Mehr Sicherheit im Heimnetzwerk

WLAN-Gastzugang einrichten - so geht's

Wir zeigen, wie Sie einen WLAN-Gastzugang einrichten. Mit einem zweiten, eingeschränkten Drahtlosnetzwerk sorgen Sie für mehr Sicherheit.

Smart Plugs

© AVM

Wir zeigen, wie Sie die Sicherheit im Drahtlosnetzwerk per WLAN-Gastzugang steigern.

Wie richte ich einen WLAN-Gastzugang ein? Was bringt mir ein zusätzliches, eingeschränktes Drahtlosnetzwerk? Mit einem abgeschotteten zweiten WLAN schaffen Sie eine zusätzliche Sicherheitsebene im Heimnetz - nicht nur vor neugierigen Mitbenutzern. Der WLAN-Router zu Hause sorgt einerseits für Verbindung, indem er alle an ihn angeschlossenen Clients einem privaten Netzwerk zuordnet und jedem Gerät einen Zugang ins Internet verschafft. Zugleich ist der Router auch die wichtigste Sicherung gegen unerwünschte Zugriffe aus dem Internet, da er alle WAN-seitigen Verbindungsversuche abblockt.

Dass alle Geräte im Heimnetz als gleichberechtigte Partner jederzeit aufeinander zugreifen können, ergibt natürlich Sinn - solange es sich dabei um Ihre eigenen Geräte handelt. Problematisch wird es jedoch dann, wenn Sie Ihren WLAN-Zugang einmal für Freunde, Bekannte und Gäste freigeben möchten - oder wenn Ihr Kind zum Geburtstag das erste Tablet oder Smartphone erhalten hat. Sobald Sie nämlich das WLAN-Passwort für Ihr Heimnetz an eine dritte Person weitergeben, wird das entsprechende Gerät zum vollwertigen Heimnetz-Client und kann auf sämtliche Dienste oder Freigaben in Ihrem Heimnetz zugreifen. Entweder Sie schenken dieser Person besonderes Vertrauen - oder Sie ändern im Anschluss das WPA2-Passwort im Access Point. Allerdings müssen Sie das neue Passwort dann auch in allen anderen WLAN-Clients zu Hause umstellen.

Diese umständliche und zeitaufwendige Prozedur werden Sie wohl nicht allzu oft durchführen wollen. Das nachträgliche Aussperren über einen MAC-Adress-Filter lässt sich inzwischen leider zu einfach umgehen.

MAC Changer

Achtung: Die Sicherung Ihres WLANs über reservierte MAC-Adressen lässt sich mit Tools, welche die MAC-Adresse ändern, aushebeln.

MAC Address Changer 6.0.5

Das Tool MAC Address Changer 6.0.5 ändert durch einen Registry-Eintrag die MAC-Adresse Ihres Netzwerkadapters. Dadurch können Sie den MAC-Adress-Filter eines WLAN-Routers umgehen, indem Sie sich einfach unter falschem Namen, sprich: der MAC-Adresse eines bereits zugelassenen Clients anmelden. Diese sogenannte MAC-Spoofing wird auch gerne von Heranwachsenden zur Umgehung von Kinderfiltern verwendet.

Ein ähnliches Problem könnte auftreten, wenn Sie Ihren Kindern einen gleichberechtigten Zugang ins Heimnetz einräumen, Ihr Heimnetz aber gleichzeitig auch als Home Office nutzen. Grundsätzlich sollen weder Ihren Gästen, noch Ihren Kindern bösartige Absichten unterstellt werden. Doch ein ungutes Gefühl bleibt dennoch. Teilen Sie deshalb Ihr bisheriges Heimnetz in verschiedene Zonen auf: Die private Zone ist nur für Sie selbst und Ihre sensiblen Heimnetzgeräte wie NAS, Büroserver und so weiter re serviert, auf die kein Mitbenutzer im Heimnetz zugreifen darf.

