Galileo Computing < openbook >
Galileo Computing - Bücher zur Programmierung und Softwareentwicklung
Galileo Computing - Bücher zur Programmierung und Softwareentwicklung

...powered by www.netzwerkartist.de...

Inhalt
1 Internetzugang für mehrere Rechner
1.1 Windows-Internetverbindungsfreigabe
1.2 Hardware-Router
1.3 Softwarelösungen
2 FLI4L mit dem Texteditor
2.1 Grundkonfiguration
2.2 Konfiguration erstellen
2.3 Tuning (optional)
2.4 Wie geht es weiter bei FLI4L?

Download (ca. 750 KB)

Buch bestellen (24,90 Euro)
 
FLI4L aus:PC-Netzwerke von Axel Schemberg
- Vom Small Office zur LAN-Party
PC-Netzwerke Internetzugang für mehrere Rechner
gpAllgemeines
gpWindows-Internetverbindungsfreigabe
gpHardware-Router
gpSoftwarelösungen
Hardware-Router
Allgemeine Vorbemerkungen

Wenn Sie einen Hardware-Router kaufen, erwerben Sie ein Gerät, das etwa so groß wie ein externes Modem ist. Das Gerät nimmt also sehr wenig Platz in Anspruch, verbraucht wenig Strom, ist normalerweise lüfterlos und daher lautlos.

Üblicherweise bieten die DSL-Router, die weniger kosten als die ISDN-Router, zusätzlich zu ihrer Grundfunktion noch weitere Funktionen wie eine Firewall oder einen DHCP-Server.

Der Nachteil, den eine Hardware-Router-Lösung hat, ist ihre begrenzte Erweiterbarkeit. Wenn Sie einen DSL-Router kaufen, kann man diesen nicht zu einem Router für das TV-Kabel-Netzwerk erweitern. Würden Sie einen Software-Router benutzen, so wäre die Chance, dass Sie das könnten, wesentlich größer. Wenn Sie gern eine spezielle Funktion auf dem Router realisiert hätten, z. B. einen E-Mail-Server, wird das nicht möglich sein, wenn der Router diese Funktion nicht schon von Anfang an angeboten hat.

Die Wahrscheinlichkeit, hinsichtlich der Anschlusstechnologie ins technologische Abseits zu geraten, ist mittlerweile gering. Die üblichen DSL-Router werden an das DSL-Modem angeschlossen und bieten dafür eine Ethernet-Schnittstelle mit 10/100 Mbit/s. Dadurch ist es möglich, das T-DSL-Modem auszutauschen, z. B. gegen eines für VDSL, und den DSL-Router an dieses Modem anzuschließen.

Bei Preisen ab 50 Euro ist Ihr Risiko, sich für eine falsche Technologie entschieden zu haben, ebenfalls gering, denn selbst wenn in drei Jahren DSL ähnlich belächelt wird wie heute ein Modem-Internetzugang, so hätten Sie lediglich 17 Euro/Jahr verloren.

Kriterien für den Routerkauf

Die wesentlichste Entscheidung, die Sie treffen müssen, ist, welche Anschlusstechnologie der Router abdecken muss: DSL und/oder ISDN.

Es gibt reine ISDN-Router. Diese sind verglichen mit den heutigen DSL-Routern relativ teuer. Möglicherweise ist es günstiger, einen DSL-Router mit ISDN-Backup-Funktion zu kaufen. Dieser Router verwendet den DSL-Zugang; stellt er fest, dass der DSL-Zugang nicht verfügbar ist, wählt er sich über ISDN in das Internet ein.

Die Entscheidung, welche Einwahltechnologie durch den Router abgedeckt sein muss, ist wohl die einfachste, denn Sie kaufen einen DSL-Router, wenn Sie einen DSL-Internetzugang haben, und einen ISDN-Router, wenn Sie lediglich über ISDN verfügen.

