AA_AVM_MyFRITZ_Tablet.jpg

© AVM GmbH

Fernzugriff mit Fritz & Co.

Fritzbox: Wie Sie auswärts Ihre heimischen PCs nutzen

09.10.2013
Laufen auf Ihrem Linux-PC Onlinespiele, Filesharing-Programme oder Anwendungen, die auf einem Webserver basieren? Möchten Sie auf lokal laufende FTP-, VPN-, Terminal- oder Fernwartungsdienste vom Internet aus zugreifen? Das klappt nur, wenn sie am Router Ports weiterleiten. Wir zeigen, wie das bei den populären Fritzboxen funktioniert.

Viele Anwendungen können Sie auch über das lokale Netzwerk oder das Internet nutzen und steuern. Programme kommunizieren dazu über so genannte Sockets mit der Außenwelt oder setzen als Webanwendung auf einen Applikationsserver auf, der einen klassischen Webserver (HTTP) voraussetzt. Über Fernzugriffslösungen wie RDP oder VNC können Sie sogar den kompletten Desktop Ihres Linux-PCs aus der Ferne nutzen.

Die beschriebenen Kommunikationswege funktionieren allerdings ohne Einschränkung nur im lokalen Netz. Möchten Sie einen der genannten Dienste über das Internet freigeben und nutzen, braucht der betreffende PC eine IP-Adresse, die im Internet "bekannt" und über die der PC im Internet eindeutig ansprechbar ist. Leider ist genau das beim größten Teil der privat genutzten Rechner nicht der Fall, denn dass Sie von Ihrem Rechner aus auf das Internet zugreifen können, bedeutet nicht, dass es auch in Gegenrichtung klappt.

Die Fritzbox und andere Router

Der größte Teil privat genutzten Rechner ist über einen Router wie AVMs Fritzbox mit dem Internet verbunden, die mit einer Technik namens Network Address Translation (NAT) dafür sorgt, dass solche Rechner – obwohl sie keine im Internet gültige IP-Adresse haben – Ressourcen im Internet abrufen können. Die Fritzbox vereint je nach Ausstattung ein DSL- (oder Kabel-)Modem, einen auf Linux basierenden NAT-Router, einen WLAN-Access-Point und einen Netzwerk-Switch in einem Gehäuse. Darüber hinaus stecken in aktuellen Fritzboxen je nach Modell auch ein UMTS-/LTE-Modem, eine Telefonanlage samt Anrufbeantworter oder ein SmartHome-Controller. Die in diesem Artikel beschriebenen Funktionen setzen eine Fritzbox voraus, lassen sich aber in ähnlicher Weise auch auf vielen anderen Routern nutzen.

Öffentliche IP-Adresse der Fritzbox

In den Anfangszeiten von Linux und DSL waren reine DSL-Modems noch sehr verbreitet, welche (an einen Linux-Rechner angeschlossen) für die Verbindung zum Internet sorgten. Dieser war über eine zweite Netzwerkkarte auch mit dem lokalen Netzwerk verbunden und übernahm damit selbst die Rolle des NAT-Routers. Es ist wichtig zu verstehen, wie die NAT-Betriebsarten Masquerading und IP-Forwarding funktionieren: Beantragen Sie einen Internetzugang beim Provider Ihrer Wahl, erhalten Sie keine weltweit gültigen IP-Adressen für alle Rechner in Ihrem lokalen Netzwerk, sondern lediglich eine einzige für Ihren "Anschluss", mit der das externe Netzwerkinterface Ihres Routers, also der Fritzbox zu konfigurieren ist. Selbst diese Adresse ist nicht exklusiv für Sie reserviert, sondern wird von Ihrem Provider dynamisch vergeben und ändert sich bei jeder Trennung des Routers vom Internet, welche Ihr Provider spätestens alle 24 Stunden erzwingt.

Automatismen zwischen Provider und Fritzbox sorgen dafür, dass der Router dann automatisch eine neue, gültige IP-Adresse bezieht. Welche das momentan ist, können Sie einfach feststellen, indem Sie an einem beliebigen Rechner in Ihrem Netz die Webseite http://www.meineip.de/ (Abbildung 1) aufrufen. Die hier angezeigte Adresse ist nicht diejenige des PCs, auf dem Sie die Webseite aufrufen, sondern die der Fritzbox, was Sie einfach überprüfen können: Rufen Sie dazu das Web-Interface Ihrer Fritzbox auf, das über die Adresse http://fritz.box/ oder http:Lokale IP-Adresse der Fritzbox erreichbar ist. Rufen Sie den Menüpunkt Internet / Online-Monitor auf. Auf dem Reiter Online-Monitor steht in der Zeile Internet, IPv4 die IP-Adresse, welche die Fritzbox vom Provider erhalten hat (Abbildung 1).

