 |
|
|
|
|
|
|
|||||||||
|
|||||||||
|
|||||||||
|
|||||||||
|
|||||||||
| Home / Artikel / ausgabe / 2006 / 04 | |||||||||
|
 |
|
||
|
Home | ||
|
|||
|
Suchen: |
||
|
|||
|
|
||||||||||||||||||
|
|
||||||||||||||||||
|
|
||||||||||||||||||
|
|||||||||||||||||||
von Carsten Schnober
Wählt Ihr Linux-PC sich ins Internet ein? Oder ist Ihr PC vielmehr Teil eines internen Subnetzes, das über einen Router mit dem weltweiten Netz verbunden ist? Das klingt nach Haarspalterei, kann aber bei der Konfiguration Ihres Internet-Zugangs oder des internen Netzes entscheidende Tipps liefern.
Wer sich per DSL, ISDN oder traditionellem Modem ins Internet einwählt, authentifiziert sich zuerst mit der Gegenstelle und erhält daraufhin vom Internet-Provider eine IP-Adresse. Alle Rechner im Internet verfügen über eine solche numerische Adresse, um sich bei jeder Kommunikation eindeutig zu identifizieren -- unabhängig davon, ob es sich um einen Server oder einen Einwahlrechner handelt, der seine Adresse nur zeitweilig behält. Denn auch Einwahlrechner müssen eindeutig adressierbar sein, selbst wenn sie selbst keine Datendienste anbieten, beispielsweise um von Webservern Antworten auf Anfragen zu erhalten.
Sobald Ihr Rechner eine solche IP-Adresse hat, kann er von jedem anderen Internet-Computer aus angesteuert werden. Dafür sorgt das so genannte Routing: Router verbinden die verschiedenen Teile des Internet miteinander und leiten Datenpakete an Hand von Routing-Tabellen in die richtige Richtung oder direkt in den Netzabschnitt des Empfängers weiter.
Der Dienst, den Ihnen der Internet-Provider anbietet, besteht also vor allem darin, Ihnen eine von außen erreichbare IP-Adresse zuzuweisen, die die Kommunikation mit anderen Internet-Rechnern ermöglicht. Möchten Sie mehrere Rechner ins Internet bringen, brauchen sie alle eine IP-Adresse und dazu eine eigene Verbindung zum Provider -- theoretisch. Praktischer ist es, eine erhaltene IP-Adresse mit allen heimischen Rechnern gemeinsam zu benutzen.
Es können jedoch niemals mehrere Rechner dieselbe IP-Adresse verwenden, das würde zu Verwirrung beim zuständigen Router und zu unvorhersehbarem Datenchaos führen. Die Lösung liegt stattdessen in einem internen Netz (LAN, "Local Area Network"): Ein Heim-Router baut dieses auf und bindet alle darin zusammengefassten PCs über die vom Provider erhaltene IP-Adresse ans Internet an.
Die Möglichkeit, vom Internet unabhängige interne Netze zu schaffen, haben die Erfinder des Internet Protocol (IP) vorgesehen und deshalb mehrere Adressbereiche für den Einsatz in internen Netzen reserviert. Internet-Router leiten an solche Empfänger adressierte Pakete nicht weiter. Deshalb ist es kein Problem, wenn verschiedene interne Netze dieselben Adressen verwenden -- sie sind ohnehin nicht von außen erreichbar.
In einem typischen Beispiel eines internen Netzes mit Internet-Verbindung wählt sich der Heim-Router über den Provider ins Internet ein und erhält eine global erreichbare IP-Adresse, beispielsweise 212.227.94.19. Auf der anderen Seite verbindet der Router mehrere Rechner zu einem internen Netz. Sie erhalten IP-Adressen, die mit 192.168 beginnen; das ist einer der für interne Netze reservierten Adressbereiche. Von nun an kann jeder Internet-Computer den Router über seine IP-Adresse erreichen; auch wenn er keine Antwort erhält, weil ein Router gewöhnlich keine Dienste anbietet. Ein interner Rechner mit der IP-Adresse 192.168.1.2 bleibt von außen jedoch unerreichbar.
Heim-Router bietet deshalb einen zusätzlichen Service an: Network Address Translation (NAT, "Netzwerkadressenübersetzung"). Ein NAT-Router ermöglicht den Rechnern des internen Netzes, eine Verbindung zu einem Internet-Rechner aufzubauen, indem er die Adresse des wahren Absenders (192.168.1.2) durch die vom Provider zugewiesene, im Internet gültige IP-Adresse ersetzt. Die Antworten auf ausgehende Anfragen landen dadurch wieder beim NAT-Router, der die Empfängeradresse zurückübersetzt und an den Rechner mit der internen IP-Adresse 192.168.1.2 weiterleitet.
