Peter Mischa Marxbauer, IT-, Internet- und Sicherheit

Der KMU, Handel, Handwerk und Freiberuf mit der DIGITALISIERUNG behilfich ist. Kaufmann, DIGI-Coach

Netzwerk und DSL Router

Wie es scheint, gibt es hier einen erheblichen Informationsbedarf, weshalb wir uns auch zuerst darum kümmern.

Sie sollen schließlich einen direkten und uneingeschränkten Zugriff zum Netz der Netze, zum Internet haben.

Einrichten eines Routers (Netzwerk)

Bevor wir uns daran machen, den Internet-Router unbrauchbar zu machen, sollten wir einige Überlegungen anstellen. Diese sind:

  1. Welche Art von Netzwerk machen wir
  2. Welche Dimension planen wir
  3. Die Subnet-Maske
  4. Tipps zur Adressierung
  5. Konfiguration des Routers

Teil 1 ist recht einfach, wir werden mit unserem LAN sicher Teil des Internet, somit ist das Internet-Protokoll die richtige Wahl für uns. Es heißt TCP/IP und wir bauen damit ein Teilnetz des großen, weiten Internet.

Sicher haben Sie im Vorfeld keine Internet-Adressen bestellt und eine Standleitung mit fester Adressierung wird es auch nicht sein. Beschäftigen wir uns hier mit einem dynamischen Zugang mit ständig wechselnder IP-Adresse, die uns vom Provider nach jeder Trennung neu zugewiesen wird. Das ist der häufigste Typ und außerdem haben Unternehmenskunden mit Standleitungen selten Informationsbedarf, so wie hier geboten, sie haben meist schon ihre Fachleute, Leute wie wir es sind. Wir wissen jetzt, dass unsere externe Adresse nicht bekannt ist, weil stets neu zugeteilt, wir brauchen aber intern (LAN) auch verschiedene Adressen. Eine IP-Adresse hat stets dieses Aussehen:

A.B.C.D
Wobei jeder Buchstabe für eine Gruppe von 8 bit steht. So kann jedes Viertel der Adresse maximal 256 verschiedene Werte abbilden (0 bis 255 = 256 Möglichkeiten). Das ist IPv4, immer noch die gebräuchliche Version, obgleich die IPv6 schon in den Startlöchern steht.
Wir werden ein Klasse C Netzwerk machen und jetzt werden die vier Buchstaben schnell eine Bedeutung bekommen:

A = 192 ist so festgelegt für C-Netze hinter dem Router

B = 168 ist ebenso festgelegt, international

C = kann von uns festgelegt werden und beschreibt das Netzwerk (LAN)

D = wird von uns oder unserem DHCP Server festgelegt und beschreibt einen Host
Nachdem der Buchstabe C das Netzwerk identifiziert heißt es auch ein Class C Netz.

Das gesagte gilt dann auch für das Class B und das Class A Netz, wobei hier auch andere Adressbereiche als frei verfügbar definiert sind. Beim Class A Netz z.B. ist es 10.x.x.x.

Ein DHCP Server ist meist Teil unseres Routers, kann in größeren Installationen aber auch auf einem anderen Device untergebracht sein. Wichtig ist für uns, ein Netzwerk darf nur einen DHCP Server haben!

Der Teil einer Adresse, der die Hosts beschreibt, in unserem Fall der D-Teil, steht auch nicht vollständig zur Verfügung. Die Null steht als Adressbezeichnung für das Netz selbst und die 255 ist die Broadcast-Adresse. Über die Broadcast werden Netzwerk-Funktionen gesteuert, wie beispielsweise DHCP, das „Dynamic Host Configuration Protocol“.

Einigen wir uns darauf, dass wir zunächst weniger als 250 Rechner (Hosts) anschließen werden, dann reicht es zu wissen, niemals einen Host mit .0 oder .255 zu adressieren. Damit steht auch die Dimension schon fest und wir können bereits Teil 2 abhaken.

Die Sub-Net-Mask

Multipliziert man jetzt alle Möglichkeiten, die sich aus den Adress-Teilen A, B, C und D ergeben, so hätten die Rechner viel zu tun, immer Milliarden möglicher Hosts abzufragen, beispielsweise für Broadcast-Anfragen. Es muss da noch einen Mechanismus geben, mit dem erreicht wird, dass nur die überhaupt sinnvollen Hosts angefragt werden. Es ist die Sub-Net-Mask.

Sehen wir uns noch einmal unsere Class C LAN-Adresse an:

192.168.11.0
Alle Hosts in diesem Netzwerk haben diese Adresse und unterscheiden sich nur im Teil D, da steht bei jedem seine Host-Adresse (0 = das LAN selbst). Die Teile A.B.C müssen nicht beachtet werden, weil sie im ganzen Netz gleich sind, dafür sorgt die 24er Maske mit der Schreibweise:

255.255.255.0
Das LAN 192.168.11.0 mit der Maske 255.255.255.0 ist somit eine vollständige Netzwerk-Beschreibung. Sie kann auch einfacher geschrieben werden: 192.168.11.0/24. Erinnern wir uns, 255 dezimal ist FF hex ist 11111111 bin. Wenn also die Gruppen A, B, C vollständig gesetzt sind und jede Gruppe maximal 8 bit haben kann (3*8=24), daher kommt die 24er Maske.

