Definition

Wake on LAN (WoL)

Michael Eckert
von
Zuletzt aktualisiert:Aug. 13, 2025

Was ist Wake on LAN (WoL)?

Mit Wake on LAN (WoL) lassen sich ausgeschaltete oder schlafende Rechner über das Netzwerk einschalten. Auslöser ist ein spezielles Datenpaket, auch Magic Packet genannt. Dadurch wird der Vor-Ort-Aufwand reduziert, Wartungsfenster können außerhalb der Geschäftszeiten durchgeführt werden und die automatisierte Softwareverteilung wird unterstützt.

Wie funktioniert Wake on LAN?

Ein sendeberechtigtes System – etwa ein Admin-Rechner, ein Skript, eine RMM/NMS-Lösung oder ein dedizierter WoL-Proxy – erzeugt und versendet das Magic Packet an den Zielrechner. Der Netzwerkadapter (NIC) des Zielsystems bleibt im Stand-by-Modus dauerhaft mit Strom versorgt, filtert eingehende Frames und prüft auf das Muster des Magic Packets. Bei einem Treffer signalisiert die NIC dem Mainboard über Power-Management-Mechanismen (zum Beispiel PCI/PCIe-PME) ein Aufweckereignis. Anschließend übernimmt die Firmware/UEFI den Bootvorgang. Daraufhin starten durch OS- oder Management-Automatisierung geplante Aufgaben (Patchen, Inventarisierung) – sie werden nicht durch die NIC selbst gestartet.

Magic-Packet-Aufbau: 6 Byte 0xFF, gefolgt von 16 Wiederholungen der Ziel-MAC-Adresse (ohne Trennzeichen). Optional kann ein sechs Byte langer SecureOn-Schlüssel angehängt werden.

Transport/Protokoll: WoL arbeitet primär auf Layer 2 und verwendet häufig einen UDP-Broadcast (oft Port 7 oder 9, aber nicht standardisiert); alternativ sind auch rohe Ethernet-Frames (Ethertype 0x0842) üblich. Unicast-Varianten sind möglich, sofern die Ziel-NIC noch im ARP-Cache erreichbar ist.

Magic Packet für Wake on LAN.
Abbildung 1: Magic Packet für Wake on LAN.

Anforderungen an Hardware und Firmware

Für WoL müssen Mainboard/UEFI und Netzwerkadapter das Aufwecken unterstützen und aktiviert sein.

  • Mainboard/UEFI/BIOS: WoL oder Power on by PCI-E/PCI aktivieren; je nach Hersteller auch Wake from S3/S4/S5 separat.
  • NIC/Treiber: WoL-Funktionen im Treiber aktivieren (zum Beipsiel Gerät darf den Computer aus dem Ruhezustand aktivieren).
  • Stromversorgung: Die NIC benötigt die 5V-Standby-Schiene (5VSB) des ATX-Netzteils. Ein spezielles Netzteil ist nicht erforderlich.
  • Historische Besonderheit: Bei älterer PCI-Hardware war teils ein 3-Pin-WoL-Kabel nötig; moderne PCIe-Karten signalisieren über PME.

Betriebszustände (ACPI S-Zustände)

Ob ein Gerät aus den Modi S3 (Stand-by), S4 (Hibernate) oder S5 (Soft Off) aufgeweckt werden kann, hängt von der Firmware, dem Chipsatz, der Netzwerkkarte (NIC) und den Treibern ab. Notebooks schränken S5-Wake-on-LAN (WOL) häufig aus Energiespargründen ein. Unter Windows kann die Funktion Schnellstart/Hybrid-Shutdown Wake on LAN aus den Modi S4/S5 verhindern. Unter Linux sind gegebenenfalls ethtool-Konfigurationen erforderlich (zum Beispiel ethtool -s eth0 wol g).

Subnetze, Broadcasts und Gateways

Klassische Broadcast-Magic-Packets (Layer 2/UDP-Broadcast) werden nicht geroutet. Für das standort- oder VLAN-übergreifende Wecken sind drei Muster üblich:

  • Subnet-Directed Broadcasts: Hierbei leiten Router Broadcasts gezielt in ein Zielsubnetz. Aus Sicherheitsgründen oft deaktiviert.
  • WoL-Proxy/Gateway/Agent: Ein Dienst im Zielnetz empfängt WoL-Befehle (etwa per HTTPS/MQTT) und sendet den Broadcast lokal.
  • VPN/Management-Server vor Ort: Die Management-Software sitzt im gleichen L2-Segment wie die Zielsysteme.
  • IPv6: WoL arbeitet auf Layer 2 und ist IP-versionsunabhängig. In IPv6-Netzen kann das Magic Packet per Link-Local-Multicast (z. B. ff02::1) oder als roher Ethernet-Frame zugestellt werden – vorausgesetzt, die NIC-Treiber/Tools unterstützen dies. In der Praxis ist IPv6-WOL seltener implementiert und einige Management-Lösungen unterstützen WOL über IPv6 gar nicht.

