Zum Inhalt springen
sw
en

Tippe um zu suchen

Netzwerk

TCP/IP – Grundlagen

Was hinter jeder Netzwerkverbindung steckt: IP-Adressen, Subnetzmasken, Ports und die wichtigsten Diagnose-Befehle für den IT-Alltag.

8 Min Lesezeit Anfänger Zuletzt aktualisiert:

Was ist TCP/IP?

TCP/IP ist kein einzelnes Protokoll, sondern eine ganze Protokollfamilie – das Fundament, auf dem jede moderne Netzwerkkommunikation aufbaut. Egal ob du eine E-Mail versendest, eine Website aufrufst oder via Teams telefonierst: Im Hintergrund läuft immer TCP/IP.

Die zwei wichtigsten Mitglieder dieser Familie:

  • IP (Internet Protocol) – kümmert sich um die Adressierung und das Routing von Datenpaketen. Jedes Paket bekommt eine Absender- und Zieladresse.
  • TCP (Transmission Control Protocol) – stellt eine zuverlässige, verbindungsorientierte Verbindung sicher. Pakete kommen an, werden bestätigt und bei Verlust neu gesendet.

Daneben gibt es noch UDP (User Datagram Protocol): schneller als TCP, aber ohne Bestätigung. Wird für VoIP, Videocalls oder DNS genutzt – wo Geschwindigkeit wichtiger ist als absolute Zuverlässigkeit.

Das TCP/IP-Schichtenmodell

TCP/IP wird oft als 4-Schichten-Modell dargestellt. Als Vergleich siehst du daneben das bekanntere 7-Schichten-OSI-Modell – das OSI-Modell dient vor allem als Referenzrahmen für Troubleshooting (Layer 1 bis 7 von unten nach oben prüfen).

TCP/IP-SchichtOSI-SchichtenProtokolle/Aufgaben
Anwendung5, 6, 7 – Session, Presentation, ApplicationHTTP, HTTPS, DNS, FTP, SMTP, RDP, SMB
Transport4 – TransportTCP, UDP – Ports, Verbindungen
Internet3 – NetworkIP, ICMP, ARP – Routing, Adressierung
Netzzugang1, 2 – Physical, Data LinkEthernet, WLAN – Kabel, MAC-Adressen

Im Alltag hilft das Modell, Probleme einzugrenzen: Wenn ping funktioniert (Schicht 3), aber ein Dienst nicht erreichbar ist, liegt das Problem auf Schicht 4 (Port/Firewall) oder höher.

IPv4-Adressen verstehen

Eine IPv4-Adresse besteht aus 32 Bits, dargestellt als vier Dezimalzahlen von 0 bis 255, getrennt durch Punkte – zum Beispiel 192.168.1.42.

Jede Adresse teilt sich auf in:

  • Netzwerkteil – welches Netzwerk (bestimmt durch die Subnetzmaske)
  • Hostteil – welcher Rechner innerhalb dieses Netzwerks

Private vs. öffentliche Adressen

Für interne Netzwerke sind drei Adressbereiche reserviert – diese Adressen werden niemals im Internet geroutet:

BereichCIDREinsatz
10.0.0.010.255.255.255/8Grosse Firmennetzwerke (Class A)
172.16.0.0172.31.255.255/12Mittelgrosse Netzwerke (Class B)
192.168.0.0192.168.255.255/16Heimnetz, KMU (Class C)
169.254.0.0169.254.255.255/16APIPA – kein DHCP erreichbar

Subnetzmaske und CIDR-Notation

Die Subnetzmaske teilt eine IP-Adresse in Netzwerk- und Hostteil auf. Sie wird entweder als Dezimalzahl (255.255.255.0) oder in CIDR-Notation (/24) angegeben.

Die CIDR-Zahl gibt an, wie viele Bits von links für den Netzwerkteil reserviert sind.