Insbesondere für kleine Netzwerke sind die möglichen Zusatzfunktionen der Router sehr interessant. Zu den Funktionen, die auf allen gängigen DSL-Routern vorhanden sind, gehören NAT, Firewall, Web-Interface zur Konfiguration und ein DHCP-Server.

Abbildung 12.8 Mein DSL-Router
 

Ich besitze einen GL2422RT-0T0 Wireless-DSL-Router von der Firma Gobal Sun Technologies ( http://www.globalsuntech.com ), der unter der Handelsmarke 4MBO durch den Lebensmitteldiscounter Plus für 150 Euro vertrieben wurde (vgl. Abbildung 12.8). Da es sich um ein OEM-Gerät handelt, wird das baugleiche Gerät auch von anderen Herstellern vertrieben, z. B. als DLink DI-614+, LinkSys WAP11, SMC 2655 und Netgear ME102. Die Geräte sehen zwar optisch anders aus, beinhalten aber exakt die gleiche Elektronik, und es soll sogar möglich sein, auf meinem 4MBO die Firmware von DLink aufzuspielen.

Der Router hat drei Hauptfunktionen:

  • 5-Port-Switch (4 Ports = RJ45, 1 Port = intern für WLAN)
  • Wireless-Accesspoint, IEEE 802.11b
  • Router (IP, PPPoE = DSL)

Neben diesen Hauptfunktionen bietet der Router weitere Möglichkeiten:

  • DHCP-Server
  • Firewall
  • NAT
  • Web-Interface zur Konfiguration
  • Portforwarding (z. B. für eDonkey u. Ä. wichtig)
  • UPnP (Universal Plug-and-Play)
  • Telnet-Konfigurationskonsole
  • NTP-Synchronisierung (Network Time Protocol)
  • SNMP
  • Anbindung an einen Syslog-Server
  • Sperren von PCs auf Basis von MAC- oder IP-Adressen
  • WEP-Verschlüsselung (40, 128, 256 Bit)

Für mich waren besonders der Switch und die WLAN-Funktion wichtig. Dadurch ist es möglich, einerseits alle PCs mittels Twisted-Pair-Verkabelung über den Switch zu verbinden und, falls ich möchte, auch im Wohnzimmer über den WLAN -Zugang zu surfen.

Firewall

Für unabdingbar halte ich die Firewall-Funktion. Der Einsatz einer Firewall auf einzelnen PCs im LAN würde die Handhabung z. B. von Laufwerksfreigaben erheblich erschweren. Daten aus dem Internet sollten dort gefiltert werden, wo sie in das LAN gelangen, und das ist am DSL-/ISDN-Router.

Wenn Sie viel Wert auf Sicherheit legen, dann kommt für Sie womöglich ein Router mit einer Stateful-Inspection-Firewall in Betracht, die wesentlich mehr Sicherheit bietet (vgl. Kapitel 11.2.1, Firewall).

Praktisch ist die Funktion eines Drucker-Spoolers. Sie können an den Router einen Drucker anschließen, der über das Netzwerk erreichbar ist und somit von allen Netzwerkteilnehmern im LAN genutzt werden kann. Dazu ist es erforderlich, auf jedem PC den entsprechenden Druckertreiber zu installieren (vgl. Kapitel 9.2.4, Drucker- und Dateifreigaben).

Wenn Sie in hohem Maße auf den Internetzugang angewiesen sind, dann sollten Sie überlegen, ob ein automatischer Backup-Zugang über ISDN die richtige Lösung für Sie sein kann. Der DSL-Router schaltet den Internet-Zugang automatisch von DSL auf ISDN, wenn er feststellt, dass der DSL-Zugang nicht verfügbar ist.

Router aufbauen

Das Aufbauen eines DSL/ISDN-Routers ist sehr einfach. Schematisch wird der Aufbau in Abbildung 12.9 dargestellt.

