Portfreigaben gehören zu den Dingen, die auf den ersten Blick simpel aussehen — und bei denen man trotzdem in typische Fallen tappt. Der häufigste: Man richtet alles korrekt ein, der Port-Test schlägt trotzdem fehl. Meistens liegt das nicht an der Fritzbox, sondern am Anschlusstyp (DS-Lite) oder an einer wechselnden internen IP. Zweiter Klassiker: UPnP hat im Hintergrund Dutzende Ports geöffnet, die man nie bewusst freigegeben hat.
Diese Anleitung zeigt dir, wie du eine Portfreigabe an der Fritzbox sauber und sicher einrichtest — von der festen internen IP bis zum Praxistest. Dazu kommen die zwei häufigsten Fehlerbilder und wann ein VPN die bessere Wahl als eine offene Portweiterleitung ist.
Was eine Portfreigabe überhaupt macht
Bevor du in den Menüs der Fritzbox herumklickst, lohnt sich ein kurzer Blick darauf, was technisch eigentlich passiert. Deine Fritzbox ist ein Router mit NAT (Network Address Translation). Das bedeutet: Alle Geräte in deinem Heimnetz – Laptop, NAS, Konsole, Smartphone – teilen sich nach außen hin eine einzige öffentliche IP-Adresse. Anfragen, die du selbst startest (etwa eine Webseite aufrufen), werden von der Fritzbox automatisch dem richtigen Gerät zugeordnet, wenn die Antwort zurückkommt.
Das Problem beginnt, sobald jemand von außen die Verbindung aufbauen will. Die Fritzbox weiß dann nicht, an welches interne Gerät die Anfrage gehen soll, und blockt sie aus Sicherheitsgründen ab. Genau hier kommt die Portweiterleitung ins Spiel: Du legst fest, dass eingehende Anfragen auf einem bestimmten Port (zum Beispiel 25565 für Minecraft) an ein konkretes Gerät mit einer bestimmten internen IP-Adresse durchgereicht werden. Der Port ist dabei wie die Hausnummer hinter der Straße: Die öffentliche IP ist die Straße, der Port sagt der Fritzbox, an welche Tür sie klopfen soll.
Wichtig zu verstehen ist auch der Unterschied zur Portfreigabe im engeren Sinn. AVM nutzt beide Begriffe teils synonym, technisch meint “Portfreigabe” das gezielte Öffnen eines Ports für genau ein Gerät, während eine reine Weiterleitung den externen auf einen abweichenden internen Port umleiten kann. In der FRITZ!OS-Oberfläche findest du beides unter demselben Menüpunkt.
Sicherheitsrisiken der Portfreigabe
Achtung! Eine falsch konfigurierte Fritzbox Portfreigabe kann dein Netzwerk unsicher machen.
Hackerangriffe – Offene Ports können von Angreifern genutzt werden, um Zugriff auf dein Heimnetzwerk zu erhalten.
Jeder offene Port ist eine permanent erreichbare Tür ins Internet. Automatisierte Scanner durchsuchen das gesamte IPv4-Netz rund um die Uhr nach genau solchen offenen Ports und probieren dann bekannte Schwachstellen oder Standard-Passwörter durch. Besonders kritisch sind Dienste wie RDP (Port 3389), unverschlüsselte Kameras oder ältere NAS-Firmware. Wenn dahinter ein Gerät mit Standardzugangsdaten oder einer ungepatchten Sicherheitslücke hängt, ist dein gesamtes Heimnetz in Gefahr – nicht nur das eine freigegebene Gerät.
Schutzmaßnahmen:
- Verwende starke Passwörter für freigegebene Geräte und Dienste.
- Nutze nur notwendige Ports und schließe nicht benötigte Portfreigaben.
- Aktiviere eine Firewall oder setze ein VPN ein, um unautorisierten Zugriff zu verhindern.
- Überwache regelmäßig offene Ports und prüfe, ob du sie noch benötigst.
- Deaktiviere UPnP (Universal Plug and Play), wenn es nicht zwingend erforderlich ist, da es automatisch Ports öffnen kann.
