Wenn sich Familie, Mitbewohner und Freunde sowie smarte Haushaltsgeräte samt TV und Homeoffice-PC ein WLAN teilen, ist das auf den ersten Blick praktisch. Jeder kennt die WLAN-Zugangsdaten und kann bei Bedarf auf gemeinsame Netzwerkgeräte wie NAS und Drucker zugreifen.
Dieses „Heimnetz für alle“ birgt aber Gefahren: Wenn Sie wichtige Geräte nicht zusätzlich schützen, können neugierige Mitbenutzer die Inhalte auf der NAS inspizieren oder Einstellungen von Router, Drucker und Smart-Home-Adaptern verändern. Ein Malware-infiziertes Gast-Smartphone startet Angriffe auf andere Geräte und verteilt Ransomware im Netzwerk.
Auch für den Datenschutz ist ein gemeinsames Netzwerk nicht optimal: Ist der Homeoffice- PC Teil des WLANs, können sensible berufliche Daten in falsche Hände geraten.
Die einfache Lösung für einen besseren Schutz: Sie gruppieren alle problematischen Geräte in einem eigenen WLAN oder Netzwerk, das von Ihrem Haupt-WLAN getrennt ist. Das geht ganz einfach mit Ihrem Router, Sie brauchen dafür keine zusätzlichen Geräten.
Siehe auch: Die 6 größten WLAN-Fehler – und ihre Lösungen
Das Gast-WLAN
Der Gastzugang, den fast alle aktuellen Router bieten, lässt sich als getrenntes Zweitnetz für unsichere Geräte verwenden. Sie sollten es mit einem Passwort schützen, das sich von dem des Haupt-WLAN unterscheidet.
IDG
Denn jeder Router bietet die Funktion „Gastnetz“: Er baut damit neben dem Haupt-WLAN ein zweites Funknetz auf. Beide sind logisch getrennt, sodass Geräte in einem Netz nicht auf die im anderen Netz zugreifen können. Ins Internet kommen aber alle Geräte.
Technisch regelt der Router dies durch virtuelle LANs (VLANs). Das müssen Sie aber gar nicht wissen: Sie aktivieren im Routermenü einfach das Gast-WLAN und versehen es mit Zugangsdaten wie SSID und WPA-Passwort, die von denen des Standard-WLANs abweichen.
Für besseren Schutz bietet viele Router Feineinstellungen fürs Gäste-WLAN: So können Sie eine Zeitdauer angeben, nach der sich dieses WLAN automatisch abschaltet, oder Sie richten einen Zeitplan dafür ein. Stellt der Router einen angeschlossenen USB-Speicher fürs Netzwerk zur Verfügung, können Sie auch Geräten im Gast- WLAN den Zugriff darauf erlauben, ohne die Trennung der WLANs aufzugeben. Geräte können sich im Gast-WLAN genauso einfach anmelden wie im Haupt-WLAN – zum Beispiel mit WPS oder mit Hilfe eines QR-Codes, den das Routermenü anzeigt.
Feintuning fürs Gastnetz
Unter „Weitere Einstellungen“ können Sie den Gastzugang noch weiter an den eigenen Einsatzzweck anpassen, indem Sie zum Beispiel eine Vorschaltseite anzeigen lassen oder bestimmte Onlinedienste ausschließen.
IDG
Bei einer Fritzbox finden Sie unter „Weitere Einstellungen“ am Ende des „Gastzugang“- Menüs weitere hilfreiche Optionen: Sie können sich über den Push-Service per Mail benachrichtigen lassen, sobald sich ein Gerät mit dem Gastzugang verbindet. Außerdem lässt sich eine Vorschaltseite einrichten, die angemeldeten Geräten als Erstes erscheint: Dort machen Sie Gäste auf bestimmte Nutzungsbedingungen aufmerksam und darauf, dass Sie inhaltliche Filter für den Internetzugang über das Besucher- WLAN eingeschaltet haben.
Sie können hier außerdem einstellen, dass jedes Gerät nach einer bestimmten Nutzungszeit automatisch vom Gastzugang abgemeldet wird.
