Tech

Portfreigaben: So klappt der Zugriff auf Router & Heimnetz







Portfreigaben einrichten – das hört man oft, doch was bedeutet es eigentlich? Und warum wird es erforderlich?

Selbst viele Heimnetz-Profis haben Respekt vor dem Thema Portfreigaben und Portweiterleitungen – aber nicht, weil es schwierig um- zusetzen ist. Sondern weil es paradox erscheint: Ihr Router beziehungsweise seine Firewall schützen das Heimnetz, indem sie alle Zugriffe von außen blockieren – außer, es handelt sich um Antworten auf eine Anfrage aus dem Heimnetz. Und jetzt sollen Sie diesen Schutz schwächen, indem Sie im Router Ports öffnen?

Doch es gibt viele gute Gründe für Portfreigaben: Sie erleichtern sich damit die Verwaltung des Heimnetzes, können schnell auf Netz- werkgefahren reagieren oder erst dadurch problemlos bestimmte Programme und Spiele nutzen. Wenn Sie umsichtig vorgehen, grundlegende Sicherheitsmaßnahmen ergreifen und sich regelmäßig einen Überblick über wichtige Einstellungen verschaffen, reduzieren Sie das Risiko so weit, dass der Nutzen eindeutig überwiegt. Wir zeigen ausführlich, wann eine Portweiterleitung sinnvoll ist, wie Sie sie korrekt an Router und Rechner einstellen, und welche Alternativen es dafür gibt.

Grundlagen: Darum brauchen Sie Portfreigaben

Üblicherweise startet immer das Heimnetz die Kommunikation mit dem Internet: Der PC fordert eine Webseite an, das Smartphone ein Video. Der Router als Verbindung zwischen Heimnetz und Internet merkt sich dabei, von welchem Gerät diese Anfrage kommt. Bekommt er eine Antwort aus dem Internet, zum Beispiel die Inhalte der Seite oder die Bilddaten des Videos, leitet er sie an das entsprechende Gerät weiter.

Diese Vermittlerrolle des Routers hat einen technischen Grund: Nur er ist aus dem Internet überhaupt erreichbar, weil er eine öffentliche IP-Adresse hat. Alle Geräte im Heimnetz dagegen besitzen eine private IP-Adresse, die sie vom Router bekommen haben, und sind deswegen im Internet unsichtbar. Schickt ein Rechner aus dem Heimnetz Datenpakete ins Internet, tauscht der Router mittels NAT (Network Address Translation) dessen private IP-Adresse gegen seine öffentliche IP-Adresse aus, damit ihn die Antwort erreichen kann. Wenn er sie erhalten hat, macht er diesen Vorgang rückgängig – das Datenpaket erhält wieder die private IP-Adresse des Heimnetzgerätes. Dieses Verfahren ist bei der IPv4-Adressierung notwendig, weil es zu wenig öffentliche IP-Adressen für alle Geräte gibt. Mit IPv6 funktioniert es etwas anders – wie genau, lesen Sie am Ende des im Artikels.

Kommen dagegen Datenpakete aus dem Internet beim Router an, für die er keine Anfrage aus dem Heimnetz vorliegen hat, verwirft er sie – er weiß ja nicht, wohin er sie weiterleiten soll. So trägt NAT zum Schutz des Heimnetzes bei, denn ein unangeforderten Datenpaket könnte von einem Angreifer kommen.

Neben der IP-Adresse merkt sich der Router auch den Port, über den das Heimnetzgerät die Anfrage versendet hat. Damit weiß er, welche Daten er als Antwort aus dem Internet erwarten kann, denn vielen Portnummern sind bestimme Dienste, Protokolle oder Programme zugeordnet. Auf dem Heimnetzgerät wiederum wartet die Anwendung, die die Anfrage geschickt hat, am entsprechenden Port auf die zurückkommenden Datenpakete. Wofür die wichtigsten Portnummern stehen, sehen Sie unten in der Tabelle.

Manchmal ist es aber notwendig, dass ein Datenpaket ins Heimnetz gelangt, obwohl dort niemand darauf wartet: Wenn Sie etwa vom Büro aus auf einen PC im Heimnetz zugreifen wollen, weil dort ein wichtiges Dokument liegt. Oder wenn Sie unterwegs Freunden Fotos zeigen wollen, die Sie auf Ihrem NAS gespeichert haben. Auch der Zugriff auf die heimische IP-Kamera, um zu checken, was das Haustier gerade macht, ist eine Anfrage von außen. Und wer daheim einen Mail-, Datei- oder Spieleserver betreibt, muss unaufgeforderte Anfragen aus dem Internet zulassen können. Gleiches gilt für viele Onlinespiele oder Downloads über ein Peer-to-Peer-Netzwerk.

