Wie das Heimnetz bei mir zu Hause aussieht (ein Überblick für Einsteiger)

1. Ein ganz einfaches Heimnetz

Wie so viele habe ich einen Router zu Hause. Der Router ist mit dem Internet verbunden, und mein Rechner ist mit dem Router verbunden und kommt durch diesen auch ins Internet. Das kann man sich so vorstellen – links ist mein Rechner, rechts das Internet:

Netzwerl mit 1 Router und 1 Rechner

Wenn ich von meinem Rechner aus eine Webseite aufrufen will, dann nutze ich einen Client (ein Programm, das dafür gedacht ist, zum Beispiel Mozilla Firefox) und gebe den Namen oder die Adresse eines anderen Rechners sein, auf dem ein Server-Programm läuft, das auf Anfragen Webseiten an den Client ausliefert.
Nach diesem Client-Server-Modell funktionieren ganz viele Dienste: Wenn ich von meinem Rechner aus meine E-Mails laden möchte, dann nutze ich einen E-Mail-Client (zum Beispiel Thunderbird), und der verbindet sich dann mit einem E-Mail-Server.
Wenn ich Dateien von meinem Rechner auf einen anderen Rechner im Internet bringen möchte (zum Beispiel für die Homepage, oder für Backups der Homepage auch in die andere Richtung), dann nutze ich dazu einen Client, der speziell dafür gedacht ist (zum Beispiel FileZilla).
Zwar kann ich auch Firefox nutzen, um Mails zu schreiben und abzuholen, oder Dateien hin und her zu schicken, aber mit einem Programm, das speziell dafür gedacht ist, geht das viel besser. Auf dem Handy nutzt man ja auch eine eigene App für alles mögliche.

Tatsächlich ist auch mein Router so ein Webserver. Wenn ich zu Hause die Adresse meines Routers in den Browser eingebe, dann kriege ich keine Fehlermeldung als Antwort, sondern eine Webseite, auf der ich Einstellungen an meinem Router vornehmen kann.
Wenn jetzt mein Router ein Webserver ist, und mein Router im Internet ist, und ich mit meinem Rechner ins Internet kann – kann dann das Internet nicht auch zu mir? Jawohl, das kann es, denn es gilt:

Wenn dein Rechner mit dem Internet verbunden ist, dann ist auch das Internet mit deinem Rechner verbunden.

Allerdings dürften kaum Anfragen aus dem Internet an den Webserver in meinem Router kommen: Denn die Adresse meines Routers wechselt täglich; das ist bei kleinen und mittleren Kunden so. Wenn aber doch jemand eine Anfrage schickt, dann reagiert mein Router einfach nicht. Der ist sinnvollerweise erst mal so eingestellt, dass er auf Anfragen aus dem Internet überhaupt nicht reagiert: Er bildet eine Firewall zwischen dem Internet und meinem Heimnetz.
Es gibt ein paar Gründe, seinen Router für Anfragen aus dem Internet zu öffnen, dazu später mehr.

2. Ein Heimnetz mit mehr Geräten

Zu Hause ist natürlich nicht nur mein Rechner mit dem WLAN-Router verbunden, alle möglichen Geräte sind das ebenso, entweder über WLAN oder über ein Kabel:

WLAN-Router mit verschiedenen angeschlossenen Geräten

(Das bildet übrigens nicht mein tatsächliches Heimnetz ab, sondern dient zur Illustration.)

  • Mit meinem Tablet will ich ins Internet, und deshalb ist es mit dem Router verbunden.
  • Das gilt auch für den Laptop von Frau Rau.
  • Und ihr Handy.
  • Auch das Küchenradio soll ins Internet: Damit ich von da aus BBC Radio Four hören kann.
  • Der Fernseher auch: Damit ich darauf Youtube-Videos anschauen kann.
  • Und der TV-Stick am Fernseher (egal ob der Amazon Fire TV Stick oder der Chromecast-Stick von Google), der soll auch – unter anderem – ins Internet, um sich von dort Filme zu holen.
  • Und mein Drucker hängt auch am Router.

Wieso der Drucker? (Übrigens hat auch mein Drucker einen eingebauten Webserver: Wenn ich die Druckeradresse in meinen Browser eingebe, kriege ich nicht etwa eine Fehlermeldung, sondern eine Webseite – nämlich eine, auf der ich den Drucker konfigurieren kann.) Mit dem Drucker will ich doch gar nicht ins Internet?
Diese Geräte sind nämlich nicht nur über den Router mit dem Internet verbunden, sondern auch untereinander. Das ist praktisch:

