Zum Hauptinhalt springen
Blog

Von ZeroTier zu NetBird: Warum Stylite das Team-VPN auf Zero Trust umgestellt hat

Wim Bonis
Security Tools Open Source
Autor
Stylite AG
Spezialisten in ZFS storage solutions, security. Docker containerization for enterprise environments.
Inhaltsverzeichnis

Header-Bild

Ein Wechsel beim Team-VPN ist selten ein Spontankauf. Wer einmal eine stabile, performante Lösung im Haus hat, prüft Alternativen zunächst eher skeptisch. Bei Stylite war ZeroTier über Jahre der zuverlässige Begleiter für Team-Zugriff und Kundennetze – und doch fiel die Entscheidung jetzt zugunsten von NetBird . Im Gespräch mit Wim Bonis, CTO der Stylite AG, geht es um die Gründe, das technische Setup und die Erfahrungen aus dem Produktivbetrieb.

Vom funktionierenden System zur neuen Frage
#

Matteo Keller: Stylite hatte ZeroTier lange im Einsatz und war damit zufrieden. Warum dann der Blick auf eine neue Lösung?

Wim Bonis: ZeroTier hat eigentlich alles getan, was bei Stylite gebraucht wurde – schnell, flexibel, gut im Griff. Allerdings war die Regelerstellung für die Zugriffsverwaltung mittlerweile etwas antiquiert. Neue Dinge hinzuzunehmen war nicht immer trivial, und gerade beim Routing neuer Kundennetze gab es Reibung. Hinzu kommt: ZeroTier ist sehr gerätezentriert und weiß wenig über Personen. Vor einigen Jahren wurde dazu auf der Stylite-Seite bereits ein Vergleich von ZTNA und klassischem VPN veröffentlicht. Damals war NetBird noch nicht das, was es heute ist.

Beim erneuten Blick zeigte sich, dass alle damals negativen Punkte beseitigt sind, etliche Features hinzugekommen sind und – fast am wichtigsten – die Self-Hosted-Variante alles bietet, was Stylite braucht.

Identität statt nur Gerät
#

Matteo Keller: Du hast vorhin gesagt, ZeroTier sei gerätezentriert. Wie sieht der Ansatz bei NetBird konkret aus?

Wim Bonis: Bei NetBird hat jeder Mitarbeiter seine Devices – Windows, macOS oder Linux – über die er auf Server und Kundennetze zugreift. Die Kunden- und Servernetze gehören keinem Teammitglied, sondern sind eigenständige Mitglieder im Netzwerk. Stylite setzt dabei keinen externen Identity Provider ein, sondern nutzt die eingebaute Authentifizierung von NetBird. Praktisch ist, dass Zwei-Faktor-Authentifizierung direkt integriert ist.

Über das Gruppenkonzept lassen sich Berechtigungen sehr gezielt vergeben – also welche Gruppe auf welche Netze, Kunden oder Devices zugreifen darf. Die Regeln in der Web-UI sind einfach gehalten, aber wirksam. Das NetBird-Team hat hier wirklich gute Arbeit geleistet.

✅ Was am Modell überzeugt
#

  • Personen als first-class citizen: Benutzer und Gruppen sind eigenständige Objekte für Policies und nicht nur eine Eigenschaft von Maschinen-IDs.
  • Site-to-Site bleibt möglich: Ganze Netze treten als gleichberechtigte Member im Mesh auf – klassische Standortvernetzung lässt sich genauso abbilden wie Road-Warrior-Zugriff.
  • 2FA inklusive: Kein zusätzlicher TOTP-Stack notwendig, der Faktor ist Teil des Logins.
  • Klare Trennung: Mitarbeiter-Devices auf der einen Seite, Server- und Kundennetze als eigenständige Member auf der anderen.

Kundennetze als Routing-Peers
#

Matteo Keller: Das Anbinden neuer Kundennetze war bei ZeroTier ein Schmerzpunkt. Wie löst NetBird das?

Wim Bonis: Pro Kundennetz wird ein Routing-Peer eingesetzt – das kann eine beliebige Maschine sein, die dauerhaft läuft, gleich ob Linux oder Windows. Auf dieser wird die NetBird-Software installiert, und damit wird sie zum Gateway in das Kundennetz. Alles abgesichert, alles verschlüsselt. Diese Gateways lassen sich auch redundant auslegen: zwei Klicks, und ein zweites Gateway übernimmt im Failover-Fall. Ein neuer Kunde ist mit wenigen Klicks angebunden – die einzige relevante Entscheidung ist, auf welcher Hardware oder welchem Betriebssystem das Gateway betrieben werden soll.

# Installation eines NetBird Routing-Peers auf einem Linux-Gateway
curl -fsSL https://pkgs.netbird.io/install.sh | sh
netbird up --setup-key <SETUP_KEY>
# Anschliessend in der NetBird Web-UI:
# - Netzwerk-Resource fuer das Kundensubnetz anlegen
# - Policy fuer berechtigte Gruppe(n) hinterlegen

Performance, Peer-to-Peer und DNS
#

Matteo Keller: Unter der Haube läuft NetBird auf WireGuard. Wie macht sich das im Alltag bemerkbar?

Wim Bonis: Bei ZeroTier funktionierte alles zu rund 97 Prozent zuverlässig und durchaus performant. Manchmal hatte ZeroTier aber Probleme beim Aufbau der ersten Verbindung. Hintergrund ist die Art der Peer-Discovery, die in der ZeroTier-Dokumentation beschrieben ist und in der Idee an BitTorrent-Netzwerke erinnert. Das funktioniert in vielen Umgebungen gut, kann aber je nach NAT- und Firewall-Konstellation hakeln.

NetBird ist hier zielführender: WireGuard-Tunnel als Datenebene, ein Signaling-Server vermittelt die verfügbaren IPv4- und IPv6-Adressen, die Clients versuchen einen direkten Peer-to-Peer-Aufbau. Klappt das nicht, übernimmt ein Relay. Da Stylite die komplette Plattform selbst betreibt, lässt sich bei Bedarf problemlos ein zweiter Relay in einem anderen Land aufstellen. Bisher gab es im Betrieb keine Probleme.

Auch das DNS ist überzeugend gelöst: Stylite betreibt eine eigene NetBird-DNS-Zone. Jeder Mitarbeiter erreicht die Systeme über Namen statt über IP-Adressen – das spart im Alltag spürbar Reibung.

💡 Direkt vs. Relay – die wichtigsten Stichworte
#

  • WireGuard als Datenebene: ausgereift, schnell, gut auditiert.
  • Signaling-Server: vermittelt nur den Verbindungsaufbau, nicht den Traffic.
  • Relay als Fallback: greift nur, wenn NAT/Firewall keinen direkten Pfad zulassen – im Self-Hosting auch mehrfach betreibbar.

Der Umstieg – parallel statt großer Big-Bang
#

Matteo Keller: Wie lief der Cutover ab? ZeroTier war ja Produktivsystem.

Wim Bonis: Der Umzug war erstaunlich einfach. Auf die bestehenden ZeroTier-Gateways wurde zusätzlich NetBird installiert – das geht im Wesentlichen mit zwei Befehlszeilen. Damit liefen die Gateways eine Zeit lang in beiden Welten gleichzeitig. Sobald die Umstellung auf allen Seiten abgeschlossen war, wurde die ZeroTier-Komponente entfernt.

Der Client auf den Endgeräten ist ebenfalls schnell aufgesetzt: Installation, einmaliger Login – und schon ist das Endgerät einsatzbereit. Wie oft sich ein Nutzer neu authentifizieren muss, ist konfigurierbar. Bei Stylite ist eine Re-Authentifizierung alle 24 Stunden eingerichtet. Das ist im Arbeitsablauf nicht störend und sicher genug.

Geo-Restriktionen als Defense in Depth
#

Matteo Keller: Ein Detail, das mich überrascht hat: Country-Restrictions auf zwei Ebenen.

Wim Bonis: Genau. Zugriff auf das Stylite-Netzwerk ist standardmäßig nur aus Deutschland und einigen Nachbarländern erlaubt. Befindet sich ein Mitarbeiter ausnahmsweise in einem anderen Land, kann das Land kurzfristig freigeschaltet werden. Zusätzlich wurde auch für den NetBird-Management-Server selbst eine Geo-Restriction eingerichtet, sodass das Web-Frontend ebenfalls nur aus den bekannten Regionen erreichbar ist. Damit wird die Angriffsfläche unabhängig von der eigentlichen VPN-Logik weiter verkleinert.

Wie Geo-Restriktionen im Tagesgeschäft skalieren – klicken für Details
  • Standardländer freigeschaltet: Heimatland plus angrenzende Länder, in denen Reisen und Bereitschaftsdienst praktisch stattfinden.
  • Bedarfsweise erweitern: Bevor ein Mitarbeiter länger im Ausland arbeitet, wird das betreffende Land temporär aufgenommen.
  • Doppelter Boden: Geo-Filter sowohl auf der VPN-Ebene (Clients) als auch auf der Management-Plane.

Self-Hosting, Lizenz und der offene Standard
#

Matteo Keller: NetBird ist BSD-3-lizenziert und Stylite betreibt alles selbst. Welche Rolle hat das gespielt?

Wim Bonis: Auch ZeroTier wurde bei Stylite immer self-hosted betrieben. ZeroTier hat das Selbsthosting jedoch zunehmend erschwert – Komponenten waren nicht out of the box vorhanden, und der Controller musste teilweise aus den Quellen kompiliert werden. NetBird verfolgt hier einen offeneren Ansatz: Fast alles, was für den Produktivbetrieb nötig ist, steckt in der Open-Source-Variante. Das Aufsetzen ist mit Docker Compose erledigt – wenige Minuten, und die Plattform steht.

Was die kostenpflichtige Variante zusätzlich bietet, ist ein erweitertes Event-Logging, das im Detail zeigt, welche Nutzer welche Services ansprechen und welche Pakete verworfen wurden. Sollte das benötigt werden, wäre der Preis kein Hinderungsgrund – aber für den aktuellen Stylite-Bedarf reicht die Self-Hosted-Variante komfortabel aus.

Für die alltägliche Administration des Self-Hosted-Setups wurde dazu auf GitHub das kleine Open-Source-Projekt birdseye veröffentlicht. Es bündelt einen Audit-Event-Forwarder und ein paar Cleanup-Jobs für inaktive Peers und Setup-Keys – einfache Python- und Shell-Skripte, die das Tagesgeschäft im Self-Hosted NetBird spürbar entlasten.

🔧 Self-Hosted Setup in Stichpunkten
#

  • Docker Compose als Einstieg: Management, Signaling und Relay als Container.
  • Eigene DNS-Zone: Namensauflösung innerhalb des Mesh ohne externe Resolver.
  • Geo-Restriktionen am Management: zusätzlicher Reverse-Proxy mit Länderregeln, unabhängig vom NetBird-eigenen Schutz.
  • Routing-Peers im Kundennetz: jede stabile Maschine reicht als Gateway, redundante Auslegung mit zwei Klicks.

Wem NetBird passt – und wem weniger
#

Matteo Keller: Für welche Unternehmen würdest du NetBird klar empfehlen?

Wim Bonis: NetBird ist ideal für verteilte Unternehmen: mehrere Standorte, Road Warrior, viele Services, die irgendwo gehostet liegen und erreichbar sein müssen. Redundanz und Failover sind sehr einfach umzusetzen. Die Performance auf heutiger Hardware ist schlicht bombastisch. Für klassische Single-Site-Setups mit einem einzigen Office und ohne Außenanbindung ist der Funktionsumfang eher Overkill – aber genau diese Kundenrealität wird in der Praxis immer seltener.

Fazit
#

Der Wechsel von ZeroTier zu NetBird war bei Stylite weniger ein Bruch als eine konsequente Weiterentwicklung. Identitätsbasierte Zugriffsregeln, ein offener WireGuard-Mesh, sauberes DNS, simple Routing-Peers und eine geradlinige Self-Hosted-Architektur passen exakt auf den Stylite-Anwendungsfall: ein kleines Team, mehrere Standorte, eine wachsende Zahl an Kundennetzen und ein hoher Anspruch an Sicherheit und Nachvollziehbarkeit.

Wer heute ein neues Team-VPN sucht oder ein bestehendes ZTNA-Setup ablösen möchte, sollte NetBird ernsthaft auf den Prüfstand stellen – gerade in Kombination mit Self-Hosting und Geo-Restriktionen ergibt sich ein sehr stimmiges Bild.

Related Projects:

  • NetBird auf GitHub – Open-Source-Mesh-VPN auf WireGuard-Basis (BSD-3-Lizenz).
  • styliteag/birdseye – Audit-Event-Forwarder und Cleanup-Skripte für ein selbst gehostetes NetBird, gepflegt von Stylite.

Für Fragen zur Implementierung oder zu spezifischen Anwendungsfällen rund um Zero-Trust-Netzwerke und Self-Hosting stehen die Kolleginnen und Kollegen der Stylite AG gerne zur Verfügung.

Wim Bonis ist CTO der Stylite AG und beschäftigt sich schwerpunktmäßig mit Storage-Architekturen, IT-Sicherheit und Open-Source-Infrastruktur.

Verwandte Artikel

Stylite Free Tools – Datenschutzfreundliche Open-Source-Werkzeuge im Browser
Wim Bonis
Tools Open Source Security
Open Source im Unternehmen: Digitale Souveränität, Chancen und Verantwortung
Matteo Keller
Open Source Security Tools
HAProxy als Webproxy auf Securepoint UTM betreiben
Wim Bonis
Securepoint Security Tools
TrueNAS 26 – Ransomware-Schutz, Hybrid-Pools und ein neues Versionsschema
Wim Bonis
Storage TrueNAS ZFS Security Open Source
Passwort-Policy 2026: Warum die meisten Regeln veraltet sind – und was wirklich schützt
Wim Bonis
Security Tools
NFON Call Monitor – Echtzeit-Anrufüberwachung für NFON-Telefonanlagen
Wim Bonis
Tools Open Source NFON Telefonanlage CTI ProjectFacts
Can't Live Without You? Die Firewall-Illusion und die Realität
Wim Bonis
Security Firewall IT-Management Vendor-Beziehungen Open Source
FIO-Analyzer: Performance-Vergleich von ZFS und TrueNAS Servern
Wim Bonis
Storage Tools Open Source
Phishing erkennen, verstehen, vermeiden: Ein Leitfaden für Unternehmen und Anwender
Wim Bonis
Security Tools