zurück zum Artikel

Lokale Netze mit mehreren Routern trennen

Router-Kaskaden

Praxis & Tipps | Praxis

Ärzte, Steuerberater oder auch reguläre Angestellte, die zeitweise im Heimbüro arbeiten, laufen Gefahr, dass der virusbefallene PC des Sprösslings über das Netzwerk das eigene Notebook infiziert. Wenn dann unerwartet Kundendaten abwandern, steht Ärger ins Haus. Dem lässt sich mit wenig Aufwand ein Hardware-Riegel vorschieben.

Ob Sie nun mit Ihrem Notebook regelmäßig zwischen Praxis und Arbeitszimmer wandern oder etwa kostensparend mit einem DSL-Anschluss fürs Apotheken-LAN im Erdgeschoss und Heimnetz im ersten Stock auskommen wollen: In beiden Fällen schafft eine Kaskade aus günstigen Breitband-Routern die nötige Trennung der Bereiche.

Auch bei einer Router-Kaskade, die Netzbereiche voneinander abschottet, bleiben PCs hinter dem zweiten Router aus dem Internet erreichbar. Dazu muss man lediglich zwei Portweiterleitungen einrichten.
Auch bei einer Router-Kaskade, die Netzbereiche voneinander abschottet, bleiben PCs hinter dem zweiten Router aus dem Internet erreichbar. Dazu muss man lediglich zwei Portweiterleitungen einrichten.

Mit Network Address Translation (NAT) bewerkstelligen Router, dass mehrere PCs in einem LAN sich einen gemeinsamen Internetanschluss mit einer öffentlichen IP-Adresse teilen können. Nebenbei sorgt NAT dafür, dass PCs hinter dem Router von der Internet-Seite (WAN, Wide Area Network) nicht sichtbar sind.

Diese Nebenwirkung lässt sich nutzen, um nach dem Internetanschluss zwei separate Zonen zu errichten, die sich gegenseitig nicht erreichen können – von manuell eingerichteten Ausnahmen abgesehen, dazu unten mehr. So kann der Filius nicht auf eine zufällig offenstehende Windows-Dateifreigabe zugreifen, falls Sie Ihr Firmen-Notebook mal ins Heimnetz einklinken.

Ausgehend von einem vorhandenen DSL-Router (mit integriertem xDSL-Modem) brauchen Sie lediglich zwei weitere Breitband-Router, die schon ab zehn Euro pro Stück zu haben sind. Der DSL-Router wird zum reinen Internet-Zugangsgerät degradiert: Seine LAN-Seite wird zur DMZ, hier rote Zone getauft (siehe Bild).

Sparfüchse drängt es vielleicht, auf einen Subnetz-Router zu verzichten. Das mag beim Heimbüro noch tragbar sein, doch wenn in der grünen Zone auch Nichtfamilienmitglieder tätig sind, sollte man auch das Privatnetz schützen.
Sparfüchse drängt es vielleicht, auf einen Subnetz-Router zu verzichten. Das mag beim Heimbüro noch tragbar sein, doch wenn in der grünen Zone auch Nichtfamilienmitglieder tätig sind, sollte man auch das Privatnetz schützen.

An den DSL-Router schließen Sie nur die WAN-Schnittstellen der Breitband-Router und solche netzwerkfähigen Geräte an, die aus beiden Subnetzen erreichbar sein müssen. Den DHCP-Server des roten Routers können Sie abschalten. Die ihm nachgeschalteten Geräte bekommen alle eine feste IP-Adresse aus seinem Adressbereich (in unserem Beispiel 192.168.11.0/24, also 192.168.11.1 bis .254), der Router selbst hat die Adresse 192.168.11.1.

Einer der neuen Router wird für das Heimbüro zuständig (grüne Zone, 192.168.77.0/24), der andere fürs Privatnetz (blaue Zone, 192.168.13.0/24). Jeder spannt sein eigenes Subnetz auf. Die WAN-Schnittstelle der Subnetz-Router konfigurieren Sie auf "Static IP“ (bei manchen Geräten: "Fixed IP“) und stellen eine Adresse aus dem LAN-IP-Bereich des Internet-Routers ein. Ferner tragen Sie dort die Adresse des Internet-Routers als DNS-Server und Standard-Gateway ein.