Abbildung 1: Über die öffentliche IP-Adresse der Fritzbox erreichen Sie von der Fritzbox zur Verfügung gestellte Dienste und sowie Dienste auf PCs, die an den internen Netzwerk-Switch der Fritzbox angeschlossen sind.

Private IP-Adresse der Fritzbox

Ihre Fritzbox besitzt zwei IP-Adressen: die eben genannte Class-C-Adresse 192.168.0.xxx, unter der sie in Ihrem lokalen Netz erreichbar ist, und die öffentliche, im Internet gültige IP-Adresse. Die lokale IP-Adresse der Fritzbox stellen Sie übrigens im Menü Heimnetz / Netzwerk im Reiter Netzwerkeinstellungen im Bereich IP-Adressen mit einem Klick auf die Schaltfläche IP-v4-Adressen ein. Diese ist allerdings nur in der erweiterten Ansicht verfügbar, auf die Sie jederzeit mit einem Klick auf den in der immer sichtbaren Fußzeile aller Fritzbox-Menüs ganz links zu findenden Eintrag Ansicht:Standard umschalten, der dadurch auf Ansicht:Erweitert wechselt. Für die folgenden Ausführungen ist es ratsam, bei der erweiterten Ansicht der Fritzbox zu bleiben. Auf der jetzt sichtbaren Menüseite IPv4-Einstellungen legen Sie die IP-Adresse der Fritzbox nebst Subnetzmaske fest und schalten bei Bedarf den DHCP-Server ein, dessen Adressbereich Sie hier ebenfalls einstellen können (Abbildung 2).

Abbildung 2: Über die lokale IPv4-Adresse erreichen Sie Ihre Fritzbox im lokalen Netz.

Die IP-Adresse der Fritzbox ist übrigens je nach Modell entweder 169.254.1.1, 192.168.178.1 oder 192.168.178.254 – welche davon Ihr Gerät verwendet, verrät das Handbuch. Änderungen sollten Sie hier nur dann vornehmen, wenn Sie genau wissen, was Sie tun, weil insbesondere das Ändern der Netzwerkadresse zur sofortigen Nichterreichbarkeit der Fritzbox führt, wenn Sie nicht gleichzeitig die Einstellungen für die Netzwerkkarte des PCs anpassen, an dem Sie die Fritzbox gerade konfigurieren. Weitere Ausführungen hierzu sprengen den Rahmen des Beitrages, ebenso wie das Ausdehnen der folgenden Ausführungen auf den neueren IP-Standard IPv6. Alle folgenden Erläuterungen beziehen sich daher der Einfachheit halber auf IPv4. Sollte Ihnen der Unterschied zwischen öffentlichen und privaten IP-Adressen nicht klar sei, finden Sie im Kasten Private und öffentliche IP-Adressen weitere Hinweise.

Private und öffentliche IP-Adressen

Für die Vergabe von gültigen IP-Adressen ist weltweit die Internet Assigned Numbers Authority (IANA) zuständig, die zur ICANN (Internet Corporation for Assigned Names and Numbers) gehört. Sie koordiniert die Vergabe eindeutiger Namen und Adressen im Internet. Die IANA hat in den Jahren 1994 bis 1996 drei private IP-Adressbereiche für die IP-Netzwerklassen A, B und C festlegt, die im Internet nicht "geroutet" werden und daher von jedem für die individuelle Konfiguration seiner privaten PCs und Netze verwendet werden können. Das sind

  • 192.168.0.0 bis 192.168.255.255 für Class-C-Netze (256 mögliche private Netze mit jeweils 256 möglichen Hosts),
  • 172.16.0.0 bis 172.31.255.255 für Class-B-Netze (16 mögliche private Netze mit jeweils 65536 möglichen Hosts) und
  • 10.0.0.0 bis 10.255.255.255 für Class-A-Netze (1 privates Netz mit 16777216 verschiedenen Hosts möglich).

Für den Heimgebrauch verwendet man üblicherweise Class-C-Netze (Netzmaske 255.255.255.0), die Ihnen immerhin 256 verschiedene PCs in einem Netz erlauben.

