1829354

Von außen ins eigene Netzwerk - so geht´s

27.09.2013 | 10:34 Uhr |

Netzwerkverkehr von außen durch die Firewall zu erlauben ist die Voraussetzung für den Fernzugriff aus dem Internet auf eigene Server-Dienste. Dies gelingt mit Portfreigaben und dynamischen Host-Namen.

Das eigene, lokale Netzwerk und die dort angemeldeten Teilnehmer müssen vor unerwünschten Anfragen oder Zugriff aus dem Internet gut abgeschottet sein. Diese Aufgabe übernimmt im Heimnetzwerk der (WLAN-)Router, der mit einem Paketfilter ausgestattet ist, um unerwünschten Netzwerkverkehr von draußen zu blockieren. Mittels Network Address Translation (NAT) sorgt der Router außerdem dafür, dass die Teilnehmer im lokalen Netz nicht direkt erreichbar sind, sondern nur gesammelt über die IP des Routers online gehen.

Wohldosierte Portfreigaben durch die Firewall

Steht dagegen im eigenen lokalen Netzwerk ein PC, der über das Internet erreichbar sein soll, dann ist die rigorose Abschottung mit Paketfilter und NAT kontraproduktiv. Etwa, wenn ein FTPServer von außen Verbindungen annehmen muss oder ein BittorrentClient im Server-Modus eingehende Verbindungen akzeptieren soll. Damit ein Rechner und der darauf laufende Server-Dienst im Netzwerk gezielt von außen erreichbar ist, müssen Sie von innen ein wohldefiniertes Loch durch die Firewall bohren. Dies gelingt mit einer Portfreigabe und Portweiterleitung auf dem Router, der dann dafür sorgt, dass die Anfragen an den offenen Port intern zum richtigen PC gelangen, ohne das Netzwerk zu gefährden.

Netzwerk-Probleme sofort lösen

Wohin? Den Ziel-Server vorbereiten

Schema einer Portfreigabe im Heimnetzwerk: Der Router agiert als Firewall, bekommt einen dynamischen Host-Namen und leitet Anfragen auf einen Port an einen Server im Netzwerk weiter.
Vergrößern Schema einer Portfreigabe im Heimnetzwerk: Der Router agiert als Firewall, bekommt einen dynamischen Host-Namen und leitet Anfragen auf einen Port an einen Server im Netzwerk weiter.

Die Konfiguration beginnt auf jenem PC im eigenen Netzwerk, der den Server-Dienst für Zugriffe aus dem Internet beherbergen soll. Der Einfachheit halber geht der Beitrag davon aus, dass es sich dabei um ein Windows-System handelt. Notieren Sie sich auch gleich die LAN-IP-Adresse des PCs, denn die benötigen Sie später. Diese IP ermitteln Sie, indem Sie in den AusführenDialog von Windows, den Sie mithilfe der Tastenkombination WindowsTaste-R aufrufen, den Befehl cmd /k ipconfig eingeben. In der Ausgabe findet sich die IP-Nummer in der Zeile „IPv4-Adresse“. Installieren Sie das ServerProgramm und lassen Sie zu, dass dieses Programm seine Dienste auf dem genutzten Port durch die Windows-Firewall hindurch anbietet. Diese Erlaubnis müssen Sie manuell erteilen. Mit ihren Voreinstellungen erlaubt die Windows-Firewall von Vista/7/8 nämlich auch bei den freizügigen Netzwerkprofilen „Heimnetzwerk“ und „Arbeitsplatznetzwerk“ nur wenige vordefinierte Ports für die Datei- und Druckerfreigabe. Um hier ganz gezielt mehr zu ermöglichen, gehen Sie in der Systemsteuerung auf „System und Sicherheit -> Windows-Firewall -> Ein Programm oder Feature durch die WindowsFirewall zulassen“. Dort angekommen, können Sie nun über die Schaltfläche „Einstellungen ändern“ mittels „Anderes Programm zulassen“ das Server-Programm auswählen, das durch die Firewall Netzwerkpakete empfangen darf. Ab Windows 7 warnt die Firewall Sie übrigens selbstständig, wenn eine Anwendung durch den Paketfilter hindurch Verbindungen akzeptieren will. Sie können die Erlaubnis direkt im Meldungsfenster der Windows-Firewall erteilen. Ausflüge in die Systemsteuerung dienen dann lediglich der Kontrolle sowie zum Löschen von Ausnahmeregeln.

Einen Port auf dem Router freigeben

Darf das Programm seine Dienste anbieten: Ab Windows 7 meldet sich die Firewall von Windows automatisch, wenn eine Anwendung einen Port öffnen will.
Vergrößern Darf das Programm seine Dienste anbieten: Ab Windows 7 meldet sich die Firewall von Windows automatisch, wenn eine Anwendung einen Port öffnen will.

Die Portweiterleitung richten Sie jetzt auf der Administrationsoberfläche des Routers ein. Kommt die weitverbreitete Fritzbox zum Einsatz, dann gehen Sie dafür auf der Administrationsoberfläche von http://fritz.box zunächst auf „Einstellungen -> System -> Ansicht“. Stellen Sie hier die „Expertenansicht“ ein. Anschließend können Sie über „Internet -> Portfreigabe ->„Neue Portfreigabe“ einen Port auf dem Router öffnen und zu einem Rechner im Netzwerk weiterleiten. Dazu ein praktisches Beispiel: Steht im Netzwerk ein FTP-Server, der Verbindungen auf dem Port 21 entgegennimmt, wählen Sie im Konfigurationsdialog der Fritzbox unter „Portfreigabe aktiv für“ die Option „Andere Anwendungen“. Als „Bezeichnung“ geben Sie als Notiz einen Namen für diese Portfreigaben an, etwa „FTP-Server“ und wählen unter „Protokoll“ die erforderliche Protokollart aus. Ein FTP-Server nutzt das übliche TCP-Protokoll und nicht etwa UDP. Im Feld „von Port“ geben Sie den Port an, auf dem Anfragen aus dem Internet auf dem Router eingehen sollen, beispielsweise Port 21 für FTP. Die Angabe „bis Port“ ist optional und nur notwendig, wenn Sie den gesamten Portbereich freigeben möchten. Ansonsten tragen Sie hier bei einem Einzelport nur nochmal die Portnummer 21 ein. Nun teilen Sie der Fritzbox mit, wohin diese Anfragen im lokalen Netz gehen sollen. Dazu geben Sie für „an IP-Adresse“ die lokale IP-Adresse des Rechners ein, der den Server-Dienst zur Verfügung stellt. Abschließend geben Sie unter „an Port“ noch die Portnummer ein, auf welcher der Server-Dienst auf dem PC lauscht. Bei FTP ist das auch wieder der Port 21. Bei den Routern anderer Hersteller funktioniert die Portfreigabe auf ähnliche Weise, die Menüpunkte unterscheiden sich jedoch deutlich.

Das eigene Netzwerk absichern

Eine Portfreigabe (Portweiterleitung) auf der Fritzbox definieren: Hier ist beispielsweise ein FTPServer auf dem Port 21 und der internen LAN-IP 192.168.0.2 definiert.
Vergrößern Eine Portfreigabe (Portweiterleitung) auf der Fritzbox definieren: Hier ist beispielsweise ein FTPServer auf dem Port 21 und der internen LAN-IP 192.168.0.2 definiert.

Zumeist ist ein Menüpunkt namens „Portforwarding“, „Portmapping“, „Forward“ „Custom Service“ oder „Virtual Server“ vorhanden. Bei der Detaileinstellung der Portfreigaben erscheinen dann häufig die folgenden Bezeichnungen: Public Port / External Port / Inbound Service: Damit legen Sie die Portnummer auf dem Router fest, die vom Internet aus erreichbar sein soll. Private IP / Internal IP: Tragen Sie in dieses Eingabefeld die IP-Adresse des PCs im lokalen Netzwerk ein, an den die Datenpakete weitergeleitet werden sollen. Private Port / Internal Port: Hier geben Sie die Portnummer für den PC mit dem Server- Dienst im lokalen Netzwerk ein. Üblicherweise ist dies der gleiche Port, den Sie auch bei „Public Port“, „External Port“ oder „Inbound Service“ eintragen. Type / Protocol: Hier wählen Sie den Protokolltyp TCP oder UDP aus.