Die DHCP-Server der Subnetz-Router aktivieren Sie und passen die vergebenen Adressen Ihren Vorstellungen an. Dabei dürfen sich die internen Bereiche der drei Router nicht überschneiden, damit NAT funktioniert.

Wollen Sie auf die Subnetze auch drahtlos zugreifen, dann helfen Breitband-Router mit integriertem WLAN. Da dieses netzwerktechnisch den LAN-Ports gleichgestellt ist, müssen Sie auf sichere Verschlüsselung achten, möglichst WPA2 mit AES-Chiffre, mindestens aber WPA-TKIP. Wählen Sie ein nicht erratbares WLAN-Passwort mit 12 bis 16 Zeichen Länge, das aus Groß- und Kleinbuchstaben (keine Umlaute) und Ziffern bunt gemischt ist. Die WLAN-Passwörter beider Subnetze müssen sich selbstverständlich unterscheiden, ebenso wie die Funknetznamen (SSID).

Wenn Sie gelegentlich Gästen Internetzugriff gewähren wollen, dann können Sie den roten Internet-Router ebenfalls mit WLAN ausstatten und hier einen dritten Funknetznamen nebst eigenem WLAN-Passwort vergeben. Alternativ stellen Sie einen dritten Subnetz-Router auf, der den Gästen vorbehalten ist und nur bei Bedarf eingeschaltet wird.

Ähnlich lassen sich etwa in größeren Wohngemeinschaften die Subnetze fast beliebig weiter ausbauen: Wenn die üblicherweise vorhandenen vier LAN-Ports des roten Routers belegt sind, vergrößert man die DMZ mit einem Fast-Ethernet-Switch.

Um Dienste über Subnetz-Grenzen hinweg zu erreichen, müssen Sie im trennenden Router eine Portweiterleitung, englisch Port Forwarding, einrichten. Die finden Sie in den Oberflächen mancher Router auch unter dem Stichwort "Virtuelle Server“.

Alle Verbindungen, die Internet-seitig, in unserem Szenario also aus der DMZ ankommen, leitet der Subnetz-Router an einstellbare Ziele weiter. Allerdings verweigern manche Geräte das Weiterleiten an Zieladressen, die nicht aus ihrem DHCP-Bereich stammen. Ob Ihr Gerät darunter fällt, ist schnell ausprobiert. Falls ja, müssen Sie dem Ziel seine IP-Adresse per DHCP-Reservierung (DHCP Reservation, IP by MAC) zuteilen, damit es anhand seiner Schnittstellenadresse (MAC) stets dieselbe Adresse bekommt.

Falls Sie beispielsweise die c't-Fernhilfe nutzen, um per Remote-Zugriff auf heimische Rechner zu gelangen, dann müssen Sie dafür nun zwei Portweiterleitungen einrichten: Die erste im roten Internet-Router bekommt als Ziel die interne Adresse des Subnetz-Routers, etwa 192.168.11.77. Die zweite Weiterleitung im Subnetz-Router zeigt dann auf den Ziel-PC, im Beispiel 192.168.77.120.

Bei den Subnetz-Routern können Sie getrost die Portnummern für bestimmte Dienste (Windows-Freigaben auf TCP/445, Remote Desktop auf TCP/3389, HTTP/Webdav auf TCP/80 und so weiter) eins zu eins durchreichen. Beim Internet-Router sollten Sie indes die Dienste verschleiern, also für HTTP den ankommenden (Public) Port etwa auf 18180 und den Zielport (Private) auf 80 setzen. So fallen Ihre Server erst bei sehr gründlichen Port Scans auf und Sie vermeiden, allzu banalen Angriffen zum Opfer zu fallen.

