Arbeiten in zwei Netzen

604_0_zwei-routerZwei Internetzugänge sind im Hinblick auf Ausfallsicherheit eine feine Sache. Dann hat man aber auch zwei Router und zwei lokale Netze an der Backe – mit allerlei Chancen und logischen Problemen.

Dieser Beitrag bespricht ganz klar ein Minderheitenthema: Die Luxusprobleme, die sich mit zwei Internetzugängen, zwei Routern und zwei lokalen Netzen ergeben, dürften in privaten Haushalten und Home-Office-Umgebungen die große Ausnahme sein. Wer allerdings beruflich auf ein funktionierendes Internet angewiesen ist, wird über ein günstiges Fallback-Internet zumindest schon mal nachgedacht haben – insbesondere in Situationen, wo sich der aktuelle Provider mal wieder eine Auszeit nahm.

Hier geht es ausschließlich um die logische Organisation und praktikables Arbeiten mit zwei Netzen, nicht um Bandbreitenoptimierung und Load Balancing mit speziellen Dual-WAN-Routern. Einen Beitrag zu diesem Thema finden Sie auf pcwelt.de unter http://goo.gl/xNQNI8.

Zweites Netz als pures Backup-Netz

Das einfachste Szenario ist ein Entweder-Oder, wobei das zweite Netz als reine Fallback-Aushilfe dient, wenn das primäre ausfällt. Damit geht man allen organisatorischen Problemen aus dem Weg. Etwas Planung ist aber sogar hier zu empfehlen: Damit der sekundäre Router im Ernstfall sofort sämtliche Geräte versorgen kann, sollte er nach einer einzigen Kabelverbindung an einem Switch zum Netzwerk-Chef werden. Theoretisch kann der zweite Router sogar dauerhaft am Switch verbunden bleiben, sofern man ihn prinzipiell nur dann einschaltet, wenn vorher der primäre Router abgeschaltet wurde.

Bei dieser konsequent einfachen Konstellation ist es komfortabel, wenn beide Router eine identische Konfiguration aufweisen, also mit der gleichen Router-IP und den gleichen festen IP-Adressen für die Netzgeräte. Die Router-IP und damit den Adressraum für das lokale Netz können Sie etwa bei Fritzboxen unter „Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IP-Adressen“ vorgeben. Feste IPs für Geräte (sofern nötig) sind unter „Heimnetz -> Netzwerk -> Geräte und Benutzer -> Gerät hinzufügen“ einzustellen. Bei sehr ähnlichen Routern desselben Herstellers kann sogar der Import aller Einstellungen über eine Datei gelingen. Eine identische Konfiguration der beiden Router hat den großen Vorteil, dass man Konfigurations-Backends, Web-Server, Intranet-Wikis, Freigabenallesamt mit der gleichen IP sowie Browser-Lesezeichen und Dateimanager-Lesezeichen erreicht – egal, welches Netz gerade läuft.

Zweites Netz im Parallelbetrieb

Das Fallback-Netz über Wochen oder Monate brachliegen zu lassen, ist oft zu schade. Es eröffnet Möglichkeiten, das Gesamtnetzwerk in privilegierte und nicht privilegierte Bereiche zu trennen. Auch die sicherheitskritische Öffnung für das Internet über Portfreigaben, ist risikoloser, wenn sie in einem sekundären Netz stattfindet, das nicht viel Sensibles zu bieten hat. Das prinzipbedingte Problem beim Parallelbetrieb ist aber, dass am Ende für den Gesamtbetrieb wieder beide Netze unentbehrlich werden und beim Ausfall eines Netzes erheblicher Konfigurationsaufwand anfällt. Daher: Keep it simple!

Für einen Parallelbetrieb gibt es diverse Spielarten. Am einfachsten sind zwei getrennte Netze, etwa eines für Ethernet und eines für WLAN, oder eines für private und eines für berufliche Zwecke. Sobald ein Datenaustausch zwischen den Netzen möglich sein soll, gelten einige Grundregeln:

1. Die beiden Router benötigen unbedingt verschiedene IP-Adressen, etwa 192.168.1.1 und 192.168.178.1, womit die resultierenden Netze ebenfalls unterschiedliche Adressbereiche erhalten.

2. Jedes Gerät, das zwei Netzwerkadapter mitbringt (etwa Ethernet und WLAN), kann sich mit beiden Netzen verbinden – also etwa auf Freigaben im Netz 1 wie auch im Netz 2 zugreifen. Die beiden Adapter eines solchen Clients sollten aber so konfiguriert werden, dass der Rechner standardmäßig nur über ein bestimmtes Gateway ins Internet geht (vorzugsweise über das schnellere). Bleibt dies ungeregelt, führt das praktisch zwangsläufig zu massiven Einbrüchen der Internet-Leistung. Unter Linux ist die Datei /etc/network/interfaces für die Adapterkonfiguration zuständig. Hier benötigt der zweite Adapter, der ausschließlich im lokalen (zweiten) Netz arbeiten soll, eine manuelle, statische IP und – wichtig: Das „gateway“ wird einfach weggelassen.