CIDRSubnetzmaskeNutzbare HostsTypischer Einsatz
/8255.0.0.016’777’214Grosse Unternehmen (Class A)
/16255.255.0.065’534Rechenzentren, Campusnetz
/24255.255.255.0254Abteilungsnetz, Standard-KMU
/25255.255.255.128126Aufgeteiltes /24
/26255.255.255.19262Kleinsegment
/30255.255.255.2522Punkt-zu-Punkt-Verbindungen

Wie viele Hosts passen rein? Formel: 2^(32 - CIDR) - 2. Das Minus 2 kommt daher, dass die erste Adresse die Netzwerkadresse und die letzte die Broadcast-Adresse ist.

Beispiel: /242^8 - 2 = 254 nutzbare Hosts.

Beispiel aus dem Alltag

Dein KMU nutzt 192.168.10.0/24:

  • Netzwerkadresse: 192.168.10.0
  • Erste nutzbare IP: 192.168.10.1 (oft der Router/Gateway)
  • Letzte nutzbare IP: 192.168.10.254
  • Broadcast: 192.168.10.255
  • Subnetzmaske: 255.255.255.0

Standard-Gateway und Routing

Das Standard-Gateway ist die IP-Adresse des Routers in deinem Netzwerk. Wenn dein PC ein Paket an eine IP ausserhalb des eigenen Subnetzes schicken will, leitet er es zuerst an den Router weiter – dieser weiss, wohin das Paket als nächstes muss.

Ohne korrektes Gateway: Du kannst andere PCs im selben Netzwerk erreichen, aber keine externen Ressourcen (Internet, andere Standorte).

Typische Gateway-Adressen in KMU:

  • 192.168.0.1 oder 192.168.1.1 (Consumer-Router)
  • 192.168.x.254 (oft bei Managed Switches/Firewalls)
  • 10.0.0.1 (grosse Netzwerke)

Wichtige Ports kennen

Ports sind wie Türnummern an einer IP-Adresse. Eine IP-Adresse führt zum richtigen Gerät, der Port zum richtigen Dienst. Ports unter 1024 sind bekannte “Well-Known Ports”.

PortProtokollBeschreibung
20, 21FTPDateiübertragung
22SSHVerschlüsselter Remote-Zugriff (Linux)
25 / 587SMTPE-Mail senden
53DNSNamensauflösung
80HTTPWebseiten unverschlüsselt
110 / 995POP3E-Mail abrufen
143 / 993IMAPE-Mail abrufen (mit Sync)
443HTTPSWebseiten verschlüsselt
445SMBWindows-Dateifreigaben
3389RDPRemote Desktop
3478–3481STUN/TURNMicrosoft Teams (UDP)

Netzwerk-Diagnose: Die wichtigsten Befehle

Windows-Konfiguration prüfen

ipconfig

Zeigt IP-Adresse, Subnetzmaske und Gateway aller Netzwerkadapter. Schnell für den ersten Überblick.

ipconfig /all

Detaillierte Ausgabe: zusätzlich MAC-Adresse, DHCP-Status, DNS-Server, DHCP-Server, Lease-Zeiten. Das ist der erste Befehl bei fast jedem Netzwerkproblem.

Get-NetIPConfiguration

PowerShell-Äquivalent – übersichtlicher und skriptfreundlicher.

Erreichbarkeit testen

ping 8.8.8.8
ping google.com

Sendet ICMP-Pakete und misst die Antwortzeit. Funktioniert ping 8.8.8.8, aber nicht ping google.com, liegt ein DNS-Problem vor, kein Konnektivitätsproblem.

ping -t 192.168.1.1

Dauerhafter Ping (bis Ctrl+C). Nützlich um intermittierende Verbindungsabbrüche zu erkennen.

Test-NetConnection -ComputerName google.com -Port 443

Testet sowohl Ping als auch ob ein bestimmter TCP-Port erreichbar ist. Unverzichtbar zum Prüfen von Firewall-Regeln.

Route verfolgen

tracert 8.8.8.8

Zeigt alle Router (Hops) auf dem Weg zum Ziel. Jeder Hop ist ein Router. Wo die Antworten aufhören, liegt das Problem. Sternchen (* * *) bedeuten: dieser Router antwortet nicht auf ICMP.

pathping 8.8.8.8

Kombiniert ping und tracert: misst Paketverlust pro Hop. Dauert länger (ca. 3 Minuten), liefert dafür detailliertere Informationen.

