TCP/IP – Grundlagen
Was hinter jeder Netzwerkverbindung steckt: IP-Adressen, Subnetzmasken, Ports und die wichtigsten Diagnose-Befehle für den IT-Alltag.
Was ist TCP/IP?
TCP/IP ist kein einzelnes Protokoll, sondern eine ganze Protokollfamilie – das Fundament, auf dem jede moderne Netzwerkkommunikation aufbaut. Egal ob du eine E-Mail versendest, eine Website aufrufst oder via Teams telefonierst: Im Hintergrund läuft immer TCP/IP.
Die zwei wichtigsten Mitglieder dieser Familie:
- IP (Internet Protocol) – kümmert sich um die Adressierung und das Routing von Datenpaketen. Jedes Paket bekommt eine Absender- und Zieladresse.
- TCP (Transmission Control Protocol) – stellt eine zuverlässige, verbindungsorientierte Verbindung sicher. Pakete kommen an, werden bestätigt und bei Verlust neu gesendet.
Daneben gibt es noch UDP (User Datagram Protocol): schneller als TCP, aber ohne Bestätigung. Wird für VoIP, Videocalls oder DNS genutzt – wo Geschwindigkeit wichtiger ist als absolute Zuverlässigkeit.
Das TCP/IP-Schichtenmodell
TCP/IP wird oft als 4-Schichten-Modell dargestellt. Als Vergleich siehst du daneben das bekanntere 7-Schichten-OSI-Modell – das OSI-Modell dient vor allem als Referenzrahmen für Troubleshooting (Layer 1 bis 7 von unten nach oben prüfen).
| TCP/IP-Schicht | OSI-Schichten | Protokolle/Aufgaben |
|---|---|---|
| Anwendung | 5, 6, 7 – Session, Presentation, Application | HTTP, HTTPS, DNS, FTP, SMTP, RDP, SMB |
| Transport | 4 – Transport | TCP, UDP – Ports, Verbindungen |
| Internet | 3 – Network | IP, ICMP, ARP – Routing, Adressierung |
| Netzzugang | 1, 2 – Physical, Data Link | Ethernet, WLAN – Kabel, MAC-Adressen |
Im Alltag hilft das Modell, Probleme einzugrenzen: Wenn ping funktioniert (Schicht 3), aber ein Dienst nicht erreichbar ist, liegt das Problem auf Schicht 4 (Port/Firewall) oder höher.
IPv4-Adressen verstehen
Eine IPv4-Adresse besteht aus 32 Bits, dargestellt als vier Dezimalzahlen von 0 bis 255, getrennt durch Punkte – zum Beispiel 192.168.1.42.
Jede Adresse teilt sich auf in:
- Netzwerkteil – welches Netzwerk (bestimmt durch die Subnetzmaske)
- Hostteil – welcher Rechner innerhalb dieses Netzwerks
Private vs. öffentliche Adressen
Für interne Netzwerke sind drei Adressbereiche reserviert – diese Adressen werden niemals im Internet geroutet:
| Bereich | CIDR | Einsatz |
|---|---|---|
10.0.0.0 – 10.255.255.255 | /8 | Grosse Firmennetzwerke (Class A) |
172.16.0.0 – 172.31.255.255 | /12 | Mittelgrosse Netzwerke (Class B) |
192.168.0.0 – 192.168.255.255 | /16 | Heimnetz, KMU (Class C) |
169.254.0.0 – 169.254.255.255 | /16 | APIPA – kein DHCP erreichbar |
Subnetzmaske und CIDR-Notation
Die Subnetzmaske teilt eine IP-Adresse in Netzwerk- und Hostteil auf. Sie wird entweder als Dezimalzahl (255.255.255.0) oder in CIDR-Notation (/24) angegeben.
Die CIDR-Zahl gibt an, wie viele Bits von links für den Netzwerkteil reserviert sind.
| CIDR | Subnetzmaske | Nutzbare Hosts | Typischer Einsatz |
|---|---|---|---|
/8 | 255.0.0.0 | 16’777’214 | Grosse Unternehmen (Class A) |
/16 | 255.255.0.0 | 65’534 | Rechenzentren, Campusnetz |
/24 | 255.255.255.0 | 254 | Abteilungsnetz, Standard-KMU |
/25 | 255.255.255.128 | 126 | Aufgeteiltes /24 |
/26 | 255.255.255.192 | 62 | Kleinsegment |
/30 | 255.255.255.252 | 2 | Punkt-zu-Punkt-Verbindungen |
Wie viele Hosts passen rein? Formel: 2^(32 - CIDR) - 2. Das Minus 2 kommt daher, dass die erste Adresse die Netzwerkadresse und die letzte die Broadcast-Adresse ist.
