diff --git a/README.md b/README.md
index f663611..7e0e327 100644
--- a/README.md
+++ b/README.md
@@ -221,13 +221,21 @@ Ein Gerät (z.B. ein Dokumentenscanner) soll per FTP auf den Server scannen, hat
 Scanner ──► Windows/Linux (Port-Forwarding) ──► VPN ──► FTP-Server
 ```
 
-### Aktiver Modus (empfohlen für Port-Forwarding)
+### Wichtig: Warum Passiver Modus bei NAT/Port-Forwarding?
 
-Im aktiven Modus müssen nur **2 Ports** weitergeleitet werden: **20** (Daten) und **21** (Steuerung).
+**Aktiver Modus funktioniert NICHT durch NAT hindurch!** Im aktiven Modus versucht der Server eine Verbindung *zurück* zum Client (Scanner) aufzubauen — aber der Scanner sitzt hinter NAT, und der Server erreicht ihn nicht.
 
-### Passiver Modus
+**Passiver Modus ist Pflicht** wenn der Client (Scanner) über NAT/Port-Forwarding angebunden ist:
+- Der Client verbindet sich zum Server (nicht umgekehrt) → funktioniert durch NAT
+- Dafür muss neben Port 21 auch die **passive Port-Range** weitergeleitet werden
 
-Im passiven Modus muss zusätzlich die **gesamte Port-Range** weitergeleitet werden (z.B. 30000-31000). Das ist aufwändiger, aber nötig wenn aktiver Modus nicht funktioniert.
+### Aktiver Modus
+
+Funktioniert nur bei **direkter Verbindung** ohne NAT. Nur 2 Ports nötig: **20** (Daten) und **21** (Steuerung).
+
+### Passiver Modus (empfohlen bei NAT/Port-Forwarding)
+
+Port **21** (Steuerung) + die **gesamte Port-Range** (z.B. 30000-31000) müssen weitergeleitet werden. Mehr Ports, aber die einzige Option die durch NAT funktioniert.
 
 ### Windows: Port-Forwarding mit netsh