Abbildung 12.9 Schematischer Aufbau eines DSL-Routers
 

Beim konkreten Aufbau des DSL-Routers müssen Sie den DSL-Router an das DSL-Modem anschließen, ähnlich wie in Abbildung 12.10 dargestellt. Sie schließen lediglich anstelle des PC den Router an. Das Modem wird in Deutschland von der Deutschen Telekom vertrieben. Beim Anschließen des DSL-Routers besteht kein Unterschied zu einem einzelnen PC, den Sie bisher an das DSL-Modem angeschlossen und mit einem Treiber (RASPPPoE o. Ä.) DSL-fähig gemacht haben. Die Treiber-Installation entfällt bei der Verwendung eines DSL-Routers.

Abbildung 12.10 DSL-Verschaltung, Quelle: Deutsche Telekom
 

ISDN

Den ISDN-Router können Sie direkt mit dem NTBA der Deutschen Telekom verbinden. Sie benötigen kein Modem wie bei einem DSL-Zugang. Es ist unüblich, dass ein ISDN-Router über einen integrierten Switch verfügt, und daher ist der direkte Anschluss von mehreren PCs an einen ISDN-Router nicht möglich. Sie benötigen neben dem Router noch einen Hub oder Switch, an den Sie die PCs des LANs und den ISDN-Router (mit dessen LAN-Interface) anschließen können. Die Verschaltung entspricht übrigens auch bei DSL-Routern ohne weiteren Switch-Port der Abbildung 12.11.

Abbildung 12.11 ISDN/DSL-Router ohne integrierten Switch
 

 

Ein DSL-Router ersetzt nicht automatisch das DSL-Modem! Es gibt aber vermehrt DSL-Router, die auch das DSL-Modem beinhalten - ein aus meiner Sicht sehr konsequenter Schritt.

Achten Sie beim Stromanschluss des DSL-Modems darauf, dass Sie keine schaltbaren Stromleisten/Mehrfachsteckdosen verwenden, die zu einem einzelnen PC gehören. Wenn der Strom für diesen PC ausgeschaltet wird, können die anderen PCs nicht mehr über den Router auf das Internet zugreifen, weil dem Router der Strom abgeschaltet wurde.

 

Ich habe meinen Router an eine digitale Zeitschaltuhr angeschlossen. Das hat den Vorteil, dass der Router nicht manuell ein- und ausgeschaltet werden muss, sondern automatisch zu bestimmten Zeiten zur Verfügung steht und zu anderen Zeiten - in meinem Fall z. B. nachts - nicht eingeschaltet ist. Die digitalen Zeitschaltuhren bieten meiner Meinung nach den Vorteil, dass man verschiedene Schaltzeiten für die einzelnen Wochentage vergeben kann. Der Preis einer solchen Zeitschaltuhr liegt bei 10 Euro.

Router konfigurieren

Wie Sie Ihren Router konfigurieren, kann ich nicht generell beschreiben, weil Sie sicherlich Ihre persönlichen Bedürfnisse abdecken möchten. Einige wichtige Punkte jedoch kann ich unabhängig vom verwendeten Modell und Ihren konkreten Anforderungen erläutern, und das möchte ich in diesem Abschnitt tun.

Erster Kontakt

Wenn Sie sich zu dem Router verbinden möchten, dann ist es erforderlich, im gleichen IP-Bereich zu arbeiten, den die Standardeinstellung des Routers vorsieht. Denkbar sind viele IP-Bereiche, doch vermutlich wird es der IP-Bereich 192.168.0.x oder 192.168.1.x mit einer 24-Bit-Subnetzmaske sein.

Unsicher

Die Standardeinstellungen der Router, also der Auslieferungszustand, sind extrem unsicher. Das beginnt bei Standardpasswörtern, die man z. B. unter http://newdata.box.sk/2001/jan/dad.txt finden kann. Bei meinem Router lautete das Passwort für den Benutzer Admin »admin«. Diese Passwörter sollten Sie umgehend ändern.