Beispiel: /24 → 2^8 - 2 = 254 nutzbare Hosts.
Beispiel aus dem Alltag
Dein KMU nutzt 192.168.10.0/24:
- Netzwerkadresse:
192.168.10.0 - Erste nutzbare IP:
192.168.10.1(oft der Router/Gateway) - Letzte nutzbare IP:
192.168.10.254 - Broadcast:
192.168.10.255 - Subnetzmaske:
255.255.255.0
Standard-Gateway und Routing
Das Standard-Gateway ist die IP-Adresse des Routers in deinem Netzwerk. Wenn dein PC ein Paket an eine IP ausserhalb des eigenen Subnetzes schicken will, leitet er es zuerst an den Router weiter – dieser weiss, wohin das Paket als nächstes muss.
Ohne korrektes Gateway: Du kannst andere PCs im selben Netzwerk erreichen, aber keine externen Ressourcen (Internet, andere Standorte).
Typische Gateway-Adressen in KMU:
192.168.0.1oder192.168.1.1(Consumer-Router)192.168.x.254(oft bei Managed Switches/Firewalls)10.0.0.1(grosse Netzwerke)
Wichtige Ports kennen
Ports sind wie Türnummern an einer IP-Adresse. Eine IP-Adresse führt zum richtigen Gerät, der Port zum richtigen Dienst. Ports unter 1024 sind bekannte “Well-Known Ports”.
| Port | Protokoll | Beschreibung |
|---|---|---|
| 20, 21 | FTP | Dateiübertragung |
| 22 | SSH | Verschlüsselter Remote-Zugriff (Linux) |
| 25 / 587 | SMTP | E-Mail senden |
| 53 | DNS | Namensauflösung |
| 80 | HTTP | Webseiten unverschlüsselt |
| 110 / 995 | POP3 | E-Mail abrufen |
| 143 / 993 | IMAP | E-Mail abrufen (mit Sync) |
| 443 | HTTPS | Webseiten verschlüsselt |
| 445 | SMB | Windows-Dateifreigaben |
| 3389 | RDP | Remote Desktop |
| 3478–3481 | STUN/TURN | Microsoft Teams (UDP) |
Netzwerk-Diagnose: Die wichtigsten Befehle
Windows-Konfiguration prüfen
ipconfig
Zeigt IP-Adresse, Subnetzmaske und Gateway aller Netzwerkadapter. Schnell für den ersten Überblick.
ipconfig /all
Detaillierte Ausgabe: zusätzlich MAC-Adresse, DHCP-Status, DNS-Server, DHCP-Server, Lease-Zeiten. Das ist der erste Befehl bei fast jedem Netzwerkproblem.
Get-NetIPConfiguration
PowerShell-Äquivalent – übersichtlicher und skriptfreundlicher.
Erreichbarkeit testen
ping 8.8.8.8
ping google.com
Sendet ICMP-Pakete und misst die Antwortzeit. Funktioniert ping 8.8.8.8, aber nicht ping google.com, liegt ein DNS-Problem vor, kein Konnektivitätsproblem.
ping -t 192.168.1.1
Dauerhafter Ping (bis Ctrl+C). Nützlich um intermittierende Verbindungsabbrüche zu erkennen.
Test-NetConnection -ComputerName google.com -Port 443
Testet sowohl Ping als auch ob ein bestimmter TCP-Port erreichbar ist. Unverzichtbar zum Prüfen von Firewall-Regeln.
Route verfolgen
tracert 8.8.8.8
Zeigt alle Router (Hops) auf dem Weg zum Ziel. Jeder Hop ist ein Router. Wo die Antworten aufhören, liegt das Problem. Sternchen (* * *) bedeuten: dieser Router antwortet nicht auf ICMP.
pathping 8.8.8.8
Kombiniert ping und tracert: misst Paketverlust pro Hop. Dauert länger (ca. 3 Minuten), liefert dafür detailliertere Informationen.