  • Ich kann von meinem Rechner auf den Drucker zugreifen, obwohl sie nicht direkt miteinander verbunden sind – weil der WLAN-Router den Kontakt herstellt.
  • Drucken kann ich dann auch vom Laptop aus, und grundsätzlich auch von Tablet und Handy.
  • Ich kann mein Tablet als Fernsteuerung für den Fernseher verwenden, nicht über Infrarot (wie die reguläre Fernsteuerung), sondern über das gemeinsame Netzwerk. Das ist vor allem dann praktisch, wenn ich Text eingeben möchte, was mit der Fernsteuerung lange dauert.
  • Ich kann mit dem Rechner, oder dem Tablet, oder dem Handy, oder dem Laptop den TV-Stick im Fernseher ansprechen und Inhalte an diesen schicken, damit der sie dann an den Fernseher vermittelt.
  • Ich kann Bilder von meinem Tablet auf meinen Rechner kriegen, ohne die Geräte durch ein USB-Kabel miteinander verbinden zu müssen.

Kurz: Die Geräte im lokalen Netz sind auch miteinander verbunden. Praktisch ist das auch dann, wenn ich auf dem Küchenradio ein Musikstück wiedergeben möchte, das auf der Festplatte meines Rechners liegt, oder auf dem Fernseher einen Film von dort. Oder wenn ich im Wohnzimmer am Tablet arbeite und gerne eine Datei von der Festplatte meines Rechners hätte – ein Urlaubsbild, einen Film, ein Textdokument.

Der Nachteil bei diesen konkreten Wünschen: Damit ich an die Festplatte meines Rechners komme, muss der Rechner angeschaltet sein. Das ist ein ein bisschen blöd. Wenn ich jederzeit und ohne vorherige Planung an meine Daten kommen möchte, müsste mein Rechner permanent angeschaltet sein. Wenn es nur einen Computer im Haus gäbe, der ohnehin 24 Stunden am Tag an ist…

…und den gibt es natürlich: Der Router. Auch wenn daran kein Monitor und keine Tastatur hängen, bleibt es doch ein vollständiger Computer. Eine Festplatte im technischen Sinn hat er nicht, aber doch so etwas ähnliches, jedenfalls genug Speicherplatz für sein Betriebssystem und sonst noch ein paar Sachen. Klar, für Videos reicht der Speicherplatz nicht. Aber ich kann an meinen Router eine externe Festplatte anstecken, so eine recht ausreichend große. Dann brauche ich eigentlich die Festplatte auf dem Laptop und dem Rechner nur noch für das Betriebssystem und Programme und als Zwischenspeicher, und alle meine wichtigen Dateien liegen auf der Festplatte am Router, und der Router bedient die anderen Geräte alle, wenn die etwas wollen – Videos und Urlaubsbilder für den Fernseher, mp3-Dateien für das Küchenradio, Textdateien für meine Unterrichtsvorbereitung am Rechner.

Leider geht das nicht wirklich sehr gut. Der Router ist zwar ein Rechner, der ständig an ist, aber er ist kein sehr schneller Rechner, sondern ein langsamer, der eigentlich für andere Aufgaben gedacht ist.

3. Ein Heimnetz mit mehr Geräten, darunter einem Datei- und Medienserver

Also habe ich mir in den Sommerferien – auch weil mein Hauptrechner ein wenig unzuverlässig wurde und nicht jedesmal gleich startete – einen eigenen Rechner gekauft, der an meinen Router angeschlossen ist, und der eigentlich nur aus Festplatte, einem sehr zuverlässigen Betriebssystem, und etlichen sehr komfortablen Diensten besteht. (Ein Webserver ist natürlich auch wieder dabei: Wenn ich die Adresse des neuen Rechners in den Browser eingebe, kriege ich nicht etwa eine Fehlermeldung, sondern eine Webseite – wie üblich und zur Konfigurierung des Rechners. Ich will ja nicht immer eine Tastatur und eine Monitor anschließen, oder über die Kommandozeile mir Zugang verschaffen.) Dieser Rechner schläft ein, wenn er nicht gebraucht wird, und verbraucht dann 6 Watt in diesem Ruhemodus. Wenn er gebraucht wird, wacht er auf, und bietet allen Geräten im lokalen Netz seinen Inhalt an: Fotos, Videos, Dokumente; für die Medienabspielgeräte (Fernseher, Küchenradio, Tablet) auch in besonders aufbereiteter Form als Medienserver – das links oben ist er:

Rechnernetz mit Router und Fileserver

Anders als der Router ist dieser Rechner dafür ausgelegt, große Dateimengen zu verwalten und zur Verfügung zu stellen. (Größere und teurere Rechner könnten das noch besser, und zum Beispiel Videodateien in das jeweils passendste Format für den Klienten übersetzen, aber das brauche ich nicht.) Auf Laptop und Rechner habe ich die Festplatte dieses Fileservers als Laufwerke eingebunden und kann diese verwenden wie ein ganz normales Laufwerk; auf dem Tablet habe ich einen Medien-Klienten laufen, der sich die Filme vom Medien-Server schicken lässt. Nicht so schnell wie auf einer lokalen Festplatte oder gar SSD, aber schnell genug.