Ein Internet-Provider verlangt vom Kunden, sich per Benutzername und Kennwort zu authentifizieren, bevor er eine IP-Adresse aushändigt und mit Internet-Zugriff ausstattet. Demnach muss sich das Gerät ausweisen, das sich direkt mit dem Zugangsknoten des Providers verbindet. Kommt ein NAT-Router zum Einsatz, ist es dessen Aufgabe; wenn sich nur ein Rechner direkt über ISDN oder Modem einwählt, fällt diesem die Authentifizierung zu.
Um die Verbindung zwischen Internet-Providern und Einwahlkunden herzustellen, wurde das PPP-Verfahren (Point to Point Protocol) entwickelt. Es ermöglicht eine grundlegende Kommunikation zwischen dem Internet-Provider und dem Einwahlrechner, so dass die Authentifizierung stattfinden kann. Da sich PPP- und Authentifizierungsverfahren je nach Verbindungstyp unterscheiden, gibt es für die Einwahl per Modem, ISDN und DSL jeweils verschiedene Programme und beispielsweise in der Kategorie Netzwerkgeräte des Suse-Linux-Konfigurationsprogramm Yast2 eigene Einträge (Abbildung 1).
Die Modem-Einwahl erledigt unter Linux das Programm PPPD, das die eingestellte Rufnummer anwählt, eine Verbindung herstellt und anschließend Benutzernamen und Kennwort schickt. Im Falle von ISDN erledigt dieselbe Aufgabe die Variante IPPPD. Wer ein DSL-Modem am Computer angeschlossen hat, verwendet PPPoE (PPP over Ethernet). Es unterscheidet sich, weil über DSL keine Einwahl über das Telefonnetz stattfindet; so braucht der Benutzer hier nur Benutzernamen und Kennwort anzugeben.
Stellt jedoch ein NAT-Router die Internet-Verbindung her, brauchen sich die Rechner des internen Netzes gar nicht zu identifizieren. Stattdessen ist dafür der Router zuständig. Unter Windows unterscheidet sich die Konfiguration eines Routers häufig kaum von der eines DSL-Modems, das direkt mit einem Rechner verbunden ist. Denn oft liegt den Routern Software bei, die man auf einem Windows-System installiert, um die Zugangsdaten des Providers einzugeben. Diese verbleiben im Falle eines externen Routers jedoch nicht auf dem Computer, auf dem die Konfigurations-Software läuft, sondern werden auf dem Router gespeichert.
Als Alternative zu diesen nur unter Windows funktionsfähigen Installationsprogrammen stellen Router ein Web-Frontend bereit. Hat sich ein Rechner dem internen Netz angeschlossen, erreicht er den Router über eine vom Hersteller vorgegebene numerische interne Adresse, beispielsweise http://192.168.1.1. Geben Sie diese Adresse im Webbrowser ein, um das Konfigurations-Interface aufzurufen (Abbildung 2).
Um die Router-Konfiguration zu ändern, benötigen Sie gewöhnlich ein Login-Passwort, das Sie wie die Adresse des eingebauten Web-Servers dem Handbuch entnehmen. Der Benutzername zum Login auf dem Router heißt oft admin, das voreingestellte Passwort beispielsweise ebenfalls admin, 1234 etc. oder es ist leer. Da dies leicht zu erraten ist, sollten Sie es gleich beim ersten Login ändern, insbesondere bei WLAN-Routern, bei denen der Zugriff schwer zu kontrollieren ist.
Der Aufbau der Konfigurationsoberfläche unterscheidet sich von Hersteller zu Hersteller. Für die Internet-Einwahl entscheidend sind Benutzername (Username) und Kennwort (Password), wie sie Ihnen der Internet-Provider mitgeteilt hat.
Die Rechner des internen Netzes benötigen kein PPP, um sich mit dem Router zu verbinden. Stattdessen richten Sie die Netzwerkkarte, oder im Falle einer drahtlosen WLAN-Verbindung die WLAN-Karte, lediglich als per DHCP automatisch konfiguriertes Netzwerkgerät ein. Benutzernamen und Kennwort benötigen Sie hierbei nicht, denn die internen Rechner haben mit der Internet-Einwahl nichts zu tun, wenn sie über einen NAT-Router nach außen kommunizieren. In einem WLAN-Router können Sie allerdings ein Passwort für die Verschlüsselung des drahtlosen Netzwerks angeben, bei der Konfiguration eines per WLAN angebundenen Rechners benötigen Sie es dann.
Ein NAT-Router bietet auch Schutz vor Angriffen von außen: Die internen Rechner sind über das Internet nicht erreichbar, somit lassen sich darauf eventuell vorhandene Schwachstellen gar nicht ansteuern, unabhängig vom Betriebssystem. Normalerweise sind NAT-Router so vorkonfiguriert, dass sie ausgehende Verbindungen zulassen, aber eingehende blockieren. Lediglich wenn die internen Rechner von sich aus -- beispielsweise auf Grund eines Virus -- eine unerwünschte Internet-Verbindung herstellen, kann noch Schaden entstehen. Viele Router verfügen auch über Firewall-Funktionen, so dass Sie auch bestimmte Verbindungen aus dem LAN ins Internet verhindern können.
Doch wer sich beispielsweise unterwegs per SSH in den heimischen Rechner einloggen möchte oder andere Dienst anbietet, braucht auch über das Internet eine Zugriffsmöglichkeit. Dazu benötigt man zunächst die vom Provider vergebene IP-Adresse; doch über diese erreichen Sie wie beschrieben lediglich den Router, auf dem Sie keine Server-Software installieren können. Den Weg zum Rechner im internen Netz weist das so genannte Port Forwarding.
Jeder Dienst, ob SSH, File Sharing oder ein eigener Webserver, verwendet einen bestimmten Netzwerk-Port. Diesen müssen Anwendungen kennen, die auf den Dienst zugreifen. Ein SSH-Server läuft beispielsweise normalerweise auf dem Port 22. Starten Sie ein SSH-Programm, um auf einen Internet-Rechner zuzugreifen, versucht es, auf dem Standard-SSH-Port 22 eine Verbindung herzustellen. Läuft dort kein SSH-Server, wird dieses Ansinnen abgelehnt.
Über Port Forwarding lässt sich der Router so einrichten, dass er eingehende Anfragen auf bestimmte Ports zu Rechnern des internen Netzes weiterleitet. Gibt es im internen Netz einen PC, beispielsweise mit der Adresse 192.168.1.2, stellen Sie den NAT-Router über dessen Web-Interface so ein, dass er vom Internet eingehende Anfragen auf Port 22 zur Adresse 192.168.1.2 weiterleitet. So ist es möglich, vom Internet aus über die global erreichbare IP-Adresse des Routers einen bestimmten Port eines internen Rechners zu erreichen. Wie Sie dieses Feature mit Ihrem Router nutzen, hängt wiederum von Hersteller und Modell ab; Details stehen im Handbuch.
Probleme ergeben sich bei diesem Verfahren, wenn Sie verschiedene Rechner im LAN über das Internet ansteuern möchten. Da der Port das einzige Kriterium ist, nach dem der Router eingehende Verbindungen unterscheidet, ist es nicht möglich, interne Computer direkt über die IP-Adresse anzusprechen. Deshalb liegt die einzige Möglichkeit, Informationen über den anvisierten Zielrechner mitzuliefern, im Port.
Über das so genannte Port-Mapping leitet ein NAT-Router Verbindungen an einen Rechner im internen Netz weiter und lenkt sie dabei auf Wunsch auf einen anderen Port um. Konfigurieren Sie beispielsweise Ihren SSH-Client so, dass er statt dem Standard-Port 22 einen anderen Port wie 1022 verwendet -- unter Linux funktioniert das über den Aufruf ssh -D 1022.
Den NAT-Router richten Sie dann so ein, dass er auf Port 1022 eingehende Verbindungen an Port 22 des internen Rechners 192.168.1.2 weiterleitet. Außerdem können Sie eine weitere Port-Mapping-Regel anlegen, nach der der Router Verbindungsanfragen aus dem Internet auf Port 1023 an Port 22 eines anderen internen Rechners wie 192.168.1.3 weitergibt. Nun entscheiden Sie über die Angabe des Ziel-Ports, bei welchem LAN-Rechner Ihre SSH-Verbindung ankommt (Abbildung 3). (csc)
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links" nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedruckten Fassung entsprechen.
Druckerfreundliche Version |
Feedback zu dieser Seite |
Datenschutz |
© 2010 Linux New Media AG |
Last modified: 2007-04-05 11:24
[Linux-Magazin]
[LinuxUser]
[Linux-Community]
[Admin-Magazin]
[Ubuntu User]
[Linux Events]
[Linux Magazine]
[Ubuntu User]
[Admin Magazine]
[Linux Magazine Poland]
[Linux Community Poland]
[Linux Magazine Brasil]
[Linux Magazine Spain]
[Linux Technical Review]