Sicherheit: Risiken und Gegenmaßnahmen

Das klassische Magic Packet enthält keine echte Authentifizierung. Mögliche Risiken sind das unbefugte Einschalten sowie der Missbrauch für Störungen. Mögliche Gegenmaßnahmen sind:

  • WoL nur aus vertrauenswürdigen Netzen zulassen.
  • VPN oder geschützte Management-APIs statt offener Directed Broadcasts verwenden.
  • Segmentierung/ACLs nutzen und nur autorisierten Systemen das Senden erlauben.
  • Einige NICs/Mainboards unterstützen einen 6-Byte-SecureOn-Schlüssel. Die Bezeichnung und der Ort der Option variieren je nach Hersteller. Dies bietet eine minimale Hürde, ersetzt aber keine Netzsicherheit.
  • Logs/Monitoring auf ungewöhnliche WoL-Muster prüfen.

WoWLAN (Wake on Wireless LAN)

Für WLAN greift ein anderer Mechanismus: Wake on Wireless LAN (WoWLAN). Dieser ist hersteller- und treiberspezifisch, funktioniert oft nur aus bestimmten S-Zuständen heraus und setzt durchgehend versorgte WLAN-Adapter sowie Unterstützung durch die Access Points voraus. Bei stationären Systemen ist kabelgebundenes WoL robuster. Bei Notebooks lohnt sich ein Blick in die Treibereinstellungen des WLAN-Adapters (Stichworte: WoWLAN, Pattern Match, GTK rekeying).

Tools und Automatisierung

WoL-Pakete lassen sich mit einfachen CLI-/GUI-Tools, per PowerShell/Python, über Switch-/Router-Funktionen oder via RMM/NMS auslösen. RMM-Plattformen kombinieren das Wecken mit Patch-/Inventur-Jobs. Sie sind nützlich, aber nicht zwingend erforderlich, um WoL zu nutzen.

Moderne Alternativen zu WoL

Für höhere Sicherheits- und Funktionsanforderungen bieten Intel AMT (vPro) und die DMTF-Standards DASH Out-of-Band-Management mit Authentifizierung und Verschlüsselung (zum Beispiel TLS), Remote-KVM/IDE-Redirection und Policy-Steuerung – einschließlich Einschalten aus Off-Zuständen. Voraussetzung sind kompatible Plattformen (vPro/DASH-Firmware) und eine geeignete Management-Infrastruktur. Gegebenenfalls fallen auch Lizenzkosten für die Management-Software an.

Historische Entwicklung

WoL ist Teil der Wired-for-Management-Initiative (WfM) aus den späten 1990er-Jahren. Sie wurde maßgeblich von Intel vorangetrieben und durch Brancheninitiativen wie die Advanced Manageability Alliance verbreitet. Unterstützung existierte auch für Token Ring, doch in der Praxis hat sich heute nahezu ausschließlich Ethernet durchgesetzt. IPv6-Transport ist seltener implementiert, für WLAN gibt es den separaten Mechanismus WoWLAN.

Energiehinweis

Eine dauerhaft mit WoL versorgte NIC verursacht einen geringen Dauerverbrauch. Viele Systeme erreichen die ErP-Lot-6-Grenze (unter 0,5 Watt im Zustand S5) nur bei deaktiviertem WoL. Mit aktiviertem WoL fällt der Off-Mode-Verbrauch höher aus, was insbesondere für große Geräteflotten relevant ist.

Fazit

Wake-on-LAN (WoL) ist ein schlankes, bewährtes Verfahren zum ferngesteuerten Einschalten von PCs und Servern. Entscheidend sind korrekt konfigurierte UEFI-/Treiber-Optionen, ein dauerhaft versorgter Netzwerkadapter, ein passender Übertragungsweg über Subnetze sowie angemessene Schutzmaßnahmen. Für mobile Geräte gilt: WoWLAN kann hilfreich sein, ist aber stärker von der Hardware und den Treibern abhängig. Moderne Alternativen wie AMT/vPro bieten mehr Sicherheit, setzen jedoch dedizierte Hardware und eine passende Management-Infrastruktur voraus.

Dieser Artikel wurde im August 2025 aktualisiert, um neue Entwicklungen zu berücksichtigen und das Leseerlebnis zu verbessern.

Erfahren Sie mehr über LAN-Design und Netzwerkbetrieb