Cyberschutzheld
Starlink & Remote-Zugriff: Port-Forwarding, CGNAT und die besten Alternativen 2026
🛰️ Starlink

Starlink & Remote-Zugriff: Port-Forwarding, CGNAT und die besten Alternativen 2026

Starlink & CGNAT: Warum Port-Forwarding nicht funktioniert und wie du mit Tailscale, Cloudflare Tunnel oder VPS trotzdem sicher auf deine NAS zugreifst.

📅 15. April 2026
⚠️
Transparenzhinweis: Dieser Artikel enthält Affiliate-Links. Wenn du über einen solchen Link ein Produkt kaufst oder buchst, erhalten wir ggf. eine Provision von dem jeweiligen Anbieter – für dich entstehen dabei keine Mehrkosten. Unsere Empfehlungen basieren auf unabhängigen Tests und Recherchen. Mehr zu unserer Redaktionspolitik →

Auf einen Blick: Starlink nutzt für Privatkunden Carrier-Grade NAT (CGNAT) – klassisches Port-Forwarding funktioniert damit nicht mehr. Dieser Artikel erklärt, warum das so ist, und zeigt vier praxiserprobte Alternativen: Tailscale (einfachste Lösung), Cloudflare Tunnel, VPS + WireGuard und den Starlink Priority-Tarif.

Wer von einem klassischen DSL- oder Kabelanschluss auf Starlink umsteigt, erlebt oft schon nach wenigen Tagen eine unangenehme Überraschung: Der Remote-Zugriff auf die NAS, den Heimserver oder die Überwachungskamera funktioniert plötzlich nicht mehr. Port-Weiterleitungen im Router bleiben wirkungslos, DynDNS liefert zwar eine Adresse – aber die Verbindung kommt trotzdem nicht durch. Manche Nutzer verbringen Stunden mit Fehlersuche, bevor sie verstehen, warum: Starlink setzt für Privatkunden auf sogenanntes Carrier-Grade NAT (CGNAT), und das macht klassisches Port-Forwarding praktisch unmöglich.

Dieser Artikel erklärt, was CGNAT ist, warum das ein echtes Problem für NAS-Nutzer und Selbsthosters darstellt – und zeigt dir vier praxiserprobte Lösungen, mit denen du trotzdem von überall auf dein Heimnetz zugreifen kannst.

Hinter dem Begriff Carrier-Grade NAT steckt eine Technik, die Internetanbieter nutzen, um den weltweiten Mangel an öffentlichen IPv4-Adressen zu überbrücken. Statt jedem Kunden eine eigene, direkt erreichbare öffentliche IP-Adresse zu geben, teilen sich beim CGNAT viele Kunden eine einzige öffentliche IP-Adresse – ähnlich wie sich mehrere Haushalte in einem Mehrfamilienhaus eine Hausnummer teilen, während jede Wohnung nur eine interne Zimmernummer hat.

Du erkennst CGNAT ganz einfach: Schaue in deinen Router-Einstellungen nach der WAN-IP-Adresse. Liegt sie im Bereich 100.64.0.0 – 100.127.255.255, bist du definitiv hinter CGNAT. Starlink nutzt genau diesen Adressbereich für Residential-Kunden. Das bedeutet:

  • Eingehende Verbindungen von außen kommen nie direkt bei dir an – das CGNAT-System des Providers blockiert sie.
  • Port-Forwarding im eigenen Router bleibt wirkungslos, weil der Router zwar intern weiterleitet, die Anfragen aber gar nicht erst ankommen.
  • Klassisches DynDNS hilft nicht, weil die WAN-IP nicht deine echte öffentliche Adresse ist – die teilst du mit Hunderten anderer Starlink-Kunden.

Das ist kein Bug und kein Einstellungsfehler, sondern eine bewusste Architekturentscheidung von Starlink für Privatkunden.

