aufmass-web/NetBird_Admin_Guide.md

NetBird Admin – Erste Schritte

Dashboard: https://netbird.kpt-lab.de Login: fk@kpt-consulting.de / E7U6*P8hM5Nz

---

1. Setup Key erstellen

Setup Keys erlauben Clients (PCs/Laptops), dem Netzwerk beizutreten.

• Gehe zu Setup Keys (Seitenmenü)
• Klicke "Add Setup Key"
  • Name: z.B. DD-Kabelbau
  • Key Type: One-off (einmalig, gilt für 1 Gerät) oder Reusable (empfohlen)
  • Expires: 30d oder leer (kein Ablauf)
  • Auto-assign Groups: später
• Speichern → den Key kopieren & auf den Client-Maschinen verwenden

2. NetBird Client auf Clients installieren

Windows

netbird.io → Download → netbird-x.x.x-windows-amd64.msi
netbird install
netbird up --setup-key NB_XXXX

Linux

curl -fsSL https://pkgs.netbird.io/install.sh | sh
netbird up --setup-key NB_XXXX

Prüfen

netbird status
# → Management: Connected
# → IP: 100.xxx.xxx.xxx

3. Access Policies erstellen

Policies steuern, wer mit wem kommunizieren darf.

• Gehe zu Access Control → Policies
• "Add Policy"
  • Name: Alle zu Allen
  • Rule: Traffic
  • Source: Alle (oder All Users, All Groups)
  • Destination: Alle (oder All Users, All Groups)
  • Ports: *
  • Action: Allow
• Speichern

Für erste Tests reicht eine offene Policy. Später feinere Regeln (z.B. nur bestimmte Peers).

4. Exit Node (VPS als Gateway)

Damit der VPS den gesamten Traffic der Clients routen kann.

• Auf dem VPS-Host (Proxmox – NICHT im CT 111) installieren:

  curl -fsSL https://pkgs.netbird.io/install.sh | sh
  netbird up --setup-key NB_XXXX
  

• Im Dashboard: Gehe zu Peers → den VPS-Peer anklicken
  • "Enable as exit node" aktivieren
• Auf dem Client: netbird up --exit-node <PEER_ID> oder im Dashboard per Policy

Der VPS-Host ist 159.195.68.61 (Proxmox), nicht CT 111.

5. Routes (dauerhafte Netzwerkrouten)

Wenn Clients bestimmte private Subnetze (z.B. 192.168.222.0/24) über den NetBird erreichen sollen.

• Gehe zu Routes → "Add Route"
  • Network: 192.168.222.0/24 (euer internes Netz)
  • Peer: Den VPS-Exit-Node-Peer auswählen
  • Metric: 1
  • Masquerade: ON (damit Antworten zurückgeroutet werden)
  • Enabled: ✔
• Speichern

Alternative: Wenn nur einzelne Dienste exponiert werden sollen, reichen Services (siehe Punkt 7).

6. DNS konfigurieren

Eigene Domains für NetBird-Endpoints.

• Gehe zu DNS → "Add Nameserver Group"
  • Name: Intern
  • Domains: intern.kpt-lab.de
  • Nameserver: 1.1.1.1 (oder eigener DNS)
  • Enabled: ✔
• Speichern

Damit können Clients dienst.intern.kpt-lab.de auflösen, wenn der DNS-Eintrag im Dashboard gesetzt wird.

7. Reverse Proxy / Services einrichten

Der NetBird Proxy (läuft auf CT 111) kann interne Dienste per Domain ins Internet exposen.

Voraussetzung: Der Proxy-Container läuft (Status: Up). Ist erledigt.

Service anlegen

• Gehe zu Services → "Add Service"
  • Domain: z.b.gitea.pr.kpt-lab.de
    • Die Domain muss via DNS auf 159.195.68.61 zeigen (bereits erledigt: *.pr.kpt-lab.de)
  • Backend: Den internen NetBird-Peer auswählen (IP:Port des Dienstes)
    • z.B. 192.168.222.40:3000 für Gitea
  • TCP Ports: leer lassen (Default)
  • HTTP: ON (für http->https redirect)
• Speichern

Der Proxy holt automatisch ein Let's Encrypt Zertifikat.

Wichtige Domains

Domäne	Ziel
*.pr.kpt-lab.de	→ öffentlich über Traefik (CT 111)
DNS im Dashboard setzen	→ NetBird-interne Auflösung

Nächste Dienste die du anlegen könntest

Service	Interne Addr (NetBird-IP)	Domain
Gitea	100.x.x.x:3000	gitea.pr.kpt-lab.de
AufmaßWeb (lokal)	100.x.x.x:5000	aufmass.pr.kpt-lab.de

8. Nächste Schritte

1. Exit Node einrichten → NetBird Client auf dem Proxmox-Host installieren
2. Gitea neu aufsetzen (alter CT 404 ist gelöscht)
3. AufmaßWeb lokal starten → Service im Dashboard anlegen
4. Access Policies verfeinern (nicht alle zu allen)

---

Kurzreferenz NetBird CLI (Client)

netbird up --setup-key NB_KEY       # Verbinden
netbird up --exit-node <PEER_ID>     # Exit-Node nutzen
netbird status                       # Status anzeigen
netbird down                         # Trennen
netbird service install              # Autostart (Windows/Linux)