Gemeinsamer Spielplatz

Lokale Netze mit mehreren Routern trennen

Praxis & Tipps | Praxis

Seite 3: Gemeinsamer Spielplatz

Geräte, die aus beiden Subnetzen erreichbar sein sollen, beispielsweise Netzwerkspeicher (Network Attached Storage, NAS) oder Drucker, stehen sinnvollerweise in der DMZ. Dann müssen Sie etwa bei NAS die Zugriffsrechte der Freigaben (Shares) passend setzen: Auf eine (Public) dürfen alle, auf die anderen nur privilegierte Nutzer. NAS-Geräte, die keine brauchbare Nutzer- und Gruppenverwaltung beherrschen, haben folglich in einem segmentierten Heimnetz nichts zu suchen.

Ein NAS, auf dem überwiegend private Daten lagern, ist dennoch am besten in der blauen Zone aufgehoben; für das Heimbüro gilt das analog. Der gelegentliche Zugriff aus dem anderen Subnetz kann mittels Portweiterleitung erfolgen.

Soll das NAS dagegen bewusst in der DMZ stehen, dann hängt es an der NAT-Performance des Routers, wie schnell man darauf zugreifen kann. Router mit Fast-Ethernet-Schnittstellen liefern prinzipiell nicht mehr als etwas über 11 MByte/s. Das Geld für ein schnelles NAS mit Gigabit-Ethernet wäre also rausgeschmissen – es sei denn, man stellte es ins grüne oder blaue Subnetz. Dann muss aber auch der Router einen Gigabit-Switch zumindest fürs LAN integriert haben, damit er nicht zur Bremse wird.

Gleichermaßen beim Zugriff auf das NAS in der DMZ wie per Port Forwarding auf eine Freigabe im anderen Subnetz wird die NAT im Router zum Flaschenhals: Typischerweise liegt sie bei wenigen hundert MBit/s, also im Bereich von 20 bis 40 MByte/s. Erst hochwertige Geräte können Gigabit-Ethernet per NAT bedienen, also über 900 MBit/s oder rund 110 MByte/s durchreichen. Die Geschwindigkeit lässt sich mit Windows-Freigaben von Subnetz zu Subnetz auch nur dann erreichen, wenn beide Subnetz-Router so schnell sind.

Medienserver, die Musik und Filme per UPnP ausliefern, lassen Sie indes im Heimnetz stehen. Denn das für den Zugriff und das Streaming benutzte UPnP erledigt vieles mit Broadcasts, die nicht durch die Subnetz-Router gehen.

Beim Zugriff auf Dateifreigaben lässt die Windows-Firewall normalerweise Pakete abprallen, die per Port Forwarding ankommen, weil deren Quelladresse nicht aus dem eigenen LAN stammt. Damit Windows 7 und Vista diese dennoch akzeptieren, muss man beim aktiven Profil (öffentlich, privat oder Domäne) die "Edgeausnahme“ (bei Vista: "Randüberquerung“) zulassen.

Standardmäßig lässt die Firewall von Windows 7 Zugriffe auf Dateifreigaben aus anderen Netzen als dem eigenen LAN abprallen. Nach Zulassen der Edgeausnahme und Eintragen des Routers der Gegenseite im zulässigen Adressbereich klappt der Zugriff auch per Portweiterleitung.

Rufen Sie dazu die Firewall-Einstellungen übers Startmenü auf. Dann lässt Eingeben von "firew“ im Suchfeld "Windows-Firewall mit erweiterter Sicherheit“ erscheinen. Bei den eingehenden Regeln suchen Sie "Datei- und Druckerfreigabe (SMB eingehend)“ und doppelklicken auf die Regel für das aktive Profil. Windows 7 und Vista sind mit der Nomenklatur an dieser Stelle nicht ganz konsequent, das Heimnetzwerk läuft in den Firewall-Regeln als "Privat“, das Arbeitsplatznetzwerk gehört zur "Domäne“. Hinter dem Reiter "Erweitert“ verbirgt sich schließlich die Edge-Ausnahme beziehungsweise Randüberquerung.

Sicherheitsbewusste wählen die Option "Auf Benutzer zurückstellen“, damit Windows 7 sich bei jedem Zugriffsversuch vergewissert, ob er zulässig ist. "Edgeausnahme zulassen“ gewährt stillschweigend allen per Portweiterleitung eingehenden Paketen den Zutritt. Vista kennt eh nur Letzteres. Wer dann den Zugriff weiter einschränken will, kann eine Liste zulässiger Quell-IP-Adressen unter dem Reiter "Bereich“ als Remote-IP-Adressen eintragen. Die Adresse des anderen Subnetz-Routers muss dann auf jeden Fall hinein.

Kommentare

Kommentare lesen (34 Beiträge)

Anzeige