Digitale Infrastruktur

VNC Port: Standardports, Konfiguration und Sicherheit

Profilbild von Benjamin Schneider Von Benjamin Schneider ·Veröffentlicht am 7. Juni 2026 ·6 Min. Lesezeit
VNC Port Konfiguration auf Computerbildschirm mit Terminal und Netzwerkeinstellungen

Der VNC Port ist die Netzwerkadresse, über die das Virtual Network Computing-Protokoll Verbindungen zwischen Client und ferngesteuertem Rechner aufbaut. Standardmäßig verwendet VNC den TCP-Port 5900. Jede weitere Anzeigesitzung (Display 1, Display 2 …) belegt den jeweils nächsthöheren Port. Wer einen VNC-Server betreibt, muss diesen Port in Firewall und Router freigeben.

📌 Das Wichtigste in Kürze

  • VNC verwendet standardmäßig TCP-Port 5900 (Display 0); jedes weitere Display erhöht die Portnummer um 1.
  • Firewall und Router müssen den genutzten Port explizit freigeben, damit eine Verbindung zustande kommt.
  • Aus Sicherheitsgründen empfiehlt sich die Kombination mit einem VPN-Tunnel oder SSH-Port-Forwarding statt direkter Internetexposition.
  • Der Webzugriff über einen Browser nutzt standardmäßig Port 5800 — einen separaten HTTP-Kanal des RFB-Protokolls.

Die folgenden Abschnitte erklären, welche Ports VNC nutzt, wie Server und Client konfiguriert werden und was beim Einsatz im Netzwerk zu beachten ist.

Welche Ports nutzt VNC — Übersicht der Standardports

VNC-Software überträgt Bildschirminhalte und Eingabegeräte-Signale über das RFB-Protokoll (Remote Framebuffer Protocol). TCP-Port 5900 ist der De-facto-Standard für die erste Anzeigesitzung (Display 0).

Wird auf demselben Rechner ein zweites virtuelles Display geöffnet, belegt es Port 5901. Ein drittes Display nutzt Port 5902. Diese Systematik ermöglicht den parallelen Betrieb mehrerer Sitzungen auf einer einzigen Maschine.

Port Display-Nummer Protokoll Verwendung
5900 Display 0 TCP Standard-VNC-Sitzung (primär)
5901 Display 1 TCP Zweite parallele Sitzung
5902 Display 2 TCP Dritte parallele Sitzung
5800 Display 0 TCP (HTTP) Browser-basierter VNC-Webclient
5801 Display 1 TCP (HTTP) Browser-Webclient zweite Sitzung

Port 5800 öffnet einen HTTP-Kanal, über den manche VNC-Implementierungen einen Java- oder HTML5-Webclient ausliefern. Dedizierte VNC-Viewer wie RealVNC, TightVNC oder TigerVNC kommunizieren direkt über Port 5900.

💡 Wichtige Fakten zu VNC Port

  • VNC basiert auf dem offenen RFB-Protokoll — plattformübergreifend nutzbar auf Windows, Linux und macOS (Quelle: Computerwoche)
  • Standard-Port 5900 (TCP) ist IANA-registriert und gehört zur Gruppe der registrierten Ports (1024–49151)
  • Jedes zusätzliche VNC-Display erhöht die Portnummer um genau 1 — Display N = Port 5900 + N
  • VNC überträgt ohne zusätzliche Verschlüsselung im Klartext — eine gesicherte Übertragungsschicht ist dringend empfohlen

VNC-Server und -Client konfigurieren

Bevor eine Fernsteuerungssitzung startet, müssen Server und Client aufeinander abgestimmt sein. Port, Authentifizierung und Netzwerkfreigabe müssen übereinstimmen.

Server-Seite: Auf dem zu steuernden Rechner wird der VNC-Server installiert und gestartet. Die meisten Implementierungen — RealVNC Server, TigerVNC, x11vnc — binden sich automatisch an Port 5900. In den Einstellungen lässt sich ein abweichender Port festlegen, etwa 15900, um automatisierte Angriffe auf den Standardport zu erschweren.

