Portfreigaben gehören zu den Dingen, die auf den ersten Blick simpel aussehen und bei denen man trotzdem in typische Fallen tappt. Der häufigste: Man richtet alles korrekt ein, der Port-Test schlägt trotzdem fehl. Meistens liegt das nicht an der Fritzbox, sondern am Anschlusstyp (DS-Lite) oder an einer wechselnden internen IP. Zweiter Klassiker: UPnP hat im Hintergrund Dutzende Ports geöffnet, die man nie bewusst freigegeben hat.
Den UPnP-Punkt schauen wir uns gleich genauer an. Erst aber die Frage, warum die Box eine Anfrage von außen überhaupt blockt.
Was eine Portfreigabe überhaupt macht
Bevor du in den Menüs der Fritzbox herumklickst, lohnt sich ein kurzer Blick darauf, was technisch eigentlich passiert. Deine Fritzbox ist ein Router mit NAT (Network Address Translation). Das bedeutet: Alle Geräte in deinem Heimnetz – Laptop, NAS, Konsole, Smartphone – teilen sich nach außen hin eine einzige öffentliche IP-Adresse. Anfragen, die du selbst startest (etwa eine Webseite aufrufen), werden von der Fritzbox automatisch dem richtigen Gerät zugeordnet, wenn die Antwort zurückkommt.
Das Problem beginnt, sobald jemand von außen die Verbindung aufbauen will. Die Fritzbox weiß dann nicht, an welches interne Gerät die Anfrage gehen soll, und blockt sie aus Sicherheitsgründen ab. Genau hier kommt die Portweiterleitung ins Spiel: Du legst fest, dass eingehende Anfragen auf einem bestimmten Port (zum Beispiel 25565 für Minecraft) an ein konkretes Gerät mit einer bestimmten internen IP-Adresse durchgereicht werden. Der Port ist dabei wie die Hausnummer hinter der Straße: Die öffentliche IP ist die Straße, der Port sagt der Fritzbox, an welche Tür sie klopfen soll.
Wichtig zu verstehen ist auch der Unterschied zur Portfreigabe im engeren Sinn. AVM nutzt beide Begriffe teils synonym, technisch meint “Portfreigabe” das gezielte Öffnen eines Ports für genau ein Gerät, während eine reine Weiterleitung den externen auf einen abweichenden internen Port umleiten kann. In der FRITZ!OS-Oberfläche findest du beides unter demselben Menüpunkt.
Sicherheitsrisiken der Portfreigabe
Jeder offene Port ist eine permanent erreichbare Tür ins Internet. Automatisierte Scanner durchsuchen das gesamte IPv4-Netz rund um die Uhr nach genau solchen offenen Ports und probieren dann bekannte Schwachstellen oder Standard-Passwörter durch. Besonders kritisch sind Dienste wie RDP (Port 3389), unverschlüsselte Kameras oder ältere NAS-Firmware. Wenn dahinter ein Gerät mit Standardzugangsdaten oder einer ungepatchten Sicherheitslücke hängt, ist dein gesamtes Heimnetz in Gefahr, nicht nur das eine freigegebene Gerät.
Ein besonders unterschätztes Risiko ist UPnP. Viele Spiele und Programme öffnen sich darüber eigenständig Ports, ohne dass du etwas davon mitbekommst. Unter „Internet“ → „Freigaben“ → „Portfreigaben“ kannst du ganz unten die Option „Änderungen der Sicherheitseinstellungen über UPnP gestatten“ deaktivieren. Danach hast du wieder die volle Kontrolle darüber, welche Türen wirklich offen stehen.
Mein Admin-Tipp: Geh nach jedem neuen Gerät einmal in diese Liste. Bei mir hatte ein Smart-TV per UPnP zwei Ports aufgemacht, von denen ich nichts wusste. Erst der Blick in die Liste hat es gezeigt.
