Router-Kaskaden

Ärzte, Steuerberater oder auch reguläre Angestellte, die zeitweise im Heimbüro arbeiten, laufen Gefahr, dass der virusbefallene PC des Sprösslings über das Netzwerk das eigene Notebook infiziert. Wenn dann unerwartet Kundendaten abwandern, steht Ärger ins Haus. Dem lässt sich mit wenig Aufwand ein Hardware-Riegel vorschieben.

In Pocket speichern vorlesen Druckansicht 35 Kommentare lesen
Lesezeit: 11 Min.
Inhaltsverzeichnis

Ob Sie nun mit Ihrem Notebook regelmäßig zwischen Praxis und Arbeitszimmer wandern oder etwa kostensparend mit einem DSL-Anschluss fürs Apotheken-LAN im Erdgeschoss und Heimnetz im ersten Stock auskommen wollen: In beiden Fällen schafft eine Kaskade aus günstigen Breitband-Routern die nötige Trennung der Bereiche.

Auch bei einer Router-Kaskade, die Netzbereiche voneinander abschottet, bleiben PCs hinter dem zweiten Router aus dem Internet erreichbar. Dazu muss man lediglich zwei Portweiterleitungen einrichten.

Mit Network Address Translation (NAT) bewerkstelligen Router, dass mehrere PCs in einem LAN sich einen gemeinsamen Internetanschluss mit einer öffentlichen IP-Adresse teilen können. Nebenbei sorgt NAT dafür, dass PCs hinter dem Router von der Internet-Seite (WAN, Wide Area Network) nicht sichtbar sind.

Diese Nebenwirkung lässt sich nutzen, um nach dem Internetanschluss zwei separate Zonen zu errichten, die sich gegenseitig nicht erreichen können – von manuell eingerichteten Ausnahmen abgesehen, dazu unten mehr. So kann der Filius nicht auf eine zufällig offenstehende Windows-Dateifreigabe zugreifen, falls Sie Ihr Firmen-Notebook mal ins Heimnetz einklinken.

Ausgehend von einem vorhandenen DSL-Router (mit integriertem xDSL-Modem) brauchen Sie lediglich zwei weitere Breitband-Router, die schon ab zehn Euro pro Stück zu haben sind. Der DSL-Router wird zum reinen Internet-Zugangsgerät degradiert: Seine LAN-Seite wird zur DMZ, hier rote Zone getauft (siehe Bild).

Sparfüchse drängt es vielleicht, auf einen Subnetz-Router zu verzichten. Das mag beim Heimbüro noch tragbar sein, doch wenn in der grünen Zone auch Nichtfamilienmitglieder tätig sind, sollte man auch das Privatnetz schützen.

An den DSL-Router schließen Sie nur die WAN-Schnittstellen der Breitband-Router und solche netzwerkfähigen Geräte an, die aus beiden Subnetzen erreichbar sein müssen. Den DHCP-Server des roten Routers können Sie abschalten. Die ihm nachgeschalteten Geräte bekommen alle eine feste IP-Adresse aus seinem Adressbereich (in unserem Beispiel 192.168.11.0/24, also 192.168.11.1 bis .254), der Router selbst hat die Adresse 192.168.11.1.

Einer der neuen Router wird für das Heimbüro zuständig (grüne Zone, 192.168.77.0/24), der andere fürs Privatnetz (blaue Zone, 192.168.13.0/24). Jeder spannt sein eigenes Subnetz auf. Die WAN-Schnittstelle der Subnetz-Router konfigurieren Sie auf "Static IP“ (bei manchen Geräten: "Fixed IP“) und stellen eine Adresse aus dem LAN-IP-Bereich des Internet-Routers ein. Ferner tragen Sie dort die Adresse des Internet-Routers als DNS-Server und Standard-Gateway ein.

Die DHCP-Server der Subnetz-Router aktivieren Sie und passen die vergebenen Adressen Ihren Vorstellungen an. Dabei dürfen sich die internen Bereiche der drei Router nicht überschneiden, damit NAT funktioniert.