Weiterlesen mit NEWS. Jetzt testen.
Lesezeit ca. 10 Min.

Sicheren Fernzugriff einrichten


PC Welt - epaper ⋅ Ausgabe 10/2021 vom 03.09.2021

Netzwerk

Selbst viele Heimnetz-Profis haben Respekt vor dem Thema Portfreigaben und Portweiterleitungen – aber nicht, weil es schwierig umzusetzen ist. Sondern weil es paradox erscheint: Ihr Router beziehungsweise seine Firewall schützen das Heimnetz, indem sie alle Zugriffe von außen blockieren – außer, es handelt sich um Antworten auf eine Anfrage aus dem Heimnetz. Und jetzt sollen Sie diesen Schutz schwächen, indem Sie im Router Ports öffnen?

Doch es gibt viele gute Gründe für Portfreigaben: Sie erleichtern sich damit die Verwaltung des Heimnetzes, können schnell auf Netzwerkgefahren reagieren oder erst dadurch problemlos bestimmte Programme und Spiele nutzen. Wenn Sie umsichtig vorgehen, grundlegende Sicherheitsmaßnahmen ergreifen und sich regelmäßig einen Überblick über wichtige Einstellungen verschaffen, reduzieren Sie das Risiko so weit, dass der Nutzen eindeutig überwiegt. Wir zeigen ...

Artikelbild für den Artikel "Sicheren Fernzugriff einrichten" aus der Ausgabe 10/2021 von PC Welt. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: PC Welt, Ausgabe 10/2021

Weiterlesen
epaper-Einzelheft 2,99€
NEWS 30 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von PC Welt. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 10/2021 von Links oder mittig ist die Frage. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Links oder mittig ist die Frage
Titelbild der Ausgabe 10/2021 von Erste Beta-Version von Windows 11. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Erste Beta-Version von Windows 11
Titelbild der Ausgabe 10/2021 von ADAC bewertet nur zwei LKW- Abbiegeassistenten mit „gut“. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
ADAC bewertet nur zwei LKW- Abbiegeassistenten mit „gut“
Titelbild der Ausgabe 10/2021 von 40 Jahre PC & 25 Jahre Smartphone. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
40 Jahre PC & 25 Jahre Smartphone
Titelbild der Ausgabe 10/2021 von A3 -Tintenstrahler in zwei Ausführungen. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
A3 -Tintenstrahler in zwei Ausführungen
Titelbild der Ausgabe 10/2021 von LESERUMFRAGE: MITMACHEN UND GEWINNEN. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
LESERUMFRAGE: MITMACHEN UND GEWINNEN
Vorheriger Artikel
So partitionieren Sie Ihre Festplatte richtig
aus dieser Ausgabe
Nächster Artikel WLAN für alle
aus dieser Ausgabe

... ausführlich, wann eine Portweiterleitung sinnvoll ist, wie Sie sie korrekt an Router und Rechner einstellen, und welche Alternativen es dafür gibt.

Grundlagen: Darum brauchen Sie Portfreigaben

Üblicherweise startet immer das Heimnetz die Kommunikation mit dem Internet: Der PC fordert eine Webseite an, das Smartphone ein Video. Der Router als Verbindung zwischen Heimnetz und Internet merkt sich dabei, von welchem Gerät diese Anfrage kommt. Bekommt er eine Antwort aus dem Internet, zum Beispiel die Inhalte der Seite oder die Bilddaten des Videos, leitet er sie an das entsprechende Gerät weiter.

Diese Vermittlerrolle des Routers hat einen technischen Grund: Nur er ist aus dem Internet überhaupt erreichbar, weil er eine öffentliche IP-Adresse hat. Alle Geräte im Heimnetz dagegen besitzen eine private IP- Adresse, die sie vom Router bekommen haben, und sind deswegen im Internet unsichtbar. Schickt ein Rechner aus dem Heimnetz Datenpakete ins Internet, tauscht der Router mittels NAT (Network Address Translation) dessen private IP-Adresse gegen seine öffentliche IP-Adresse aus, damit ihn die Antwort erreichen kann. Wenn er sie erhalten hat, macht er diesen Vorgang rückgängig – das Datenpaket erhält wieder die private IP-Adresse des Heimnetzgerätes. Dieses Verfahren ist bei der IPv4-Adressierung notwendig, weil es zu wenig öffentliche IP-Adressen für alle Geräte gibt. Mit IPv6 funktioniert es etwas anders – wie genau, lesen Sie im Kasten auf Seite 63.

Kommen dagegen Datenpakete aus dem Internet beim Router an, für die er keine Anfrage aus dem Heimnetz vorliegen hat, verwirft er sie – er weiß ja nicht, wohin er sie weiterleiten soll. So trägt NAT zum Schutz des Heimnetzes bei, denn ein unangeforderten Datenpaket könnte von einem Angreifer kommen.

Neben der IP-Adresse merkt sich der Router auch den Port, über den das Heimnetz- gerät die Anfrage versendet hat. Damit weiß er, welche Daten er als Antwort aus dem Internet erwarten kann, denn vielen Portnummern sind bestimme Dienste, Protokolle oder Programme zugeordnet. Auf dem Heimnetzgerät wiederum wartet die Anwendung, die die Anfrage geschickt hat, am entsprechenden Port auf die zurückkommenden Datenpakete. Wofür die wichtigsten Portnummern stehen, sehen Sie unten in der Tabelle.

Manchmal ist es aber notwendig, dass ein Datenpaket ins Heimnetz gelangt, obwohl dort niemand darauf wartet: Wenn Sie etwa vom Büro aus auf einen PC im Heimnetz zugreifen wollen, weil dort ein wichtiges Dokument liegt. Oder wenn Sie unterwegs Freunden Fotos zeigen wollen, die Sie auf Ihrem NAS gespeichert haben. Auch der Zugriff auf die heimische IP-Kamera, um zu checken, was das Haustier gerade macht, ist eine Anfrage von außen. Und wer daheim einen Mail-, Datei- oder Spieleserver betreibt, muss unaufgeforderte Anfragen aus dem Internet zulassen können. Gleiches gilt für viele Onlinespiele oder Downloads über ein Peer-to-Peer-Netzwerk.

Hier kommt die Portweiterleitung ins Spiel: Damit weisen Sie den Router an, alle Datenpakete, die bei ihm an einem festgelegten Port eintreffen, an ein bestimmtes Heimnetzgerät weiterzuleiten. So können Sie den PC, das NAS oder die IP-Kamera zu Hause von überall aus erreichen.

So geht’s: Portfreigaben einrichten

Wie Sie eine Portweiterleitung einrichten, hängt vom zu errreichenden Gerät beziehungsweise Dienst ab und vom Router, in dem Sie die Ports freigeben. Die notwendigen Voraussetzungen sind aber immer gleich. Deshalb können Sie sich an unserer Anleitung orientieren, bei der wir den Zugriff auf ein NAS über eine Portweiterleitung in einer Fritzbox zeigen. Wichtig: Beim ersten Einrichten einer Portfreigabe sollten Sie sich im lokalen Netz befinden, aus dem Sie Router und Freigabe-Gerät mit einer privaten IP-Adresse erreichen können. Außerdem muss im Fritzbox-Menü die erweiterte Ansicht aktiviert sein.

Damit Sie das NAS auch aus dem Internet erreichen können, muss es angeschaltet und ständig mit dem Router verbunden sein. Die Verbindung zum Router kann dabei über LAN, WLAN oder Powerline erfolgen, wobei der Anschluss per LAN-Kabel die höchste Ausfallsicherheit bietet. Ein NAS oder eine IP-Kamera laufen üblicherweise ständig. Bei einem PC, der zum Beispiel als FTP-Server dient, müssen Sie dagegen entsprechende Einstellungen tätigen, damit der Rechner immer erreichbar ist.

Gleiches gilt für Programme oder Dienste, auf die Sie über das Heimnetzgerät zugreifen wollen: Starten Sie sie deshalb – zum Beispiel ein FTP-Server-Programm, wenn Sie sich damit Dateien aus dem Heimnetz holen wollen. Wenn auf dem Rechner eine lokale Firewall läuft – etwa der Windows Defender –, müssen Sie dort außerdem den Zugriff auf das Programm erlauben.

Prüfen Sie anschließend, welchen Port dieser Dienst verwendet: Oft ist es der Standardport für diese Anwendung, etwa Port 21 für FTP. Eventuell ist aber im Gerät ab Werk ein bestimmter Port eingestellt – zum Beispiel bei einem NAS für den Zugriff auf die Benutzeroberfläche.