Hier kommt die Portweiterleitung ins Spiel: Damit weisen Sie den Router an, alle Datenpakete, die bei ihm an einem festgelegten Port eintreffen, an ein bestimmtes Heimnetzgerät weiterzuleiten. So können Sie den PC, das NAS oder die IP-Kamera zu Hause von überall aus erreichen.

Geräte aus dem Heimnetz lassen sich nicht direkt aus dem Internet erreichen, da sie nur lokale IP-Adressen haben. Mit einer Portfreigabe klappt das aber trotzdem. Sie sollte aber gut konfiguriert sein.

Vergrößern

Geräte aus dem Heimnetz lassen sich nicht direkt aus dem Internet erreichen, da sie nur lokale IP-Adressen haben. Mit einer Portfreigabe klappt das aber trotzdem. Sie sollte aber gut konfiguriert sein.

So sind sie geschützt: Freigaben ohne Risiko nutzen

Mit einer Portweiterleitung öffnen Sie ein kleines Loch in der Schutzmauer des Routers um das Heimnetz. Das erhöht grundsätzlich die Gefahr, dass Angreifer einen Weg in Ihr Netzwerk finden. Dahinter stecken meist keine Profi-Hacker, sondern automatisierte Portscans: Deshalb können Sie mit einigen grundsätzlichen Sicherheitsmaßnahmen das Netzwerk umfassend schützen, damit diese Attacken ins Leere laufen.

Verschlüsselte Protokolle verwenden:

Achten Sie darauf, dass Sie ein sicheres Übertragungsprotokoll verwenden, wenn Sie über eine Portweiterleitung auf das Heimnetz zugreifen. Das sollte HTTPS sein, wenn Sie zum Beispiel auf die Menüoberfläche Ihres NAS gehen, SSH für die Anmeldung am Heimserver oder SFTP für die Dateiübertragung. Damit schützen Sie die Inhalte, die bei der Verbindung ins Heimnetz übermittelt werden, zum Beispiel Passwörter.

Nutzen Sie eine sichere Übertragungstechnik:

Nur per LAN oder in einem geschützten WLAN sollten Sie mit dem Heimnetz kommunizieren. Offene, öffentliche WLANs sind dafür tabu, wenn Sie dabei nicht auf eine VPN-Verbindung setzen.

Setzen Sie starke Passwörter:

Ermöglicht die Portweiterleitung den Zugriff auf eine Bedienungsoberfläche, zum Beispiel für ein NAS, eine IP-Kamera oder den eigenen Server, müssen Sie die Anmeldung mit einem starken und nicht erratbaren Passwort schützen.

Immer aktuelle Updates einspielen:

Bei einer Portweiterleitung können Angreifer Sicherheitslücken ausnutzen, die Geräte, Programme oder Dienste bieten, die Sie im Heimnetz ansprechen wollen. Deshalb sollten Sie immer aktuelle Firmware- und Programmversionen der beteiligten Hard- und Software installiert haben. Gleiches gilt natürlich für den lokalen Malware-Schutz auf den Geräten.

Öffnen Sie nur notwendige Ports:

Um Missbrauch zu verhindern, sollten Sie immer wissen, welche Ports im Router offen sind. Dabei hilft, gewünschte Ports nur manuell zu öffnen und weitgehend auf Automatismen wie UPnP zu verzichten und Geräten nicht die Erlaubnis zu geben, Ports selbstständig zu öffnen. Bei manchen Programmen geht es allerdings nicht anders: Deshalb prüfen Sie am besten regelmäßig im Routermenü oder mit einem externen Portscanner, welche der Ports offen sind.

Alternativen zur Portfreigabe

Ist Ihnen das Risiko einer Portfreigabe trotz aller Schutzmaßnahmen zu hoch, können Sie ein Heimnetzgerät auch auf anderen Wegen erreichen.

VPN-Verbindung:

Diese Methode ist sehr sicher. Denn das Gerät, von dem Sie über das Internet ins Heimnetz kommen, ist logischer Teil dieses Netzwerks und erhält eine IP-Adresse vom Heimrouter. Eine Portfreigabe ist überflüssig – Sie greifen auf NAS & Co. so zu, als wären Sie zu Hause. Am bequemsten lässt sich eine VPN-Verbindung einrichten, wenn Ihr Router als VPN-Server arbeitet. Das ist zum Beispiel bei der Fritzbox, aber auch vielen Modellen anderer Hersteller wie Asus, TP-Link und Netgear der Fall, die anders als die Fritzbox dafür meist auf OpenVPN setzen.