Im Gastzugang sind standardmäßig alle angemeldeten Geräte voneinander isoliert – sie kommen also nur ins Internet, sehen aber keine anderen Geräte im Besucher- WLAN. Diese „client isolation“ können Sie aufheben, wenn zum Beispiel Gäste Ihrer Kinder gemeinsam im lokalen Netzwerk spielen möchten: In der Fritzbox setzen Sie dafür ein Häkchen vor „WLAN-Geräte dürfen untereinander kommunizieren“ und klicken anschließend auf „Übernehmen“.
Kindersicherung einrichten
Der Gastzugang lässt sich besser schützen, indem Sie das in den Filtereinstellungen der Kindersicherung vorbereitete Profil „Gast“ anpassen: Sie können zum Beispiel die Nutzungsdauer des Gast-WLANs beschränken.
IDG
Über die Kindersicherung der Fritzbox können Sie festlegen, was bestimmten Netzwerkgeräten im WLAN und im Internet erlaubt ist. Anstatt dafür ein eigenes Netzwerkprofil anzulegen, nutzen Sie für die Netzwerkkontrolle einfach das vorbereitete Zugangsprofil für den Gastzugang. Dieses Profil passen Sie unter „Internet –› Filter –› Zugangsprofile“ an.
Gehen Sie zum Zugangsprofil „Gast“ und öffnen Sie dessen Einstellungen über das blaues Stiftsymbol am rechten Rand. Im Fenster „Zugangsprofil Gast bearbeiten“ legen Sie nun zum Beispiel mit einem Wochenplan fest, in welchem Zeitraum die Internetnutzung für das Gastnetz erlaubt ist. Außerdem können Sie Webseiten sperren, indem Sie das hinterlegte Modul der Bundeszentrale für Kinder- und Jugendmedienschutz nutzen. Sie können aber auch einzelne Sperren eintragen: Dazu tragen Sie die Domainnamen bei „Internet –› Filter –› Listen“ über „Gesperrte Internetseiten: bearbeiten“ ein.
Automatischer Filter: In der Fritzbox können Sie außerdem das BPjMModul aktivieren, um für Minderjährige ungeeignete Webseiten zu sperren.
IDG
Bei einer Fritzbox lassen sich auch kabelgebundene Geräte ins Gastnetz umleiten: Setzen Sie im Menü bei „Heimnetz –› Netzwerk –› Netzwerkeinstellungen“ unter der Überschrift „Gastzugang“ einen Haken vor „Gastzugang für LAN 4 aktiv“ und verbinden Sie anschließend das entsprechende Gerät per LAN-Kabel mit dem LAN-Port 4 am Router.
Die Option „Anmeldung am Gastzugang nur nach Zustimmung zu den Nutzungsbedingungen gestatten“ sollten Sie deaktiviert lassen, denn sonst können sich nur Geräte anmelden, die über ein Display oder Tastatur und verfügen.
Mehr Infos: Kindersicherung der Fritzbox einrichten – so geht’s
Gastzugang für Smart-Home nutzen
Smart-Home-Geräte sind ideale Kandidaten für ein getrenntes Netzwerk: Denn es gestaltet sich häufig schwierig, ihre Sicherheit aktuell zu halten: Sie erlauben meist keine automatischen Updates, sodass Sie regelmäßig auf sie zugreifen müssen, um zum Beispiel ein Firmwareupdate durchzuführen. Außerdem finden sich besonders bei günstigen Smart-Home-Produkten häufig Sicherheitslücken, die der Hersteller erst spät oder nie schließt. Im abgeschotteten Gastzugang können solche Geräte weniger Schaden anrichten.
Die verbesserte Sicherheit birgt aber Nachteile bei der Bedienung: Sie können dann nur von einem anderen Client im Gastnetz auf ein Smart-Home-Gerät zugreifen – und auch nur dann, wenn Sie unter „WLAN –› Gastzugang –› Weitere Einstellungen“ einen Haken vor „WLAN-Geräte dürfen untereinander kommunizieren“ gesetzt haben. Wenn Ihr Client für den Zugriff üblicherweise im Hauptnetzwerk angemeldet ist, müssen Sie sich zunächst immer mit dem Gäste- WLAN verbinden, was schnell lästig wird.