Ein besonders unterschätztes Risiko ist UPnP. Viele Spiele und Programme öffnen sich darüber eigenständig Ports, ohne dass du etwas davon mitbekommst. Unter „Internet“ → „Freigaben“ → „Portfreigaben“ kannst du ganz unten die Option „Änderungen der Sicherheitseinstellungen über UPnP gestatten“ deaktivieren. Danach hast du wieder die volle Kontrolle darüber, welche Türen wirklich offen stehen.
Vorbereitung: feste IP-Adresse vergeben
Der häufigste Grund, warum eine Portfreigabe nach ein paar Tagen plötzlich nicht mehr funktioniert, ist eine wechselnde interne IP-Adresse. Standardmäßig vergibt die Fritzbox die IPs per DHCP – und nach einem Neustart kann dein NAS statt der 192.168.178.20 plötzlich die .25 haben. Die Portfreigabe zeigt dann ins Leere.
Lösung: Vergib dem Gerät eine feste IP. Gehe dazu auf „Heimnetz“ → „Netzwerk“, klicke beim gewünschten Gerät auf das Stift-Symbol zum Bearbeiten und aktiviere die Option „Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen“. Ab jetzt bekommt das Gerät dauerhaft dieselbe Adresse, und deine Freigabe bleibt stabil. Erledige diesen Schritt unbedingt, bevor du die eigentliche Freigabe anlegst.
Schritt-für-Schritt-Anleitung: Fritzbox Portfreigabe in der Fritz Box einrichten
Folge dieser einfachen Anleitung, um eine Portfreigabe in der Fritzbox zu erstellen:
1. Fritzbox-Oberfläche öffnen
- Öffne einen Browser und rufe http://fritz.box auf.
- Melde dich mit deinem Admin-Passwort an.
Falls die Adresse fritz.box nicht erreichbar ist (etwa weil dein DNS-Server umgestellt wurde), erreichst du die Oberfläche auch direkt über die Standard-IP http://192.168.178.1. Sollte die Fritzbox gar nicht antworten, hilft im Notfall die Wartungs-IP http://169.254.1.1, die immer funktioniert.
2. Zu den Portfreigaben navigieren
- Klicke auf „Internet“ → „Freigaben“.
- Wähle den Tab „Portfreigaben“.
Tipp: Wenn dir die erweiterten Menüpunkte fehlen, aktiviere oben rechts über das Drei-Punkte-Menü die „Erweiterte Ansicht“. Erst dann zeigt FRITZ!OS alle Konfigurationsmöglichkeiten an.
3. Neue Portfreigabe hinzufügen
- Klicke auf „Neue Portfreigabe“.
- Wähle das Gerät aus, für das du die Ports freigeben möchtest.
- Wähle den Dienst aus der Liste oder lege eine benutzerdefinierte Regel fest.
Hast du im vorherigen Schritt eine feste IP vergeben, taucht das Gerät hier zuverlässig in der Liste auf. Für eigene Anwendungen wählst du „andere Anwendung“ und vergibst einen aussagekräftigen Namen wie „Minecraft-Server“ – so weißt du auch in einem Jahr noch, wofür diese Regel gut war.
4. Portnummern und Protokoll einstellen
- Trage die benötigte Portnummer ein (z. B. 25565 für Minecraft-Server).
- Wähle das Protokoll (TCP, UDP oder beide).
- Falls erforderlich, gib eine interne IP-Adresse für das Gerät im Heimnetzwerk an.
Achte hier auf den Unterschied zwischen externem und internem Port. In den meisten Fällen sind beide identisch. Du kannst aber bewusst abweichen, etwa um einen Dienst nach außen über einen unauffälligen Port erreichbar zu machen. Wähle das Protokoll möglichst eng: Wenn ein Dienst nur TCP braucht, gib auch nur TCP frei. „Beide“ öffnet unnötig viel.
Falls du nicht sicher bist, welche Ports auf der Fritzbox benötigt werden, kannst du die Dokumentation der jeweiligen Anwendung oder des Geräts einsehen.
5. Änderungen speichern und testen
- Klicke auf „OK“ und dann auf „Übernehmen“, um die Freigabe zu speichern.
- Teste die Freigabe mit einem Port-Scanner (z. B. canyouseeme.org), um sicherzustellen, dass sie funktioniert.