Vorbereitung: feste IP-Adresse vergeben
Der häufigste Grund, warum eine Portfreigabe nach ein paar Tagen plötzlich nicht mehr funktioniert, ist eine wechselnde interne IP-Adresse. Standardmäßig vergibt die Fritzbox die IPs per DHCP – und nach einem Neustart kann dein NAS statt der 192.168.178.20 plötzlich die .25 haben. Die Portfreigabe zeigt dann ins Leere.
Lösung: Vergib dem Gerät eine feste IP. Gehe dazu auf „Heimnetz“ → „Netzwerk“, klicke beim gewünschten Gerät auf das Stift-Symbol zum Bearbeiten und aktiviere die Option „Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen“. Ab jetzt bekommt das Gerät dauerhaft dieselbe Adresse, und deine Freigabe bleibt stabil. Erledige diesen Schritt unbedingt, bevor du die eigentliche Freigabe anlegst.
Portfreigabe einrichten: Schritt für Schritt
1. Fritzbox-Oberfläche öffnen
- Öffne einen Browser und rufe http://fritz.box auf.
- Melde dich mit deinem Admin-Passwort an.
Falls die Adresse fritz.box nicht erreichbar ist (etwa weil dein DNS-Server umgestellt wurde), erreichst du die Oberfläche auch direkt über die Standard-IP http://192.168.178.1. Sollte die Fritzbox gar nicht antworten, hilft im Notfall die Wartungs-IP http://169.254.1.1, die immer funktioniert.
2. Zu den Portfreigaben navigieren
- Klicke auf „Internet“ → „Freigaben“.
- Wähle den Tab „Portfreigaben“.
Tipp: Wenn dir die erweiterten Menüpunkte fehlen, aktiviere oben rechts über das Drei-Punkte-Menü die „Erweiterte Ansicht“. Erst dann zeigt FRITZ!OS alle Konfigurationsmöglichkeiten an.
3. Neue Portfreigabe hinzufügen
- Klicke auf „Neue Portfreigabe“.
- Wähle das Gerät aus, für das du die Ports freigeben möchtest.
- Wähle den Dienst aus der Liste oder lege eine benutzerdefinierte Regel fest.
Hast du im vorherigen Schritt eine feste IP vergeben, taucht das Gerät hier zuverlässig in der Liste auf. Für eigene Anwendungen wählst du „andere Anwendung“ und vergibst einen aussagekräftigen Namen wie „Minecraft-Server“ – so weißt du auch in einem Jahr noch, wofür diese Regel gut war.
4. Portnummern und Protokoll einstellen
- Trage die benötigte Portnummer ein (z. B. 25565 für Minecraft-Server).
- Wähle das Protokoll (TCP, UDP oder beide).
- Falls erforderlich, gib eine interne IP-Adresse für das Gerät im Heimnetzwerk an.
Achte hier auf den Unterschied zwischen externem und internem Port. In den meisten Fällen sind beide identisch. Du kannst aber bewusst abweichen, etwa um einen Dienst nach außen über einen unauffälligen Port erreichbar zu machen. Wähle das Protokoll möglichst eng: Wenn ein Dienst nur TCP braucht, gib auch nur TCP frei. „Beide“ öffnet unnötig viel.
Falls du nicht sicher bist, welche Ports auf der Fritzbox benötigt werden, kannst du die Dokumentation der jeweiligen Anwendung oder des Geräts einsehen.
5. Änderungen speichern und testen
- Klicke auf „OK“ und dann auf „Übernehmen“, um die Freigabe zu speichern.
- Teste die Freigabe mit einem Port-Scanner (z. B. canyouseeme.org), um sicherzustellen, dass sie funktioniert.
Falls der Port-Test fehlschlägt, überprüfe, ob dein Internetanbieter bestimmte Ports blockiert oder ob deine Firewall die Verbindung einschränkt.