Der (WLAN-) Zugang zu diesem Subnetz ist nur Ihnen bekannt. Der zweite Bereich hingegen ist für Gäste, Freunde, Bekannte oder die gesamte Familie reserviert. Der allgemeine Zugang erfolgt über eine separate WLAN-SSID mit separatem WPA2-Passwort. Sowohl die Geräte in der allgemeinen Zone als auch die Geräte in Ihrer privaten Zone gelangen weiterhin über Ihren Modem-Router ins Internet. Allerdings darf kein Gerät aus der allgemeinen Zone Zugriff in Ihre private Zone erhalten.

WLAN-Gastzugang einrichten - so geht's

Wir stellen Ihnen im Folgenden zwei verschiedene Lösungen vor, mit denen Sie eine solche Zonierung im Heimnetz realisieren können. Die erste Lösung ist in den meisten halbwegs modernen WLAN-Routern bereits als Gast-WLAN-Funktion integriert, für die zweite Lösung benötigen Sie insgesamt zwei Router, die Sie als Kaskade hintereinanderschalten.

1. WLAN-Gastzugang im Router aktivieren

Bereits seit einigen Jahren statten viele Netzwerkhersteller ihre WLAN-Router mit einer Gäste-WLAN-Funktion aus. In AVMs Fritzboxen wurde die Option bereits mit dem ersten 802.11n-Router eingeführt. Sobald Sie das Gäste-WLAN aktivieren, spannt der Access Point im Router neben der Haupt-SSID noch ein zusätzliches WLAN-Netz mit eigener SSID auf.

Fritzbox-Menü für WLAN-Gastzugang

© Hersteller / Archiv

In der Fritzbox stehen über das Profil Gast sehr viele feine Filter bereit.

Wichtig dabei: In den Grundeinstellungen ist das Gäste-WLAN von den Clients im privaten WLAN sowie allen LAN-Clients am Router vollständig getrennt. Die Trennung zwischen privatem (W)LAN und Gäste-WLAN erfolgt manchmal über jeweils individuelle Netzwerkadressen, manchmal werden die Gäste-WLAN-Clients auch virtuell getrennt. Die meisten Router bieten auch eine Einstellung, welche die Trennung zum Gäste-WLAN komplett aufheben kann. Diese auf den ersten Blick fragwürdige Einstellung ergibt durchaus Sinn: So können Sie einem Gast zum Beispiel vorübergehend Zugriff auf Ihren Medienserver im privaten LAN geben, ohne ihm dafür Ihr Passwort für das Private WLAN mitteilen zu müssen. Im Anschluss daran trennen Sie die beiden Netze einfach wieder.

Ebenfalls praktisch: Manche WLAN-Router, wie beispielsweise die Fritzbox, bieten zusätzliche Filtermöglichkeiten für den Internet-Zugriff im Gäste-WLAN. So können Sie Ihren Gästen beispielsweise nur das Surfen oder Mailen erlauben. Im Fritzbox-Menü unter Internet/Filter/Gastnetz lassen sich aufgerufene Webseiten zusätzlich mit dem BPjM-Modul filtern, oder Sie passen Beschränkungen beim Gastzugang individuell nach Diensten an.

2. WLAN-Gastzugang via Router-Kaskade

Als Router-Kaskade bezeichnet man das Hintereinanderschalten von zwei (oder mehreren) Routern. Auch mit einer Router-Kaskade können Sie Ihr Heimnetz in zwei voneinander getrennte Bereiche aufteilen. Allerdings funktioniert diese Aufteilung hier etwas anders als beim Gastnetz. Das Gastnetz ist vom restlichen Heimnetz vollkommen getrennt, das heißt Sie können weder vom Gastnetz ins Heimnetz, noch vom Heimnetz ins Gastnetz wechseln.

Anders bei einer Router-Kaskade: Hier schalten Sie hinter den Heimnetz-Router oder Haupt-Router einen zweiten Router, den wir im folgenden Verlauf als Neben-Router bezeichnen werden. Der Haupt-Router stellt nach wie vor die Verbindung ins Internet her. Der Neben-Router hingegen sieht das private Netzwerk des Haupt-Routers als Internet.

Fritzbox-Menü für zweites WLAN

© Hersteller / Archiv

Auch eine Fritzbox lässt sich als nachgeschalteter Router in einer Kaskade einsetzen.

Welche Auswirkungen auf angeschlossene Clients hat eine solche Router-Kaskade? Ebenso wie bei der Gastnetz-Lösung hat jeder Client, ob er nun am Haupt- oder Neben-Router angeschlossen ist, weiterhin Zugang ins Internet. Die Unterschiede: Alle Clients, die am Neben-Router angeschlossen sind, können auch auf Haupt-Router-Clients zugreifen, denn der Neben-Router erlaubt in den Grundeinstellungen alle Verbindungen nach außen, sprich: ins Netz des Haupt-Routers. Sie können also von einem PC am Neben-Router auf ein NAS zugreifen, das am Hauptrouter hängt. Dieser Vorgang funktioniert jedoch nicht anders herum. Wenn Sie also versuchen, von einem Haupt-Router-PC auf ein NAS, das am Neben-Router hängt, zuzugreifen, so wird dieser externe Verbindungsversuch von der Firewall des Neben-Routers geblockt.

Aus diesem Grund eignet sich die Router-Kaskade besonders, um beispielsweise einen Bürobereich zu Hause (Home Office) zusätzlich zu schützen, zum Beispiel vor eigenen, meist jüngeren Familienmitgliedern, Mitbewohnern und so weiter. Ein weiterer Vorteil der Kaskade: Potenzielle Angreifer aus dem Internet müssen nicht nur einen, sondern zwei Router hacken, um an Daten auf Ihrem NAS zu gelangen.

Ohne WAN-Anschluss geht's nicht

Der Neben-Router wird über seinen WAN-Anschluss (Wide Area Network) mit einem beliebigen LAN-Port des Haupt-Routers verbunden. Der WAN-Anschluss am Router dient normalerweise als Verbindung zum DSL- oder Kabelmodem. Sie können also jeden Router für Ihre Kaskade einsetzen, der über einen solchen WAN-Anschluss verfügt. Router mit integriertem DSL- oder Kabel-Modem, die auch Modem-Router oder Gateway genannt werden, können Sie also nur dann als Neben-Router verwenden, wenn sich das interne Modem deaktivieren lässt. Bei einer Fritzbox von AVM, die ja grundsätzlich ein Modem integriert hat, lässt sich beispielsweise der LAN-1-Port zum WAN-Port umkonfigurieren. Diese Umstellung erfolgt automatisch, sobald Sie in der Bedienoberfläche unter Internet/Zugangsdaten die Einstellung Vorhandener Zugang über LAN wählen.

Netgear-Menü im Router

© Hersteller / Archiv

WAN-Konfiguration eines Netgear-Routers, der hinter einem Haupt-Router mit der IP-Adresse 192.168.0.1 hängt.

Achten Sie außerdem darauf, dass die (LAN-Kabel-) Verbindung zwischen Neben- und Haupt-Router nicht zu kurz ist. Im Idealfall steht der Neben-Router in einem verschließbaren Raum (Büro).

Konfiguration erforderlich

Allerdings funktioniert die Router-Kaskade noch nicht, wenn Sie die beiden Router nur per LAN-Kabel verbinden. Sie müssen meist auch die WAN-Schnittstelle des Neben-Routers konfigurieren. Wie Sie dabei vorgehen, beschreibt der folgende Workshop.

Router-Kaskade: Neben-Router konfigurieren

Führen Sie die folgende Einstellung durch, bevor (!) Sie den Neben-Router über seinen WAN-Anschluss mit dem Haupt-Router verbinden.

1. Weboberfläche Neben-Router

Schließen Sie Ihr Notebook per Ethernet-Kabel an einen LAN-Anschluss des Neben-Routers an, und öffnen Sie dessen Bedienoberfläche.