Fritzbox als Router

Um von einem beliebigen Rechner Ihres lokalen Netzes Zugang zum Internet bekommen, tragen Sie lediglich bei der Netzwerkkonfiguration der Netzwerkkarte im Feld Gateway des betreffenden PCs die lokale IP-Adresse Ihrer Fritzbox ein, in Abbildung 3 am Beispiel OpenSuse zu sehen. Sie müssen zur Konfiguration der Netzwerkgeräte aber nicht das spezifische Werkzeug Ihrer Distribution verwenden (etwa YaST bei OpenSuse). Das gleiche Ergebnis erreichen Sie z. B. auch mit dem Network-Manager von KDE (Abbildung 4). Beides ist jedoch nicht Thema dieses Beitrages, zumal die Fritzbox und andere Router in der Regel werksseitig für de DHCP-Betrieb konfiguriert sind, so dass die Netzwerkkarte Ihres Rechners automatisch eine lokale IP-Adresse aus dem von der Fritzbox verwaltete Pool privater IP-Adressen bezieht, ähnlich wie die Fritzbox selbst eine öffentliche IP-Adresse von Ihrem Provider erhält. Ihre Fritzbox ist also Router/Gateway und DSL-Modem in Personalunion.

Abbildung 3: Beim manuellen Konfigurieren der Netzwerkkarte Ihres Linux-PCs müssen Sie bei "Gateway" die Adresse Ihrer Fritzbox eintragen, damit Sie mit diesem PC eine Verbindung ins Internet herstellen können.
Abbildung 4: Unter Linux können Sie die Netzwerkkarte auf der Kommandozeile, mit einem Tool Ihrer Distribution oder einem Werkzeug der Desktopumgebung (hier KDE) einrichten.

Das Eintragen der IP-Adresse der Fritzbox als Router genügt im Prinzip völlig, damit Sie von dem betreffenden PC aus (auch wenn der nur eine private IP-Adresse besitzt) ins Internet kommen. Das würde allerdings nur für das direkte Adressieren anderer Rechner im Internet über deren öffentliche IP-Adressen funktionieren. Praktisch benötigt Ihre Netzwerkkarte noch die Adresse eines DNS-Servers, damit Sie Webserver über ihre Namen (also z. B. www.easylinux.de statt 195.122.146.187) aufrufen können. Hier können Sie wahlweise einen öffentlich zugänglichen DNS-Server eintragen oder ebenfalls die Adresse Ihrer Fritzbox, weil die wiederum in der Lage ist, auch DNS-Anfragen an einen externen DNS-Server weiterzuleiten. Auch die DNS-Adresse wird bei einer DHCP-Konfiguation automatisch bezogen. Lassen Sie sich in der Abbildung 4 für OpenSuse/YaST nicht von der Option IP-Weiterleitung aktivieren verunsichern: Diese Option benötigen Sie nur, wenn Sie Ihren Linux-PC selbst als Router betreiben.

Network Address Translation: Source-NAT

Dass Sie von Ihrem PC mit privater IP-Adresse eine Ressource im Internet erreichen können, geht auf das Konto der im Rahmen der Konfiguration der Netzwerkkarte dieses PCs bei Gateway eingetragenen Fritzbox. Deren Paketfilter betreibt zu diesem Zweck Source Network Address Translation (SNAT) im Gegensatz zu Destination Network Address Translation (DNAT). Da im Internet kein IP-Datenpaket ohne gültige Absenderadresse auf die Reise gehen kann, damit die im Internet definierten Protokolle funktionieren – was übrigens auch das anonyme Surfen so aufwendig macht (siehe Artikel in dieser Ausgabe) – ersetzt die Fritzbox bei Source-NAT die Absenderadresse Ihres Rechners beim Weiterleiten einer Anfrage, z. B. zum Öffnen einer Webseite, durch ihre eigene, öffentlich gültige IP-Adresse. Noch einfacher ausgedrückt schreibt die Fritzbox bei Source-NAT (SNAT) die Adresse des PCs um, der die Verbindung aufbaut, während sie bei Destination-NAT die Adresse des angesprochenen Computers umschreibt.

Source-NAT wurde "erfunden", weil seit Jahren bekannt ist, dass die öffentlichen IP-Adressen knapp werden: Schließlich gibt es immer mehr DSL-Flatrates (deren Nutzer permanent online sind), und die Anwender wollen immer mehr (auch mobile) Geräte dauerhaft mit dem Netz verbinden. Da SNAT nur ausgehende Verbindungen betrifft und kein prinzipielles Sicherheitsrisiko darstellt, müssen Sie dafür keine weiteren Einstellungen an der Fritzbox vornehmen: Das Gerät hat im Auslieferungszustand SNAT bereits vorkonfiguriert. Ausgehende IP-Verbindungen und die zugehörigen Antwortpakete sind dabei immer erlaubt, während unangeforderte Pakete aus dem Internet immer geblockt werden.

Network Address Translation: Destination-NAT

Da sämtliche Ports für eingehende Verbindungen in den Standardeinstellungen geschlossen sind, ist kein Zugriff aus dem Internet auf Dienste möglich, die auf der Fritzbox selbst oder auf Rechnern in Ihrem lokalen Netz laufen. Einzelheiten zur recht leistungsfähigen Firewall-Implementation der Fritzbox finden Sie übrigens auf der Webseite von AVM [1]. Möchten Sie, dass z. B. ein auf einem PC in Ihrem Netzwerk laufender Webserver aus dem Internet erreichbar ist, können und müssen Sie die benötigten Ports für eingehende Verbindungen aus dem Internet im Fritzbox-Webinterface über Internet / Freigaben und dort auf dem Reiter Portfreigaben öffnen (Abbildung 5).

Abbildung 5: Über "Freigaben" leitet die Fritzbox Anfragen aus dem Internet zum hier angegebenen PC weiter.

"Intern" konfiguriert die Fritzbox dabei die Paketfilter-Firewall des in der Fritzbox werkelnden Linux-Systems im Modus Destination-NAT (DNAT), auch Port-Forwarding genannt. Hierbei wird bei einem Verbindungsaufbau durch den Client, z. B. ein Rechner im Internetcafé, die Ziel-IP-Adresse (also die öffentliche Adresse Ihrer Fritzbox) durch die private IP-Adresse des eigentlichen Empfängers in Ihrem lokalen Netzwerk ersetzt und außerdem der Zielport durch einen freien Port der Fritzbox, welcher dadurch belegt ist. Die Fritzbox speichert diese Zuordnungen in ihrer eigenen NAT-Tabelle.

Auf der zugehörigen Seite Portfreigaben Ihrer Fritzbox ordnen Sie den gewünschten TCP-Port (z. B. 80 für einen Webserver) jeweils der (lokalen) IP-Adresse eines Ihrer Rechner im lokalen Netzwerk zu. Die Fritzbox leitet dann ab sofort alle auf diesem Port eingehenden Datenpakete an genau diesen Client im lokalen Netz weiter. Schauen wir uns an, wie Sie dazu praktisch vorgehen müssen.

Portfreigaben einrichten

Nehmen wir an, Ihr Linux-PC besitzt die private IP-Adresse 192.168.0.1 und Sie lassen darauf eine Webanwendung laufen, die Sie aus dem Internet erreichen wollen. Auf einem Rechner können mehrere Webanwendungen gleichzeitig arbeiten.

Das Programm, das Sie über eine Portweiterleitung ansprechen wollen, ist ein Webserver, in der Regel der Apache. Er nimmt Anfragen in der Standardeinstellung über das Protokoll HTTP auf dem TCP-Port 80 entgegen. Laufen auf einem Rechner mehrere Webservices, kann der Server diese entweder anhand verschiedener Ports (http://IP-Adresse:Portnummer) oder über Unterordner (http://IP-Adresse/Verzeichnis) zuordnen. Professionell betriebene Server erlauben es außerdem, virtuelle Hosts einzurichten, die über verschiedene Domainnamen unterscheidbar sind: So haben z. B. www.easylinux.de und unser Dienst für Kurz-URLs, www.ezlx.de, dieselbe IP-Adresse (195.122.146.187), und der dort laufende Apache-Server erkennt anhand der angeforderten URL, ob der virtuelle Host easylinux.de oder ezlx.de gefragt ist.

Die Fritzbox zeigt über Internet / Freigaben im Reiter Portfreigaben zunächst eine Liste der bereits eingerichteten Portweiterleitungen an. Zum Einrichten einer neuen Freigabe klicken Sie auf die Schaltfläche Neue Portfreigabe am unteren Ende der Liste. Setzen Sie dann das Häkchen Portfreigabe aktiv für und wählen Sie im Listenfeld rechts daneben den Eintrag HTTP-Server, der als Standardeintrag voreingestellt ist. Ein Klick auf das Listenfeld zeigt, dass die Fritzbox auch für Nutzung weiterer Services vorbereitet ist (Abbildung 6).

Abbildung 6: Die Fritzbox hat bereits eine Reihe von Standardfreigaben an Bord, die sich schnell konfigurieren lassen.

Anschließend wählen Sie im Listenfeld an Computer den PC in Ihrem lokalen Netzwerk anhand seines Namens oder der IP-Adresse aus, auf dem Sie einen Webserver betreiben und nach außen zugänglich machen wollen. In Abbildung 7 ist die Liste der Rechner im lokalen Netz gut gefüllt, was bei Ihnen bzw. im Auslieferungszustand vermutlich nicht so ist. Die Fritzbox erinnert sich an alle PCs und sonstigen Geräte, die via WLAN oder Netzwerkkabel angeschlossen wurden, in der Liste tauchen darum nicht nur aktive Geräte auf. Sie können über Heimnetz / Netzwerk im Reiter Geräte und Benutzer im Bereich ungenutzte Verbindungen nicht länger benötigte Maschinen durch einen Klick auf das Schließen-Symbol mit dem roten Kreuz löschen.

Abbildung 7: Die Fritzbox merkt sich alle Geräte, die sie für den Internetzugang verwendet haben.

Doch zurück zu den Portfreigaben. In der Regel finden Sie den gewünschten PC in der Liste und können ihn anhand seines Namens auswählen. Taucht er dort nicht auf, wählen Sie den Eintrag manuelle Eingabe der IP-Adresse und geben dann die IP-Adresse des betreffenden PCs im Feld an IP-Adresse darunter explizit an (Abbildung 8). Anschließend taucht die neue Freigabe in der Freigabeliste auf, und Sie können sie durch Setzen eines Häkchens in der Spalte Aktiv aktivieren. In der Spalte Bezeichnung steht der Name des Dienstes. Haben Sie diesen aus den Standardvorschlägen der Fritzbox gewählt, lautet die Angabe bei einem Webserver HTTP-Server. Es folgt die Spalte Protokoll, die in der Regel den Eintrag TCP enthält. Erfahrene Nutzer können bei speziellen Anwendungen bzw. spezifischen Anforderungen auch UDP, ESP oder GRE wählen. In der Spalte Port steht der Port, auf dem die Fritzbox externe Anfragen für die Anwendung entgegen nimmt. Der ist zwar meist mit dem Wert bei an Port identisch, das muss aber nicht zwingend so sein. (Ohnehin können Sie gezielte Einträge für von Port oder bis Port nur vornehmen, wenn Sie eine individuelle Freigabe einrichten, nicht aber bei einem vorbereiteten Service wie HTTP.)

Abbildung 8: Verwenden Sie die Option "manuelle Eingabe der IP-Adresse", wenn der Hostname des PCs nicht auftaucht.

Danach folgt bei an Computer der Name (oder die IP-Adresse) des PCs aus Ihrem lokalen Netz, den Sie von außen erreichen möchten. In der letzten Spalte an Port steht schließlich die Portnummer auf dem Clientrechner, zu dem die Fritzbox die Anfragen weiterleitet und den Sie im Gegensatz zu von Port und bis Port immer benötigen, aber (wie bei HTTP) nicht immer selbst angeben müssen.

Haben Sie die neue Freigabe aktiviert, sollte es mit den Werten im Beispiel möglich sein, den auf dem lokalen Client-PC 192.168.0.1 laufenden Webserver aus dem Internet unter der Adresse http://IP-Adresse-der-Fritzbox:80 zu erreichen. Die hier angegebene Portnummer 80 ist genau diejenige, die in der Spalte an Port in der Übersichtsliste geführt wird. 80 ist der Standard-HTTP-Port, so dass Sie die 80 in der URL auch weg lassen und einfach http://IP-Adresse-der-Fritzbox schreiben können.

Im Beispiel erscheint lediglich die Standardseite des unter der angegebenen IP-Adresse betriebenen Webservers. Der hostet allerdings mit Hilfe von vhosts verschiedene Webservices, so dass wir zum Beispiel das Web-Interface einer im "Headless"-Modus betriebenen VirtualBox-Installation unter der Adresse http://84.138.45.88/virtualbox erreichen.