(Backups kommen auf externe Festplatte. Keine richtige Lösung habe ich bisher für sensible Daten; im Moment sind die in verschlüsselten Containern, aber richtig oft muss ich nur an meine Firefox- und Thunderbird-Daten, für die hätte ich gerne eine bessere Lösung. Doch mal eine ganze Partition verschlüsseln?)

4. Ein Heimnetz mit mehr Geräten, darunter einem Datei- und Medienserver, und Zugriff darauf von außen

Wenn dieser Rechner ohnehin 24 Stunden am Tag an ist, zumindest im Ruhemodus, wäre es dann nicht schön, wenn ich auch von der Schule aus auf diesen Rechner zugreifen könnte? Zugegeben, ich will das eher, weil es möglich und nicht, weil es unbedingt nötig ist – aber es gab auch schon Fälle, wo es praktisch war, dass ich von unterwegs an meine Dateien herankam.

Dazu könnte ich zum Beispiel meinem Router (der Firewall, die sonst nichts aus diesem Internet zu mir durchlässt) sagen, dass er eben doch Anfragen durchlassen soll. Ich kann zum Beispiel auf meinem Datei- und Medienrechner einen FTP-Server laufen lassen, oder andere Dienste anbieten, oder einen Shell-Zugang. Aber gar so weit will ich mein Heimnetz auch wieder nicht öffnen. Also habe ich mal das mit dem VPN (Virtual Private Network) ausprobiert.

Ein VPN ist eine Möglichkeit, wie ich verschiedenen Rechnern auf der Welt vorgaukeln kann, sie seien in einem gemeinsamen Netzwerk, quasi mit einem gemeinsamen gedachten Router über WLAN oder Kabel verbunden. In Wirklichkeit sind sie das nicht, sondern in ganz verschiedenen eigenen Netzen, und nur über das Internet miteinander verbunden.
In meinem Fall will ich nur einem Rechner, mit dem ich unterwegs bin, vorgaukeln, er sei mit meinem Heimnetz verbunden. Das sieht dann etwa so aus:

Router mit angeschlossenen Geräten über Kabel, WLAN und VPN

Das Tablet und der Rechner unten sind eigentlich irgendwo im Internet; daher die Wolke. Über eine VPN-Verbindung – heißt auch: VPN-Tunnel, man kann sich das auch als eine Art virtuelles VPN-Kabel vorstellen – sind die beiden aber doch irgendwie mitten im Heimnetz. Und damit kann ich das Tablet von unterwegs als Fernsteuerung für den Fernseher nutzen, und auf dem Drucker drucken; kann mit dem Rechner auf den gemeinsamen Festplattenrechner zugreifen, zum Beispiel ganz einfach als Laufwerk eingebunden, und überhaupt kann ich alles machen, was ich auch machen könnte, wenn der Rechner über ein echtes Kabel mit dem Router verbunden wäre. Auch wenn ich den Browser auf diesem Unterwegs-Rechner aufmache und im Web surfe, dann surfe ich quasi von zu Hause aus und unter der IP-Adresse, die aktuell meinem Router zugewiesen ist, und nicht unter der Adresse und den Bedingungen des Netzes, mit dem ich tatsächlich verbunden bin.

So funktioniert das übrigens bei manchen dieser Dienste, mit denen man im Web Videos sehen kann, die zum Beispiel nur für die USA freigegeben sind. Man verbindet den Browser über einen amerikanischen VPN-Server, und surft dann unter dessen Adresse. Oder man umgeht die lokalen Zensursperren, indem man sich mit einem ausländischen VPN-Server verbindet. Und wenn man am Flughafen in einem öffentlichen und deshalb unsicheren Netz ist, dann kann man sich auch mit dem VPN-Server zu Hause verbinden und ist ab diesem Zeitpunkt sicher – denn die Verbindung ist ja quasi wie von zu Hause aus und nicht wie vom Flughafen.

Damit man so eine VPN-Verbindung herstellen kann, muss man einen VPN-Client auf dem entfernten Rechner installiert haben, und auf einem anderen Rechner (dem Router im Heimnetz, der nur für diesen Zweck vom Internet aus erreichbar ist) muss ein VPN-Server laufen: Da ist es wieder, unser Client-Server-Prinzip. Viele Router bringen so einen Server schon mit, man muss ihn nur einschalten und konfigurieren. Das mit dem Konfigurieren muss deshalb sein, weil die VPN-Verbindung ja sehr sicher sein muss und deshalb gut verschlüsselt ist. Wenn keine Fehler in der Client- oder Server-Software sind, kann man sich so sicher wie möglich sein, dass die Verbindung nicht abgehört werden kann.

Dann sieht das so aus: Ich verbinde mich unterwegs mit dem Internet. Ich schalte meinen Client an und versuche – passwortgeschützt – mit dem VPN-Server (hier: auf meinem Router) Verbindung aufzunehmen. Wenn der die Verbindung akzeptiert, dann läuft ab diesem Zeitpunkt der Internetverkehr über den VPN-Tunnel zum Server, vom Server zum restlichen Internet, und die Antworten kriege ich wieder über den VPN-Tunnel. Das funktioniert auch auf Tablet und Handy, wobei ich darauf achte, die Zugangsdaten nicht dort zu speichern.

Fußnote: DDNS

Ein Problem gibt es dabei: Wie kriege ich, wenn ich unterwegs bin, die Internet-Adresse meines Routers heraus? Der kriegt ja grundsätzlich alle vierundzwanzig Stunden oder so eine neue Adresse. Ich könnte zu Hause anrufen, jemanden bitten, das Web-Interface vom Router aufzurufen, und mir die IP-Adresse sagen lassen. Das wäre natürlich unpraktisch. Also gibt es einen weiteren Dienst, der DDNS (Dynamic Domain Name System heißt). Ein DDNS-Server im Internet erhält den Auftrag, eine Webadresse – zum Beispiel geheim.domain.de – stets mit der aktuellen Adresse meines Routers zu verbinden. Und mein Router kriegt den Auftrag, seine aktuelle Adresse bei jedem Wechsel der IP-Adresse an diesen DDNS-Server zu melden. So verweist die leicht zu merkende Adresse geheim.domain.de immer auf mein Heimnetz, also den Router.

Ist das sicherheitstechnisch ein Problem? Was könnte passieren? Der DDNS-Server weiß, dass ich aus dem Internet heraus erreichbar sein will, also vermutlich für das Internet auf irgendeine Art (irgendeinen Port, irgendein Protokoll) offen bin. Wenn diese Information missbraucht wird, kann man meinen Router mit Anfragen bombardieren. Eben deshalb ist er immer noch für die meisten Anfragen geschlossen, nur nicht für den Wunsch nach einer VPN-Verbindung. Für die braucht man Benutzername, Passwort, und ein separates Sicherheitszertifikat. Ein Geheimdienst kommt da natürlich heran, weil ein Geheimdienst mit etwas bösem Willen ohnehin an meinen Rechner zu Hause kommt. Aber sonst ist das ziemlich sicher, solange ich das Zertifikat nicht herumliegen lassen.

Für die Zukunft sagen viele ein smart home voraus, das aufgebaut ist so wie hier beschrieben. Nur dass ich über das VPN auch die Heizung und das Licht und die Stereoanlage und sonstwas steuern kann. Im Moment brauche ich das überhaupt nicht, aber schauen wir mal.

— Gut möglich, dass ich hier technisch ein paar Dinge ungenau oder falsch erklärt habe; ich bin ja nur Laie und für Ergänzungen dankbar.

Ergänzungen:

3 Antworten auf „Wie das Heimnetz bei mir zu Hause aussieht (ein Überblick für Einsteiger)“

  1. Schöner Artikel!
    Alles übersichtlich erklärt, auch gut verständlich wie ich finde.

    Nur beim „Smart Home“ möchte ich anmerken dass das für viele nicht die Zukunft ist, sondern bereits die Gegenwart:
    Stromzähler, Kameras, Rolläden, Licht (Nicht nur Lampen sondern einzelne Glühbirnen!), Steckdosen, Kühlschrank, Heizung, Kaffeemaschine etc, alles das gibt es bereits zum ins Netz hängen, und das wird auch schon benutzt.
    Teilweise mit üblen Problemen. Irgendein Server in China labert unverschlüsselt mit meiner Heizung etc…
    Botnetz-Betreiber freuen sich.

    Beispiel, erst kürzlich:
    „Er habe sich für seinen Angriff ein Bot-Netz von rund 150.000 internetfähigen Geräten für einen Zeitraum „gemietet“, darunter auch Kameras, Glühbirnen und Haushaltsgeräte. Drew bestätigte, dass es sich um eine sogenannte Denial-of-Service-Attacke (DDoS) gehandelt habe.“

    Quelle: https://www.heise.de/newsticker/meldung/Frustrierter-PlayStation-Spieler-legte-Teile-des-Internets-lahm-3492276.html

    Gruß
    Aginor

  2. Ja, das gibt es alles schon, ich kenne halt noch niemanden, der das nutzt. Das heißt: Stop, das mit den einzelnen Glühbirnen, damit spielt ein Kollege bereits herum. Bei uns gibt es, ein Fast-Altbau, noch nicht mal eine Steckdose im Bad.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.