Keine Probleme gibt es mit cloudbasierten Smart-Home-Systemen: Um sie zu steuern, müssen Sie immer ins Internet – da das sowohl von Ihrem Haupt- wie vom Gästenetz funktioniert, spielt es keine Rolle, ob Ihr Smartphone mit der Smart-Home-App per Gast- oder Standard-WLAN oder Mobilfunk online geht.
Sicheres Netzwerk für Homeoffice
In vielen Fritzbox-Modellen wie hier bei der 7590 können Sie den LAN-4-Port dem Gastzugang zuweisen, sodass auch Geräte ins Gastnetz kommen, die nur einen Ethernet-Anschluss, aber kein WLAN haben.
IDG
Wenn Sie zu Hause arbeiten, kann ein getrenntes Netzwerk den Schutz beruflich genutzter Geräte und Dateien verbessern. Sie können dafür auch die Gastnetzfunktion nutzen. Dann müssen Sie dort aber alle Homeoffice-Geräte anmelden. Dadurch verkompliziert sich der Zugriff auf Netzwerkgeräte wie NAS und Drucker: Die sollen allen zu Hause offenstehen, sind deshalb üblicherweise mit dem Haupt-WLAN verbunden und daher für Homeoffice-Geräte, die sich im Gastnetz befinden, nicht direkt erreichbar.
Sinnvoller fürs Homeoffice ist es, ein vollständiges, aber trotzdem getrenntes Netzwerk einzurichten. Dazu brauchen Sie lediglich einen zweiten Router: Das muss kein neu gekauftes Produkt sein.
Auch ein älteres Modell kommt dafür in Frage: Sie verbinden seinen WAN-Port per Netzwerkkabel mit einem LAN-Port des Hauptrouters und erhalten durch diese sogenannte Kaskade zwei getrennte Netzwerke.
Der Zweitrouter arbeitet dabei einerseits im Netzwerk des Hauptrouters wie ein normaler Client, kontrolliert aber mit seinen Routerfunktionen wie Firewall und NAT (Network Address Translation) den Zugriff auf sein getrenntes Subnetz. So schützt er alle Geräte, die mit ihm verbunden sind, vor Verbindungen aus dem lokalen Netzwerk des Hauptrouters und vor unerwünschten Zugriffen aus dem Internet.
In die entgegengesetzte Richtung funktioniert der Zugriff hingegen: Es ist daher möglich, dass der Homeoffice-PC im Subnetz des Zweitrouters sich mit dem NAS im lokalen Netzwerk des Hauptrouters verbindet.
Router-Kaskade: Zwei vollständig getrennte Netzwerke
Router-Kaskade: Mit diesen Einstellungen können Sie eine Fritzbox als Zweitrouter hinter einen Hauptrouter anschließen – so erhalten Sie ein weiteres Netzwerk mit eigenem IP-Adressbereich.
IDG
Damit die Router-Kaskade funktioniert, müssen Zweit- und Hauptrouter bestimmte Voraussetzungen erfüllen:
Der Zweitrouter muss im Routermodus arbeiten und nicht als Repeater, Access Point oder IP-Client. Zudem muss er einen WAN-Port besitzen oder ein Anschluss am Router muss sich für diese Funktion nutzen lassen: Zum Beispiel können Sie bei einer Fritzbox 7490 ohne eigenen WAN-Port im Routermenü den LAN-Port 1 zum WAN-Port machen.
Einige Router kommen für die Router-Kaskade nicht in Frage, weil sie alternative WAN-Port-Optionen bieten, zum Beispiel die Fritzbox 6850 LTE. Auch einige Speedport-Modemrouter der Telekom eignen sich nicht als nachgeschalteter Zweitrouter: Sie besitzen zwar einen WAN-Port, der aber ausschließlich für die Onlineverbindung gedacht ist – er lässt sich nicht manuell oder per DHCP-Adresszuweisung als WAN-Client mit lokaler WAN-IP-Adresse schalten.
Außerdem wichtig für die Kaskade: Der Bereich der IP-Adressen der beiden Netzwerke muss sich unterscheiden. Im Idealfall erledigt dies der zweite Router automatisch: Er erkennt, dass er als WAN-Adresse eine private IP-Adresse vom Hauptrouter bekommt, und wählt deshalb für das eigene lokale Netzwerk einen anderen privaten IP-Adressraum.
Wenn also der Hauptrouter den für eine Fritzbox üblichen lokalen Netzwerkadressbereich 192.168.178.0/24 verwendet, muss der Zweitrouter einen anderen IP-Bereich nutzen, da es ansonsten unterschiedliche Geräte mit identischen IPv4-Adressen geben könnte. Er muss dann als eigenen IP-Bereich zum Beispiel 192.168.188.0/24 festlegen.
Fritzbox als Zweitrouter einsetzen
Bei den Verbindungseinstellungen sollten Sie für die Geschwindigkeit vom Zweitrouter-LAN ins Haupt-Heimnetz 1000 MBit/s im Down- und Upstream eintragen, um ausreichend Bandbreite zuzuweisen.
IDG
Wie Sie eine Fritzbox als Zweitrouter einsetzen können, hängt vom jeweiligen Modell ab. Besitzt Ihr AVM-Router einen Ethernet-Port, der mit „WAN“ beschriftet ist, können Sie das LAN-Kabel vom ersten Router dort anschließen. Bei einigen Modellen ist der WAN-Port blau statt gelb wie die LAN-Ports oder er ist am Gehäuse etwas abgesetzt von den anderen Ports.
Hat die Fritzbox dagegen wie die 7490 nur einen zusätzlichen DSL-Anschluss, müssen Sie den LAN-Port 1 als WAN-Port nutzen. Abgesehen davon ist das Vorgehen identisch, mit dem Sie eine Fritzbox zum Zweirouter machen. Dabei darf die Fritzbox noch nicht mit dem Hauptrouter verbunden sein. Rufen Sie das Menü der Zweit-Fritzbox auf und gehen Sie zu „Internet –› Zugangsdaten –› Internetzugang“. Dort wählen Sie unter „Internetanbieter“ im ersten Drop-down-Menü die Option „weitere Internetanbieter“ und anschließend im Drop-down-Menü direkt darunter die Option „anderer Internetanbieter“.
Wi-Fi 7: So schnell ist der neue WLAN-Standard
Nun markieren Sie unter „Anschluss“ die dritte Option „Anschluss an ein externes Modem oder Router“ und unter „Betriebsart“ die erste Option „Internetverbindung selbst aufbauen“. So erreichen Sie, dass diese Fritzbox im Routermodus arbeitet und ihr lokales Netzwerk durch die eigene Firewall und NAT (Network Adress Translation) schützt.
Unter „Zugangsdaten“ wählen Sie „Nein“ und achten außerdem darauf, dass unter „Verbindungseinstellungen“ in den Eingabefeldern „Downstream“ und „Upstream“ jeweils der Wert „1000“ (MBit/s) eingetragen ist. Klicken Sie dann auf den blauen Link „Verbindungseinstellungen ändern“ und vergewissern Sie sich, dass unter „IP-Einstellungen“ die Option „IP-Adresse automatisch über DHCP beziehen“ gewählt ist. Bestätigen Sie Ihre Einstellungsänderungen per Klick auf „Übernehmen“.
Jetzt können Sie den WAN-Anschluss beziehungsweise LAN-Port 1 per Ethernet-Kabel mit einem freien LAN-Port des Hauptrouters verbinden.
Im Anschluss bekommt die Fritzbox für diesen Anschluss automatisch vom Hauptrouter eine lokale WAN-Adresse aus dem LAN-Bereich des Hauptrouters. Diese WAN-Adresse finden Sie im Menü unter „Internet –› Online-Monitor –› Online-Monitor“ in der Liste „WAN-Verbindung“ in der Zeile „Internet, IPv4“. „Internet“ steht hier beim Zweitrouter für das übergeordnete LAN des Hauptrouters. Notieren Sie sich die hier angegebene WAN-IPv4-Adresse.
WAN- und LAN-Netzwerkadressen
Grundsätzlich achtet der AVM-Router automatisch darauf, dass er für sein lokales Netzwerk einen vom Adressbereich des Hauptrouters abweichenden privaten IPv4- Netzwerkbereich vergibt.