Individuelle Freigabe einrichten

Sofern Sie, wie im Beispiel, lediglich eine Portfreigabe für einen der von der Fritzbox angebotenen Standarddienste einrichten, haben Sie keinen direkten Einfluss auf die Einträge für von Port, bis Port und an Port und müssen lediglich das Feld an Computer bzw. an IP-Adresse ausfüllen. Sie können aber auch individuelle Freigaben einrichten, z. B. wenn Ihnen die Standardkonfiguration der Fritzbox für HTTP-Freigaben nicht gefällt oder Sie einen anderen Dienst freigeben möchten, der in der Liste der Standardfreigaben nicht geführt wird.

In diesem Fall wählen Sie in der Liste bei Portfreigabe aktiv für den Eintrag Andere Anwendungen, woraufhin der Dialog Neue Portfreigabe erstellen einige zusätzliche Optionen anzeigt. So können Sie z. B. den Namen der Freigabe frei wählen. Ändern Sie dann einfach den Standardeintrag HTTP-Server, z. B. in Webserver auf Arbeitsplatz 1.

Möchten Sie stattdessen einen anderen Service freigeben, etwa einen Fernzugriff via SSH einrichten, ersetzen Sie zunächst die gewünschte Bezeichnung und tragen dann bei von Port, bis Port und an Port jeweils den Wert 22 ein. Ist das geschehen, können Sie sich ab sofort in einem Terminalfenster eines beliebigen PCs im Internet mit dem Befehl

ssh -l root Öffentliche-IP-der-Fritzbox

als root über das Internet an Ihrem entfernten Arbeitsplatz-PC einloggen, obwohl dieser nur über eine private IP-Adresse verfügt (Abbildung 9). Voraussetzung ist allerdings, dass dort ein SSH-Server (sshd) läuft und in dessen Konfigurationsdatei /etc/ssh/sshd_config der Root-Zugriff erlaubt ist.

Abbildung 9: Auf Ihrem Linux-PC können Sie sich auch von außerhalb via SSH einloggen, wenn Sie die Fritzbox passend konfigurieren.

Eigene Freigaben individuell einzurichten, gibt Ihnen anders als die vorbereiteten Services auch die Möglichkeit, bei von Port einen anderen Port anzugeben, als bei an Port – unter Umständen sogar einen Portbereich, indem Sie auch bei bis Port einen Wert eintragen. Betreiben Sie z. B. in Ihrem lokalen Netz mehrere Webserver, die allesamt auf Port 80 Anfragen entgegen nehmen, dann ist das zwar für den Wert bei an Port kein Problem, weil ja die einzelnen Webserver auf jeweils anderen Hosts mit individueller IP-Adresse laufen, die Fritzbox kann aber auf Port 80 nur Anfragen für einen Webserver entgegen nehmen, der dann belegt ist. Verwenden Sie stattdessen bei von Port den Port 90, kann die Fritzbox problemlos auf Port 80 und 90 Anfragen für Webserver entgegen nehmen und an den jeweils "richtigen" Apachen weiterleiten. Sie müssen den gewünschten Webserver, z. B. auf dem Client 192.168.0.2, dann lediglich mit http://Öffentliche-IP-der-Fritzbox:90 adressieren, während der Webserver auf dem Client 192.168.0.1 weiterhin unter der URL http://Öffentliche-IP-der-Fritzbox:80 erreichbar ist, wobei Sie auf die Portnummer 80 auch verzichten können.

Spezialitäten

So weit, so gut. Die Möglichkeit, Portfreigaben einzurichten, unterliegt allerdings einigen Einschränkungen und Besonderheiten. Betreiben Sie Ihre Fritzbox z. B. als Repeater in Zusammenarbeit mit einer weiteren Fritzbox als Basisstation, bleiben Portfreigaben wirkungslos, weil Sie diese im Repeaterbetrieb immer an der Basisstation vornehmen müssen. Freigaben haben ebenfalls keine Wirkung, wenn Sie Ihre Fritzbox lediglich als Client an einem Router betreiben.

Ferner gibt es in der Liste Portfreigabe aktiv für neben Klassikern wie HTTP, FTP oder RDP sowie der Möglichkeit, mit Andere Anwendungen einen individuellen Service einzurichten, auch den Eintrag Exposed Host. Wählen Sie diese Option, leitet die Fritzbox sämtliche Anfragen aus dem Internet auf den (einen) angegebenen PC weiter, es sei denn, es gibt durch andere Portfreigaben explizit abweichende Regeln. Die Funktion ist für Testzwecke gedacht und mit Vorsicht zu genießen, weil sie die interne Firewall der Fritzbox komplett unterläuft.

Im Reiter Portfreigaben findet sich unterhalb der Liste eingerichteter Freigaben noch der Eintrag Änderungen der Sicherheitseinstellungen über UpnP gestatten. Wenn Sie diese Option aktivieren und auf einem an der Fritzbox angeschlossenen PC eine Anwendung mit UPnP-Unterstützung läuft (z. B. ein Streaming-Server), dann kann diese Anwendung selbständig die benötigten Ports öffnen und ist aus dem Internet erreichbar.

Fritzbox-Dienste

Im Menü Internet / Freigaben der Fritzbox finden sich noch zwei weitere Reiter FRITZ!Box-Dienste und Dynamic DNS, deren Funktion Sie kennen sollten. Im Reiter FRITZ!Box-Dienste geben Sie Services für die externe Benutzung über das Internet frei, die unmittelbar auf der Fritzbox selbst laufen, wie etwa Netzwerkspeicher, den das Gerät über eine per USB angeschlossene externe Festplatte freigibt. Unter der Funktion FRITZ!NAS fasst die Fritzbox solche Platten sowie eventuell eingerichteten Online-Speicher zu einem "NAS-Gerät" (Network-Attached Storage) zusammen.

Die Konfiguration von FRITZ!NAS ist nicht Thema dieses Beitrags. Sie können aber die Benutzung des NAS-Speichers über das Internet freigeben, indem Sie im Reiter FRITZ!Box-Dienste die Option Internetzugriff auf die FRITZ!Box über HTTPS aktiviert einschalten. Optional klappt das auch mit FTP und FTPs, wobei nicht verschlüsseltes FTP aus Sicherheitsgründen tabu ist. Beschränken Sie sich am besten auf via SSL gesicherte HTTP-Verbindungen (HTTPS).

Sie können die Sicherheit des Fernzugriffs übrigens weiter erhöhen, wenn Sie statt des SSL-Standardports 443 einen individuellen Port verwenden, den Sie nach dem Aktivieren der entsprechenden Option im Feld abweichender HTTPS-Port eintragen können (Abbildung 10).

Abbildung 10: Weichen Sie bei den freigegebenen Ports von bekannten Standards ab, erhöht das die Sicherheit ein wenig.

Unter Internet / MyFRITZ! können Sie zudem ein Myfritz-Konto erstellen oder sich an einem existierenden Myfritz-Konto anmelden. Sie benötigen dazu Ihre Mail-Adresse und ein Passwort. Der Myfritz-Dienst macht es mit Hilfe eines Benutzerkontos leichter, über das Internet auf Fritz!NAS, Ihre Anrufliste, den Anrufbeantworter und an die Fritzbox angeschlossene SmartHome-Geräte zuzugreifen. (Abbildung 11).

Abbildung 11: Über die "MyFritz!"-Einstellungen greifen Sie über ein Benutzerkonto auf ausgewählte Fritzbox-Dienste zu.

Dynamic DNS

Abschließend sollten Sie im Menü Internet / Freigaben noch einen Blick auf den Reiter Dynamic DNS werfen. Alle bisherigen Beschreibungen setzen voraus, dass Sie für den Zugriff aus dem Internet auf die Fritzbox und daran angeschlossene Geräte die öffentliche IP-Adresse der Fritzbox verwenden. Da aber Ihr DSL- oder Kabel-Provider spätestens nach 24 Stunden eine Zwangstrennung vornimmt, bei dem sich die IP-Adresse ändert, ist es schwierig, stets die aktuell gültige Adresse zu kennen. Zudem ist die Eingabe der numerischen Adresse umständlich.

Hier schaffen Dynamic-DNS-Provider (DynDNS) Abhilfe, über die Sie Ihre Fritzbox stets unter einem Domainnamen (wie meinname.domain.org) ansprechen können. Wenn Sie bei einem DnyDNS-Anbieter ein Konto einrichten, haben Sie die Möglichkeit, verschiedene Dienste (Webserver, E-Mail, FTP) im Internet unter einem immer gültigen Namen anzubieten, der allerdings aus dem Pool der vom DynDNS-Anbieter gehosteten Domains stammt, z. B. meinname.dyndns.org. Tragen Sie Ihre DynDNS-Kontodaten im Dialog Dynamic DNS der Fritzbox ein, aktualisiert die Fritzbox automatisch nach jeder Zwangstrennung die Zuordnung des Namens zur (neuen) Adresse (Abbildung 12).

Abbildung 12: Mit DynDNS können Sie die Fritzbox immer über einen im Internet gültigen Domainnamen ansprechen und müssen sich keine IP-Adresse merken.

Der Service-Anbieter Dyn (ehemals dyndns.org) [4] ist nur einer von vielen mit ähnlichen Dienstleistungen, allerdings der seinerzeit erste seiner Art und daher sehr populär. Leider versucht Dyn seit Jahren, die Nutzung des kostenlosen DynDNS-Dienstes zu erschweren. Neuster Gag: Seit Mai dieses Jahres müssen sich Nutzer mindestens einmal pro Monat über das Web-Interface anmelden. Das automatische Anmelden über einen DynDNS-Client, wie etwa den der Fritzbox, reicht nicht mehr aus. Tun Sie das nicht, löscht Dyn nach einer Vorwarnung per E-Mail den kostenlosen Zugang und den damit verbundenen Rechnernamen.

Haben Sie sich bei Dyn mit einem kostenlosen Account registriert, können Sie unter der Adresse https://account.dyn.com/dns/dyndns/add.html neue Hosts wie Ihre Fritzbox hinzufügen. Die benötigte öffentliche IP-Adresse für die erste Zuweisung ermittelt die Webseite selbständig. Sie müssen nur den vorgeschlagenen Link bei IP-Address anklicken und sich einen Domainnamen aussuchen. Dazu stehen Ihnen diverse Kombinationen wie meinname.dyndns-xxx.com oder meinname.dyndns.biz (oder .info, .org und .tv) zur Verfügung. Danach müssen Sie die Kontodaten nur noch in der Fritzbox eintragen (Abbildung 13). Eine Übersicht von DynDNS-Anbietern finden Sie z. B. in einem Artikel der Zeitschrift PC Welt [5].

Abbildung 13: Das Anlegen eines DynDNS-Kontos ist kostenlos und schnell erledigt.

Fazit

Wollen Sie Dienste freigeben, die auf PCs in Ihrem lokalen Netz laufen, ist das technisch kein Problem. Was wir in diesem Artikel für die populäre Fritzbox gezeigt haben, funktioniert auf vielen anderen DSL- und Kabel-Routern ähnlich. Für AVMs Geräte gibt es meist schnell Sicherheits-Patches, und der Hersteller erweitert regelmäßig über Updates den Funktionsumfang älterer Geräte und bietet eine umfassende Wissensdatenbank [3] sowie eine große Nutzer-Community. Darüber hinaus gibt es auch herstellerunabhängige Firmware-Erweiterungen wie Freetz [6, 7], welche experimentierfreudigen Nutzern weitere Funktionen erschließen.

Glossar

SmartHome

Der Begriff ist AVMs Wort für Heimautomation, also die computerbasierte Steuerung von Anlagen wie Heizungen, Licht, Rolläden und anderen Geräten. Die FritzBox kann u. a. die schaltbare Steckdose Fritz!Dect 200 von AVM ansteuern.

Subnetzmaske

Die Subnetzmaske definiert, wie viele "benachbarte" IP-Adressen Teil desselben Netzwerks sind. Für ein Class-C-Netz ist sie 255.255.255.0, darum sind z. B. die Adressen 192.168.0.1 und 192.168.0.102 benachbart, während 192.168.1.1 zu einem anderen Netz gehört.

Infos

[1] Fritzbox-Firewall-Konfiguration: http://www.avm.de/de/News/artikel/newsletter/fbox_firewall.html

[2] AVM-Service-Portal: http://www.avm.de/de/Service/Service-Portale/Service-Portal/?portal=VPN

[3] AVM-Wissensdatenbank: http://service.avm.de/support/de/skb/

[4] Dyn: http://dyn.com/dns/

[5] DynDNS-Anbieter: Thomas Hümmler, Daniel Behrens, "DynDNS-Alternativen kostenlos nutzen", PC Welt, http://www.pcwelt.de/ratgeber/DynDNS-Alternativen-kostenlos-5680355.html

[6] Freetz: http://freetz.org/

[7] Freetz-Artikel: Christoph Langner, "Aufgebohrt", LinuxUser 12/2011, S. 36 ff., http://www.linux-community.de/artikel/24474

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 8 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare