Router-Kaskaden
Seite 2: Leinenlos
Leinenlos
Wollen Sie auf die Subnetze auch drahtlos zugreifen, dann helfen Breitband-Router mit integriertem WLAN. Da dieses netzwerktechnisch den LAN-Ports gleichgestellt ist, müssen Sie auf sichere Verschlüsselung achten, möglichst WPA2 mit AES-Chiffre, mindestens aber WPA-TKIP. Wählen Sie ein nicht erratbares WLAN-Passwort mit 12 bis 16 Zeichen Länge, das aus Groß- und Kleinbuchstaben (keine Umlaute) und Ziffern bunt gemischt ist. Die WLAN-Passwörter beider Subnetze müssen sich selbstverständlich unterscheiden, ebenso wie die Funknetznamen (SSID).
Wenn Sie gelegentlich Gästen Internetzugriff gewähren wollen, dann können Sie den roten Internet-Router ebenfalls mit WLAN ausstatten und hier einen dritten Funknetznamen nebst eigenem WLAN-Passwort vergeben. Alternativ stellen Sie einen dritten Subnetz-Router auf, der den Gästen vorbehalten ist und nur bei Bedarf eingeschaltet wird.
Ähnlich lassen sich etwa in größeren Wohngemeinschaften die Subnetze fast beliebig weiter ausbauen: Wenn die üblicherweise vorhandenen vier LAN-Ports des roten Routers belegt sind, vergrößert man die DMZ mit einem Fast-Ethernet-Switch.
Um Dienste über Subnetz-Grenzen hinweg zu erreichen, müssen Sie im trennenden Router eine Portweiterleitung, englisch Port Forwarding, einrichten. Die finden Sie in den Oberflächen mancher Router auch unter dem Stichwort "Virtuelle Server“.
Durchreiche
Alle Verbindungen, die Internet-seitig, in unserem Szenario also aus der DMZ ankommen, leitet der Subnetz-Router an einstellbare Ziele weiter. Allerdings verweigern manche Geräte das Weiterleiten an Zieladressen, die nicht aus ihrem DHCP-Bereich stammen. Ob Ihr Gerät darunter fällt, ist schnell ausprobiert. Falls ja, müssen Sie dem Ziel seine IP-Adresse per DHCP-Reservierung (DHCP Reservation, IP by MAC) zuteilen, damit es anhand seiner Schnittstellenadresse (MAC) stets dieselbe Adresse bekommt.
Falls Sie beispielsweise die c't-Fernhilfe nutzen, um per Remote-Zugriff auf heimische Rechner zu gelangen, dann müssen Sie dafür nun zwei Portweiterleitungen einrichten: Die erste im roten Internet-Router bekommt als Ziel die interne Adresse des Subnetz-Routers, etwa 192.168.11.77. Die zweite Weiterleitung im Subnetz-Router zeigt dann auf den Ziel-PC, im Beispiel 192.168.77.120.
Bei den Subnetz-Routern können Sie getrost die Portnummern für bestimmte Dienste (Windows-Freigaben auf TCP/445, Remote Desktop auf TCP/3389, HTTP/Webdav auf TCP/80 und so weiter) eins zu eins durchreichen. Beim Internet-Router sollten Sie indes die Dienste verschleiern, also für HTTP den ankommenden (Public) Port etwa auf 18180 und den Zielport (Private) auf 80 setzen. So fallen Ihre Server erst bei sehr gründlichen Port Scans auf und Sie vermeiden, allzu banalen Angriffen zum Opfer zu fallen.