Falls der Port-Test fehlschlägt, überprüfe, ob dein Internetanbieter bestimmte Ports blockiert oder ob deine Firewall die Verbindung einschränkt.
Ein sehr häufiger Stolperstein ist hier DS-Lite. Viele Anbieter (vor allem im Kabel- und Glasfasernetz) vergeben keine echte öffentliche IPv4-Adresse mehr, sondern nur noch IPv6 plus einen geteilten IPv4-Anschluss. In diesem Fall funktioniert eine klassische IPv4-Portfreigabe nicht, egal wie korrekt du sie einrichtest. Ob du betroffen bist, siehst du unter „Internet“ → „Online-Monitor“ oder unter den Internet-Details. Steht dort eine Adresse aus dem Bereich 100.64.x.x, hast du DS-Lite. Dann hilft entweder eine kostenlose echte IPv4 beim Anbieter (auf Anfrage), der Umweg über IPv6 oder – am elegantesten – ein VPN.
Typische offene Ports und ihre Verwendung
| Portnummer | Protokoll | Verwendung |
|---|---|---|
| 80 | TCP | HTTP – Webseitenzugriff |
| 443 | TCP | HTTPS – Sicherer Webseitenzugriff |
| 21 | TCP | FTP – Dateitransfer |
| 22 | TCP | SSH – Sicherer Fernzugriff |
| 3389 | TCP | RDP – Remote Desktop Verbindung |
| 25565 | TCP/UDP | Minecraft-Server |
| 8080 | TCP | Alternative für Webserver |
| 53 | UDP/TCP | DNS – Namensauflösung |
| 110 | TCP | POP3 – E-Mail Empfang |
| 143 | TCP | IMAP – E-Mail Abruf |
Diese Liste hilft dir, gängige Ports zuzuordnen. Ein wichtiger Hinweis aus der Praxis: Gib niemals leichtfertig RDP (3389) oder FTP (21) direkt ins Internet frei. RDP gehört zu den meistangegriffenen Ports überhaupt, und FTP überträgt Zugangsdaten im Klartext. Brauchst du Fernzugriff auf einen Windows-Rechner oder Dateizugriff, ist der Umweg über ein VPN deutlich sicherer.
Tipps für eine sichere Portfreigabe
Nutze statische IP-Adressen – Vermeide Probleme mit wechselnden IPs im Heimnetzwerk.
Nur notwendige Ports öffnen – Reduziere das Risiko von Angriffen.
VPN statt direkter Portfreigabe auf der Fritzbox – Ein VPN-Zugriff ist oft sicherer als eine offene Portweiterleitung. Statt jeden Dienst einzeln nach außen zu öffnen, baust du eine verschlüsselte Verbindung ins Heimnetz auf und erreichst alle Geräte so, als säßest du zu Hause. Die Fritzbox bringt das bereits ab Werk mit – wie du das einrichtest, zeigt dir die Anleitung WireGuard-VPN auf der Fritzbox einrichten.
Firmware der Fritzbox aktuell halten – Regelmäßige Updates minimieren Sicherheitslücken. AVM schließt mit jedem FRITZ!OS-Update bekannte Schwachstellen. Aktiviere unter „System“ → „Update“ am besten die automatische Aktualisierung.
Protokolle prüfen – Viele Dienste bieten Alternativen zu offenen Ports, z. B. cloudbasierte Lösungen für Fernzugriffe.
Konfiguration sichern – Bevor du größere Änderungen vornimmst, exportiere deine Einstellungen. Wie das geht, liest du unter Fritzbox-Einstellungen sichern. So bist du bei einem Fehlversuch in Minuten wieder auf dem alten Stand.
Praxisbeispiel: NAS sicher erreichbar machen
Ein klassischer Anwendungsfall ist der Zugriff auf eine Netzwerkfestplatte (NAS) von unterwegs. Hier zeigt sich gut, wie du Komfort und Sicherheit verbindest. Statt die Weboberfläche deines NAS direkt per Portfreigabe ins Internet zu stellen, lohnt sich fast immer der VPN-Weg. Möchtest du dennoch einzelne Dienste freigeben, nutze konsequent HTTPS statt HTTP, vergib ein langes, einzigartiges Passwort und aktiviere – falls vorhanden – die Zwei-Faktor-Authentifizierung am NAS selbst.