DHCP

Eine weitere Standardeinstellung ist der aktive DHCP-Server. Sie müssen selbst wissen, ob Sie einen DHCP-Server in Ihrem LAN einrichten wollen oder nicht. Leider verfügen die meisten DSL/ISDN-Router nicht über ein statisches DHCP, sodass sich die IP-Adresse der PCs in Ihrem LAN ständig ändern würde. Dies ist ein Nachteil z. B. für Laufwerksfreigaben, denn über eine Namensauflösung per DNS verfügen die meisten Router ebenfalls nicht.

Für DHCP, SNMP und Telnet gilt die goldene Regel, dass Sie das, was Sie nicht benötigen, am besten deaktivieren. Ein DSL-Router sollte aus dem Internet heraus möglichst tot wirken, denn dann ist er weniger angreifbar. Ich habe bei meinem Router die Funktion, dass ein PING aus dem Internet beantwortet wird, umgehend deaktiviert, denn es gibt niemanden, der meinen Router aus dem Internet anpingen muss.

Als nächsten Schritt sollten Sie die Regeln der Firewall durchsehen. Wenn es noch keine Regeln gibt, sperren Sie alle Protokolle von allen IP-Adressen auf allen Ports kleiner 1025 mit Zielrichtung Ihres LANs. Dann geben Sie als höherrangige Regel den Port 53 TCP frei. Er dient der Namensauflösung per DNS. Normalerweise ist Ihre Firewall damit abgeschottet und lässt nur noch das Nötigste durch. Wenn Sie diese Arbeit beendet haben, sollten Sie einen Test für Ihre Firewall im Internet absolvieren, z. B. unter http://www.pcflank.com/test.htm. Weitere Informationen dazu finden Sie in Kapitel 11.2.1, Firewalls.

Firmware

Das Betriebssystem eines Routers wird als Firmware bezeichnet. Die Version der Firmware wird Ihnen an einer Stelle des Administrationsmenüs angezeigt. Wie auch bei den PC-Betriebssystemen gibt es bei den Firmewares Fehler in Form von Sicherheitslücken. So war mein Router von einem Bug betroffen, der unter bestimmten Umständen dazu führte, dass jemand das Administrator-Passwort anfordern konnte und vom Router eine Antwort bekam. Die Lösung für solche Probleme sind Firmware-Updates. Der Hersteller eines Geräts - in meinem Fall der Händler 4MBO - bietet in unregelmäßigen Abständen solche Updates an. Sie sollten bei Ihrem Hersteller nachsehen, ob ein Update für die Firmware Ihres Routers angeboten wird. Wenn ja, empfehle ich Ihnen zunächst nachzulesen, welche Probleme mit dem Update behoben werden, bevor Sie das Update einspielen.

Das Einspielen eines solchen Updates ist immer ein bisschen heikel, denn die Firmware muss zunächst komplett fehlerfrei auf den Router übertragen werden. Der Vorgang darf nicht unterbrochen oder durch parallele Datenübertragungen gefährdet werden. Wird die Firmware unvollständig oder fehlerhaft übertragen, müssen Sie den Router im schlimmsten Fall zum Hersteller einsenden, damit er die Firmware wiederherstellt.

Timeout -Problem

Aktuell gibt es in Deutschland zwei Gebührenmodelle für den Internetzugang mit zeitbasierter oder volumenbasierter Abrechnung. Die volumenbasierte Abrechnung wird nur bei der Zugangstechnik DSL angeboten.

Für all diejenigen von Ihnen, die eine zeitbasierte Abrechnung haben - z. B. 100 Stunden oder minutengenaue Abrechnung - ist es besonders ärgerlich, wenn der Timeout des ISDN/DSL-Routers nicht funktioniert.1

Die Technik

Ihr Router hat eine Einstellung für einen automatischen Verbindungsabbau, den Idle-Timer . Wenn einen - von Ihnen definierbaren - Zeitraum lang keine Daten transferiert wurden, wird die Verbindung automatisch abgebaut. Erst wenn aus Ihrem LAN Daten angefordert werden, wird die Verbindung wieder aufgebaut.

Das Problem

Insbesondere durch eDonkey, aber auch durch andere fehlgeleitete Pakete werden von Ihrem Router fortlaufend Pakete empfangen und verworfen. Diese Pakete werden jedoch als Datenverkehr wahrgenommen, daher wird die Verbindung nicht abgebaut. Im Extremfall bleibt Ihre Verbindung 24 Stunden bis zur Zwangstrennung bestehen, und Sie zahlen eine größere Summe für diese nutzlose Online-Zeit.

Exkurs

Technisch gesehen besteht das Problem darin, dass der Router z. B. auf TCP-Port 4662 (eDonkey) keinen NAT-Eintrag hat, also keinen PC im LAN, an den er den Datenstrom weiterleiten könnte. Deshalb sendet Ihr Router im Fall von TCP eine Ablehnung, TCP RST . Dieses gesendete Paket wird als ausgehendes Paket registriert, und der Idle-Timer beginnt von vorne zu ticken. Auch ein UDP-Paket wird mit einem ICMP Port unreachable beantwortet und löst ebenfalls das Zurücksetzen des Idle-Timers aus.

Lösungen

Mit einigen Komforteinbußen können Sie eine sehr einfache Lösung anwenden: Strom aus. Schalten Sie den Strom des Routers aus, ist auch die Verbindung ins Internet getrennt. Der Nachteil dieser Lösung ist, dass Sie und alle anderen im LAN nur dann surfen können, wenn der Strom eingeschaltet ist.

Wenn Sie bei den Firewall-Regeln großen Einfluss nehmen können, bietet es sich an, eingehende Pakete auf dem UDP/TCP-Ports 4661, 4662 und 4665 zu ignorieren (engl. deny ). Das Gleiche gilt für jede Art von ICMP-Mitteilung. In der c't 04/03, Seite 66, wird für Linux-Router die Filter-Regel active=filter 'outbound and not icmp[0] == 3 and not tcp[13] & 4 != 0' vorgestellt, die zur richtigen Behandlung des Idle-Timers führen soll.

Mein DSL-Router bietet im Bereich der Firewall-Regeln leider keine übermäßig genauen Möglichkeiten, sodass man lediglich eingehende Pakete sperren ( reject ), aber nicht ignorieren kann. Trotzdem lässt sich das Problem lösen. Bei meinem DSL-Router gibt es einen Inactive Timeout . Wie Sie Abbildung 12.12 entnehmen können, kann man dort eintragen, welcher Zeitraum vergehen soll, bis der Router auf abgelehnte Pakete antwortet. Ich habe die höchstmögliche Zahl, 65.536, gewählt. Die Angabe hat die Einheit Sekunden; 65.536 Sekunden entsprechen über 18 Stunden. Weil ich meinen Router nur zwischen 10 und 22 Uhr eingeschaltet habe - das habe ich über eine Zeitschaltuhr geregelt - arbeitet der Idle-Timer zuverlässig.

Abbildung 12.12 Inactive Timeout löst das Idle-Timer-Problem
 

Würde um 10 Uhr morgens ein Paket auf dem TCP-Port 4662 empfangen, so wird das erst um 4 Uhr des nächsten Tages bestätigt, der Router wird aber schon um 22 Uhr abgeschaltet.

1. Diese Thematik wurde u. a. in der c't 03/03, Seite 74 f., behandelt. Der dort geschilderte Fall einer ahnungslosen Anwenderin führte zu reichlich Leserbriefen.
 
  
 Zum Katalog
Zum Katalog
PC-Netzwerke
bestellen
 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchtipps

Der eigene Webserver

Die Computer-Fibel

Kompendium Informations-
technik

Wie werde ich UNIX-Guru?
 Empfehlung

Internet-Sicherheit für Einsteiger
 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
Info

 MyGalileo
Der Service für registrierte Leser:
Zu MyGalileo
Info



Copyright © Galileo Press GmbH 2002 - 2003
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press GmbH, Gartenstraße 24, 53229 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de