Router als Pförtner: So wird lokaler Server von außen erreichbar

Netzwerk, Router, SemperVideo, Fritzbox, Konfiguration, Port-Weiterleitung Netzwerk, Router, SemperVideo, Fritzbox, Konfiguration, Port-Weiterleitung
In der Hochzeit des Filesharings war die Konfiguration von Port-Weiterleitungen im Router im Grunde Allgemeinwissen unter Internet-Nutzern. Das hat sich inzwischen wieder geändert, auch wenn es immer wieder einmal vorkommt, dass ein bestimmter Rechner im heimischen Netzwerk von Außen erreichbar sein soll. Unsere Kollegen von SemperVideo zeigen euch das Prinzip des Ganzen hier am Beispiel einer Port-Weiterleitung für einen PPTP-VPN-Server in der Konfigurations-Oberfläche einer FritzBox.

Anzumerken ist dabei, dass man eigentlich nicht mehr auf PPTP setzen sollte, um von Unterwegs sichere Verbindungen ins heimische Netzwerk aufzubauen. Denn das Protokoll gilt seit mehreren Jahren als komplett geknackt und bietet im Zweifelsfall überhaupt keinen Schutz mehr. Daher sollte man besser auf eine der zahlreichen neueren Alternativen zurückgreifen. Um das Grundprinzip zu verdeutlichen, reicht das Protokoll aber völlig aus.

Für alle, die sich bisher weniger mit den zahlreichen Protokollen beziehungsweise Diensten, die über die Internet-Verbindungen laufen, sowie mit Netzwerk-Architekturen auseinandergesetzt haben sei kurz etwas zu den Grundlagen gesagt: Der Server eines jeden Dienstes lauscht auf einem bestimmten oder auch mehreren Ports, ob ihn ein Client ansprechen will. Einige davon sind mehr oder weniger fest standardisiert, andere werden recht frei belegt. HTTP, also das Protokoll des World Wide Web, findet sich auf der Portnummer 80 wieder, HTTPS - also verschlüsselte Web-Verbindungen - auf 443, FTP auf 21.

WLAN- & Router-Tuning: So holt man mehr aus der Netzverbindung

Pförtner statt Tür

Wenn ihr nun beispielsweise einen Server-Dienst auf eurem PC betreibt, um etwa von unterwegs auf eure Dateien zugreifen zu können, gibt es aber ein Problem. Euer Rechner ist in der Regel nicht direkt mit dem Internet verbunden. Dazwischen steht der Router als Vermittler. Und dieser weiß in der Regel nichts mit Anfragen anzufangen, die von Außen kommen. Sie werden daher schlicht verworfen. Das ist auch gut so, damit nicht jeder Kontaktversuch aus dem oft nicht gerade freundlich gesonnenen Internet in euer heimisches Netz gelangt.

Ihr könnt dem Router aber beibringen, auf bestimmten Ports dann doch auf Anfragen zu hören. Diese werden nicht vom Router selbst bearbeitet - denn der jeweilige Server-Dienst läuft ja überhaupt nicht auf dem Gerät. Stattdessen beauftragt man das System damit, jede eingehende Anfrage von Außen stur an einen bestimmten Port an einem Rechner innerhalb des eigenen Netzes durchzureichen. Dort kann sich dann der gesuchte Server selbst darum kümmern.

Die entsprechenden Einstellungen findet ihr in der FritzBox unter Internet -> Freigaben -> Portfreigaben. Ähnliche Möglichkeiten finden sich quasi in allen Routern. Wenn sie nicht als Port-Weiterleitung oder Port-Freigabe gekennzeichnet sind, erkennt man sie meist an tabellarischen Auflistungen bereits bestehender Konfigurationen. Dort genügt es nun in ein entsprechendes Formular einzutragen, auf welchem TCP- oder UDP-Port der Router nach Außen lauschen soll und zu welchem internen Rechner und Port eingehende Pakete weiterzureichen sind.

Mehr von SemperVideo: YouTube

Dieses Video empfehlen
Kommentieren6
Jetzt einen Kommentar schreiben
 
Ihr zeigt also, wie PPTP nutzt und im nächsten Satz heißt es, dass man PPTP eigentlich seit Jahren nicht mehr nutzt, weil es zu unsicher ist. Prima. Warum verdeutlicht ihr das Grundprinzip denn nicht an einem aktuellen Protokoll?
 
@xploit: Aha. Und hast Du schon mal außer PPTP noch ein anderes Tunnelprotokoll konfiguriert?

Weil, falls ja, dann weißt Du ja was da noch dranhängt und wieviel komplexer und schwieriger das wird.

Ich mein, toll daß Du problemlos mit PKI und X.509 umgehen kannst. Das sind aber nicht viele. Die meisten verstehen darunter nur Bahnhof Bratkartoffel...

... und wenn man von PKI und X.509 aber nur Bahnhof Bratkartoffel versteht, dann BLEIBT nur PPTP übrig, weil alle anderen - sicheren -- VPN-Typen insbesondere deswegen sicher sind, weil sie von PKI-Architekturen geschützt werden.

Doch, PPTP ist für die Anschauung die einzige brauchbare Möglichkeit.
 
@RalphS: Ähh, die Fritzboxen können von Haus aus IPSec ohne großen Aufwand.
Wo ist das Problem?
 
@Kubwa: Hab mir das grad angeschaut und spontan nur VPN-Client gefunden und das auch nur über Software.

Mag das mit FB als IPsec-Einstiegspunkt gar nicht leugnen, find dazu nur grad nix und in Anbetracht der Tatsache daß es AVM außer für seine eigenen Dienste mit Zertifikaten auf der FB nun überhaupt nicht so hat...

Andererseits ändert das auch nichts an der Tatsache. IPsec von dem ich nicht weiß wie es konfiguriert ist und wie es abgesichert ist das kann ich mir auch sparen. Da wäre sogar self-signed vertrauenswürdiger.
 
@RalphS: Gerade wenn etwas kompliziert ist, ist es prädestiniert dazu, mal erklärt zu werden. Das macht ein Tutorial aus. Ein Video über ein veraltetes Protokoll, das jeder Mediamarkt-Berater im Halbschlaf einrichten kann und das dann auch noch veraltet ist und gar nicht mehr verwendet werden sollte, ist wohl ziemlich albern, meinst du nicht?
 
@xploit: Das Problem ist, daß man dafür aber keinen Exkurs Richtung VPN und Einrichtung braucht.

Man bräuchte einen Richtung X509 und PKI, und wenn ich mir anschau was da draußen für Vorstellungen nur allein re: SSL/TLS rumgeistern, dann müßte so ein Exkurs noch extra Zeit damit verbringen, zu versuchen, den Leuten ihre Vorstellungen vom Thema zumindest ein wenig zu korrigieren.

Sonst hast Du am Ende sinngemäß ein Howto für die Einrichtung eines SSTP-Tunnels, wovon drei Stunden abfallen für das erforderliche Vorwissen und fünf Minuten für die Tunnelkonfiguration selber.
Kommentar abgeben Netiquette beachten!
Einloggen