Wenn du deine an der Fritzbox angeschlossene USB-Festplatte als NAS nutzen möchtest, findest du die passende Einrichtung in der Anleitung Fritzbox als NAS einrichten. Für den generellen Fernzugriff auf deine Fritzbox-Oberfläche von außen ist Fritzbox-Zugriff aus dem Internet einrichten die richtige Adresse.
Häufige Fragen
Warum funktioniert meine Portfreigabe trotz korrekter Einstellung nicht? ▾
Die mit Abstand häufigste Ursache ist DS-Lite: Dein Anbieter vergibt keine echte öffentliche IPv4-Adresse, sodass eingehende IPv4-Verbindungen gar nicht erst bei dir ankommen. Prüfe unter „Internet“ → „Online-Monitor“, ob deine WAN-IP im Bereich 100.64.x.x liegt. Weitere Ursachen sind eine wechselnde interne IP des Zielgeräts, ein nicht laufender Dienst auf dem Gerät oder eine lokale Firewall, die den Port blockiert.
Was ist der Unterschied zwischen Portfreigabe und exponiertem Host? ▾
Eine Portfreigabe öffnet gezielt einzelne, von dir festgelegte Ports. Beim exponierten Host (oft auch DMZ genannt) leitet die Fritzbox dagegen alle eingehenden Verbindungen an ein einziges Gerät weiter. Das ist extrem unsicher, weil damit sämtliche Türen dieses Geräts offen stehen. Nutze den exponierten Host nur in absoluten Ausnahmefällen und niemals dauerhaft.
Brauche ich eine feste externe IP für die Portfreigabe? ▾
Nein. Da die meisten Anschlüsse eine wechselnde öffentliche IP haben, nutzt du am besten einen DynDNS-Dienst. Die Fritzbox unterstützt unter „Internet“ → „Freigaben“ → „DynDNS“ sowohl MyFRITZ! (kostenlos von AVM) als auch externe Anbieter. So erreichst du dein Heimnetz immer über denselben Namen, egal wie oft sich die IP ändert.
Ist eine Portfreigabe ein Sicherheitsrisiko für mein ganzes Netzwerk? ▾
Sie kann es sein. Eine Portfreigabe selbst ist nur eine Tür – entscheidend ist, was dahinter steht. Ein aktuelles, gut gesichertes Gerät mit starkem Passwort ist relativ unproblematisch. Ein veraltetes Gerät mit Standardzugangsdaten hingegen kann als Einfallstor für dein gesamtes Heimnetz dienen. Halte freigegebene Geräte deshalb immer aktuell und schließe Freigaben, sobald du sie nicht mehr brauchst.
Wie sehe ich, welche Ports aktuell offen sind? ▾
Alle aktiven Freigaben listet die Fritzbox unter „Internet“ → „Freigaben“ → „Portfreigaben“ auf. Zusätzlich solltest du dort prüfen, ob über UPnP automatisch Ports geöffnet wurden. Von außen kannst du mit einem Port-Scanner wie canyouseeme.org gezielt einzelne Ports testen.
Sollte ich IPv6 für Freigaben nutzen? ▾
Bei DS-Lite-Anschlüssen ist IPv6 oft der einzige Weg, dein Gerät direkt erreichbar zu machen, da es jedem Gerät eine eigene öffentliche Adresse gibt. Das funktioniert allerdings nur, wenn auch die Gegenstelle IPv6 spricht. Wie du IPv6 an der Box prüfst und für Freigaben richtig einrichtest, erklärt der Beitrag IPv6 in der Fritzbox richtig konfigurieren.
Fazit
Portfreigaben sind kein Hexenwerk, aber sie verlangen Sorgfalt: feste interne IP vergeben, nur den wirklich nötigen Port öffnen, UPnP deaktivieren. Wer RDP oder unverschlüsselte Dienste direkt ins Netz stellt, riskiert mehr, als er gewinnt — dort ist ein WireGuard-VPN die deutlich bessere Wahl.
Wenn der Port-Test trotz korrekter Einrichtung fehlschlägt, ist DS-Lite die mit Abstand häufigste Ursache. Ein Blick auf die WAN-IP unter „Internet” → „Online-Monitor” klärt das in 30 Sekunden.