Ein Türsteher und Grenzwächter

Aufrufe 5 Mal bewertet mit „Gefällt mir” Kommentare Kommentar
Mag ich anklicken, wenn dieser Ratgeber hilfreich war
Nahezu jede Gemeinschaft überlegt sich irgendwann, ob es sinnvoll ist, den Zugang zu ihr und den Eintritt in sie zu beschränken. Wer soll hinein dürfen, wer genießt welche Privilegien, aber auch - wer darf ungehindert hinaus, was darf er dabei mitnehmen? Wir erleben diese Diskussionen immer wieder und gerade dieser Tage. Ungezügelte Bewegungsfreiheit ist ja gut und schön, hat aber auch so ihre Nachteile. Wer sagt mir denn, ob der Zutritt Begehrende dort nicht eine Bombe im Gepäck hat? Oder der dort Ausreisende, trägt er in seinem Paket vielleicht ausspionierte Geheimnisse nach draußen?

Ich habe nicht wirklich lange überlegt, als ich mir zu dem Thema eine Meinung bilden mußte. Bei mir gibt es so etwas nicht. Wer rein oder raus will (nein, nicht so wie ihr denkt), der hat gefälligst ein Anliegen dafür zu haben. Entweder kann er eine Einladung vorweisen, die ihm den Zutritt erlaubt und die vor seinem Zutrittsbegehren gestellt wurde (sonst könnte sich ja jeder eine solche nachträglich ausstellen) oder er bleibt draußen. Ebenso ist seine Reisefreiheit natürlich eingeschränkt - erlaubt ist es dem Einreisenden nur, sich an eine bestimmte Adresse zu begeben. An der Grenze selbst wird genau darüber Buch geführt, wer wohin unterwegs ist. Das ist allein schon deswegen nötig, weil viele nicht alleine kommen, sondern gleich ganze Horden unterwegs sind - aber alle bitte immer nur zu einem bestimmten Ziel. Sonst würde hier ja das absolute Chaos ausbrechen. Wo käme ich denn hin, wenn jeder einfach so in der Gegend herumscharwenzeln würde. Man käme ja nicht mehr hinterher, festzustellen was denn wo passiert. Vielleicht laufen dann unentdeckt ein paar Saboteure aus Schurkenstaaten herum und vernichten die heile Welt, die ich um mich herum aufgebaut habe.

Bei der Ausreise bin ich etwas freizügiger. Zwar müssen alle Ausreisewilligen sich an der Grenze ausweisen, aber das war's auch schon. Prinzipiell darf jeder erst einmal hinaus - noch. Vielleicht werde ich mir hier die Reisefreiheit auch noch einschränken, aber das hängt davon ab, ob alles sauber läuft oder aber ob mir Unregelmäßigkeiten auffallen. Eine Überwachung gibt es nämlich schon, allerdings findet diese nur von Zeit zu Zeit unangemeldet statt.

Ach so! - ich vergaß das wichtigste fast: Natürlich sind die Schlagbäume nicht rund um die Uhr geöffnet, auch wenn das theoretisch und ohne Mehrkosten möglich wäre.

Manche werde sich über diese Töne wundern, kennt man mich, also Thorsten Behrens, doch als einen die individuelle Freiheit als das höchste Gut schätzenden Menschen. Das ist richtig und auch noch immer gültig. Denn ich rede hier ja nicht primär über die Reisenden, sondern will eigentlich den Grenzwächter und seine Aufgaben vorstellen. Er sorgt nämlich dafür, daß die oben aufgezeigten Rahmenbedingungen eingehalten werden. Er steht genau dort, wo er alle Ein- und Ausreisenden genau im Blick hat. Auf der einen Seite die weite, auf der anderen meine kleine Welt. Die weite Welt des Internets übrigens und meine kleine Welt des eigenen Netzwerkes. Diese besteht zur Zeit aus fünf Rechnern, einem Amiga 3000, zwei Amiga 4000T, einem PC und zeitweise auch einem Notebook.