Jetzt brauchen wir noch ein paar dienstbare Geister und schon können wir dem neu gebauten Netz ins Internet gehen. Das Netzwerk haben wir beschrieben, irgendwo darin muss sich der Router befinden, sonst kann ihn kein Host finden. Eine Adresse des Netzes muss dem Router zugewiesen werden (statisch, fest). Man nennt sie auch Standard-Gateway. Der Benutzer bekommt diese statische Adresse später automatisch zugewiesen (DHCP), Sie müssen die Adresse nur einmal, bei der Router-Konfiguration festlegen.

Sagen wir:

192.168.11.222
Das zweite Helferlein wäre der DNS Server (Domain Name System), der aber bei den meisten Routern nicht angegeben werden muss, er wird einfach auf den Router gesetzt (vom DHCP) und dann vom Router auf die vom Provider zugewiesene DNS-Adresse weitergeleitet (heißt  dann Forwarding).

Tipps zur Adressierung

Anders als beim Thema Autos und Vermögen (da will jeder dieselbe fette Kiste wie der Nachbar) verhält es sich bei Internet-Adressen. Da ist es viel besser nicht dieselbe Adresse zu haben wie ein anderer. Sonst gäbe es eine Kollision im Netz.

Wir empfehlen klar, in den Teilen C und D der Adresse die unteren Bereiche zu meiden, also 0, 1, 2 … Warum? So steht es doch in jedem Handbuch. Eben, genau deshalb und weil es in jedem Handbuch steht, hat es jeder … und die Gefahr von Kollisionen ist entsprechend groß.

Nehmen Sie im Teil C etwas, das man sich leicht merken kann. Für Ihr erstes Netz die 11, für das zweite die 22 usw., so können Sie sich nach einem Jahr noch an die Adressen erinnern. Oder notieren Sie sich Ihre Adressierung. Das hilft bei der Wiederinstallation, wenn mal der Router grätscht oder etwas Ähnliches passiert.

Im Teil D sollte ebenso Ordnung herrschen, dann ist die Verwaltung des Netzes viel einfacher. Die unteren Adressen lassen wir leer, die DHCP-Range kann vielleicht von 101 bis 199 gehen und die Infrastruktur-Geräte, die ohnehin statisch adressiert werden im Bereich von über 200.

Die Router-Installation

Wahrscheinlich können Sie es schon kaum mehr erwarten, jetzt muss er raus aus der Schachtel – hands on! Die Geduld hat sich aber gelohnt, mit unseren Hinweisen wird es auf Anhieb ein durchschlagender Erfolg.

Nur, bis auf die folgenden Tipps müssen wir Sie jetzt mit Ihrem Router-Handbuch allein lassen. Zu vielfältig die Modelle und die unterschiedliche Art, wie die Dinger einzurichten sind. Noch ein paar Hinweise, für häufig auftretende Fragen. Der Hersteller gibt ja an, wie sein Router ab Werk adressiert ist und so brauchen Sie nur dem Handbuch zu folgen.

Warten Sie mit der Anmeldung des Rechners etwa zwei Minuten, dann sollte es gehen. DHCP braucht einige Sekunden für den Austausch zwischen DHCP-Server und Host. Wenn es länger dauert … vielleicht ist es Vista? Irgendwann geht es dann auch. Wenn nicht müssen Sie statisch adressieren …

Der Host (Rechner, mit dem Sie Ihren Router konfigurieren wollen) muss als DHCP-Client konfiguriert sein, das heißt, dass er seine Adressen automatisch bezieht.

Das Kennwort für den Router steht auch im Handbuch, Sie sollten es aber bald ändern. Was nutzt ein Kennwort, das Sie mit Tausenden teilen?

Authentifizierung Provider

Meist ist das Protokoll PPPoE, außer beispielsweise mNet, da ist es L2TP. Name, Kennwort – ich bin drin … gut gegangen, Gratulation!

Oh jeh, ich habe eine Anschlusskennung, eine T-Online-Nummer und einen Mitbenutzer, sowie ein Kennwort. Was ist der Name und was das Kennwort?

Das ist immer dann, wenn Sie als T-Com Kunde einen Router eines anderen Herstellers verwenden. Bei den T-Com-Routern stehen die Dinge so da, wie auf der Mitteilung der Zugangsdaten. Aber dennoch kein Problem, so geht’s:

Das Kennwort ist das Kennwort, so bleiben nur noch drei Dinge, die allesamt beim Namen reinkommen. Und zwar in folgender Form ohne Leerzeichen:

AnschlusskennungT-Onlinenummer#0001@t-online.de
Beachten Sie vor der Mitbenutzerkennung das [Raute]-Zeichen und danach den Authentifizierer nach einem @-Zeichen … ah, schon drin? War doch ganz einfach…

LAN-Adressierung

Das kann man sehr unterschiedlich darstellen, wie schon oben gesehen, die einfachste Form ist nur die Routeradresse, zum Beispiel 192.168.11.222, daraus kann die LAN-Adresse 192.168.11.0, sowie das Subnet 255.255.255.0 schon abgeleitet werden. Zwei kurze Felder für den DHCP-Bereich, da kommt dann 101 und 199 rein – fertig!

Dazwischen gibt es alle denkbaren Formen, wie viele Felder da sind und welche Inhalte erwartet werden. Mit den obigen Ausführungen sollte es Ihnen aber leicht fallen, die Felder sinnvoll und richtig zu füllen. Die Werte bei der IP-Adressierung stehen ja alle in Beziehung zueinander, siehe Beispiele oben und im letzten Absatz.

Sie haben da etwas ganz anderes stehen? Dann nutzen Sie zuerst die Hotline Ihres Providers und wenn es gar nicht gehen will, machen wir Ihnen noch ein unwiderstehliches Angebot, bitte aber in dieser Reihenfolge. Senden Sie uns ein Bildschirmfoto von der Netzwerk-Seite der Router-Konfiguration und eine Info, wie Ihr Netz aussehen soll. Wir geben kostenlos, ja gratis, einen Tipp dazu, vielleicht ist es der Richtige, das wäre nicht das erste Mal.

Netzwerk-Management

Manche Router erlauben das Management des Routers auch vom Internet aus anzuschalten. Wir raten generell davon ab, wollen Ihnen aber nicht vorenthalten, dass es trotzdem geht.

Die direkte Methode, die damit quasi eingeschaltet wird ist sehr unsicher, zumal Router gewöhnlich keine Mechanismen haben, einen Angreifer nach drei Fehlversuchen für eine Weile zu sperren. Das würde ihm wenigstens etwas den Appetit nehmen, so aber kann er unendlich rumprobieren, meist maschinell gestützt. Man nennt das eine Brute Force Attacke.

Besser schon die indirekte Methode, die aber nur funktioniert, wenn Sie einen Server betreiben. Damit haben Sie die Möglichkeit, sich von außen auf Ihren Server zu verbinden und dann den Router von innen zu managen. Aber einen Server zu betreiben, mit dynamischer IP, geht das? Ja, kommt gleich. Beide Möglichkeiten des Router-Managements haben eines gemeinsam, sie verlangen „strong passwords“. Was ist das? „hugo“ ist kein starkes Password. Alles Kleinbuchstaben, nur 4 Stellen lang, viel zu einfach. Schon bei weniger als 200.000 Versuchen ist der Angreifer drin. Ein moderner Computer rechnet das in Sekunden. Es müssen schon 3-4 Zeichengruppen verwendet werden. Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen. Das geht dann schon sehr viel besser:

!Desk4Hugo%
Da kann selbst ein Super-Computer eine Weile hin rechnen. Außerdem gilt, je länger das Kennwort, desto besser.

Wie bauen wir unseren Management Server?

Das unterstützen die meisten Router auch mittlerweile, die Geheimwaffe heißt DynDNS was für dynamic DNS steht. Sie melden sich einfach bei DynDNS an, lassen sich kostenlos registrieren und erhalten damit sogar eine eigene Adresse (etwa so: hugo.dyndns.ws). Diese Informationen geben Sie Ihrem Router, zusammen mit der Information, welcher interne Rechner und wie er angesprochen werden muss (siehe Port). Klar, dass der interne Rechner auf statische IP umgestellt wird. Er ist jetzt ein Server. Server sind Infrastruktur-Geräte und das haben wir schon gelesen, die sind immer statisch adressiert.

Der Router seinerseits weiß jetzt, dass er jeden Wechsel seiner externen IP-Adresse bei DynDNS „petzen“ soll. Jetzt kann Ihr Internet-Provider „zwangs“-trennen so viel er will, DynDNS kennt immer Ihre momentane Adresse.

Ihrem Router müssen Sie meist noch sagen, welchen Port er an Ihren Server weiterleiten soll. Windows Remote Desktop Protokoll (RDP) ist zum Beispiel 3389. Von außen sprechen Sie Ihren Server dann einfach mit dem DynDNS-Namen an, wie im Beispiel hugo.dyndns.ws. Vor dem linken Punkt das, womit Sie sich bei DynDNS angemeldet haben.

Wenn es gar nicht recht klappen will, helfen wir auch gerne. Melden Sie sich einfach auf der Seite an, rechts oben, und nutzen Sie die dann angezeigte Seite Intern-Kommunikation. Da erreichen Sie mich direkt.