ARP-Tabelle und MAC-Adressen

arp -a

Zeigt die ARP-Tabelle: welche IP-Adresse zu welcher MAC-Adresse gehört (im lokalen Netzwerk). Nützlich um zu prüfen, ob ein Gerät überhaupt im Netzwerk kommuniziert hat.

Offene Verbindungen und Ports

netstat -ano

Zeigt alle aktiven TCP/UDP-Verbindungen mit Prozess-ID (PID). Nützlich um zu sehen, welcher Prozess auf welchem Port lauscht.

Get-NetTCPConnection | Where-Object State -eq 'Listen' | Sort-Object LocalPort

PowerShell-Variante: zeigt alle lauschenden TCP-Ports, sortiert nach Portnummer.

Schritt-für-Schritt: Netzwerkproblem eingrenzen

Wenn ein User meldet “Ich komme nicht ins Internet”, geh systematisch vor:

  1. Kabel/WLAN prüfen – Ist die Verbindung physisch hergestellt? LED am Switch-Port? WLAN verbunden?

  2. IP-Konfiguration prüfen

    ipconfig /all

    Hat der PC eine gültige IP (kein 169.254.x.x)? Gateway und DNS eingetragen?

  3. Gateway anpingen

    ping 192.168.1.1

    Antwortet der Router? Falls nein: lokales Netzwerkproblem (Switch, VLAN, Kabel).

  4. Internet-IP anpingen

    ping 8.8.8.8

    Antwortet ein externer Server? Falls nein: Internet-Verbindung oder Routing-Problem beim Router/Firewall.

  5. DNS testen

    ping google.com
    nslookup google.com

    Wird der Hostname aufgelöst? Falls nein: DNS-Problem (falscher DNS-Server, DNS-Server nicht erreichbar).

  6. Port-Erreichbarkeit prüfen

    Test-NetConnection -ComputerName google.com -Port 443

    Falls DNS geht, aber HTTPS nicht: Firewall-Regel oder Proxy-Problem.

IPv6 – kurz erklärt

IPv6 ist der Nachfolger von IPv4 und nutzt 128-Bit-Adressen (statt 32 Bit), dargestellt als acht Gruppen von je vier Hexadezimalziffern: 2001:0db8:85a3:0000:0000:8a2e:0370:7334.

Im KMU-Alltag begegnest du IPv6 hauptsächlich bei:

  • Link-Local-Adressen (fe80::/10) – werden automatisch jedem Interface zugewiesen, gelten nur im lokalen Segment
  • Dual-Stack – PC hat gleichzeitig IPv4 und IPv6-Adresse
  • Tunnel-Protokollen – IPv6 über IPv4-Infrastruktur

Für die meisten KMU-Netzwerke reicht IPv4 noch aus. Trotzdem: wenn ipconfig /all eine fe80::-Adresse zeigt, ist das normal und kein Fehler.

Typische Fehlerbilder und Ursachen

SymptomMögliche UrsacheMassnahme
IP 169.254.x.xDHCP nicht erreichbarDHCP-Server prüfen, ipconfig /renew
Ping ans Gateway schlägt fehlFalsches Gateway, VLAN, KabelGateway-IP prüfen, Switch-Port prüfen
Ping geht, Browser nichtDNS-Problem oder Proxynslookup testen, DNS-Server prüfen
Langsame VerbindungPaketeverlust, Duplex-Mismatchpathping, Switch-Logs prüfen
Doppelte IP-AdressenStatische IP liegt im DHCP-ScopeDHCP-Exclusion setzen, statische IP anpassen
Verbindung nur zu lokalen HostsGateway falsch oder fehltipconfig /all, Gateway prüfen

Weiterlernen

Videos

YouTube
TCP/IP MODELL einfach erklärt

Kommentare

Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.

  • Lade Kommentare …
Kommentar schreiben