Host-Name: Den Router erreichbar machen

Wenn die Portweiterleitung steht und der Server-Dienst im eigenen Netz läuft, ist dieses bereits aus dem Internet erreichbar. Allerdings bleibt noch ein Problem: Der DSL- oder Kabel-Provider vergibt bei jedem Verbindungsaufbau eine neue IP-Adresse. Diese Adresse müssten Sie jedes Mal herausfinden, beispielsweise über die Webseite http://ifcon fig.me, und das ist zu umständlich. Für Abhilfe sorgt in diesem Fall der Dienst von DNS-Anbietern, die bei der Einwahl des Routers die Internet-IP-Adresse einem dynamischen Host-Namen zuordnen. Dynamisch deshalb, weil der Router seine neue Internet- IP-Adresse bei jeder Einwahl automatisch dem DNS-Dienst mitteilt. In den letzten Jahren war Dyn DNS (www.dyndns.org) die erste Wahl. Mittlerweile akzeptiert dieser Service aber keine kostenlosen Neuanmeldungen mehr, sondern bietet nur noch kostenpflichtige Konten ab 25 US-Dollar an sowie befristete Test-Accounts, für die Sie aber eine Kreditkartennummer angeben müssen. Wer einen Router von D-Link betreibt, erhält weiterhin unter www.dlinkddns.com einen Gratis-Account für Dyn DNS.

Dynamischer Host- Name: Viele Router unterstützen mehrere DNS-Anbieter, etwa den hier gewählten, kostenlosen Dienst von www.noip.com. Dyn DNS ist für Neukunden jedoch nicht mehr kostenlos.
Vergrößern Dynamischer Host- Name: Viele Router unterstützen mehrere DNS-Anbieter, etwa den hier gewählten, kostenlosen Dienst von www.noip.com. Dyn DNS ist für Neukunden jedoch nicht mehr kostenlos.

Im Prinzip kann sich hier jeder anmelden. Beachten Sie jedoch, dass der Anbieter den Zugang löscht, wenn Sie auf Nachfrage keine Seriennummer für einen D-Link-Router liefern können. Eine kostenlose Alternative, die von der Firmware vieler Router unterstützt wird, ist bei www.noip.com erhältlich. Ob Ihr Router mitspielt, können Sie in dessen Administrationsoberfläche überprüfen. Die Fritzbox bietet den Dienst in jedem Fall an. Nach der kostenlosen Registrierung auf www.noip.com über die Mailadresse erhalten Sie die Zugangsdaten per Mail und definieren dann nach einer Anmeldung den eigenen Host-Namen als Subdomain über einen A-Record auf der Webseite. Die erhaltenen Kontodaten und den eingerichteten Host- Namen geben Sie in die dafür vorgesehenen Eingabefelder des Routers ein. Bei der Fritzbox finden Sie diese unter „Internet -> Freigabe -> Dynamic DNS“. Im Feld „Dynamic- DNS-Anbieter“ wählen Sie „No-IP.com“ aus und tragen darunter die Nutzerdaten ein.

Geniale Netzwerk-Tools

Die Portweiterleitung von außen überprüfen

Ob alles wie gewünscht funktioniert, müssen Sie von außen unter realen Bedingungen prüfen. Dazu benötigen Sie Zugriff auf einen anderen PC, der über einen anderen Router mit dem Internet verbunden ist und nicht im eigenen Netzwerk hängt. Einen Test, ob der Router Verbindungen auf dem freigeschalteten Port akzeptiert, können Sie allerdings auch aus dem eigenen Netzwerk heraus ausführen: Der PC-WELT Browser-Check offeriert über den Menüpunkt „Firewall-Check“ eine Portscanner- Funktion. Geben Sie dazu im Feld „Zusätzlichen Port überprüfen“ die Nummer des freigeschalteten Ports ein. Geöffnete Ports zeigt der Check mit einem roten Warnsymbol an. Beachten Sie, dass viele Router Portscans dieser Art blockieren. Um einen hartnäckigen Scan auf den Host-Namen zu starten, ist daher der Service von http://portscan. e-dns.org empfehlenswert. Den gewählten, dynamischen Host-Namen des Routers müssen Sie hier manuell eingeben, allein mit IP-Adresse funktioniert der Scan nicht.

0 Kommentare zu diesem Artikel
1829354