Herstellerdienst:

Besonders NAS-Anbieter erleichtern den Zugriff von außen auf das Speichersystem im Heimnetz mithilfe passender Programme und Dienste – bei Synology zum Beispiel mit Quick Connect oder MyQNAPcloud von QNAP. Sie arbeiten ähnlich wie Programme für den direkten Zugriff auf einen PC – etwa Teamviewer – und machen Portfreigaben überflüssig. Dazu aktivieren Sie den Dienst auf dem NAS und erstellen eine eindeutige ID für das Gerät. Diese Angaben schickt das System an den Server des Herstellers, der dadurch die IP-Adresse und den Port erfährt, über die sich das NAS erreichen lässt. Wenn Sie aus dem Internet mittels der ID auf das NAS kommen wollen, bekommt der Server auch vom zugreifenden Rechner diese Informationen. Er gibt sie jeweils an die andere Seite weiter, sodass NAS und Rechner eine direkte Verbindung aufbauen können. Klappt das nicht, springt der Server als Relay-Dienst ein und leitet die Daten von der einen an die andere Seite weiter.

Portfreigaben mit IPv6

Eigentlich sollte der Zugriff auf Heimnetzgeräte mit IPv6 einfacher funktionieren: Denn damit hat wirklich jedes Gerät eine eindeutige IP-Adresse, die sich direkt aus dem Internet erreichen lässt. Doch dabei gibt es mehrere Probleme: Der Zugriff gelingt nur, wenn die Verbindung durchgängig auf IPv6 basiert – nicht nur das Heimnetzgerät und Ihr Router müssen IPv6 unterstützen und eine entsprechende Adresse haben. Auch das Gerät, von dem aus Sie den Fernzugriff durchführen, muss per IPv6 angebunden sein. Ob das der Fall ist, können Sie mit der Webadresse

test-ipv6.com
testen. Meistens wird das aber nicht der Fall sein – lediglich im Mobilfunknetz der Telekom und teilweise bei Vodafone bekommen Sie eine IPv6-Adresse. Vor diesem Problem stehen zum Beispiel Nutzer, deren Router zu Hause per DS-Lite ans Internet angebunden ist: Damit lassen sich aus dem Heimnetz zwar auch Webangebote mit IPv4 nutzen. Der Zugriff von außen aufs Heimnetz funktioniert dagegen nur mit IPv6.

Außerdem bleiben auch bei IPv6 die Adressen der einzelnen Geräte nicht immer gleich: Bisweilen ändert sich bei einer Neueinwahl der vordere Teil der IPv6-Adresse – das sogenannte Präfix. Um zuverlässig ein Heimnetzgerät zu erreichen, sollten Sie daher auch bei IPv6 einen DynDNS-Dienst nutzen, der aber die neue Adressierung unterstützen muss.

Das ist zum Beispiel bei Myfritz von AVM der Fall:

Mit einer Fritzbox können Sie also wie gewohnt Portfreigaben für den Zugriff aus dem Internet einrichten. Gehen Sie dazu wie beschrieben vor, wählen Sie aber bei der Freigabe den Eintrag „IPv6“. Anschließend markieren Sie das betreffende Heimnetzgerät, das Protokoll sowie den Port oder die Ports, auf die der Zugriff von außen erfolgen soll.

Portnummer

Dienst

Einsatzzweck

20

FTP

Datenübertragung

21

FTP

Verbindungsaufbau

22

SSH für sichere Fernwartung

Sichere Fernwartung

25

SMTP

E-Mail-Übertragung

53

DNS

Abfragen von IP-und Webadressen

80

HTTP

Datenübertragung, z.B. per Browser

123

NTP

Zeitsynchronisierung

143

IMAP

E-Mail-Übertragung

443

HTTPS

Verschlüsselte Datenübertragung im Internet

853

DNS over TLS

Verschlüsselte DNS-Abfragen

989

FTPS

Verschlüsselte Datenübertragung

990

FTPS

Verschlüsselter Verbindungsaufbau

1194

OpenVPN

VPN-Verbindung

1293

IPSec

VPN-Verbindung

5060

SIP

Internettelefonie

Mehr zum Thema:

Portfreigaben einrichten bei Fritzbox & Speedport & Co.

Typische Probleme mit Portfreigaben lösen

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button