ARP-Tabelle und MAC-Adressen
arp -a
Zeigt die ARP-Tabelle: welche IP-Adresse zu welcher MAC-Adresse gehört (im lokalen Netzwerk). Nützlich um zu prüfen, ob ein Gerät überhaupt im Netzwerk kommuniziert hat.
Offene Verbindungen und Ports
netstat -ano
Zeigt alle aktiven TCP/UDP-Verbindungen mit Prozess-ID (PID). Nützlich um zu sehen, welcher Prozess auf welchem Port lauscht.
Get-NetTCPConnection | Where-Object State -eq 'Listen' | Sort-Object LocalPort
PowerShell-Variante: zeigt alle lauschenden TCP-Ports, sortiert nach Portnummer.
Schritt-für-Schritt: Netzwerkproblem eingrenzen
Wenn ein User meldet “Ich komme nicht ins Internet”, geh systematisch vor:
-
Kabel/WLAN prüfen – Ist die Verbindung physisch hergestellt? LED am Switch-Port? WLAN verbunden?
-
IP-Konfiguration prüfen
ipconfig /allHat der PC eine gültige IP (kein
169.254.x.x)? Gateway und DNS eingetragen? -
Gateway anpingen
ping 192.168.1.1Antwortet der Router? Falls nein: lokales Netzwerkproblem (Switch, VLAN, Kabel).
-
Internet-IP anpingen
ping 8.8.8.8Antwortet ein externer Server? Falls nein: Internet-Verbindung oder Routing-Problem beim Router/Firewall.
-
DNS testen
ping google.com nslookup google.comWird der Hostname aufgelöst? Falls nein: DNS-Problem (falscher DNS-Server, DNS-Server nicht erreichbar).
-
Port-Erreichbarkeit prüfen
Test-NetConnection -ComputerName google.com -Port 443Falls DNS geht, aber HTTPS nicht: Firewall-Regel oder Proxy-Problem.
IPv6 – kurz erklärt
IPv6 ist der Nachfolger von IPv4 und nutzt 128-Bit-Adressen (statt 32 Bit), dargestellt als acht Gruppen von je vier Hexadezimalziffern: 2001:0db8:85a3:0000:0000:8a2e:0370:7334.
Im KMU-Alltag begegnest du IPv6 hauptsächlich bei:
- Link-Local-Adressen (
fe80::/10) – werden automatisch jedem Interface zugewiesen, gelten nur im lokalen Segment - Dual-Stack – PC hat gleichzeitig IPv4 und IPv6-Adresse
- Tunnel-Protokollen – IPv6 über IPv4-Infrastruktur
Für die meisten KMU-Netzwerke reicht IPv4 noch aus. Trotzdem: wenn ipconfig /all eine fe80::-Adresse zeigt, ist das normal und kein Fehler.
Typische Fehlerbilder und Ursachen
| Symptom | Mögliche Ursache | Massnahme |
|---|---|---|
IP 169.254.x.x | DHCP nicht erreichbar | DHCP-Server prüfen, ipconfig /renew |
| Ping ans Gateway schlägt fehl | Falsches Gateway, VLAN, Kabel | Gateway-IP prüfen, Switch-Port prüfen |
| Ping geht, Browser nicht | DNS-Problem oder Proxy | nslookup testen, DNS-Server prüfen |
| Langsame Verbindung | Paketeverlust, Duplex-Mismatch | pathping, Switch-Logs prüfen |
| Doppelte IP-Adressen | Statische IP liegt im DHCP-Scope | DHCP-Exclusion setzen, statische IP anpassen |
| Verbindung nur zu lokalen Hosts | Gateway falsch oder fehlt | ipconfig /all, Gateway prüfen |
Weiterlernen
- TCP/IP-Adressierung und Subnetze – Microsoft Learn
- Subnetting-Grundlagen – elektronik-kompendium.de
- TCP/IP, OSI, Subnetting & Ethernet erklärt – hagel-it.de
- RFC 1918 – Private IP-Adressbereiche (IETF)
- Troubleshooting-Methodik für IT-Support
- DNS-Grundlagen – Namensauflösung verstehen
- DHCP-Grundlagen – automatische IP-Vergabe
- VPN-Grundlagen – verschlüsselte Tunnel ins Firmennetz
Videos
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …