Unsere Rechner zu Hause sind über einen Router mit dem Internet verbunden. Über diesen kann ich von meinem Laptop Inhalte aus dem Internet abrufen. Was aber wenn ich den Weg anders herum wähle, wie greife ich aus dem Internet auf meinen Server (beispielsweise das NAS oder den HTPC) zu? Dieser Artikel erklärt wie man den den Router konfigurieren muss um vom Internet auf das Heimnetz zugreifen zu können.
Einleitung
Für die Netzwerk- Unbedarften zunächst einige Erklärungen zum Verständnis vorab:
Der Datentransport in einem Netzwerk funktioniert über IP- Adressen und Ports, vergleichbar mit einer Telefonnummer (IP- Adresse) und einer Durchwahl (Port). Wenn der Rechner Anton Daten an Rechner Berta schicken will, so kontaktiert Anton zunächst die Auskunft (DNS Server) und erfragt die Nummer (IP- Adresse) von Berta. Anton kontaktiert nun Berta über diese (IP-) Nummer und zwar je nachdem auf einem anderen Port. Dies ist abhängig von der Art der zu übertragenden Daten. Für Webseiten wird zum Beispiel der Port 80 benutzt, für verschlüsselte Webseiten der Port 443. Eine Übersicht welche Ports ("Durchwahlen") für welche Dienste vorgesehen sind finden Sie hier. Wenn also Berta Daten auf der "Durchwahl" 80 erhält, weiß Berta "es sind Daten einer Webseite" und kann sie entsprechend verarbeiten.
Kurze Begriffsklärung:
- Internet... ist jedem sicherlich klar
- Intranet bezeichnet unser Netzwerk zu Hause (auch LAN = "local area network")
Jetzt gehen wir einen Schritt weiter: Man unterscheidet einen öffentlichen und einen privaten IP Adressraum (bei IPv4). Der Router am DSL Anschluss liefert nach außen ins Internet eine "öffentliche IP". Sämtliche Geräte innerhalb des Intranets (LAN) erhalten hingegen nur eine private IP Adresse. Rufen wir nun von unserem Laptop aus dem LAN eine Webseite im Internet auf, so erhält der Webserver als Absenderadresse der Anfrage die öffentliche IP Adresse unseres Routers (denn nur öffentliche IP Adresse können vom Internet aus angesprochen werden). An diese öffentliche IP schickt der Webserver die angefragten Daten der Webseite...wie wir gelernt haben auf dem Port 80. Diese Daten kommen bei dem Router an, dieser wiederum weiß noch von welcher internen IP die ursprüngliche Anfrage kam und leitet diese automatisch weiter. Diesen Vorgang nennt man Network Adress Translation (NAT).
Wenn wir einen Dienst (bspw. einen Webserver) innerhalb unseres Intranetzes bereit stellen so ergibt sich beim Zugriff aus dem Internet folgendes Problem: Die interne IP Adresse des Webservers bleibt intern und ist nur aus dem gleichen Intranet erreichbar, von außen erreichen wir nur die IP- Adresse des Routers. Bei einer Anfrage an diese öffentliche Routeradresse auf Port 80 (=Webserver) passiert aber erst einmal... gar nichts! Denn der Router kann nicht wissen, an welche interne IP er diese Anfrage weiterleiten soll. Wir müssen dem Router also beibringen, wie er auf eine Anfrage auf bspw. Port 80 reagieren soll... also wohin die Anfrage weiter geleitet werden soll. Diesen Vorgang nennt man "Port forwarding". Wie das genau geht (so schwierig ist es nicht), erkläre ich in diesem Artikel.
Ein weiteres Problem ergibt sich bei der IP- Adresse das Routers: A) Sich eine lange Zahl zu merken fällt dem Menschen schwer und B) wechselt diese auch noch regelmäßig. Da es mittlerweile zu wenig IP- (IPv4) Adressen gibt weisen die DSL Anbieter den eingewählten Routern dynamisch (in der Regel nach 24 Stunden) eine neue IP- Nummer zu. Vergleichbar mit einem Ort, in dem es zu wenig Telefonnummern gibt und jeder Telefonanschluss immer eine neue, freie Nummer zugeteilt bekommt. Will man jemanden erreichen muss man zuerst die Vergabestelle (DNS) kontaktieren und erfährt dort die aktuell zugehörige Nummer.
Den eigenen Router und den dahinter verknüpften Webserver über die IP- Adresse zu erreichen fällt also sehr schwer.
Wir behelfen uns daher eines Tricks: Wir überlegen uns einen Namen für unseren Webserver und registrieren diesen bei einem besonderem Dienst, dem dynamischen DNS Dienst. Dann beauftragen wir unseren Router sich bei jedem neuen Kontakt (=neue IP- Adresse) des Internets zuerst bei diesem dynamischen DNS Dienst (dyn- DNS) zu melden und seine aktuelle IP- Nummer mit zu teilen. Merken brauchen wir uns jetzt nur noch den von uns vergebenen Namen. Wenn wir diesen Namen im Webbrowser aufrufen kontaktieren wir zunächst den Dyn-DNS Dienst. Dieser kennt ja die aktuelle IP unseres Routers und kann unsere Daten dorthin umleiten... voilá! Auch wie das am besten zu realisieren ist wird in diesem Beitrag Schritt für Schritt erklärt.
Anmerkung: Dies funktioniert auch für die neuen (IPv6) Adressen, jedoch nicht wenn diese als DS-Lite Adressen vom Provider vergeben werden, wie dies beispielsweise bei privaten DSL Anschlüssen von Unitymedia der Fall ist. Bei DS-Lite gibt es (derzeit) keine Möglichkeit des Zugriffs von Seiten des Internets!
Dynamisches DNS
Hier eine Schritt für Schritt Anleitung um einen dynamischen DNS Dienst zu nutzen. Als Beispiel dient die Fritz!Box, das Vorgehen ist analog zu anderen Routermodellen. ...und frei nach Dougals Adams, "don´t panic", die Einrichtung ist ganz einfach:
Zunächst müssen wir uns bei einem DynDNS Anbieter einen Account anlegen. Empfehlen kann ich den deutschen Selfhost.de. Hier bekommt man eine DNS Weiterleitung kostenfrei. Dort suchen wir uns einen Domainnamen aus und registrieren diesen. Merken müssen wir uns die Logindaten. Jetzt loggen wir uns in unserem Router ein. In der Fritz!Box finden wir die Einstellungen unter "Internet" ►"Freigaben" ►"Dnamic DNS". Dort wählen wir als Dynamic DNS- Anbieter logischer Weise "selfhost.de" aus und tragen unseren Domainnamen und die Logindaten des Selfhost- Accounts (den wir grade erstellt haben) ein. "Übernehmen" klicken nicht vergessen und das wars!
Jetzt können wir den Router unter unserem Domainnamen erreichen. Allerdings wird in diesem Stadium noch nicht viel passieren, denn die Fritz!Box blockt vom Werk aus zunächst alle Anfragen ab. Wenn wir innerhalb unseren Intranetzes einen Dienst für das Internet zugänglich machen wollen, so benötigen wir wie beschrieben noch die Portweiterleitung.
Port Forwarding
Hier eine Schritt für Schritt Anleitung um Ports am Router umzuleiten. Als Beispiel dient die Fritz!Box, das Vorgehen ist analog zu anderen Routermodellen. Die Fritz!Box benötigt mindestens eine Firmware ab Version xx.03.87 (ggf. also vorher ein Update der Firmware durchführen, was man sowieso regelmäßig machen sollte). Für alle Portfreigaben gilt, dass Sie zunächst in der FRITZ!Box die Expertenansicht aktivieren müssen:
- Rufen Sie die Benutzeroberfläche der FRITZ!Box in Ihrem Internetbrowser auf.
- Wählen Sie im Menü "Einstellungen / (Erweiterte Einstellungen /) System / Ansicht".
- Wählen Sie die Option "Expertenansicht aktivieren" und klicken Sie auf "Übernehmen".
Anschließend gehts in der Fritz!Box unter "Internet" ►"Freigaben" ►"Portfreigaben" zu den Einstellungen.
Hier klicken wir auf "neue Portfreigabe" und bekommen folgendes Fenster:
Wir nehmen nun die folgenden Einstellungen vor:
- Im Ausklappmenü "Portfreigabe aktiv für:" wählen Sie den Eintrag "Andere Anwendungen" aus.
- Unter "Bezeichnung" tragen Sie einen beliebigen Namen ein
- Als Protokoll für eine Weiterleitung zu einem Webserver wählen Sie dann "TCP"
- Eine https- Verbindung kommt auf Port 443 an ("von Port"), für eine (unverschlüsselte) http- Verbindung müsste als Port hier eine 80 stehen.
- Im Ausklappmenü "an Computer" wählen Sie den Rechner (bspw. Ihr NAS) aus, auf den die Anfrage weiter geleitet werden soll, die dazugehörige IP- Adresse wird automatisch eingetragen
- "an Port" bezeichnet an welchen Port die Anfrage weiter geleitet werden soll, in unserem Fall auch Port 443, die https- Verbindung (80 für http).
- Das Ganze speichern und fertig!
Das war es schon! Sie haben erfolgreich ein Portforwarding etabliert!
Zusammenfassend sei noch einmal erklärt...:
Sie haben Ihren Router bei einem dynamischen DNS Dienst angemeldet, damit er unter einer leicht zu merkenden, immer identischen Adresse aus dem Internet ansprechbar ist. In Ihrem Intranet befindet sich ein Webserver auf welchen Sie zugreifen möchten. Dies ist zum Beispiel auf Ihrem NAS eine Nextloud InstanzNextloud Instanz. Mittels Portforwarding haben Sie nun eine Anfrage aus dem Internet über https auf den internen Webserver umgeleitet und können so von überall auf Ihre heimischen Daten zugreifen.