2. Externe IP-Adresse einstellen

Stellen Sie nun die externe oder Internet-IP-Adresse des Neben-Routers ein. Dies ist erforderlich, damit Ihr Neben-Router Teil des privaten oder internen Netzes wird, das vom Haupt-Router aufgespannt wird. Wechseln Sie dazu in den Bereich Internet, Internetverbindung oder Interneteinrichtung des Neben-Routers. Falls erforderlich suchen Sie in der Online-Hilfe oder im Handbuch des Routers nach den Stichworten Statische IP oder PPPoE. Unter der Einstellung Internetverbindungstyp oder Internetverbindungsart wählen Sie die Option Statische IP aus. Direkt darunter müssen Sie nun einige Netzwerkdaten eintragen. Als Internet-IP-Adresse oder IP-Adresse des Internetanbieters wählen Sie die interne IP-Adresse Ihres Haupt-Routers, ersetzen aber die Zahl 1 im vierten Adressblock durch eine andere, beispielsweise durch die Zahl 2 oder 10. Als Subnetzmaske vergeben Sie wie immer im Heimnetz-Router die Zahlenfolge 255.255.255.0.

3. Standard-Gateway-Adresse

Als (Standard-) Gateway-Adresse und als erste DNS-Server-Adresse (DNS1) tragen Sie die komplette interne IP-Adresse Ihres Haupt-Routers ein - inklusive der 1 im vierten Zahlenblock. Ein Beispiel: Falls Ihr Hauptrouter die Netzwerk-IP-Adresse 192.168.178.1 besitzt, dann tragen Sie für Ihren Neben-Router als statische Internet- oder externe IP-Adresse die 192.168.178.2 ein. Als Subnetzmaske vergeben Sie die 255.255.255.0, als (Standard-)Gateway-Adresse und ebenso als primäre DNS-Adresse die 192.168.178.1.

4. Interne IP-Adresse prüfen

Beachten Sie außerdem: Die interne IP des Neben-Routers muss sich im dritten Zahlenblock von der internen IP des Haupt-Routers unterscheiden. Ein Beispiel: Falls Ihr Haupt-Router die interne IP-Adresse 192.168.178.1 besitzt, so sollte Ihr Neben-Router sein internes Netz nicht ebenfalls mit 192.168.178.1 aufspannen, sondern beispielsweise mit 192.168.0.1 oder 192.168.12.1. Sie können eine beliebige Zahl zwischen 0 und 255 in den dritten Zahlenblock einfügen - außer eben der Zahl, die bereits im dritten Zahlenblock des Haupt-Routers verwendet wird.

Im Anschluss verbinden Sie die beiden Router per Kabel. Stecken Sie das eine Ende des Ethernet-Kabels in einen LAN-Port des Haupt-Routers, das andere Ende kommt in den WAN- oder Internet-Port des Neben-Routers. Alle Geräte, die Sie von jetzt ab mit dem Neben-Router verbinden, befinden sich in einem eigenen Netzwerk und können vom Hauptnetz aus nicht erreicht werden. Der Zugriff von Ihrem Büronetz-PC auf ein Gerät im Netz des Haupt-Routers funktioniert hingegen schon.

Mehr zum Thema

IT-Symbolbild
Anonym surfen

Wenn Sie im Internet surfen, dann hinterlassen Sie Spuren. Wir zeigen, wie Sie im Netz anonym und unsichtbar bleiben.
E-Mail-Symbolbild
Die besten Spam-Filter

Spam wird zwar seltener, dafür aber aggressiver. Die Mail-Provider bekämpfen Spam - und auch Sie können sich erfolgreich mit Filter-Tools und…
Mann kommt aus dem Laptop und ballt die Faust
Trolle im Internet

Trolle vergiften die Diskussionskultur im Internet - Mit diesen Strategien entledigt man sich der Störenfriede endgültig.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Spam-Mails
Vorsicht vor Phishing

E-Mail von Amazon: "Verdächtige Aktivitäten" sollen die Eingabe von Anmelde- und Bankdaten nötig machen. Ignorieren Sie die Phishing-Mail!