Was das konkret für NAS-Nutzer bedeutet

Eine NAS (Network Attached Storage – z. B. Synology, QNAP oder selbstgebaute TrueNAS-Systeme) ist für viele Nutzer der Kern des Heimnetzes: Dateien, Fotos, Backups, Streaming via Plex oder Jellyfin, manchmal sogar Überwachungskameras und Smart-Home-Daten laufen dort zusammen. Remote-Zugriff auf diese Daten ist für viele essentiell – sei es im Homeoffice, auf Reisen oder einfach vom Büro aus.

💡 Empfehlung: Synology NAS auf Amazon*

Mit CGNAT hinter Starlink funktionieren folgende Methoden nicht mehr:

  • Direkte Port-Weiterleitungen (z. B. Port 5001 für Synology DSM, Port 22 für SSH)
  • DynDNS mit eigenem Router, weil die WAN-IP keine erreichbare öffentliche IP ist
  • Synology QuickConnect ist eine Ausnahme und funktioniert auch hinter CGNAT, hat aber Einschränkungen bei Geschwindigkeit und Sicherheit
  • Plex/Jellyfin Remote-Relay ohne eigene öffentliche IP: Die Relay-Server von Plex funktionieren noch, sind aber deutlich langsamer als direkte Verbindungen

Kurz gesagt: Alles, was eine eingehende Verbindung von außen voraussetzt, scheitert an CGNAT.

Die vier besten Lösungen – von einfach bis selbstgebaut

Lösung 1: Tailscale – die einfachste Methode für die meisten Nutzer

Tailscale ist ein modernes VPN-Tool, das auf dem WireGuard-Protokoll basiert und speziell dafür gebaut wurde, Geräte hinter NAT oder CGNAT miteinander zu verbinden – ohne dass du auch nur eine Portweiterleitung konfigurieren musst. Tailscale nutzt sogenanntes NAT-Traversal (Hole-Punching), um direkte verschlüsselte Verbindungen zwischen deinen Geräten herzustellen, selbst wenn beide hinter verschiedenen NATs sitzen.

Warum Tailscale ideal für NAS-Nutzer ist:

  • Läuft als eigene App auf Synology NAS (im Package Center verfügbar), QNAP, Raspberry Pi, Windows, macOS, iOS und Android.
  • Kein offener Port notwendig – das System verbindet sich selbst nach außen und stellt einen verschlüsselten Kanal bereit.
  • Kostenlos für Privatnutzer mit bis zu 100 Geräten im persönlichen „Tailnet”.
  • Zugriff auf alle NAS-Dienste (DSM-Weboberfläche, SMB/Samba-Freigaben, SSH, Plex) über eine feste Tailscale-IP-Adresse (im 100.x.x.x-Bereich), die sich nie ändert.

Einrichtung Tailscale auf Synology (Kurzanleitung):

  1. Im Synology Package Center nach „Tailscale” suchen und installieren.
  2. Das Paket öffnen und mit dem eigenen Tailscale-Konto (kostenlose Registrierung unter tailscale.com) anmelden.
  3. Auf dem Smartphone oder Laptop ebenfalls Tailscale installieren und einloggen.
  4. Beide Geräte erscheinen nun im Tailscale-Dashboard; die NAS bekommt eine feste Tailscale-IP.
  5. Fertig – über diese IP erreichst du DSM-Weboberfläche, SSH, Samba, Plex etc., egal wo du bist.

Für fortgeschrittene Nutzer: Tailscale lässt sich als Subnet-Router auf der NAS konfigurieren, sodass alle Geräte im Heimnetz (nicht nur die NAS) über Tailscale erreichbar werden – inklusive Router-Oberfläche, Smart-Home-Hub oder IP-Kamera.

Sicherheitshinweis: Tailscale verschlüsselt alle Verbindungen mit WireGuard (ChaCha20, Poly1305), nutzt moderne Zero-Trust-Prinzipien und erfordert keine offenen Ports nach außen. Im Vergleich zu offenem Port-Forwarding ist das deutlich sicherer.