Geräte, die aus beiden Subnetzen erreichbar sein sollen, beispielsweise Netzwerkspeicher (Network Attached Storage, NAS) oder Drucker, stehen sinnvollerweise in der DMZ. Dann müssen Sie etwa bei NAS die Zugriffsrechte der Freigaben (Shares) passend setzen: Auf eine (Public) dürfen alle, auf die anderen nur privilegierte Nutzer. NAS-Geräte, die keine brauchbare Nutzer- und Gruppenverwaltung beherrschen, haben folglich in einem segmentierten Heimnetz nichts zu suchen.

Ein NAS, auf dem überwiegend private Daten lagern, ist dennoch am besten in der blauen Zone aufgehoben; für das Heimbüro gilt das analog. Der gelegentliche Zugriff aus dem anderen Subnetz kann mittels Portweiterleitung erfolgen.

Soll das NAS dagegen bewusst in der DMZ stehen, dann hängt es an der NAT-Performance des Routers, wie schnell man darauf zugreifen kann. Router mit Fast-Ethernet-Schnittstellen liefern prinzipiell nicht mehr als etwas über 11 MByte/s. Das Geld für ein schnelles NAS mit Gigabit-Ethernet wäre also rausgeschmissen – es sei denn, man stellte es ins grüne oder blaue Subnetz. Dann muss aber auch der Router einen Gigabit-Switch zumindest fürs LAN integriert haben, damit er nicht zur Bremse wird.

Gleichermaßen beim Zugriff auf das NAS in der DMZ wie per Port Forwarding auf eine Freigabe im anderen Subnetz wird die NAT im Router zum Flaschenhals: Typischerweise liegt sie bei wenigen hundert MBit/s, also im Bereich von 20 bis 40 MByte/s. Erst hochwertige Geräte können Gigabit-Ethernet per NAT bedienen, also über 900 MBit/s oder rund 110 MByte/s durchreichen. Die Geschwindigkeit lässt sich mit Windows-Freigaben von Subnetz zu Subnetz auch nur dann erreichen, wenn beide Subnetz-Router so schnell sind.

Medienserver, die Musik und Filme per UPnP ausliefern, lassen Sie indes im Heimnetz stehen. Denn das für den Zugriff und das Streaming benutzte UPnP erledigt vieles mit Broadcasts, die nicht durch die Subnetz-Router gehen.

Beim Zugriff auf Dateifreigaben lässt die Windows-Firewall normalerweise Pakete abprallen, die per Port Forwarding ankommen, weil deren Quelladresse nicht aus dem eigenen LAN stammt. Damit Windows 7 und Vista diese dennoch akzeptieren, muss man beim aktiven Profil (öffentlich, privat oder Domäne) die "Edgeausnahme“ (bei Vista: "Randüberquerung“) zulassen.

Standardmäßig lässt die Firewall von Windows 7 Zugriffe auf Dateifreigaben aus anderen Netzen als dem eigenen LAN abprallen. Nach Zulassen der Edgeausnahme und Eintragen des Routers der Gegenseite im zulässigen Adressbereich klappt der Zugriff auch per Portweiterleitung.
Standardmäßig lässt die Firewall von Windows 7 Zugriffe auf Dateifreigaben aus anderen Netzen als dem eigenen LAN abprallen. Nach Zulassen der Edgeausnahme und Eintragen des Routers der Gegenseite im zulässigen Adressbereich klappt der Zugriff auch per Portweiterleitung.

Rufen Sie dazu die Firewall-Einstellungen übers Startmenü auf. Dann lässt Eingeben von "firew“ im Suchfeld "Windows-Firewall mit erweiterter Sicherheit“ erscheinen. Bei den eingehenden Regeln suchen Sie "Datei- und Druckerfreigabe (SMB eingehend)“ und doppelklicken auf die Regel für das aktive Profil. Windows 7 und Vista sind mit der Nomenklatur an dieser Stelle nicht ganz konsequent, das Heimnetzwerk läuft in den Firewall-Regeln als "Privat“, das Arbeitsplatznetzwerk gehört zur "Domäne“. Hinter dem Reiter "Erweitert“ verbirgt sich schließlich die Edge-Ausnahme beziehungsweise Randüberquerung.