Ein sehr häufiger Stolperstein ist hier DS-Lite. Viele Anbieter (vor allem im Kabel- und Glasfasernetz) vergeben keine echte öffentliche IPv4-Adresse mehr, sondern nur noch IPv6 plus einen geteilten IPv4-Anschluss. In diesem Fall funktioniert eine klassische IPv4-Portfreigabe nicht, egal wie korrekt du sie einrichtest. Ob du betroffen bist, siehst du unter „Internet“ → „Online-Monitor“ oder unter den Internet-Details. Steht dort eine Adresse aus dem Bereich 100.64.x.x, hast du DS-Lite. Dann hilft entweder eine kostenlose echte IPv4 beim Anbieter (auf Anfrage), der Umweg über IPv6 oder – am elegantesten – ein VPN.
Typische offene Ports und ihre Verwendung
| Portnummer | Protokoll | Verwendung |
|---|---|---|
| 80 | TCP | HTTP – Webseitenzugriff |
| 443 | TCP | HTTPS – Sicherer Webseitenzugriff |
| 21 | TCP | FTP – Dateitransfer |
| 22 | TCP | SSH – Sicherer Fernzugriff |
| 3389 | TCP | RDP – Remote Desktop Verbindung |
| 25565 | TCP/UDP | Minecraft-Server |
| 8080 | TCP | Alternative für Webserver |
| 53 | UDP/TCP | DNS – Namensauflösung |
| 110 | TCP | POP3 – E-Mail Empfang |
| 143 | TCP | IMAP – E-Mail Abruf |
Diese Liste hilft dir, gängige Ports zuzuordnen. Ein wichtiger Hinweis aus der Praxis: Gib niemals leichtfertig RDP (3389) oder FTP (21) direkt ins Internet frei. RDP gehört zu den meistangegriffenen Ports überhaupt, und FTP überträgt Zugangsdaten im Klartext. Brauchst du Fernzugriff auf einen Windows-Rechner oder Dateizugriff, ist der Umweg über ein VPN deutlich sicherer.
Tipps für eine sichere Portfreigabe
Zwei Dinge gehen beim Thema Portfreigabe oft unter, obwohl sie im Ernstfall den Unterschied machen. Das erste ist die Firmware. AVM schließt mit jedem FRITZ!OS-Update bekannte Schwachstellen, und gerade bei einer Box, die nach außen offen ist, willst du diese Updates nicht von Hand nachhalten. Aktiviere unter „System“ → „Update“ die automatische Aktualisierung und vergiss das Thema.
Das zweite ist die Sicherung. Bevor du an den Freigaben oder größeren Einstellungen schraubst, exportiere einmal deine Konfiguration. Wie das geht, liest du unter Fritzbox-Einstellungen sichern. Wenn du dich verklickst oder eine Regel das Netz lahmlegt, bist du damit in Minuten wieder auf dem alten Stand, statt alles neu aufzubauen.
Praxisbeispiel: NAS sicher erreichbar machen
Ich greife auf meine Synology von unterwegs zu, und zwar bewusst nicht per Portfreigabe. Als ich vor Jahren testweise die DSM-Oberfläche auf Port 5001 freigegeben hatte, standen nach zwei Tagen die ersten fremden Login-Versuche im Log. Seitdem läuft der NAS-Zugriff bei mir komplett über WireGuard, und die Weboberfläche ist von außen schlicht nicht erreichbar. Willst du trotzdem einzelne Dienste direkt freigeben, dann wenigstens konsequent über HTTPS statt HTTP, mit einem langen, einzigartigen Passwort und, falls vorhanden, aktivierter Zwei-Faktor-Authentifizierung am NAS selbst.
Wenn du deine an der Fritzbox angeschlossene USB-Festplatte als NAS nutzen möchtest, findest du die passende Einrichtung in der Anleitung Fritzbox als NAS einrichten. Für den generellen Fernzugriff auf deine Fritzbox-Oberfläche von außen ist Fritzbox-Zugriff aus dem Internet einrichten die richtige Adresse.