Lösung 2: Cloudflare Tunnel – kostenlos und perfekt für Webdienste

Wer eine Website, ein Web-Dashboard oder Dienste wie Nextcloud, Heimdall oder Jellyfin-Web aus dem Heimnetz heraus öffentlich zugänglich machen möchte, kommt mit Cloudflare Tunnel sehr weit – komplett kostenlos und ohne öffentliche IP. Cloudflare Tunnel funktioniert umgekehrt: Ein kleines Programm (cloudflared) läuft auf deiner NAS oder einem Mini-PC und baut eine ausgehende Verbindung zu Cloudflares globaler Infrastruktur auf. Anfragen an deine Domain werden dann durch diesen Tunnel geleitet.

Stärken von Cloudflare Tunnel:

  • Komplett kostenlos für Privatnutzer (man braucht nur eine eigene Domain, die über Cloudflares DNS läuft – Domains ab ca. 1 €/Jahr möglich).
  • Verschlüsselung (TLS), DDoS-Schutz und Web Application Firewall von Cloudflare inklusive.
  • Ideal für HTTP/HTTPS-basierte Dienste (Weboberflächen, APIs, Nextcloud, Jellyfin-Web).
  • Keine offenen Ports notwendig, läuft auch hinter CGNAT.

Nicht geeignet für: Reine Dateidienste über SMB/NFS (Netzlaufwerke), da diese keine HTTP-Verbindungen nutzen. Wer Samba-Freigaben remote benötigt, greift besser zu Tailscale.

Lösung 3: VPS + WireGuard – die flexible Self-Hosting-Lösung

Für technisch versierte Nutzer, die volle Kontrolle und maximale Flexibilität wollen, ist ein eigener VPS (Virtual Private Server) als Relay die mächtigste Lösung. Das Prinzip: Du mietest einen kleinen Cloud-Server (z. B. Hetzner CX22 für ca. 3–4 €/Monat, mit fester öffentlicher IP), richtest dort WireGuard ein und baust vom Heimnetz eine ausgehende WireGuard-Verbindung zum VPS auf. Der VPS leitet dann eingehende Anfragen über den Tunnel ins Heimnetz weiter.

Vorgehen auf einen Blick:

  1. VPS mit öffentlicher IP mieten (Hetzner, Netcup, DigitalOcean etc.).
  2. WireGuard auf dem VPS installieren und konfigurieren.
  3. WireGuard-Client auf dem Heimrouter oder der NAS einrichten, ausgehende Verbindung zum VPS.
  4. Auf dem VPS Portweiterleitung (Port-Forwarding via iptables oder nftables) aktivieren.
  5. Paketzustellung über das VPS-System aktivieren (net.ipv4.ip_forward=1).
  6. Firewall-Regeln für gewünschte Ports öffnen (z. B. 443, 80, 22, 5001).

Vorteile: Volle Kontrolle, kein Drittanbieter außer dem VPS-Hoster, beliebige Ports und Dienste erreichbar, statische öffentliche IP des VPS für DynDNS oder Wildcard-Zertifikate nutzbar.

Nachteile: Erfordert Linux-Kenntnisse und regelmäßige Wartung (Patches, Monitoring). Für Einsteiger ist Tailscale deutlich einfacher.

Lösung 4: Starlink Business / Priority-Tarif mit öffentlicher IP

Wenn du dauerhaft direkte Portfreigaben benötigst – etwa für einen selbst gehosteten Mailserver, VoIP-Anlage oder professionelles Remote-Desktop – ist der Starlink Priority-Tarif (ab ca. 65 USD/Monat, im Business-Dashboard) die direkteste Lösung. Dort kann eine öffentliche IPv4-Adresse aktiviert werden, die dann direktes Port-Forwarding am eigenen Router erlaubt. In Verbindung mit einem DynDNS-Dienst funktioniert dann auch der klassische Ansatz wieder, den man von DSL kennt.

Wichtig: Die IP ist zwar öffentlich, aber nicht statisch – sie kann sich ändern. Ein DynDNS-Dienst (z. B. DuckDNS, Cloudflare DDNS-Skript, FRITZ!Box-DynDNS) ist daher weiterhin empfehlenswert.

Für die meisten Heimanwender und KMU ohne echte Serverlast ist dieser Tarif aber überdimensioniert; Tailscale oder Cloudflare Tunnel leisten für den typischen Anwendungsfall das Gleiche – kostenlos und mit weniger Aufwand.

IPv6: Die technische Alternative, die kaum jemand nutzt

Starlink vergibt an alle Kunden eine öffentliche IPv6-Adresse – und IPv6 ist nicht hinter CGNAT versteckt. Technisch könnte man also über IPv6 direkt auf heimische Geräte zugreifen, wenn alle beteiligten Dienste (NAS, App, Router) IPv6 unterstützen. In der Praxis scheitert das jedoch häufig: Nicht alle Mobilfunknetze, öffentlichen WLANs oder Unternehmensnetzwerke unterstützen IPv6, sodass Remote-Zugriff über IPv6 allein heute noch keine zuverlässige Lösung für die breite Masse ist. Als ergänzender Weg für technisch erfahrene Nutzer ist IPv6 aber durchaus einen Blick wert.

Sicherheitsaspekte: Remote-Zugriff richtig absichern

Egal welche Lösung du wählst – wer Dienste von außen zugänglich macht, erhöht grundsätzlich die Angriffsfläche. Folgende Maßnahmen sind immer empfehlenswert:

  • Zwei-Faktor-Authentifizierung (2FA) für alle erreichbaren Dienste aktivieren (DSM, Nextcloud, VPN-Login).
  • SSH-Port von 22 auf einen nicht-standardisierten Port verlegen und Passwort-Login deaktivieren (nur SSH-Keys nutzen).
  • Tailscale ACLs oder Cloudflare Access nutzen, um den Zugriff auf bestimmte Benutzer oder Geräte zu beschränken – nicht jeder im Tailnet muss jede NAS-Funktion erreichen.
  • Regelmäßige Updates für NAS-Betriebssystem, installierte Pakete und VPN-Clients; ungepatchte Systeme sind das häufigste Einfallstor.
  • Kein direkter Zugriff auf Admin-Ports (DSM-Port 5000/5001) über öffentliche Tunnel; besser: Zugriff nur über VPN oder Cloudflare Access mit Vorauthentifizierung.
  • Backups – auch die beste Sicherheitsarchitektur schützt nicht vor Ransomware oder Bedienfehlern; externe Backups (3-2-1-Prinzip) bleiben Pflicht.

Starlink setzt für Privatkunden CGNAT ein, bei dem viele Nutzer eine öffentliche IP teilen. Eingehende Verbindungen kommen daher gar nicht erst am eigenen Router an, sodass Portfreigaben wirkungslos sind. Die Lösung ist ein Dienst, der ausgehende Verbindungen nutzt (Tailscale, Cloudflare Tunnel) oder ein Upgrade auf den Priority-Tarif mit eigener öffentlicher IP.

Kann ich Synology QuickConnect weiter nutzen?

Ja – QuickConnect funktioniert auch hinter CGNAT, da Synology eigene Relay-Server betreibt, über die die Verbindung vermittelt wird. Der Nachteil: Für Dateiübertragungen und Medienwiedergabe ist QuickConnect über Relay deutlich langsamer als eine direkte Verbindung. Für Dateizugriffe und Streaming empfiehlt sich Tailscale, das oft direkte Verbindungen herstellt und damit die volle Bandbreite nutzt.

Ist Tailscale sicher genug für den Zugriff auf meine NAS?

Tailscale gilt als sehr sicher: Die Verbindungen sind Ende-zu-Ende mit WireGuard verschlüsselt, Authentifizierung erfolgt über Single Sign-On (Google, Microsoft, GitHub) oder ein eigenes Tailscale-Konto, und Zero-Trust-Prinzipien sind fest eingebaut. Tailscale-Server übermitteln nur Verbindungsmetadaten; der eigentliche Datenverkehr fließt direkt zwischen deinen Geräten, ohne Tailscales Infrastruktur zu durchlaufen (bei direkter Verbindung). Zusätzlich sollte auf der NAS selbst 2FA aktiv sein.

Was kostet Tailscale für den Heimgebrauch?