Ob das tatsächlich so ist, prüfen Sie im Fritzbox-Webmenü unter „Heimnetz –› Netzwerk –› Netzwerkeinstellungen“. Scrollen Sie ganz nach unten und klicken Sie dort auf den blauen Link „weitere Einstellungen“. Gehen Sie dann bis zum Bereich „IP-Adressen“ und klicken Sie dort auf die blaue Schaltfläche „IPv4-Einstellungen“. Im folgenden Fenster sollte sich die Zahl rechts von „IPv4-Adresse“ im dritten Kasten von der WAN-Adresse des Zweitrouters unterscheiden, die Sie sich notiert haben.
Ist das nicht der Fall, tragen Sie eine andere Zahl zwischen 2 und 254 ein. Den Wert „1“ im vierten Eingabefeld und die Zahlen im ersten und zweiten Eingabefeld lassen Sie unverändert. Notieren Sie sich die neue, geänderte IPv4-Adresse und bestätigen Sie mit „Übernehmen“.
Weil sich die IP-Adresse der Zweit-Fritzbox geändert hat, kommen Sie nun zunächst nicht mehr in deren Menü. Unterbrechen Sie deshalb kurz die WLAN- oder LAN-Verbindung zum Zweitrouter und rufen Sie dann erneut das Menü mit http://fritz.box auf. Klappt das nicht, geben Sie im Browser die IP-Adresse ein, die Sie sich gerade eben notiert haben.
Verbindungsprobleme lösen
Welchen Adressbereich das Hauptnetz nutzt, sehen Sie im Menü des Zweitrouters: Eine Fritzbox zeigt sie unter dem Onlinemonitor als IPv4-Adresse der WAN-Verbindung an.
IDG
Alle Geräte, die Sie mit dem lokalen Netzwerk des Zweitrouters per LAN-Kabel oder WLAN verbinden, sind vor Zugriffen aus dem übergeordneten Hauptheimnetz geschützt. Von den Geräten aus dem Zweitrouter-Subnetz kommen Sie hingegen problemlos ins Heimnetz des Hauptrouters, indem Sie das Gerät im Hauptnetz mit seiner lokalen IP-Adresse ansprechen. Zum Beispiel wollen Sie das Menü des Hauptrouters aufrufen: In seinem Netzwerk lautet der IP-Adressbereich 192.168.1.0/24. Der Client im Zweitnetz, den Sie gerade verwenden, hat dagegen eine IP-Adresse aus dem Subnetz-Bereich 192.168.198.0/24. Um auf den Hauptrouter zuzugreifen, geben Sie deshalb im Browser http://192.168.1.1 ein.
Probleme kann es beim Zugriff auf andere Geräte geben: Ihr NAS befindet sich zum Beispiel im Hauptnetz und hat die IP-Adresse 192.168.1.5. Wenn Sie aber nun an einem Rechner im Subnetz \192.168.1.5 in die Adresszeile des Explorers eingeben, um eine NAS-Freigabe zu erreichen, erhalten Sie eine Fehlermeldung.
Eine Fritzbox sperrt standardmäßig das SMB-Protokoll, das für Windows-Freigaben notwendig ist, wenn ein Zugriff über den WAN-Port erfolgt. Arbeitet die Fritzbox als Zweitrouter, schalten Sie diese Sicherheitsfunktion ab.
IDG
Der Grund: Die Fritzbox sperrt standardmäßig das SMB-Protokoll, das beim Zugriff auf Windows-Freigaben zum Einsatz kommt, wenn dieser über eine WAN-Verbindung erfolgt. Dieser „NetBIOS-Filter“ ist sicherheitstechnisch sinnvoll, wenn die Fritzbox als Hauptrouter arbeitet und direkt mit dem Internet verbunden ist. Greifen Sie dagegen vom einem zweiten, privaten Netzwerk darauf zu, ist diese Schutzmaßnahme überflüssig.
Sie schalten Sie ab, indem Sie im Webmenü der Zweitrouter-Fritzbox „Internet –› Filter –› Listen“ aufrufen. Klicken Sie dort auf den blauen Link „Globale Filtereinstellungen“, entfernen Sie den Haken vor der Einstellung „NetBIOS-Filter aktiv“ und bestätigen Sie mit „Übernehmen“. Im Anschluss sollte der SMB-Zugriff auf die Freigabeorder der NAS im LAN des Hauptrouters funktionieren.