Häufige Fragen
Warum zeigt canyouseeme „offen“, obwohl gar kein Dienst läuft? ▾
Das passiert öfter, als man denkt, und führt zu Fehlersuchen am falschen Ende. Manche Port-Tester melden einen Port schon dann als offen, wenn die Fritzbox die Verbindung durchlässt, unabhängig davon, ob auf dem Zielgerät überhaupt etwas auf dem Port lauscht. Umgekehrt zeigt ein sauberer Test erst dann „offen“, wenn auch der Dienst tatsächlich antwortet. Starte im Zweifel den Dienst auf dem Gerät und teste danach erneut. Verlässlicher als ein Klick auf canyouseeme ist ohnehin ein Verbindungsversuch von einem echten Gerät außerhalb deines Netzes, etwa über das Mobilfunknetz statt über dein WLAN.
Was ist der Unterschied zwischen Portfreigabe und exponiertem Host? ▾
Eine Portfreigabe öffnet gezielt einzelne, von dir festgelegte Ports. Beim exponierten Host (oft auch DMZ genannt) leitet die Fritzbox dagegen alle eingehenden Verbindungen an ein einziges Gerät weiter. Das ist extrem unsicher, weil damit sämtliche Türen dieses Geräts offen stehen. Nutze den exponierten Host nur in absoluten Ausnahmefällen und niemals dauerhaft.
Brauche ich eine feste externe IP für die Portfreigabe? ▾
Nein. Da die meisten Anschlüsse eine wechselnde öffentliche IP haben, nutzt du am besten einen DynDNS-Dienst. Die Fritzbox unterstützt unter „Internet“ → „Freigaben“ → „DynDNS“ sowohl MyFRITZ! (kostenlos von AVM) als auch externe Anbieter. So erreichst du dein Heimnetz immer über denselben Namen, egal wie oft sich die IP ändert.
Ist eine Portfreigabe ein Sicherheitsrisiko für mein ganzes Netzwerk? ▾
Sie kann es sein. Eine Portfreigabe selbst ist nur eine Tür – entscheidend ist, was dahinter steht. Ein aktuelles, gut gesichertes Gerät mit starkem Passwort ist relativ unproblematisch. Ein veraltetes Gerät mit Standardzugangsdaten hingegen kann als Einfallstor für dein gesamtes Heimnetz dienen. Halte freigegebene Geräte deshalb immer aktuell und schließe Freigaben, sobald du sie nicht mehr brauchst.
Kann ich Port 443 freigeben, obwohl die Fritzbox-Oberfläche selbst HTTPS nutzt? ▾
Ja, das geht, weil sich die Freigabe auf ein internes Gerät bezieht und nicht auf die Box selbst. Trotzdem lohnt ein Blick darauf, ob du parallel den Fernzugriff auf die Fritzbox-Oberfläche (MyFRITZ! bzw. „Internetzugriff erlauben“) aktiviert hast, denn der belegt extern ebenfalls einen HTTPS-Port. Kollidiert dabei etwas, weiche beim freigegebenen Dienst einfach auf einen abweichenden externen Port aus und leite ihn intern auf 443 weiter. Den Punkt für externen und internen Port hast du in Schritt 4 dafür schon kennengelernt.
Sollte ich IPv6 für Freigaben nutzen? ▾
Bei DS-Lite-Anschlüssen ist IPv6 oft der einzige Weg, dein Gerät direkt erreichbar zu machen, da es jedem Gerät eine eigene öffentliche Adresse gibt. Das funktioniert allerdings nur, wenn auch die Gegenstelle IPv6 spricht. Wie du IPv6 an der Box prüfst und für Freigaben richtig einrichtest, erklärt der Beitrag IPv6 in der Fritzbox richtig konfigurieren.
Fazit
Portfreigaben sind kein Hexenwerk, aber sie verlangen Sorgfalt: feste interne IP vergeben, nur den wirklich nötigen Port öffnen, UPnP deaktivieren. Wer RDP oder unverschlüsselte Dienste direkt ins Netz stellt, riskiert mehr, als er gewinnt. Dort ist ein WireGuard-VPN die deutlich bessere Wahl.
Wenn der Port-Test trotz korrekter Einrichtung fehlschlägt, ist DS-Lite die mit Abstand häufigste Ursache. Ein Blick auf die WAN-IP unter „Internet” → „Online-Monitor” klärt das in 30 Sekunden.