Prinzipiell hätte ich mich statt für einen Hardwarerouter auch für eine andere Lösung entscheiden können. Einfach einen der Rechner um eine zusätzliche Netzwerkkarte erweitern und diesen Rechner dann als Gateway einsetzen. Da auf meinen Amiga 4000T MiamiDeluxe installiert ist, welches genau das in einfach zu installierender Weise unterstützt, habe ich das auch überlegt. Da aber in dem Rechner kein Slot mehr frei ist, hätte ich auf irgendetwas verzichten müssen. Der Amiga 3000 dient mir hauptsächlich als Spielerechner, d.h. er ist meistens ausgeschaltet. Den PC als Gateway zu benutzen wäre möglich gewesen, aber da ich diesen nicht durchgehend laufen lasse, müßte ich ihn auch immer mit einschalten, wenn ich mit einem der AMigas ins Netz will. Ich habe dann auch noch kurz überlegt, ob ich nicht einfach einen alten 386er oder 486er bei eBay ersteigere und mit einem Linux versehe und diesen dann einsetze. Ich habe mich aber aus zwei Gründen dagegen entschieden: einerseits ist der der erhöhte Platzbedarf gegenüber meiner jetzigen Lösung, zum zweiten der erhöhte Stromverbrauch (ich weiß, daß ich nicht so lange lebe, um die höheren Kosten dadurch wieder reinzuholen, aber ich rede hier auch nicht von der finanziellen Seite - von der Seite aus gesehen, wäre die Anschaffung eines alten Rechners die empfehlenswerte gewesen, denn solche Rechner werden bei eBay für 'n Appel und 'n Ei angeboten).

Ich entschied mich also für einen Hardwarerouter - und zwar für den BEFSR11 von LinkSys. Von diesem Gerät gibt es noch drei größere Brüder, den BEFSR41, den BEFSR81 und den BEFSRU31. Der BEFSR41 besitzt im Unterschied zum BEFSR11 noch einen eingebauten Switch mit 4 Ports, der BEFSR81 einen eingebauten Switch mit 8 Ports und der BEFSRU31 einen Switch mit 3 Ports und einen USB-Anschluß. Da ich bereits einen Switch besitze, benötigte ich diese Funktionalität nicht. Wer aber bisher noch keinen Switch (oder Hub) besitzt und seine Rechner vernetzen will und gleichzeitig allen Rechnern gleichwertig Internetzugang verschaffen will, der sollte einem Router mit eingebautem Switch den Vorzug geben. Statt zweier Geräte (zugegeben, ein Switch nimmt nicht unbedingt viel Platz weg) steht nur eines herum und man benötigt auch nur einen Steckdose.

Der BEFSR11 kommt mit einem Steckernetzteil normaler Spezifikation, die Leistungsaufnahme liegt bei etwa 6W. Das ist in meinen Augen ganz OK. Zusammen mit meinem Switch, der max. 9W Leistungsaufnahme hat, wenn alle Ports belegt sind, benötigt meine Netzinfrastruktur also ca. 15W. Verglichen mit einer Linux-Lösung und eigenem Rechner ist das gering.

Der BEFSR11 ist - wie die anderen Geräte dieser Serie auch - ein Kabel/DSL-Router, d.h. er bietet keine Möglichkeit einen auf ISDN basierten Netzzugang zu ermöglichen. Dafür gibt es andere Router. Dieser hier ist ausgelegt auf einen Zugang zu einem Ethernet basierten Internetzugang, also für die meisten hier Lesenden den DSL-Zugang von T-Online, Arcor oder anderen.

Die Hardware ist schnell installiert. Einfach ein Ethernet-Kabel (im einfachsten Fall das dem DSL-Modem beiliegende) zwischen DSL-Modem und WAN-Port (WAN steht für Wide Area Net, also einfach übersetzt das Internet) stecken sowie ein weiteres Ethernet-Kabel zwischen Hub, Switch oder einen einzelnen Rechner und LAN-Port (LAN steht für Local Area Net, also das lokale Netz) des BEFSR11 stecken. Prinzipiell gibt es bei den Kabeln zwei Dinge zu beachten. Für die WAN-Seite kann man prinzipiell Cat3- oder Cat5-Kabel (Cat steht für Category und kennzeichnet die Spezifikationen, die das Kabel einhalten muß) verwenden, für die LAN-Seite sollte man Cat5-Kabel verwenden. Der Grund ist einfach der, daß Cat5-Kabel für ein 100Mbit-Netz spezifiziert sind, alle anderen Kabel sind das nicht. Wer also in seinem Netz auch 100Mbit Verbindungen ermöglichen will, der sollte bei Kabeln und Switches/Hubs darauf achten, daß diese das auch unterstützen. Dann gibt es alle Ethernet-Kabel noch in zwei Ausführungen, entweder als Straight-Line oder als Crossover-Kabel. Bei der direkten Verkabelung nur eines Rechners mit dem BEFSR11 (oder zweier Rechner untereinander) kommt man mit einem Crossover-Kabel hin. In diesem Fall benötigt man auch weder einen Switch noch einen Hub. Wer hingegen mehr Rechner vernetzen will, der benötigt einerseits einen Hub oder Switch und dann auch zwingend Straight-Line-Kabel (diese werden auch als Patch-Kabel bezeichnet und sind die Standardkabel, die man als Ethernet-Kabel kaufen kann - wer Crossover-Kabel benötigt, der sollte dies beim Kauf immer ausdrücklich betonen). Der BEFSR11 besitzt auf der Rückseite einen kleinen Schalter, mit dem man den LAN-Port so einstellen kann, daß er beide Kabeltypen akzeptiert. Wer sich hier nicht sicher ist, der kann einfach beide Schalterstellungen ausprobieren - eine davon ist dann die richtige. Dabei kann nichts kaputt gehen; man erhält entweder eine Verbindung oder aber nicht.

Angenommen, man hat die Geräte miteinander verkabelt, so geht es an das Einrichten des Routers. Da der Router dasjenige Gerät ist, welches die Vermittlung zwischen dem lokalen Netz und dem ISP (Internet Service Provider) vornimmt, ist es auch das Gerät im Netz, welches die Einstellungen zur "Einwahl" beim ISP (z.B. T-Online) wissen muß.

Die Grundinstallation ist dabei denkbar einfach. Ich setze jetzt einmal voraus, daß auf dem Rechner, mit dem die Installation vorgenommen wird, bereits ein TCP/IP-Stack installiert ist. Bei allen UNIX-/Linux-System ist das normalerweise der Fall. Bei Verwendung von Windows95 muß ein TCP/IP-Stack im Normalfall nachinstalliert werden, bei allen anderen Windows-Versionen wird das normalerweise automatisch instaliert, sofern eine Netzwerkkarte gefunden wird. Unter AmigaOS bietet sich die Verwendung von Miami an.

So, aber weiter zur Basisinstallation. Einfach den persönlich bevorzugten Browser öffnen und dann als URL http://192.168.1.1/ eingeben. Schon meldet sich der BEFSR11 mit seinem Setup-Screen, wobei allerdings zuerst ein Login mit Passwort erfolgen muß. Die Standardeinstellung für Loginkennung und Passwort ist ein leerer Username und als Passwort "admin" (dieses kann und sollte auf einer der folgenden Einstellungsseiten auch sofort geändert werden!!!). Die komplette Installation kann jetzt über den Browser erfolgen. Wer in diesem Schritt keinen Login-Aufforderung zu sehen bekommt sondern stattdessen einen Timeout seines Browser sieht, der sollte einmal die Verkabelung überprüfen (eventuell den Schalter auf der Rückseite des BEFSR11 von Straight-Line auf Crossover umlegen oder ein anderes Kabel verwenden).

Die Basiseinstellungen auf der ersten Seite beinhalten allgemeinere Sachen. Für den Einsatz in Verbindung mit T-Online sind hier unter anderem PPPoE (PPP over Ethernet - das ist das von T-Online verwendete Protokoll) einzuschalten sowie in die Felder darunter die Loginkennung und das Passwort bei T-Online einzutragen. Die Loginkennung ist dabei die Kombination von T-Online-Nummer, Anschlußkennung und Mitbenutzernummer (0001 und nicht wie auf dem Schreiben von T-Online angegeben 0000) sowie dem String "@t-online.de" (ohne die Anführungszeichen). Das Passwort kann dem Schreiben von T-Online entnommen werden (oder man hat es bereits geändert und sollte es dann wissen). Wer möchte kann darüber hinaus einstellen, daß der Router die Verbindung ins Internet bei Bedarf aufbaut oder aber immer aufgebaut hält. Wer einen ISP verwendet, der eine statische IP-Adresse verteilt (in dem Fall ist höchstwahrscheinlich auch noch der zu verwendende Domainname einzutragen), der kann diese auf dieser Seite ebenfalls eintragen. Das ist aber bei T-Online nicht der Fall, denn hier wird die IP-Adresse des eigenen Netzes, die nach außen hin sichtbar ist, bei jeder Einwahl dynamisch vergeben. Das waren dann aber auch schon die hier vorzunehmenden Einstellungen, die man mit "Apply" abspeichert.

Auf der ersten Seite kann man auch den IP-Adressraum für das lokale Netz bestimmen. Standardmäßig ist das auf 192.168.1.x eingestellt. Deshalb ist die Router-Konfiguration auch über die Eingabe dieser Adresse im Browserfenster erreichbar. Der BEFSR11 kann prinzipiell ein Subnetz mit 253 verschiedenen Adressen verwenden, d.h. in einem Netz, welches den BEFSR11 als Internet-Gateway verwendet, dürfen sich 253 verschiedene Rechner befinden. Das sollte für die üblichen Netzwerke zuhause oder in kleineren Firmen ausreichen. Ändert man hier übrigens die Einstellungen, weil man z.B. lieber eine anderen lokale Netzwerkadresse verwenden will (der Bereich 192.168.x.y) ist übrigens für lokale Netze vorgesehen, d.h. diese Adressen werden prinzipiell von keinem Router ins WAN weitergeleitet, so kann man dies tun. Die weiteren Einstellungen (z.B. der DHCP-Adressbereich) auf weiteren Seiten werden automatisch angepaßt). Das empfinde ich als sehr durchdacht, denn es verhindert eine versehentliche Fehlkonfiguration.

A propos DHCP. Der BEFSR11 kann als DHCP-Server dienen. Das bedeutet, daß man die Adressen der einzelnen Rechner nicht mehr selbst manuell verwalten muß, sondern daß der BEFSR11 jedem Rechner eine IP-Adresse zuteilt. Dazu muß der Rechner natürlich eine solche Adresse via DHCP (Dynamic Host Configuration Protocol) anfordern, was aber alle TCP/IP-Stacks unterstützen sollten. Die Einstellungen dafür kann man beim BEFSR11 auf der Konfigurationsseite DHCP vornehmen. Diese beschränken sich aber auf die Eingabe der Anzahl der Rechner, die eine Adresse anfordern könnten. Der Adressbereich der vom BEFSR11 vergebenen Adressen richtet sich nach der Basisadresse, die man auf der ersten Konfigurationsseite eingestellt hat.

Der BEFSR11 besitzt einen eingebauten Speicher, indem er die aktuellen Einstellungen ablegt. Das sorgt bei einem Stromausfall dafür, daß man nicht alles neu eintippen muß. Auf der Rückseite des BEFSR11 befindet sich ein kleiner Resetknopf, den man mit einem Kugelschreiber betätigen kann, um alle vorgenommenen Einstellungen auf die Werkseinstellungen zurückzusetzen. Hat man alle Einstellungen vorgenommen, dann sorgt dies jetzt dafür, daß das Tor ins Internet für die lokalen Rechner offen ist - oder auch geschlossen, je nachdem, welche Politik man verfolgt.

Danach kann man mal auf der Konfigurationseite "Status" nachsehen. Hat man eine automatische Einwahl ins Internet bei Bedarf eingestellt oder soll der BEFSR11 immer online sein, dann findet man hier die aktuellen Einstellungen, also z.B. die dem lokalen Netz zugeteilte IP-Adresse, die von außen sichtbar ist, die Adresse des DNS von T-Online, ob man online oder offline ist etc. Hier, wie auch auf der Seite mit den Basiseinstellungen findet sich auch die Firmware-Version. Ein Update der Firmware kann von der Homepage von LinkSys unter http://www.linksys.com bezogen werden (momentan ist die Version 1.36 aktuell).

Auf weiteren Seiten können dann noch Filterregeln (sollen bestimmte Rechner des lokalen Netzes keinen Zugang erhalten; sollen bestimmte Ports blockiert werden; sollen Pings von außen blockiert werden), Forwarding (laufen auf Rechnern des lokalen Netzes bestimmte Dienste, die von außen erreichbar sein sollen, z.B. Server), Routing information etc. vorgenommen werden. Diese möchte ich hier nicht im einzelnen diskutieren. Wer dazu Fragen hat, der kann einfach nachfragen. Ich werde dann entweder in Kommentaren, Updates oder privater eMail antworten.

So, was fehlt noch? Ach ja, ein paar Details für diejenigen, die an einem solchen Gerät jetzt ebenfalls interessiert sind. Der BEFSR11 ist klein und handlich und läßt sich mit Ausmaßen von 14*5*24 cm (B*H*T) so ziemlich überall unterbringen. Das Gewicht ist vernachlässigbar.

Vom Design her finde ich das Gerät recht gelungen. Es ist in einem Blau mit dunklen Grautönen gehalten und steht auf vier kleinen Beinchen. An der Vorderseite finden sich 6 LEDS, je drei für LAN und WAN, die den Betriebszustand anzeigen. Auf der Rückseite finden sich Anschlüsse für die beiden Netzwerkkabel und die Stromzufuhr. Einzig das Netzteil ist recht klobig, was aber zu verschjmerzen ist, da so etwas ja meistens irgendwo unter Schränken verschwindet.

Auf der Homepage von LinkSys kann man sich registrieren lassen. In dem Fall wird man einerseits sicherlich Produktinformation (auch Werbung genannt) erhalten, andererseits aber auch evtl. interessante Nachrichten (Treiberupdates etc.) sowie Support. Dazu kann ich aber noch nichts aussagen, da ich bisher noch keinen Support benötigt habe. Wozu auch, wäre doch ansonsten meine Ausbildung schlecht gewesen ;-)
Möchten Sie Ihr Wissen weitergeben? Erstellen Sie Ihren eigenen Ratgeber… Verfassen Sie einen Ratgeber
Weitere Ratgeber erkunden