Die lokale Firewall des Server-Rechners muss den gewählten Port eingehend erlauben. Unter Windows geschieht das über die Windows-Defender-Firewall. Unter Linux genügt typischerweise der Befehl ufw allow 5900/tcp oder eine entsprechende iptables-Regel.

Netzwerk-Router mit Ethernet-Kabeln und Port-Freigabe-Konfiguration für VNC
Die korrekte Port-Freigabe in Router und Firewall ist Voraussetzung für jede VNC-Verbindung.

Client-Seite: Der VNC-Viewer verbindet sich mit IP-Adresse und Display-Nummer — also z. B. 192.168.1.10:0 für Display 0. Alternativ lässt sich der Port direkt angeben: 192.168.1.10::5900. Die meisten Viewer-Anwendungen akzeptieren beide Formate.

  • Hostname oder IP: Im lokalen Netz reicht die private IPv4-Adresse; über das Internet wird eine öffentliche IP oder ein DDNS-Hostname benötigt.
  • Authentifizierung: Mindestens ein VNC-Passwort sollte gesetzt sein. Modernere Server unterstützen zusätzlich Zertifikat-basierte Anmeldung.
  • Farbtiefe und Kompression: Niedrigere Farbtiefe reduziert die Bandbreite erheblich — sinnvoll bei langsamen Verbindungen.
  • Automatischer Start: Für dauerhaften Serverbetrieb empfiehlt sich die Einrichtung als Systemdienst (Windows-Dienst bzw. systemd-Unit unter Linux).

Wer mehrere Geräte verwaltet, sollte die IPsec Ports kennen. Sie ermöglichen einen VPN-Tunnel, über den VNC-Verbindungen sicher geroutet werden — ohne den VNC Port ins Internet zu exponieren.

VNC im lokalen Netzwerk und über das Internet

Im lokalen Netzwerk (LAN) ist eine VNC-Verbindung schnell eingerichtet. Client und Server befinden sich im selben IP-Subnetz; eine Firewall-Freigabe am Router ist nicht nötig.

Anders verhält es sich beim Internetzugriff. Der Router muss eine Portweiterleitung (Port Forwarding) für den VNC Port einrichten. Eingehende Anfragen auf Port 5900 werden dann an die interne IP des Servers weitergeleitet. Eine Netzsperre oder restriktive ISP-Richtlinien können die Erreichbarkeit dabei einschränken.

Das direkte Öffnen des VNC-Ports ins Internet birgt erhebliche Sicherheitsrisiken. Automatisierte Scanner suchen ständig nach offenen Ports. Ein ungesicherter VNC-Server mit schwachem Passwort ist ein häufiges Angriffsziel.

Einfache Remote-Desktop-Lösung mit VNC auf Linux Mint

Sicherheit beim Einsatz des VNC Ports

Ein offener VNC Port ohne Schutzmaßnahmen ist ein bekanntes Angriffsziel. Brute-Force-Angriffe auf VNC-Passwörter gehören zu den häufigsten automatisierten Angriffen auf Fernzugriff-Dienste.

Die wichtigsten Schutzmaßnahmen im Überblick:

  • SSH-Tunneling: VNC-Datenverkehr lässt sich durch einen SSH-Tunnel leiten. Port 5900 bleibt lokal geschlossen; nach außen ist nur Port 22 (SSH) offen.
  • VPN-Absicherung: Ein VPN — etwa WireGuard oder OpenVPN — kapselt den gesamten VNC-Datenverkehr verschlüsselt. Der VNC Port muss dann nicht direkt erreichbar sein.
  • Starkes Passwort: VNC-Passwörter sind auf 8 Zeichen begrenzt — ein Protokolllimit des RFB-Standards. Eine zusätzliche Authentifizierungsschicht ist deshalb wichtig.
  • IP-Whitelist: Viele VNC-Server erlauben eine Zugriffsliste, sodass nur bestimmte IP-Adressen Verbindungen aufbauen dürfen.
  • Nicht-Standard-Port: Den VNC-Port auf eine ungewöhnliche Nummer zu verschieben, reduziert Scanner-Treffer — ersetzt aber keine echte Absicherung.

