IPv4 subnet-rechner

Möchtest du schnell ein IPv4-Subnetz berechnen? Mit diesem IPv4 Subnet Calculator gibst du eine IP-Adresse und entweder einen CIDR-Präfix (z. B. /24) oder eine Subnetzmaske (z. B. 255.255.255.0) ein – und erhältst sofort die wichtigsten Netzwerkdaten: Netzwerkadresse, Broadcast-Adresse, erste und letzte nutzbare IP, Anzahl nutzbarer Hosts sowie die Wildcard-Maske für ACL-Regeln. Das Tool ist ideal für Netzwerkplanung, Troubleshooting, VLAN-Design, Firewall-/ACL-Konfiguration und Homelab-Projekte – damit du IP-Bereiche in Sekunden verifizieren und typische Adressierungsfehler vermeidest.

IPv4 Subnet Calculator

Enter an IPv4 address and a subnet (CIDR like /24 or mask like 255.255.255.0).

IPv4 subnetting in der praxis verstehen

IPv4-Subnetting beschreibt das Aufteilen eines IP-Netzwerks in kleinere, besser verwaltbare Teilnetze. In echten Umgebungen ist Subnetting keineswegs nur Theorie: Es beeinflusst Routing, Firewall-Regeln, VLAN-Design, VPNs, NAT, WLAN-Segmentierung, Access Control und die effiziente Nutzung des knappen IPv4-Adressraums. Egal ob Heimnetz, Unternehmens-LAN, Cloud-VPC/VNet oder Homelab – korrektes Subnetting ist der Unterschied zwischen einem sauberen, skalierbaren Adressplan und einem Netzwerk, das bei jeder Erweiterung weh tut.

Dieser Guide erklärt, was die Ergebnisse des Rechners bedeuten und wie du sie in Planung und Fehleranalyse richtig anwendest.

Was eine IPv4-adresse und ein subnetz wirklich bedeuten

Eine IPv4-Adresse ist eine 32-Bit-Zahl, meist im Dotted-Decimal-Format (vier Oktette) dargestellt, zum Beispiel:

  • 192.168.1.10

  • 10.0.5.200

  • 172.16.32.1

Allein sagt die IPv4-Adresse jedoch nicht vollständig aus, wo ein Gerät im Netzwerk „lebt“. Du brauchst zusätzlich die Subnetzinformation, die festlegt, welcher Teil der Adresse Netzanteil ist und welcher Teil Hostanteil.

Subnetting siehst du typischerweise in zwei Schreibweisen:

  • CIDR-Notation: 192.168.1.10/24

  • Subnetzmaske: 192.168.1.10 255.255.255.0

Beides bedeutet das Gleiche, wenn die Maske zum CIDR-Präfix passt.

CIDR-präfixlänge einfach erklärt

CIDR (Classless Inter-Domain Routing) verwendet eine Präfixlänge wie /24, um festzulegen, wie viele Bits zum Netzanteil gehören.

  • /24: 24 Netzbits, 8 Hostbits

  • /16: 16 Netzbits, 16 Hostbits

  • /30: 30 Netzbits, 2 Hostbits

Die Anzahl der Hostbits bestimmt, wie viele Adressen ein Subnetz insgesamt hat:

  • Hostbits = 32 − Präfixlänge

  • Gesamtadressen = 2^(Hostbits)

Beispiele:

  • /24 → Hostbits = 8 → 2^8 = 256

  • /26 → Hostbits = 6 → 2^6 = 64

  • /30 → Hostbits = 2 → 2^2 = 4

Darum ist /24 im LAN so beliebt (leicht zu merken), während /30 oder /31 oft bei Point-to-Point-Links auftaucht.

Subnetzmaske und die abbildung auf CIDR

Eine Subnetzmaske ist ebenfalls 32 Bit und wird als Dotted Decimal geschrieben, z. B. 255.255.255.0. In Binärform besteht eine gültige Maske aus zusammenhängenden 1en, gefolgt von zusammenhängenden 0en:

  • 255.255.255.0
    Binär: 11111111.11111111.11111111.00000000 → /24

  • 255.255.255.192
    Binär: 11111111.11111111.11111111.11000000 → /26

Wichtig: Eine gültige Subnetzmaske darf keine „Löcher“ haben.
Eine Maske wie 255.0.255.0 ist für normales IPv4-Subnetting nicht gültig, weil die Bits nicht zusammenhängend sind.

Häufige subnetzmasken und CIDR-äquivalente

Diese Kombinationen begegnen dir ständig:

  • /8 = 255.0.0.0

  • /16 = 255.255.0.0

  • /24 = 255.255.255.0

  • /25 = 255.255.255.128

  • /26 = 255.255.255.192

  • /27 = 255.255.255.224

  • /28 = 255.255.255.240

  • /29 = 255.255.255.248

  • /30 = 255.255.255.252

  • /31 = 255.255.255.254

  • /32 = 255.255.255.255

Für VLANs und kleinere Segmente ist /24 oft zu groß – /26, /27 und /28 sind dort sehr gängige Größen.

Netzwerkadresse, broadcast und warum das wichtig ist

Beim Berechnen eines Subnetzes bekommst du meist diese Kernwerte:

Netzwerkadresse

Die Netzwerkadresse ist die „Basisadresse“ des Subnetzes und identifiziert das Subnetz selbst – nicht einen Host.

Beispiel: 192.168.1.10/24
Netzwerkadresse: 192.168.1.0

In der Praxis wird die Netzwerkadresse normalerweise nicht an Geräte vergeben.

Broadcast-adresse

Die Broadcast-Adresse ist die letzte Adresse im Subnetz und dient (klassisch in IPv4) dazu, Pakete an alle Hosts im Subnetz zu senden.

Beispiel: 192.168.1.10/24
Broadcast: 192.168.1.255

Auch diese Adresse wird normalerweise nicht an Hosts vergeben.

Nutzbarer hostbereich

Der nutzbare Bereich umfasst die IPs, die typischerweise an Geräte vergeben werden:

  • Erster Host = Netzwerkadresse + 1

  • Letzter Host = Broadcast − 1

Beispiel: 192.168.1.10/24
Erster Host: 192.168.1.1
Letzter Host: 192.168.1.254

Das ist der Bereich für DHCP-Pools, statische IPs, Drucker, Server etc.

Nutzbare hosts vs gesamtadressen

Ein häufiger Stolperstein: Gesamtadressen sind nicht gleich nutzbare Hosts.

Für klassische IPv4-LAN-Subnetze gilt:

  • Gesamtadressen = 2^(Hostbits)

  • Nutzbare Hosts = Gesamt − 2
    (weil Netzwerkadresse und Broadcast wegfallen)

Beispiele:

  • /24: 256 gesamt, 254 nutzbar

  • /26: 64 gesamt, 62 nutzbar

Sonderfälle /31 und /32

Manche Präfixe verhalten sich anders:

  • /32: Hostroute (genau eine Adresse) – typisch für Loopbacks, ACLs, Routing-Identität

  • /31: Point-to-Point – zwei Adressen, und in modernen P2P-Links werden beide als nutzbar behandelt (kein Broadcast)

Der Rechner berücksichtigt diese Sonderfälle, weil sie in Routing- und Provider-Setups sehr häufig vorkommen.

Wildcard-maske für ACLs

Die Wildcard-Maske ist das Bitwise-Inverse der Subnetzmaske:

  • Wildcard = 255.255.255.255 − Subnetzmaske (bitweise NOT)

Sie wird oft in Cisco-ACLs und in bestimmten Routing-Konfigurationen genutzt.

Beispiel:

  • Subnetzmaske: 255.255.255.0

  • Wildcard: 0.0.0.255

Bedeutung: „Die ersten drei Oktette müssen exakt passen, das letzte darf variieren.“

Beispiel /26:

  • Subnetzmaske: 255.255.255.192

  • Wildcard: 0.0.0.63

Das ist extrem praktisch, wenn du in Firewall-Regeln ein Subnetz matchen willst, ohne jede IP einzeln aufzulisten.

Subnetting mit binär: das modell, das nie versagt

Wenn Subnetting verwirrend wirkt, löst Binärdenken das Problem immer.

  • Netzwerkadresse = IP AND Maske

  • Broadcast = Netzwerk OR Wildcard (oder: alle Hostbits auf 1 setzen)

Darum enden Netzwerkadressen in Dezimal oft auf „runde Zahlen“ – es sind Binärgrenzen.

Schnelles grenzen-beispiel für /26

Ein /26 hat 6 Hostbits → Blöcke à 64 Adressen im letzten Oktett.

Innerhalb eines /24-Bereichs entstehen so:

  • 192.168.1.0/26 (0–63)

  • 192.168.1.64/26 (64–127)

  • 192.168.1.128/26 (128–191)

  • 192.168.1.192/26 (192–255)

So erkennst du sofort, in welches Subnetz eine IP fällt.

Blockgröße-trick fürs schnelle kopfrechnen

Wenn du ein /24 im letzten Oktett aufteilst, kannst du die Blockgröße schnell bestimmen:

Blockgröße = 256 − Maskenwert im „wechselnden“ Oktett

Beispiele:

  • /25 → 255.255.255.128 → 256 − 128 = 128

  • /26 → 255.255.255.192 → 256 − 192 = 64

  • /27 → 255.255.255.224 → 256 − 224 = 32

  • /28 → 255.255.255.240 → 256 − 240 = 16

  • /29 → 255.255.255.248 → 256 − 248 = 8

  • /30 → 255.255.255.252 → 256 − 252 = 4

Dann beginnen Subnetze bei Vielfachen dieser Blockgröße.

Beispiel: 192.168.1.146 mit /27 (Blockgröße 32)
Vielfache: 128, 160 → 146 liegt zwischen 128 und 159
Netz: 192.168.1.128
Broadcast: 192.168.1.159

Genau das liefert auch der Rechner – nur eben ohne Kopfrechnen.

Praktische subnetzgrößen für VLANs und abteilungen

Subnetting ist oft Kapazitätsplanung: so klein wie möglich, aber mit Reserve.

Grob nutzbare Hosts je Präfix:

  • /24 → 254

  • /25 → 126

  • /26 → 62

  • /27 → 30

  • /28 → 14

  • /29 → 6

  • /30 → 2 (klassisch P2P)

Typische Praxis:

  • Kleine VLANs (IoT, Kameras): /27 oder /28

  • Office-Clients (kleines Team): /26 oder /25

  • Guest-WLAN (Wachstum): oft /24 (oder mehrere /24)

  • Router-Links: /31 (oder /30)

  • Loopbacks: /32

Zu klein bedeutet später Renummerierung, zu groß bedeutet größere Broadcast-Domäne und weniger strikte Segmentierung.

DHCP-scope planung und typische fehler

Subnet-Rechner sind besonders nützlich, wenn du DHCP-Pools definierst.

Sauberes Schema-Beispiel: 192.168.50.0/24

  • .1 = Router/Default Gateway

  • .2–.20 = Infrastruktur (Switches, APs, Controller)

  • .21–.99 = statische Server/Drucker

  • .100–.240 = DHCP-Pool

  • .241–.254 = Reserve/temporär

Häufige Fehler:

  • Netzwerkadresse (.0) oder Broadcast (.255) im DHCP-Pool

  • Falsche Maske (/24 statt /23) → Overlaps und Chaos

  • VPN-Pools überlappen mit LAN-Subnetzen

  • ACLs matchen „fast“ den richtigen Bereich, aber eben nicht exakt

Der Rechner reduziert diese Risiken, weil du Hostbereich und Wildcard sofort siehst.

Subnetting für VPNs, site-to-site und cloud-netze

Bei VPN und Cloud gibt es eine harte Regel: Overlaps brechen Routing.

Wenn beide Seiten z. B. nutzen:

  • Home: 192.168.1.0/24

  • Remote: 192.168.1.0/24

Dann kollidieren die Routen im Site-to-Site-VPN.

Bessere private adressplanung

Statt consumer-defaults lieber strukturierte Pläne:

  • 10.10.0.0/16 als Standort

  • VLANs als /24 (oder kleiner):

    • 10.10.10.0/24 Users

    • 10.10.20.0/24 Server

    • 10.10.30.0/24 IoT

    • 10.10.40.0/24 Guest

In AWS VPC, Azure VNet etc. definierst du ein größeres Basisnetz und teilst es in Subnetze pro Zone/Tier/Security Boundary – Subnet-Math wird zur täglichen Routine.

IP-klassen: warum man das noch hört

„Class A/B/C“ stammt aus der Zeit vor CIDR, taucht aber noch in Schulungen und Dokus auf:

  • Class A: 0–127.x.x.x

  • Class B: 128–191.x.x.x

  • Class C: 192–223.x.x.x

Heute sind Netze classless (CIDR) – aber die Begriffe leben weiter.

Private IPv4-bereiche und gängige muster

Interne Netze nutzen meist RFC-1918-Adressraum:

  • 10.0.0.0/8

  • 172.16.0.0/12 (172.16–172.31)

  • 192.168.0.0/16

Du kannst jeden dieser Bereiche beliebig subnetten. Der Rechner hilft, Overlaps zu vermeiden und saubere Grenzen zu wählen.

Tipp gegen overlaps

Wenn du VPN/Remote/S2S in Betracht ziehst, nimm früh einen weniger üblichen Block, z. B.:

  • 10.73.0.0/16 statt 192.168.1.0/24

  • 172.23.40.0/24 für ein spezielles VLAN

Ziel: eindeutige Netze über Standorte hinweg.

Supernetting: routen zusammenfassen

Subnetting teilt Netze. Supernetting fasst Netze zusammen, um Routingtabellen zu vereinfachen.

Beispiel:

  • 10.10.0.0/24

  • 10.10.1.0/24

  • 10.10.2.0/24

  • 10.10.3.0/24

Zusammenfassung:

  • 10.10.0.0/22 (deckt 10.10.0.0–10.10.3.255 ab)

Route Summarization ist wichtig in Enterprise-Netzen und BGP-Umgebungen – und beeinflusst, wie du Subnetze von Anfang an schneidest.

Typische troubleshooting-szenarien, wo subnetting zählt

1) „Es geht bei manchen, bei anderen nicht“

Oft Ursache:

  • falsche Maske am Host (Host glaubt /24, Netz ist /25)

  • falsches Gateway

  • überlappende Subnetze

Wenn ein Gerät eine IP als „lokal“ interpretiert, macht es ARP statt Routing – das ergibt merkwürdige, inkonsistente Effekte.

2) „Firewall-Regel matcht nicht“

Wenn ACLs /24 erwarten, real aber /23 aktiv ist, matcht nur ein Teil. Bei Wildcards werden außerdem oft Bits falsch invertiert → zu viel oder zu wenig Treffer.

3) „VPN steht, aber kein Traffic“

Klassiker: Overlap der Netze oder Overlap des VPN-Pools mit einem LAN-Subnetz.

4) „Cloud-VM erreicht On-Prem nicht“

Meist Route/CIDR-Mismatch: advertised Route passt nicht zum Subnetz, oder Security Groups sind mit falschem CIDR gebaut.

Subnetting cheat sheet

Wenn du schnelle Antworten brauchst:

  • /24 → 254 Hosts

  • /25 → 126 Hosts

  • /26 → 62 Hosts

  • /27 → 30 Hosts

  • /28 → 14 Hosts

  • /29 → 6 Hosts

  • /30 → 2 Hosts (klassisch P2P)

  • /31 → 2 nutzbar auf P2P

  • /32 → 1 Host

Maske ↔ Präfix:

  • 255.255.255.0 → /24

  • 255.255.255.128 → /25

  • 255.255.255.192 → /26

  • 255.255.255.224 → /27

  • 255.255.255.240 → /28

  • 255.255.255.248 → /29

  • 255.255.255.252 → /30

  • 255.255.255.254 → /31

  • 255.255.255.255 → /32

So nutzt du den subnet-rechner richtig

Für verlässliche Ergebnisse:

  1. Gib die IPv4-Adresse ein (Host-IP).

  2. Gib entweder ein:

    • CIDR-Präfix (z. B. /24), oder

    • Subnetzmaske (z. B. 255.255.255.0)

  3. Klicke „Calculate“ – du bekommst:

    • Netzwerk + Broadcast

    • erster/letzter nutzbarer Host

    • Anzahl nutzbarer Hosts

    • Wildcard-Maske

CIDR oder maske?

  • CIDR ist Standard in moderner Doku, Cloud, Firewall- und Routing-Regeln.

  • Masken sieht man oft in älteren UIs, Windows-Dialogs und manchen Geräten.

Beides zu beherrschen macht dich in gemischten Umgebungen deutlich schneller.

Best practices für saubere adressplanung

Wenn du von Null planst, helfen diese Regeln:

  • Einheitliche Größen pro VLAN-Typ (z. B. /26 für Users, /28 für IoT).

  • Niedrige Adressen für Gateway und Infrastruktur reservieren.

  • DHCP-Pools getrennt halten und dokumentieren.

  • Consumer-defaults vermeiden, wenn VPN/S2S möglich ist.

  • Subnetzgrenzen so wählen, dass Route Summarization später möglich ist.

  • Jedes Subnetz dokumentieren: Zweck, VLAN-ID, Gateway, DHCP-Range, ACL-Intent.

Mit einem konsistenten Schema wird dein Netzwerk einfacher zu sichern, zu erweitern und zu debuggen.



Die in diesem Beitrag verwendeten Bilder stammen entweder aus KI-generierter Quelle oder von lizenzfreien Plattformen wie Pixabay oder Pexels.

Ähnliche Beiträge

  • Dezimal-hex-binär-oktal-konverter

    Wenn du mit Networking, Linux, Windows, Mikrocontrollern, SDR oder Low-Level-Debugging arbeitest, stolperst du ständig über Zahlen in unterschiedlichen Basen: Dezimal in Logs, Hex in Memory-Dumps, Binär in Bitmasken und Oktal bei klassischen Unix-Rechten. Dieser schnelle Konverter lässt dich einen Wert in fast jedem gängigen Format einfügen (inklusive 0x, 0b und 0o) und zeigt sofort die…

  • Passwortstärke + Knackzeit-Schätzer

    Wenn du wissen willst, ob dein Passwort wirklich stark genug ist, hilft dir dieses Tool in wenigen Sekunden weiter. Der Rechner zeigt dir beim Tippen eine Live-Bewertung der Passwortstärke (mit klarer Farbrückmeldung) und schätzt anschließend, wie lange dasselbe Passwort zum Knacken brauchen könnte – je nach „Angreifer-Level“ von einem Raspberry Pi über einen Gamer-PC (GPU)…

  • Krypto mining ROI rechner

    Für die meisten Miner ist die entscheidende Frage nicht „Wie viele Coins bekomme ich heute?“, sondern: „Was kostet mich diese Maschine im Betrieb?“ Wenn dein Ertrag bei deiner realen Steckdosenleistung und deinem tatsächlichen Strompreis (€/kWh oder $/kWh) nicht einmal die Stromrechnung deckt, ist das Setup strukturell unprofitabel – egal ob CPU-, GPU- oder ASIC-Mining. Genau…