Sicherheitsbewusste wählen die Option "Auf Benutzer zurückstellen“, damit Windows 7 sich bei jedem Zugriffsversuch vergewissert, ob er zulässig ist. "Edgeausnahme zulassen“ gewährt stillschweigend allen per Portweiterleitung eingehenden Paketen den Zutritt. Vista kennt eh nur Letzteres. Wer dann den Zugriff weiter einschränken will, kann eine Liste zulässiger Quell-IP-Adressen unter dem Reiter "Bereich“ als Remote-IP-Adressen eintragen. Die Adresse des anderen Subnetz-Routers muss dann auf jeden Fall hinein.

Bei Windows XP ist ebenfalls eine Konfigurationsanpassung bei der Firewall nötig: So noch nicht geschehen, aktivieren Sie bei den Ausnahmen die "Datei- und Druckerfreigabe“. Diese müssen Sie zudem bearbeiten, um für TCP/445 den zulässigen Adressbereich anzupassen. Normalerweise akzeptiert XP wie Vista und Windows 7 Verbindungen zu Freigaben nur aus dem eigenen Subnetz. Tragen Sie als neuen Bereich eine benutzerdefinierte Liste ein, in die Sie das eigene Subnetz (zum Beispiel 192.168.13.0/24) und die DMZ-Adresse des anderen Subnetz-Routers eintragen, etwa 192.168.11.77/32. So bekommen nur Rechner aus dem zweiten Subnetz Zugriff. Die kurze Schreibweise für die Netzwerkmaske setzt XP automatisch um.

Damit Windows XP Zugriffe auf Freigaben aus dem anderen Subnetz zulässt, müssen Sie nur den Adressbereich für TCP-Port 445 manuell anpassen. Er soll das eigene Subnetz sowie die DMZ-Adresse des anderen Subnetz-Routers umfassen.
Damit Windows XP Zugriffe auf Freigaben aus dem anderen Subnetz zulässt, müssen Sie nur den Adressbereich für TCP-Port 445 manuell anpassen. Er soll das eigene Subnetz sowie die DMZ-Adresse des anderen Subnetz-Routers umfassen.


Der Zugriff auf Freigaben um die Ecke klappt freilich nicht mehr über die Windows-Namensauflösung, da die die Namensinformationen transportierenden Broadcasts an den Routern hängen bleiben. Um etwa aus dem grünen Netz die Freigabe im blauen zu erreichen, müssen Sie die DMZ-Adresse des blauen Routers im Explorer angeben: \\192.168.11.13\. Nachteilig an diesem Verfahren ist, dass man stets nur einen PC über die Kaskade erreichen kann, da der Explorer anders als bei Webadressen die zusätzliche Angabe eines Zielports à la \\192.168.11.13:4451\ bei Freigaben nicht versteht.

Falls Sie für Ihre Kaskade ältere Router wiederverwenden, setzen Sie sie unbedingt vor Konfigurationseingriffen auf die Werkseinstellung zurück. Sonst übersehen Sie möglicherweise aktivierte DynDNS-Dienste: Zwar mag der Internet-Router beim Verbindungsaufbau noch korrekt seine öffentliche IP-Adresse als Ziel für heisenetze.dyndns.org [1] eingetragen haben. Doch tut das einer der Subnetz-Router anschließend für seine WAN-Adresse 192.168.11.77, dann wird Ihr Netz Internet-seitig unvermittelt unsichtbar.

Besonders tückisch ist, dass manche Router periodisch – etwa im Stundenrhythmus – überprüfen, ob der Dyndns-Eintrag noch stimmt. Dann kann es vorkommen, dass heisenetze.dyndns.org bei automatischer Neueinwahl des Internet-Routers nur für eine halbe Stunde zwischen drei und vier Uhr nachts erreichbar ist. Das fällt erfahrungsgemäß erst dann auf, wenn man den Fernzugang tatsächlich braucht. (rek [2])


URL dieses Artikels:
http://www.heise.de/-1825801

Links in diesem Artikel:
[1] http://heisenetze.dyndns.org
[2] mailto:rek@ct.de