# Adapter 2
auto wlan0
iface wlan0 inet static
address 192.168.1.100
netmask 255.255.255.0

Bei Windows-Rechnern ist es über das „Netzwerk- und Freigabecenter“ auch kein Problem, für einen Adapter die IPv4-Einstellungen mit fester Adresse vorzunehmen und dabei „Standardgateway“ und „DNS-Server“ leer zu lassen.

604_2_USB-LAN
Zweiter Ethernet-Adapter via USB: Für Server oder Brücken, die in zwei Netzen arbeiten, ist dies eine lohnende Ergänzung (circa 10 bis 25 Euro je nach USB- und LAN-Leistung).

3. Einfacher als mehrere Client-Rechner so einzurichten wie unter 2. beschrieben, ist ein zentraler Datenserver für beide Netze. Dann muss man die Adapter via /etc/network/interfaces nur bei diesem Server konfigurieren, der dann beide Netze bedient. Der Server sollte aber zwei Ethernetports mitbringen, die dann per Kabel mit den beiden Routern verbunden sind. Da ein zweiter Ethernetport meist fehlt, ist ein LAN-Adapter via USB eine ideale Ergänzung. Der nicht ganz billige Delock Adapter (circa 22 Euro) mit schnellem USB 3.0 und schnellem Gigabit-Ethernet ist eine Empfehlung, weil er auf jedem getesteten Platinenserver (mit Debian, Ubuntu, Open Media Vault, Windows IoT) auf Anhieb funktionierte.

604_1_Zwei_Adapter
Server für zwei Netze: Diese Platine arbeitet mit zwei Adapter „eth2“ und „eth3“ für zwei getrennte Netze, deren IP4-Adressräume unten angezeigt werden.

Parallelbetrieb mit Netzwerkbrücke

Eine elegante Option, zwei Netze zu vereinen, ist eine Netzwerkbrücke. Diese sorgt dafür, dass jedes Gerät, das sich in einem Netz anmeldet, automatisch auch im zweiten Netz eine IP-Adresse erhält und somit auch dort verfügbar ist. Alle Freigaben, Netzdrucker, Intranet-Ressourcen sind überall zugänglich. Voraussetzung ist, dass ein Rechner, der in beiden Netzen hängt (am besten per Ethernet), dauerhaft diese Brückenrolle übernimmt. Diese Abhängigkeit von einem laufenden Rechner hat auch einen Vorteil, nämlich dass nach Abschaltung des Brückenrechners wieder der getrennte Zustand eintritt.

Linux benötigt lediglich ein winziges Toolpaket:

sudo apt-get install bridge-utils

Eine temporäre Brücke ist dann mit

brctl addbr br0
brctl addif br0 eth0 eth1

schnell gebaut. Die im Beispiel genannten Schnittstellen „eth0“ und „eth1“ können natürlich anders heißen, was mit ifconfig vorab abzufragen ist. Diese temporäre Brücke überlebt keinen Neustart des Brückenrechners, eine dauerhafte Brückenkonfiguration muss in die Datei /etc/network/interfaces eingetragen werden. Die wesentlichen Anweisungen lauten so:

auto br0
iface br0 inet manual
bridge_ports eth0 eth1

Nach dem Eintragen der Brücke ist ein Neustart des Geräts zu empfehlen. Bei einer neu eingerichteten Brücke kann es etwas dauern, bis alle laufenden Netzgeräte erkannt und berücksichtigt sind. Ein Blick in die Geräteliste der beiden Router wird aber umgehend zeigen, dass die Geräte vom jeweils anderen Netz hier neu auftauchen.

Das Prinzip der Brücke ist nicht wirklich kompliziert: Der Brückenrechner sieht nach, welche Geräte in beiden Netzen vorhanden sind und vergibt für jedes Gerät eine IP-Adresse für das jeweils andere Netzwerk.

Unter Windows ist eine Brücke bequem über das „Netzwerk- und Freigabecenter“ in den Adaptereinstellungen zu errichten. Dabei werden einfach beide Adapter markiert und dann nach Rechtsklick zur Brücke zusammengefasst.

604_3_Bridge
Beispiel einer Brückendefinition in der Datei interfaces: Die entscheidende Anweisung ist „bridge_ports“ mit nachfolgender Angabe der Adapternamen.