Das Wissen über Layer-Konzepte hilft zu verstehen, auf welcher Netzwerkebene VNC und sein Port operieren. Wer außerdem Angriffsmuster wie Angler-Phishing kennt, versteht, warum schwache Zugangsdaten selbst gut konfigurierte Systeme gefährden.

IT-Administrator steuert Remote-Desktop per VNC-Software an modernem Arbeitsplatz
Per VNC lassen sich entfernte Rechner vollständig über das Netzwerk bedienen — plattformunabhängig und ohne proprietäre Lizenz.

VNC Port im Vergleich zu anderen Fernzugriff-Protokollen

VNC ist nicht das einzige Protokoll für den Fernzugriff. Im Unterschied zu RDP (Remote Desktop Protocol, Port 3389) ist VNC plattformunabhängig und quelloffen. Es funktioniert zwischen Windows, Linux und macOS ohne proprietäre Lizenz.

RDP ist tiefer ins Windows-System integriert und überträgt effizienter — es sendet Grafikbefehle statt Pixel-Bitmaps. Für einfache Administrations- und Supportaufgaben ist der VNC Port jedoch die universellere Wahl, insbesondere wenn der Zielrechner kein Windows-System ist.

Laut einem Fachbeitrag zur plattformübergreifende VNC-Fernsteuerung ist VNC seit Jahrzehnten das Mittel der Wahl für heterogene Systemlandschaften. Das BSI-Dokument empfiehlt für den sicherer Fernzugriff auf Netzwerke stets eine verschlüsselte Übertragungsschicht. Ein Überblick zu Virtual Network Computing erklärt die betriebssystemunabhängige Nutzbarkeit als Kernstärke des Protokolls. Der VNC Port bleibt damit eine wichtige Grundlage für die plattformübergreifende IT-Administration — vorausgesetzt, die Absicherung stimmt.

Häufige Fragen zu VNC Port

Was ist eine Direktverbindung beim VNC-Fernzugriff?
Bei einer Direktverbindung baut der VNC-Client aktiv eine TCP-Verbindung zum Server auf und spricht dessen IP-Adresse sowie Port 5900 direkt an. Im Unterschied zur Reverse-Verbindung — bei der der Server die Verbindung initiiert — muss der VNC Port am Zielrechner erreichbar sein. Das gilt im lokalen Netz ebenso wie per Port-Forwarding am Router für den Internetzugriff.
Welchen Port verwendet VNC standardmäßig?
VNC verwendet standardmäßig TCP-Port 5900 für die erste Anzeigesitzung (Display 0). Jedes weitere Display erhöht die Portnummer um 1: Display 1 nutzt Port 5901, Display 2 nutzt Port 5902. Für den Browser-basierten Zugriff über einen Java- oder HTML5-Webclient wird zusätzlich Port 5800 genutzt.
Muss der VNC Port in der Firewall freigegeben werden?
Ja, der VNC Port muss in der Firewall des Zielrechners eingehend freigegeben sein. Im lokalen Netz genügt diese Freigabe auf dem Server-Rechner selbst. Für Verbindungen über das Internet ist zusätzlich eine Portweiterleitung im Router nötig, die externe Anfragen an die interne IP-Adresse des Servers weiterleitet.
Ist es sicher, den VNC Port direkt ins Internet zu öffnen?
Nein, ein direkt ins Internet geöffneter VNC Port ist ein erhebliches Sicherheitsrisiko. Automatisierte Scanner suchen ständig nach offenen Ports und versuchen Passwörter zu erraten. Empfohlen wird die Kombination mit einem VPN-Tunnel oder SSH-Port-Forwarding, damit der VNC Port nicht direkt aus dem Internet erreichbar ist.
Wie lässt sich der Standard-VNC-Port ändern?
Der Standard-VNC-Port lässt sich in der Konfigurationsdatei oder den Servereinstellungen anpassen. Bei TigerVNC wird der Port über die Option -rfbport beim Start gesetzt, bei RealVNC über die Server-Einstellungen. Der neue Port muss in Firewall und Router freigegeben werden, und der Client muss ihn beim Verbindungsaufbau explizit angeben.