Billig-Router als Netzfilter

Bridging Router mit ebtables als LAN-Firewall

Praxis & Tipps | Praxis

Wenn man schnüffelnden Fernsehern oder Settop-Boxen den Internetzugang entziehen will, der heimische Router aber keine Werkzeuge dafür an Bord hat, hilft ein zusätzliches Router-Schächtelchen auf OpenWRT-Basis.

Es gibt diverse Ansätze, LAN-Stationen, die unverlangt private Daten zum Hersteller zurücksenden, den Zugang zum Internet zu verwehren. Sie sind aber nicht alle gleichermaßen komfortabel und effektiv. Als Beispiel führen wir zunächst zwei Methoden auf, die prinzipiell taugen, aber mit Komforteinbußen verbunden sind: die Router-Kaskade und die bewusst unvollständige Einrichtung von einzelnen LAN-Stationen.

Router-Kaskaden lassen sich schnell aufsetzen und konfigurieren. Damit unterteilt man ein Heimnetz in mehrere logische Bereiche, deren Hosts ohne weitere Tricks nicht miteinander kommunizieren können. Die Kaskade lässt sich auch so einrichten, dass sie Plaudertaschen den Internetzugang entzieht, damit diese keine privaten Details über Ihren Medienkonsum an Gerätehersteller, TV-Sender und Google verraten. Die Methode erscheint verlockend, hat aber einen gravierenden Nachteil: Die NAT-Grenze blockiert wegen der unterschiedlichen IP-Adressbereiche alle Broadcasts und somit auch die UPnP/DLNA- und Bonjour-Dienste. Funktionen, die diese Dienste voraussetzen, also Medienstreaming oder Gerätefernsteuerung, sollen aber beim Isolieren von Smart-TVs und Audioanlagen (Home Theater Systemen) im Heimnetz weiter möglich bleiben.

Ein einfacheres Verfahren, um Geräte vom Internet zu trennen, besteht darin, in ihrer Konfiguration das Default Gateway – die IP-Adresse des Routers – einfach zu löschen. So wissen die betreffenden Geräte nicht, wie sie Pakete an Ziele außerhalb ihres Subnetzes zustellen sollen und sind damit vom Internet abgeschnitten. Sie bleiben aber weiter transparent in ihrem Subnetz erreichbar.

Näher besehen erweist sich diese Methode als nicht immer anwendbar, denn die Gateway-Adresse wird typischerweise automatisch per DHCP bezogen, und zwar sowohl beim Start als auch regelmäßig beim Erneuern des IP-Leases. Folglich muss man die IP-Konfiguration auf manuell umstellen und dem Gerät per Hand eine Adresse vergeben. Das ist aber nicht bei jeder LAN-Station möglich, beispielsweise bei manchen Smart-TVs. Als letztes Mittel bleibt dann nur, den DHCP-Server im Router zu deaktivieren. Das ginge aber mit einem erheblichen Komfortverlust beim restlichen Gerätezoo im Heimnetz einher, denn diese müsste man dann ebenfalls per Hand einrichten.

Vergrößern TP-Links TL-WR841ND stellt mit rund 20 Euro eine sehr günstige Ausgangsbasis für OpenWRT-Gehversuche dar. Nach Patchen des Kernels kann man damit einen LAN-Filter auf Ethernet-Basis realisieren.

Eine geschicktere Lösung ist, die Plaudertaschen in einem per Filter abgetrennten LAN-Segment zu betreiben. Das Filtern übernimmt ein 20-Euro-Router mit angepasster Firmware, den man mit seiner Internetseite (WAN) ins Heimnetz hängt. An seine LAN- und WLAN-Schnittstelle kommen die zu isolierenden Geräte.

Für Spitzfindige: Ja, man könnte für bestimmte Hosts das Default Gateway auch nachträglich per ARP Spoofing ins Nichts umbiegen. Dazu bräuchte man aber einen durchlaufenden Server im LAN. Zudem sind solche Netzwerk-Schweinereien weder trivial noch nebenwirkungsfrei.

Um mehr als ein Gerät isolieren zu können und dieses gegebenenfalls auch per WLAN anzubinden, fiel unsere Wahl auf den Breitband-WLAN-Router TL-WR841N. Das Gerät ist leicht erschwinglich, es kostete zum Redaktionsschluss gerade mal 16 Euro. Die abgebildete Variante TL-WR841ND mit abnehmbaren Antennen war nur 6 Euro teurer.

Die zusätzlichen jährlichen Stromkosten durch den TL-WR841N sind erträglich: Das für diesen Beitrag eingesetzte Muster brauchte im Idle-Zustand, also ohne angeschlossene Geräte, gerade mal 2,2 Watt (5,01 Euro/Jahr bei 26 Cent/kWh und Dauerbetrieb). Mit je einem angeschlossenen WLAN- und LAN-Client nahm die kleine Routerbox auch bloß 2,5 Watt auf (5,70 Euro).

Das Gerät hat vier Fast-Ethernet-Ports sowie 2,4-GHz-WLAN nach IEEE 802.11n mit maximal 300 MBit/s brutto für das abgetrennte Teilnetz. Es besitzt mit 4 MByte Flash gerade genug Speicher, um eine alternative Firmware aufzunehmen.

Kommentare

Anzeige