Bei einem Synology-NAS etwa erreichen Sie das Menü per HTTPS über den Port 5001. Ein Blick ins Handbuch hilft weiter. Außerdem verlangen einige Dienste auch die Freigabe mehrerer Ports oder Portbereiche. Sie können aber im Programm oder im Gerät selbst eine Portnummer festlegen, auf die es auf Anfragen lauschen soll. Wichtig ist, dass Sie die Portnummern parat haben, wenn Sie im Router darauf weiterleiten wollen.

Nun benötigen Sie die öffentliche IP-Adresse des Routers beziehungsweise einen DynDNS-Dienst: Er stellt sicher, dass sich der Router und damit die Portweiterleitung zuverlässig mit einer feststehenden Webadresse erreichen lässt. Zwar können Sie für einen ersten Test der Portweiterleitung auch die öffentliche IP-Adresse des Routers nutzen: Sie finden sie zum Beispiel in einer Fritzbox unter „Internet –› Online-Monitor“ in der Zeile „Internet“. Diese Adresse kann sich aber regelmäßig ändern, zum Beispiel nach einem Neustart des Routers. Damit die Portfreigabe dauerhaft erreichbar ist, setzen Sie einen Dyns-DNS-Dienst ein: Viele Router-Hersteller haben dafür ein eigenes Gratisangebot. Bei einer Fritzbox ist es My- Fritz, wofür Sie sich im Routermenü unter „Internet –› MyFRITZ!-Konto“ anmelden. Sie können auch einen anderen Dienst nutzen, zum Beispiel www.noip.com. Die Zugangsdaten dafür hinterlegen Sie im Menü des Routers, in einer Fritzbox unter „Internet –› Freigaben –› DynDNS“.

Danach kümmern Sie sich um die Portweiterleitung: Bei der Fritzbox erledigen Sie das unter „Internet –› Freigaben“. Klicken Sie auf „Gerät für Freigaben hinzufügen“. Im nächsten Fenster wählen Sie oben aus dem Drop-down-Menü das Gerät aus, das das Ziel der Portweiterleitung sein soll – in unserem Beispiel das NAS-System. Die Fritzbox zeigt automatisch seine IP- und MAC-Adresse an. Allerdings sehen Sie nur Geräte in dieser Liste, die ihre interne IP- Adresse per DHCP von der Fritzbox bekommen. Haben Sie ihm manuell bereits eine feste IP-Adresse zugewiesen, scrollen Sie in der Liste ganz nach unten und wählen „IP- Adresse manuell eingeben“.

Eine feste IP-Adresse erleichtert übrigens nicht nur das Einrichten der Portweiterleitung, sondern auch den lokalen Zugriff auf ein Heimnetzgerät: Sorgen Sie deshalb am besten dafür, dass Sie dieses Gerät immer unter der gleichen IP-Adresse erreichen können: In einer Fritzbox rufen Sie dazu seine Detaileinstellungen auf, zum Beispiel über das Bearbeiten-Symbol unter „Heimnetz –› Netzwerk –› Netzwerkverbindungen“. Dort markieren Sie die Option „Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen“.

Haben Sie für die Freigabe Ihre Auswahl bei „Gerät“ getroffen, klicken Sie rechts unten auf „Neue Freigabe“. Bei einer Fritzbox öffnet sich nun ein Fenster, in dem Sie zwischen einer Myfritz-Freigabe und einer Portfreigabe wählen können. Eine Myfritz-Freigabe eignet sich für die üblichen Anwendungen, die Sie über eine Portfreigabe erreichen wollen, zum Beispiel die Weboberfläche eines NAS-Systems oder einen FTP-Server im Heimnetz. Außerdem vereinfachen Sie sich damit den Zugriff, denn unter myfritz.net erscheint die Weiterleitung anschließend als direkter Link. Mit der Alternative „Port-Freigabe“ decken Sie die erwähnten Anwendungen und außerdem alle anderen ab, die eine Portfreigabe benötigen.

Wählen Sie nun ganz oben aus dem Dropdown-Menü „Andere Anwendung“. Damit Sie sofort wissen, welche Portweiterleitung Sie eingerichtet haben, geben Sie in der nächsten Zeile eine eindeutige Bezeichnung ein, zum Beispiel „NAS-System“. Bei einer Myfritz-Freigabe wählen Sie nun das Schema, das die Webadresse für den Zugriff hat – im Fall der NAS-Oberfläche zum Beispiel https://..... Bei der Portfreigabe müssen Sie zudem das Verbindungsprotokoll spezifizieren, meist TCP oder UDP.

Tragen Sie nun unter „Port an Gerät“ die Nummer des Ports ein, an dem der Dienst auf dem Heimnetzgerät läuft. Geben Sie einfach in jedem Menü, das eine Portnummer verlangt, dieselbe ein, auch wenn die Fritzbox bei der „Portfreigabe“ unterscheidet zwischen dem Port am lokalen Gerät und dem externen Port, auf dem der Router auf die Daten wartet. Klicken Sie nun auf „OK“ und danach auf „OK“ im Fritzbox-Menü. Sie sehen nun die eingerichtete Portfreigabe in der Fritzbox unter „Internet –› Freigaben –› Portfreigaben“ – die Statusfarbe unter „Freigaben“ sollte grün sein – falls nicht, klicken Sie rechts auf „Aktualisieren“. Normalerweise können Sie dieselbe Nummer eintragen für den internen Port des Heimnetzgerätes und den externen Port, auf dem der Router auf eingehende Daten von außen wartet.

Jetzt kommt die Zeit für einen Test. Den Zugriff auf die Portfreigabe müssen Sie von einem Gerät ausführen, das sich nicht im Heimnetz befindet – zum Beispiel über mobile Daten von einem Smartphone. Um nun in unserem Beispiel die Benutzeroberfläche Ihres NAS zu erreichen, geben Sie die IP- Adresse beziehungsweise die feststehende Webadresse des Routers im Browser ein, gefolgt von einem Doppelpunkt und der Portnummer, die Sie dafür im Router eingetragen haben. Lautet also die Webadresse des Routers https://12345abcde.myfritz.net und die NAS-Oberfläche ist über Port 8001 erreichbar, finden Sie das NAS über das Internet mit der Eingabe dieser Adresse: https://12345abcde.myfritz.net:8001.

Freigabe-Probleme herausfinden und einfach beheben

Manchmal zicken Portfreigaben – auch wenn Sie alle Einstellungen scheinbar korrekt ausgeführt haben. Zu den häufigsten Problemen gehören eine Verbindung, die nicht zuverlässig funktioniert, Sicherheitswarnungen des Browsers oder der Fritzbox. Problem: Sie haben in der Fritzbox mehrere Freigaben eingerichtet. Beide verweisen auf die Weboberfläche von Heimnetzgeräten, zum Beispiel ein NAS und eine IP-Kamera. Bei einem Gerät klappt der Zugriff von außen, beim anderen aber nicht.

Lösung: Prüfen Sie im Fritzbox-Menü die Angaben im Menü „Internet –› Freigaben –› Portfreigaben“. Bei den Einträgen für die extern vergebenen Ports taucht einmal ein Warnsignal in Form eines Ausrufezeichens auf. Die Fritzbox signalisiert damit, dass sie einen anderen Port zugewiesen hat als den, den Sie beim Einrichten angegeben haben. Das kommt vor, wenn dieser Port schon für ein anderes Gerät oder die Fritzbox selbst weitergeleitet wurde. Häufig ist das der Fall für die Ports 80 und 443.

Sie haben nun zwei Möglichkeiten: Zum einen können Sie den externen Port, den die Fritzbox automatisch vergeben hat, für den Zugriff nutzen, indem Sie ihn hinter dem Doppelpunkt in der Zugriffsadresse eintragen. Dazu müssen Sie aber auch auf dem Heimnetzgerät beziehungsweise der Anwendung, die Sie per Internet erreichen wollen, diesen Port eintragen.

Oder Sie bearbeiten in der Fritzbox die Portfreigabe: Bei „Port an Gerät“ bleibt die ursprüngliche Portnummer stehen, bei „Port extern gewünscht“ tragen Sie eine beliebige, nicht anderweitig genutzte Portnummer ein. Wenn Sie die Änderungen speichern, können Sie mit dieser Portnummer in der Webadresse auf den Heimnetz- Dienst zugreifen.

Problem: Sie haben eine Portweiterleitung auf das Browsermenü Ihres NAS-Systems eingerichtet. Sie funktioniert grundsätzlich, doch immer, wenn Sie die Webadresse eingeben, meldet sich der Browser mit einer Sicherheitswarnung: Die Verbindung sei nicht sicher. Über eine Option wie „Erweitert“ kommen Sie meist trotzdem zum NAS. Doch die ständige Warnung nervt.

Lösung: Verbindet sich der Browser über das sichere HTTPS-Protokoll mit einem Webserver, weist sich dieser mit einem SSL-Zertifikat als vertrauenswürdig aus. Die meisten Webseiten kaufen diese bei Zertifikatsanbietern. Machen Sie Ihr NAS-System aus dem Internet zugänglich, bietet es ebenfalls Server-Dienste an und benötigt ein Zertifikat: Auf vielen NAS-Systemen können Sie dafür ein kostenloses Zertifikat der freien Zertifizierungsstelle Let’s Encrypt anfordern.

Bei einem Synology-NAS zum Beispiel geht das im Menü „Systemsteuerung –› Sicherheit –› Zertifikat“. Verknüpfen Sie das Zertifikat mit der DynDNS-Adresse des NAS- Systems, bleibt die Fehlermeldung beim Zugriff per Browser künftig aus.

Problem: Sie wollen ein Heimnetzgerät per Portweiterleitung erreichen. Dafür haben Sie sich bei einem DynDNS-Dienst eine feste Webadresse geholt. Doch wenn Sie diese im Browser eingeben, erhalten Sie eine Fehlermeldung: „Der DNS-Rebind-Schutz Ihrer FRITZ!Box hat Ihre Anfrage aus Sicherheitsgründen abgewiesen.“

Lösung: Der Router sperrt den Zugriff auf die ihm unbekannte Webadresse. Denn dahinter könnte eine DNS-Rebind-Attacke stecken, bei der ein Angreifer Anfragen auf eine manipulierte Webseite umleitet, um darüber Malware zu verteilen. Da Sie aber wissen, dass diese Webadresse ungefährlich ist, können Sie sie in der Fritzbox als vertrauenswürdig hinterlegen. Das passiert im Routermenü unter „Heimnetz –› Netzwerk –› Netzwerkeinstellungen“. Klicken Sie auf den blauen Link „weitere Einstellungen“. Im Kasten unter „DNS-Rebind-Schutz“ tragen Sie die Webadressen ein, für die Ausnahme gelten sollen. Trennen Sie die einzelnen Adressen per Zeilenumbruch.

Portkontrolle: So checken Sie Ihre Freigaben

Mit einer Portfreigabe schwächen Sie die Schutzfunktion Ihres Routers. Zwar besteht wenig Risiko, wenn Sie nur Ports freigeben, die Sie benötigen und das Vorgehen wie beschrieben absichern. Trotzdem sollten Sie regelmäßig prüfen, welche Ports offen sind, und gegebenenfalls Freigaben beenden, die Sie nicht mehr oder nur selten nutzen.

Die erste Anlaufstelle dafür ist das Routermenü: Dort sollten Sie eine Liste mit den eingerichteten Portfreigaben finden. In der Fritzbox zum Beispiel gehen Sie dazu ins Menü „Diagnose –› Sicherheit“. Hier stehen unter „1. Verbindung, Internet“ die Ports, die für den Zugriff von außen auf Routerdienste wie Benutzeroberfläche, VPN oder Telefonie geöffnet sind. Außerdem zeigt die Fritzbox die Portfreigaben auf Heimnetzgeräte. Mit einem Klick auf „Bearbeiten“ nehmen Sie Änderungen vor. Wenn Sie den Pushdienst in der Fritzbox einschalten („System –› Push Service“), informiert Sie der Router über Einstellungsänderungen im Menü, zu denen auch eine Portfreigabe zählt. Markieren Sie hierzu den Eintrag „Änderungsnotiz“.

Außerdem lassen sich offene Ports über kostenlose Portscanner wie Nmap (auf Heft-DVD, https://nmap.org/download.html) oder Onlinedienste wie www.dnstools.ch/

Hinterlegen Sie sie deshalb im Routermenü. port-scanner.html finden. Das Gerät, das den Scan ausführt, muss sich außerhalb des eigenen Netzwerkes befinden. Wichtig: Sie dürfen aus dem Internet nur die öffentliche IP-Adresse Ihres eigenen Routers prüfen. Bei vielen Onlinediensten müssen Sie vor dem Scan bestätigen, dass die ermittelte öffentliche IP-Adresse Ihnen zugeteilt ist. Mit dem Scan einer fremden IP-Adresse machen Sie sich eventuell strafbar.