Galileo Computing < openbook >
Galileo Computing - Professionelle Bücher. Auch für Einsteiger
Galileo Computing - Professionelle Bücher. Auch für Einsteiger


PC-Netzwerke von Axel Schemberg, Martin Linten
Planen und sicheres Einrichten von LAN und WLAN
Buch : PC-Netzwerke (2. Aufl.)
gp Kapitel 1 Internetzugang
  gp 1.1 Allgemeines
    gp 1.1.1 Internetzugangstechnik
    gp 1.1.2 DynDNS-Dienste
  gp 1.2 Windows-Internetverbindungsfreigabe
    gp 1.2.1 Server konfigurieren
    gp 1.2.2 Clients konfigurieren
    gp 1.2.3 Alternativen
  gp 1.3 Hardware-Router
    gp 1.3.1 Allgemeine Vorbemerkungen
    gp 1.3.2 Router für die Internetanbindung
    gp 1.3.3 Kriterien für den Routerkauf
    gp 1.3.4 Router aufbauen
    gp 1.3.5 Router konfigurieren
    gp 1.3.6 Timeout-Problem
  gp 1.4 Der Software-Router FLI4L


Galileo Computing

1.3 Hardware-Router  downtop


Galileo Computing

1.3.1 Allgemeine Vorbemerkungedowntop

Wenn Sie einen Hardware-Router kaufen, erwerben Sie ein Gerät, das etwa so groß wie ein externes Modem ist. Das Gerät nimmt also sehr wenig Platz in Anspruch, verbraucht wenig Strom, ist normalerweise lüfterlos und daher lautlos.

Üblicherweise bieten die DSL-Router, die weniger kosten als die ISDN-Router, zusätzlich zu ihrer Grundfunktion noch weitere Funktionen wie eine Firewall oder einen DHCP-Server.

Der Nachteil, den eine Hardware-Router-Lösung hat, ist ihre begrenzte Erweiterbarkeit. Wenn Sie einen DSL-Router kaufen, kann man diesen nicht zu einem Router für das TV-Kabel-Netzwerk erweitern. Würden Sie einen Software-Router benutzen, wäre die Chance, dass Sie das könnten, wesentlich größer. Wenn Sie gern eine spezielle Funktion auf dem Router realisiert hätten, z. B. einen E-Mail-Server, wird das nicht möglich sein, wenn der Router diese Funktion nicht schon von Anfang an angeboten hat.

Die Wahrscheinlichkeit, hinsichtlich der Anschlusstechnologie ins technologische Abseits zu geraten, ist mittlerweile gering. Die üblichen DSL-Router werden an das DSL-Modem angeschlossen und bieten dafür eine Ethernet-Schnittstelle mit 10/100 MBit/s. Dadurch ist es möglich, das T-DSL-Modem auszutauschen, z. B. gegen eines für VDSL, und den DSL-Router an dieses Modem anzuschließen.

Bei Preisen ab 40 e ist Ihr Risiko, sich für eine falsche Technologie entschieden zu haben, ebenfalls gering, denn selbst wenn in drei Jahren DSL ähnlich belächelt wird wie heute ein Modem-Internetzugang, so hätten Sie lediglich 13 e/Jahr verloren.


Galileo Computing

1.3.2 Router für die Internetanbindundowntop

Das Internet ist das bekannteste öffentliche IP-Netz. Eine Anbindung eines Netzwerks an dieses Netz kann über einen Router erfolgen.

Der einzusetzende Router unterstützt dabei mit einem Anschluss Ethernet (LAN-Interface) und mit dem anderen Anschluss ISDN oder xDSL (WAN-Interface).

Das technische Niveau des Internet-Routers orientiert sich dabei an den Anforderungen, die Sie an dieses Gerät stellen. Die sehr einfachen xDSL-Router kosten ab 50 e und bieten nicht viel mehr als den reinen Internetzugang für Ihr Netzwerk. Noch günstiger sind die Linux-Router, bei denen ein ausgedienter PC mittels Linux-Bootdiskette und spezieller Konfiguration zum Router wird (vgl. Kapitel 12.4, Der Software-Router FLI4L)


Abbildung
Hier klicken, um das Bild zu Vergrößern

Abbildung 1.11   DSL-Router mit vier LAN-Anschlüssen; Quelle: SMC


Die Geräte, die als Router konzipiert sind, unterscheiden sich optisch wenig von Switches. Auffällig ist, dass es weniger Anschlussmöglichkeiten gibt. Üblicherweise wird zur Konfiguration – diese ist im Gegensatz zu einem Switch immer erforderlich – meist eine Webkonsole durch diese Geräte bereitgestellt. Zusätzlich verfügen die Geräte über eine Telnet-Konsole. Serielle Konsolen sind bei DSL-Routern ungewöhnlich, sie sind erst bei teuren Routern zu finden.

Informieren Sie sich vor einem Kauf auf den Webseiten des Herstellers, welche Informationen und Hilfen er dort anbietet. Viele – auch kleine – Hersteller bieten dort überdurchschnittlich viele Informationen. Dadurch können Sie einen guten Eindruck davon bekommen, ob das Gerät Ihren Bedürfnissen entspricht. Ein Blick in das Benutzerhandbuch zum Beispiel zeigt oft, welche Funktionen der Router tatsächlich bietet oder ob eine solche Funktion Einschränkungen unterworfen ist.

Die Router, die neben xDSL-Router-Diensten auch einen WLAN-Zugang ermöglichen, haben zwar eine Firewall implementiert, jedoch kann über diese üblicherweise nicht der WLAN-Zugang abgesichert werden. Wenn also jemand den WLAN-Zugang geknackt hat, ist er ein Teilnehmer, als wenn er mit einem Netzwerkkabel angeschlossen wäre.


Galileo Computing

1.3.3 Kriterien für den Routerkaudowntop

Die wesentlichste Entscheidung, die Sie treffen müssen, ist, welche Anschlusstechnologie der Router abdecken muss: DSL und/oder ISDN.

Es gibt reine ISDN-Router. Diese sind verglichen mit den heutigen DSL-Routern relativ teuer. Es ist günstiger, einen DSL-Router mit ISDN-Backup-Funktion zu kaufen. Dieser Router verwendet den DSL-Zugang. Stellt er fest, dass der DSL-Zugang nicht verfügbar ist, wählt er sich über ISDN in das Internet ein.

Die Entscheidung, welche Einwahltechnologie durch den Router abgedeckt sein muss, ist wohl die einfachste, denn Sie kaufen einen DSL-Router, wenn Sie einen DSL-Internetzugang haben, und einen ISDN-Router, wenn Sie lediglich über ISDN verfügen.

Insbesondere für kleine Netzwerke sind die möglichen Zusatzfunktionen der Router sehr interessant. Zu den Funktionen, die auf allen gängigen DSL-Routern vorhanden sind, gehören NAT, Firewall, Webinterface zur Konfiguration und ein DHCP-Server.

Firewall

Für unabdingbar halte ich die Firewall-Funktion. Der Einsatz einer Firewall auf einzelnen PCs im LAN würde die Handhabung z. B. von Laufwerksfreigaben erheblich erschweren. Daten aus dem Internet sollten dort gefiltert werden, wo sie in das LAN gelangen, und das ist am DSL-/ISDN-Router.

Wenn Sie viel Wert auf Sicherheit legen, dann kommt für Sie womöglich ein Router mit einer Stateful-Inspection-Firewall in Betracht, die wesentlich mehr Sicherheit bietet.

Praktisch ist die Funktion eines Drucker-Spoolers. Sie können an den Router einen Drucker anschließen, der über das Netzwerk erreichbar ist und somit von allen Netzwerkteilnehmern im LAN genutzt werden kann. Dazu ist es erforderlich, auf jedem PC den entsprechenden Druckertreiber zu installieren.

Backup

Wenn Sie in hohem Maße auf den Internetzugang angewiesen sind, dann sollten Sie überlegen, ob ein automatischer Backup-Zugang über ISDN die richtige Lösung für Sie sein kann. Der DSL-Router schaltet den Internetzugang automatisch von DSL auf ISDN, wenn er feststellt, dass der DSL-Zugang nicht verfügbar ist.

Exkurs

Router, die nicht mittels LAN und RJ45-Stecker angeschlossen werden, sondern über USB, bergen einige Nachteile:

Der erste Nachteil ist, dass Ihnen niemand sagen kann, wieso die Verbindung zum Router über USB nicht funktioniert, weil über Windows-Treiber Netzwerkschnittstellen emuliert werden und man die Probleme nur nachvollziehen kann, wenn man exakt diesen Router hat. Ein zweiter Nachteil ist der geringe Datendurchsatz über USB 1.1, weil es nicht für Datenübertragung im Sinne von LAN konzipiert ist. Hinzu kommt eine große Abhängigkeit vom Hersteller hinsichtlich der Treiber, sie funktionieren meist nur unter Windows.

Wie im Forum zur ersten Auflage dieses Buches zu lesen war, kann es passieren, dass die Treiber nicht wieder sauber deinstalliert werden und die verbliebenen Reste sich dann auf das Netzwerkverhalten – negativ – auswirken. Daher lautet mein Rat: Finger weg! Lieber ein paar Euro mehr ausgeben und eine Standardbüchse haben. Die ersparte Zeit wiegt das Geld leicht wieder auf.

Ähnliches gilt für die USB-DSL-Modems, die von einigen Providern vergünstigt angeboten werden. Leider können Sie niemals einen Router per USB an dieses Modem anschließen, sondern immer nur einen PC. Bei eBay sind gebrauchte DSL-Modems für 30 e zu bekommen, die Investition lohnt sich.

Praxis: 11-MBit/s-WLAN-DSL-Router

Ich besitzte einen 11 MBit/s-WLAN-DSL-Router-Switch. Technisch ist dieser leicht veraltet, erfüllt aber meine Anforderungen bisher voll.

Der Router stammt von der Handelsmarke 4MBO und ist baugleich mit dem D-Link DI-614+, LinkSys WAP11, SMC 2655 und dem Netgear ME102. Router dieser Art kosten heute ab 60 e. Vorteil dieser Router ist der von Texas Instruments verwendete Chipsatz, der höhere Geschwindigkeiten als 11 MBit/s unter dem Namen 11b+ ermöglicht. Selbstverständlich erfordert dies eine WLAN-Karte, die ebenfalls 11b+ beherrscht und somit einen Texas-Instruments-Chipsatz verwendet. Die Geschwindigkeit beträgt 22 MBit/s und im 4X-Modus sogar 44 MBit/s. Auch wenn das Verfahren nicht wirklich zu einer Vervierfachung des tatsächlichen Datendurchsatzes führt, werden um 15 MBit/s im 4X-Modus erreicht, genug, um einen Video-Stream in DVD-Qualität zu empfangen.


Abbildung
Hier klicken, um das Bild zu Vergrößern

Abbildung 1.12   Mein DSL-Router


Der Router hat drei Hauptfunktionen:

gp  5-Port-Switch (4 Ports = RJ45, 1 Port = intern für WLAN)
gp  Wireless-Accesspoint, IEEE 802.11b
gp  Router (IP, PPPoE, PPTP = DSL)

Neben diesen Hauptfunktionen bietet der Router weitere Möglichkeiten:

gp  DHCP-Server
gp  Firewall
gp  NAT
gp  Web-Interface zur Konfiguration
gp  Portforwarding (z. B. für eDonkey u. Ä. wichtig)
gp  UPnP (Universal Plug-and-Play)
gp  Telnet-Konfigurationskonsole
gp  NTP-Synchronisierung (Network Time Protocol)
gp  SNMP
gp  Anbindung an einen Syslog-Server
gp  Sperren von PCs auf Basis von MAC- oder IP-Adressen
gp  WEP-Verschlüsselung (40, 128, 256 Bit)

Für mich waren besonders der Switch und die WLAN-Funktion wichtig. Dadurch ist es möglich, einerseits alle PCs mittels Twisted-Pair-Verkabelung über den Switch zu verbinden und, falls ich möchte, auch im Wohnzimmer über den WLAN-Zugang zu surfen.

Praxis: Asus WL-500g

Der 4MBO-Router war ein Einstieg, doch einige Funktionen fehlten und daher habe ich mir für diese Auflage des Buches sehr sorgfältig einen neuen Router ausgesucht.

Meine Wahl fiel auf den Asus-Router, weil dieser neben der Router-, Switch- und WLAN-Funktion auch Druck-Spooler ist und einen USB-Anschluss hat. Er enthält zwei Firewalls, eine zum Internet, eine zum WLAN und unterstützt WPA mit TKIP-/AES-Verschlüsselung.


Abbildung
Hier klicken, um das Bild zu Vergrößern

Abbildung 1.13   Asus WL-500g; Quelle: Asus


AES ist die Verschlüsselungsmethode, die auch beim zukünftigen IEEE 802.11i eingesetzt wird. Es ist denkbar, dass der WL-500g per Firmware-Update diesen neuen Sicherheitsstandard unterstützen wird.

Leider wird der WL-500g im Internet unter http://www.asuscom.de nicht richtig dargestellt, die Informationen sind nicht vollständig. Die gesamten Fähigkeiten gehen erst aus dem auch online verfügbaren Benutzerhandbuch hervor.

Neben den üblichen RJ45-Schnittstellen für LAN verfügt der Router auch über eine parallele Schnittstelle und einen USB-Port (USB 1.1). An der parallelen Schnittstelle kann ein Drucker angeschlossen werden.

Die USB-Schnittstelle ist multifunktional:

gp  USB-Druckeranschluss
gp  USB-Stick/USB-Festplatte als Netzlaufwerk
gp  USB-WebCam zur Raumüberwachung

Abbildung
Hier klicken, um das Bild zu Vergrößern

Abbildung 1.14   USB-WebCam-Einstellungen des WL-500g


Meiner Meinung nach findet die WebCam-Möglichkeit die wenigste Anwendung (vgl. Abbildung 12.14). Sie können an den Router eine WebCam anschließen, wie man sie sehr preisgünstig überall zu kaufen bekommt. Als WebCams sind nur solche verwendbar, die unterstützte Chipsätze haben, entsprechende Informationen finden Sie auf den Seiten von Asus. Sie können mit dieser WebCam einen Raum überwachen und sich bei Bilderveränderungen, also Bewegungen, einen Snapshot per Mail zuschicken lassen. Zusätzlich haben Sie die Möglichkeit, per Browser auf die WebCam zuzugreifen.

Sie können in den USB-Port einen USB-Stick einstecken und einen FTP-Server des Routers starten lassen. Wenn Sie möchten, ist es möglich, Benutzer einzutragen und diesen bestimmte generelle Rechte einzurichten.

Sie können diesen Netzwerkspeicher unter Windows XP sehr einfach über den Windows-Explorer (vgl. Abbildung 12.15) verwenden. Geben Sie dazu in der Adresszeile einfach ftp://<Router-IP> ein.


Abbildung
Hier klicken, um das Bild zu Vergrößern

Abbildung 1.15   USB-Stick als Netzwerkspeicher per FTP angebunden


Ein Anwendungsfall für den Netzwerkspeicher ist eine Backup-Möglichkeit für wichtige Dateien. Allerdings ist mir noch keine Situation eingefallen, in der man die gleiche Aufgabe nicht viel einfacher auch nur mit einem USB-Stick lösen könnte, ohne diesen in den Router einzustecken.

USB-Drucker

Bleibt die letzte Möglichkeit, der Anschluss eines Druckers. Ich besitze einen Canon i350, einen relativ neuen USB-Drucker. Ich war sehr gespannt, ob denn das Drucken über den am Router angeschlossenen Drucker funktioniert und vor allem wie.

Asus liefert eine Software mit, die einen Remote-Port auf den jeweiligen Client-PCs einrichtet, also einen virtuellen Drucker-Port. Wenn man diesen als Druckeranschluss auswählt, kann man sehr gut über den Router drucken.

Es ist dann nicht mehr nötig, einen PC eingeschaltet zu lassen, damit andere PCs im LAN drucken können, sondern es reicht, dass der Router eingeschaltet ist. Das wird der Router in den meisten Fällen auch sein, schließlich wollen Sie ja surfen können.

Sehr positiv finde ich die Möglichkeit, viele Einstellungen und so auch die WLAN-Funktion zeitabhängig einzuschalten. So kann man WLAN beispielsweise nur nachmittags aktivieren, wenn man zu Hause ist.

Für einige von Ihnen ist es wichtig zu wissen, dass der Router über eine angeschraubte Antenne verfügt. Sie könnten dort eine modifizierte Antenne anbringen.

Modifizierte Antennen können zum Erlöschen der Betriebserlaubnis führen, wenn dadurch ein zu starkes Sendesignal erzeugt wird. Bitte erkundigen Sie sich vor dem Kauf, bei welchem Routermodell eine Antenne benutzt werden darf.

Exkurs

Wenn Sie diesen Router besitzen, finden Sie unter http:// www.chupa.nl/forum Diskussionsforen und beispielsweise eine modifizierte Firmware, die – weil der Router intern Linux verwendet – eine Hand voll Linux-Tools mitbringt. Die Entwicklung hat gerade erst begonnen, und es wird sicherlich nur wenige Monate dauern, bis die inoffiziellen Firmware-Versionen besser und stabiler sind. Übrigens ein Umstand, den Sie bei einem Linksys WRT54g ebenso genießen können, weil dort die Firmware offen gelegt ist.

Praxis: D-Link DI-624+

Der D-Link DI-624+ bietet eine ähnlich Ausstattung wie der Asus WL-500g. Ihm fehlt die Möglichkeit des Druckerspoolers und des Anschlusses von USB-Geräten.


Abbildung
Hier klicken, um das Bild zu Vergrößern

Abbildung 1.16   D-Link DI-624+; Quelle: D-Link


Eine aus meiner Sicht sehr angenehme Möglichkeit ist statisches DHCP. Sie können MAC-Adressen zu IP-Adressen sortieren und so dafür sorgen, dass per DHCP jeden Tag für die ständigen PCs in Ihrem LAN dieselbe IP-Adresse verteilt wird (vgl. Abbildung 12.17).


Abbildung
Hier klicken, um das Bild zu Vergrößern

Abbildung 1.17   Statisches DHCP ist mit dem DI-624+ möglich.


Eine weitere Besonderheit ist der Kabeltest. Auch wenn man die Möglichkeit vermutlich selten nutzen muss, ist man vermutlich umso dankbarer, wenn man sie nutzen kann.

Klicken Sie auf den Reiter Tools und dann in der Auswahl der linken Seite auf Cable Test. Sie können erkennen, welche Anschlüsse belegt sind, und wenn Sie auf More Info zu einem der belegten Anschlüsse klicken, erscheint ein weiteres Fenster, in dem dargestellt wird, welcher Typ von Kabel angeschlossen ist (1:1 oder gekreuzt). Das kann bei Problemen sehr hilfreich sein, wenn Sie beispielsweise ein 1:1-Kabel angeschlossen haben, aber aus einem unbekannten Grund die Auto-MDI/X-Funktion des Routers versagt und dieses Kabel für ein gekreuztes Kabel hält.


Abbildung
Hier klicken, um das Bild zu Vergrößern

Abbildung 1.18   Kabeltest des DI-624+: rudimentär aber gut



Galileo Computing

1.3.4 Router aufbauedowntop

Das Aufbauen eines DSL/ISDN-Routers ist sehr einfach. Schematisch wird der Aufbau in Abbildung 12.19 dargestellt.


Abbildung
Hier klicken, um das Bild zu Vergrößern

Abbildung 1.19   Schematischer Aufbau eines DSL-Routers


Beim konkreten Aufbau des DSL-Routers müssen Sie den DSL-Router an das DSL-Modem anschließen, ähnlich wie in Abbildung 12.21 dargestellt. Sie schließen lediglich anstelle des PCs den Router an.

Das Modem wird in Deutschland von der Deutschen Telekom vertrieben. Beim Anschließen des DSL-Routers besteht kein Unterschied zu einem einzelnen PC, den Sie bisher an das DSL-Modem angeschlossen und mit einem Treiber (RASPPPoE o. Ä.) DSL-fähig gemacht haben. Die Treiberinstallation entfällt bei der Verwendung eines DSL-Routers.


Abbildung
Hier klicken, um das Bild zu Vergrößern

Abbildung 1.20   DSL-Verschaltung; Quelle: Deutsche Telekom


ISDN

Den ISDN-Router können Sie direkt mit dem NTBA der Deutschen Telekom verbinden. Sie benötigen kein Modem wie bei einem DSL-Zugang. Es ist unüblich, dass ein ISDN-Router über einen integrierten Switch verfügt, und daher ist der direkte Anschluss von mehreren PCs an einen ISDN-Router nicht möglich. Sie benötigen neben dem Router noch einen Hub oder Switch, an den Sie die PCs des LANs und den ISDN-Router (mit dessen LAN-Interface) anschließen können. Die Verschaltung entspricht übrigens auch bei DSL-Routern ohne weiteren Switch-Port der Abbildung 12.21.


Abbildung
Hier klicken, um das Bild zu Vergrößern

Abbildung 1.21   ISDN/DSL-Router ohne integrierten Switch


Ein DSL-Router ersetzt nicht automatisch das DSL-Modem! Es gibt aber vermehrt DSL-Router, die auch das DSL-Modem beinhalten – ein aus meiner Sicht sehr konsequenter Schritt.

Achten Sie beim Stromanschluss des DSL-Modems darauf, dass Sie keine schaltbaren Stromleisten/Mehrfachsteckdosen verwenden, die zu einem einzelnen PC gehören. Wenn der Strom für diesen PC ausgeschaltet wird, können die anderen PCs nicht mehr über den Router auf das Internet zugreifen, weil dem Router der Strom abgeschaltet wurde.

Exkurs

Ich habe meinen Router an eine digitale Zeitschaltuhr angeschlossen. Das hat den Vorteil, dass der Router nicht manuell ein- und ausgeschaltet werden muss, sondern automatisch zu bestimmten Zeiten zur Verfügung steht und zu anderen Zeiten – in meinem Fall z. B. nachts – nicht eingeschaltet ist. Die digitalen Zeitschaltuhren bieten meiner Meinung nach den Vorteil, dass man verschiedene Schaltzeiten für die einzelnen Wochentage vergeben kann. Der Preis einer solchen Zeitschaltuhr liegt bei 10 e.


Galileo Computing

1.3.5 Router konfigurieren  downtop

Wie Sie Ihren Router konfigurieren, kann ich nicht generell beschreiben, weil Sie sicherlich Ihre persönlichen Bedürfnisse abdecken möchten. Einige wichtige Punkte jedoch kann ich unabhängig vom verwendeten Modell und Ihren konkreten Anforderungen erläutern, und das möchte ich in diesem Abschnitt tun.

erster Kontakt

Wenn Sie sich zu dem Router verbinden möchten, dann ist es erforderlich, im gleichen IP-Bereich zu arbeiten, den die Standardeinstellung des Routers vorsieht. Denkbar sind viele IP-Bereiche, doch vermutlich wird es der IP-Bereich 192.168.0.x oder 192.168.1.x mit einer 24-Bit-Subnetzmaske sein.

unsicher

Die Standardeinstellungen der Router, also der Auslieferungszustand, sind extrem unsicher. Das beginnt bei Standardpasswörtern, die man z. B. unter http://newdata.box.sk/2001/jan/dad.txt finden kann. Bei meinem Router lautete das Passwort für den Benutzer Admin »admin«. Diese Passwörter sollten Sie umgehend ändern.

DHCP

Eine weitere Standardeinstellung ist der aktive DHCP-Server. Sie müssen selbst wissen, ob Sie einen DHCP-Server in Ihrem LAN einrichten wollen oder nicht. Leider verfügen die meisten DSL/ISDN-Router nicht über ein statisches DHCP, sodass sich die IP-Adressen der PCs in Ihrem LAN ständig ändern. Dies ist ein Nachteil z. B. für Laufwerksfreigaben, denn über eine Namensauflösung per lokalen DNS verfügen die meisten Router ebenfalls nicht.

Für DHCP, SNMP und Telnet gilt die goldene Regel, dass Sie das, was Sie nicht benötigen, am besten deaktivieren. Ein DSL-Router sollte aus dem Internet heraus möglichst tot wirken, denn dann ist er weniger angreifbar. Ich habe bei meinem Router die Funktion, dass ein PING aus dem Internet beantwortet wird, umgehend deaktiviert, denn es gibt niemanden, der meinen Router aus dem Internet anpingen muss. Ebenfalls deaktiviert habe ich die Funktionen für die Remote-Administration. Mit dieser Funktion ist gemeint, dass man auch über den DSL-Anschluss per HTTP oder Telnet auf den Router zugreifen kann.

Als nächsten Schritt sollten Sie die Regeln der Firewall durchsehen. Wenn es noch keine Regeln gibt, sperren Sie alle Protokolle von allen IP-Adressen auf allen Ports kleiner 1025 mit Zielrichtung Ihres LANs. Dann geben Sie als höherrangige Regel den Port 53 TCP frei. Er dient der Namensauflösung per DNS. Normalerweise ist Ihre Firewall damit abgeschottet und lässt nur noch das Nötigste durch. Wenn Sie diese Arbeit beendet haben, sollten Sie einen Test für Ihre Firewall im Internet absolvieren, z. B. unter http://www.pcflank.com/test.htm. Weitere Informationen dazu finden Sie in Kapitel 11.2.1, Firewalls.

Firmware

Das Betriebssystem eines Routers wird als Firmware bezeichnet. Die Version der Firmware wird Ihnen an einer Stelle des Administrationsmenüs angezeigt. Wie auch bei den PC-Betriebssystemen gibt es bei den Firmewares Fehler in Form von Sicherheitslücken. So war mein Router von einem Bug betroffen, der unter bestimmten Umständen dazu führte, dass jemand das Administrator-Passwort anfordern konnte und vom Router eine Antwort bekam. Die Lösung für solche Probleme sind Firmware-Updates. Der Hersteller eines Geräts – in meinem Fall der Händler 4MBO oder Hersteller Asus – bietet in unregelmäßigen Abständen solche Updates an. Sie sollten bei Ihrem Hersteller nachsehen, ob ein Update für die Firmware Ihres Routers angeboten wird. Wenn ja, empfehle ich Ihnen zunächst nachzulesen, welche Probleme mit dem Update behoben werden, bevor Sie das Update einspielen.

Das Einspielen eines solchen Updates ist immer ein bisschen heikel, denn die Firmware muss zunächst komplett fehlerfrei auf den Router übertragen werden. Der Vorgang darf nicht unterbrochen oder durch parallele Datenübertragungen gefährdet werden. Wird die Firmware unvollständig oder fehlerhaft übertragen, müssen Sie den Router im schlimmsten Fall zum Hersteller einsenden, damit er die Firmware wiederherstellt.


Galileo Computing

1.3.6 Timeout-Problem  toptop

Aktuell gibt es in Deutschland drei Gebührenmodelle für den Internetzugang mit zeitbasierter, volumenbasierter oder pauschaler (Flatrate) Abrechnung. Die volumenbasierte Abrechnung wird nur bei der Zugangstechnik DSL angeboten.

Für all diejenigen von Ihnen, die eine zeitbasierte Abrechnung haben – z. B. 100 Stunden oder minutengenaue Abrechnung – ist es besonders ärgerlich, wenn der Timeout des ISDN/DSL-Routers nicht funktioniert.

die Technik

Ihr Router hat eine Einstellung für einen automatischen Verbindungsabbau, den Idle-Timer. Wenn einen – von Ihnen definierbaren – Zeitraum lang keine Daten transferiert wurden, wird die Verbindung automatisch abgebaut. Erst wenn aus Ihrem LAN Daten angefordert werden, wird die Verbindung wieder aufgebaut.

das Problem

Insbesondere durch eDonkey- und NetBIOS-, aber auch durch andere fehlgeleitete Pakete werden von Ihrem Router fortlaufend Pakete empfangen und verworfen. Diese Pakete werden jedoch als Datenverkehr wahrgenommen, daher wird die Verbindung nicht abgebaut. Im Extremfall bleibt Ihre Verbindung 24 Stunden bis zur Zwangstrennung bestehen, und Sie zahlen eine größere Summe für diese nutzlose Online-Zeit.

Exkurs

Technisch gesehen besteht das Problem darin, dass der Router z. B. auf TCP-Port 4662 (eDonkey) keinen NAT-Eintrag hat, also keinen PC im LAN, an den er den Datenstrom weiterleiten könnte. Deshalb sendet Ihr Router im Fall von TCP eine Ablehnung, TCP RST. Dieses gesendete Paket wird als ausgehendes Paket registriert, und der Idle-Timer beginnt von vorne zu ticken. Auch ein UDP-Paket wird mit einem ICMP Port unreachable beantwortet und löst ebenfalls das Zurücksetzen des Idle-Timers aus.

Lösungen

Mit einigen Komforteinbußen können Sie eine sehr einfache Lösung anwenden: Strom aus. Schalten Sie den Strom des Routers aus, ist auch die Verbindung ins Internet getrennt. Der Nachteil dieser Lösung ist, dass Sie und alle anderen im LAN nur dann surfen können, wenn der Strom eingeschaltet ist.

Etwas komfortabler ist es, das automatische Einwählen zu deaktiveren und durch manuelles Einwählen und Auflegen den Internetzugang zu steuern. Üblicherweise erfolgt das über ein Webinterface des Routers.

Wenn Sie bei den Firewall-Regeln großen Einfluss nehmen können, bietet es sich an, eingehende Pakete auf den UDP/TCP-Ports 4661, 4662 und 4665 zu ignorieren (engl. deny). Das Gleiche gilt für jede Art von ICMP-Mitteilung. In der c’t 04/03, Seite 66, wird für Linux-Router die Filterregel active=filter 'outbound and not icmp[0] == 3 and not tcp[13] & 4 != 0' vorgestellt, die zur richtigen Behandlung des Idle-Timers führen soll.

Mein DSL-Router bietet im Bereich der Firewall-Regeln leider keine übermäßig genauen Möglichkeiten, sodass man eingehende Pakete lediglich sperren (engl. reject), aber nicht ignorieren kann. Trotzdem lässt sich das Problem lösen. Bei meinem 4MBO DSL-Router gibt es einen Inactive Timeout. Wie Sie Abbildung 12.22 entnehmen können, kann man dort eintragen, welcher Zeitraum vergehen soll, bis der Router auf abgelehnte Pakete antwortet. Ich habe die höchstmögliche Zahl, 65.536, gewählt. Die Angabe hat die Einheit Sekunden, 65 536 Sekunden entsprechen über 18 Stunden. Weil ich meinen Router nur zwischen 10 und 22 Uhr eingeschaltet habe – das habe ich über eine Zeitschaltuhr geregelt – arbeitet der Idle-Timer zuverlässig.


Abbildung
Hier klicken, um das Bild zu Vergrößern

Abbildung 1.22   Inactive Timeout löst das Idle-Timer-Problem.


Würde um 10 Uhr morgens ein Paket auf dem TCP-Port 4662 empfangen, wird das erst um 4 Uhr des nächsten Tages bestätigt, der Router wird aber schon um 22 Uhr abgeschaltet.

Grundsätzlich lässt sich sagen, dass das Timeout-Problem der größte Pferdefuss der Hardware-DSL-Router ist. Das Problem ist bekannt und wird nach und nach von der Herstellern über Firmware-Updates und neue Modelle gelöst.

Es gibt Router, denen ein Hinweisblatt beiliegt, welches auf überhöhte Internetkosten hinweist, wenn Sie keine Flatrate einsetzen. Es soll damit genau auf das Timeout-Problem hingewiesen werden. Entsprechend können Sie davon ausgehen, dass mit einem solchen Router ein Timeout-Problem weiterhin besteht.






 

Einstieg in Linux

Einstieg in
PHP 5

Wie werde ich UNIX-Guru

Linux-/Unix-System-programmierung

Einstieg in Java

Einstieg in XML

Besser PHP programmieren




Copyright © Galileo Press GmbH 2004
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press GmbH, Gartenstraße 24, 53229 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de