst hostbar macht.


Sicheres Netzwerk über Standortgrenzen hinweg ohne offene Ports

NetBird verbindet Geräte, Server und Standorte zu einem einzigen privaten Netzwerk, unabhängig davon, in welchem Rechenzentrum, welcher Cloud oder hinter welchem Anschluss sie stehen. Der Datenverkehr fliesst direkt zwischen den Teilnehmern, Ende zu Ende verschlüsselt. Klassische VPN-Konzentratoren, manuell gepflegte Firewall-Regeln und nach aussen geöffnete Ports entfallen. Das Ergebnis ist ein flaches, durchgehend verschlüsseltes Netz, das mit der Zahl der angebundenen Maschinen wächst, statt komplexer zu werden.

Datenebene und Steuerungsebene sind sauber getrennt

Der entscheidende Aufbau von NetBird ist die Trennung zwischen der Datenebene und der Steuerungsebene.

Die Datenebene ist WireGuard. WireGuard ist ein schlankes, modernes VPN-Protokoll im Linux-Kernel und stellt die eigentlichen verschlüsselten Tunnel zwischen den Teilnehmern her. Der Nutzdatenverkehr fliesst ausschliesslich durch diese WireGuard-Tunnel, direkt von Teilnehmer zu Teilnehmer. Der private Schlüssel verlässt die jeweilige Maschine nie.

Die Steuerungsebene ist NetBird selbst. Sie verteilt die öffentlichen Schlüssel, weist Adressen zu, hält den Netzwerkzustand vor und setzt die Zugriffsrichtlinien durch. Sie bestimmt also, wer mit wem reden darf, transportiert aber keine Nutzdaten. Konkret besteht sie aus drei Diensten:

  • Management verwaltet den Netzwerkzustand, vergibt die Adressen der Teilnehmer und verteilt Konfiguration sowie Richtlinien.
  • Signal vermittelt die Teilnehmer untereinander und tauscht die Verbindungsinformationen aus, damit sich zwei Maschinen finden.
  • Relay dient als Rückfallweg, falls eine direkte Verbindung zwischen zwei Teilnehmern nicht zustande kommt.

Auf jeder Maschine läuft zusätzlich ein Agent, der die lokale WireGuard-Konfiguration aufbaut und mit der Steuerungsebene abgleicht.

architecture-beta
    group control(cloud)["NetBird Steuerung"]
    group siteA(cloud)["Standort A"]
    group siteB(cloud)["Standort B"]
    service management(server)["Management"] in control
    service signal(server)["Signal"] in control
    service relay(server)["Relay"] in control
    service peerA(server)["Peer A"] in siteA
    service peerB(server)["Peer B"] in siteB
    management:R -- L:peerA
    management:R -- L:peerB
    signal:R -- L:peerA
    signal:R -- L:peerB
    relay:B -- T:peerA
    relay:B -- T:peerB
    peerA:R -- L:peerB

Die Skizze zeigt das Prinzip: Die Steuerungsebene koordiniert und setzt Richtlinien durch, der eigentliche Verkehr läuft direkt zwischen den Agenten durch den WireGuard-Tunnel. Selbst wenn der Verkehr im Rückfall über das Relay läuft, bleibt er durch die WireGuard-Verschlüsselung für das Relay unlesbar.

NAT-Traversal verbindet Maschinen ohne öffentliche Adresse

Die meisten Server und Geräte stehen hinter einem Router oder einer Firewall und besitzen keine direkt erreichbare öffentliche Adresse. NetBird löst dieses Problem mit NAT-Traversal: Die Steuerungsebene hilft den Teilnehmern, über Verfahren wie ICE und STUN eine direkte Verbindung auszuhandeln, auch durch verschachtelte NAT-Schichten hindurch. Gelingt das, sprechen die Maschinen unmittelbar miteinander. Nur wenn kein direkter Pfad möglich ist, etwa hinter besonders restriktiven Netzen, springt das Relay als verschlüsselter Rückfallweg ein. Eingehende Ports müssen dafür nirgends geöffnet werden.

Selbst hostbar und quelloffen

NetBird ist quelloffen und kann vollständig auf eigener Infrastruktur betrieben werden, womit Netzwerk und Steuerungsebene in der eigenen Hand bleiben. Der Quellcode steht unter einer Doppellizenz: der grosse Teil des Codes unter der permissiven BSD-3-Clause-Lizenz, die Komponenten Management, Signal und Relay unter der AGPLv3. Neben dem Selbstbetrieb bietet der Hersteller auch einen verwalteten Cloud-Dienst an. Die Anbindung an bestehende Identitäten ist über gängige Anmeldeverfahren möglich, was den Ansatz an Zero Trust und an eine übergreifende Security-Strategie anschlussfähig macht. Der Selbstbetrieb zahlt zudem auf die Digitale Souveränität ein, weil weder Netzwerksteuerung noch Verkehr einen fremden Anbieter durchlaufen müssen.

Referenzen

Verwandte Themen

  • Zero Trust, das Sicherheitsmodell hinter identitäts- und richtlinienbasierter Verbindung statt Netzvertrauen.
  • Security-Strategie, die Einbettung von Overlay-Netzwerken in eine belastbare Gesamtarchitektur.
  • Digitale Souveränität, warum eigene Steuerungsebene und Datenpfade zählen.
  • Tailscale, der nahe Vergleich für WireGuard-basierte Overlay-Netzwerke.
  • authentik, der passende selbst betriebene Identity-Provider für Zugriffskontrolle und SSO.

KI fragen

Diese Links öffnen externe KI-Dienste, die Unterhaltung und deren Inhalt werden dabei an den jeweiligen Anbieter übertragen.