Tailscale ist für Privatnutzer mit bis zu 100 Geräten und einem Benutzer kostenlos. Für Familien oder kleine Teams gibt es günstige bezahlte Pläne, die mehrere Benutzer und erweiterte ACL-Funktionen bieten.

Mit dem Standard-Residential-Tarif nicht. Nur der Priority-Tarif (Business) bietet eine öffentliche IPv4-Adresse, die aber ebenfalls dynamisch ist. Eine echte statische IP ist bei Starlink derzeit nicht erhältlich; Workarounds sind ein DynDNS-Dienst in Kombination mit öffentlicher IP (Priority-Tarif) oder die oben beschriebenen Tunnel-Lösungen.

Plex nutzt bei fehlender direkter Verbindung automatisch eigene Relay-Server, was remote grundsätzlich funktioniert, aber spürbar langsamer ist. Jellyfin hat keinen eigenen Relay und benötigt entweder Tailscale oder Cloudflare Tunnel, um aus dem Internet erreichbar zu sein. Mit Tailscale als Subnet-Router läuft sowohl Plex als auch Jellyfin in der Regel mit voller Heimnetz-Geschwindigkeit – zumindest so schnell, wie der Upload-Anschluss von Starlink es erlaubt.

Kann ich mehrere NAS-Dienste gleichzeitig über Tailscale erreichen?

Ja – Tailscale gibt deiner NAS eine feste IP im Tailnet (z. B. 100.x.x.x), über die alle laufenden Dienste erreichbar sind: DSM-Weboberfläche (Port 5001), SSH (Port 22), SMB (Port 445), Plex (Port 32400) usw. Als Subnet-Router konfiguriert, sind sogar alle anderen Geräte im Heimnetz (Router-Oberfläche, Smart-Home-Hub, IP-Kamera) über Tailscale erreichbar.

Fazit: CGNAT ist kein K.O.-Kriterium

Carrier-Grade NAT ist frustrierend, wenn man es nicht kennt – aber kein unüberwindbares Hindernis. Mit Tailscale steht Heimanwendern und KMU eine elegante, sichere und kostenlose Lösung zur Verfügung, die in wenigen Minuten auf einer Synology NAS installiert ist und danach zuverlässig funktioniert. Für öffentlich zugängliche Web-Dienste ergänzt Cloudflare Tunnel das Bild. Wer volle Kontrolle bevorzugt, kann mit einem kleinen VPS und WireGuard eine eigene Relay-Infrastruktur aufbauen.

Wichtiger als die gewählte Lösung ist, dass Remote-Zugriff sicher konfiguriert wird: mit 2FA, aktuellen Software-Patches, minimaler Angriffsfläche und klaren Zugriffsregeln – denn eine NAS mit Fotos, Backups und Firmendaten ist eines der attraktivsten Ziele für Angreifer im Heimnetz.

🛸 Starlink-Tipp: Du möchtest Starlink testen? Über meinen persönlichen Empfehlungslink bekommst du den ersten Monat kostenlos. Ich erhalte ebenfalls einen Gratismonat — für dich entstehen keine Mehrkosten.

Jetzt Starlink bestellen — 1 Monat gratis sichern

Empfehlungslink mit gegenseitigem Vorteil

Weitere Artikel aus diesem Thema

Starlink sicher nutzen 2026: Router, Firewall, Gastnetz & VPN

Starlink sicher konfigurieren: WLAN-Einstellungen, Gastnetz, Firewall-Router und VPN – die wichtigsten Schutzmaßnahmen Schritt für Schritt erklärt.

Starlink & Datenschutz 2026: KI-Training, DSGVO & Opt-out-Anleitung

SpaceX nutzt Starlink-Daten für KI-Training. Wir erklären die DSGVO-Rechtslage, das LG-Karlsruhe-Urteil und wie du den Opt-out Schritt für Schritt setzt.

Starlink für KMU & Homeoffice: Sicherer Einsatz in der Praxis 2026

Starlink im Unternehmen und Homeoffice: So sicherst du die Verbindung ab, trennst Netzwerke, nutzt Backup-Internet und erfüllst DSGVO-Anforderungen.