Wie lautet gleich wieder das Kennwort für das Gast-WLAN? Wie ist die öffentliche IP-Adresse? Router wie die Fritzbox verwalten so viele Infos, geben sie aber nur her, wenn man sich durch die Konfigurationsoberfläche klickt. Oder?
Gut Informierte wissen wahrscheinlich, dass sich die Fritzbox-Konfiguration durch PHP-Scripts auslesen und in vielen Belangen sogar steuern lässt. Theoretisch genügen dafür relativ komplizierte Befehle der Download- und Upload-Tools wget und curl. Komfortabler ist das Paket miniupnpc mit seinem Programm upnpc – dies allerdings mit eng begrenzter Reichweite. Das umfangreichste PHP-Projekt zur Fritzbox-Steuerung ist die Sammlung fb_tools (Fritzbox-Tools) von Michael Engelke. Was man damit alles anstellen kann, zeigt dieser Beitrag.
Definition und Umfang
Die Fritzbox-Tools sind eine umfangreiche Sammlung von PHP-Scripts, die über Terminalbefehle ausgelöst werden. Je nach Befehl kann man Informationen aus der Fritzbox auslesen, Konfigurationsbackups anlegen und wieder zurückschreiben und viele Einzelfunktionen von außen starten, so etwa Smarthome-Aktoren von AVM oder die LED-Anzeige der Fritzbox.
Um Missverständnissen vorzubeugen: Die Fritzbox-Tools können – mit einigen wenigen Ausnahmen – nicht mehr als das, was ein zutrittsberechtigter Fritzbox-Nutzer im Normalfall auf der Konfigurationsoberfläche erledigt. Ihre Reichweite ist sogar begrenzter als die Fritzbox-Oberfläche, weil AVM nicht alle Funktionen für PHP-Scripting offenlegt (so offenbar der gesamte Bereich WLAN/Funknetz). Der entscheidende Vorteil der Fritzbox-Tools ist es, dass Informationen wie die öffentliche IP-Adresse, die aktuelle Anrufliste oder der Online-Zähler mit einem vorbereiteten Terminalbefehl in zwei Sekunden ausgelesen sind. Und mehr noch: Als Terminalbefehl lassen sich solche Aktionen auch automatisch erledigen, etwa als Cronjob oder Autostart auf einem beliebigen Linuxsystem im Netzwerk.
Einfache Installation auf Debian/Ubuntu
Die Fritzbox-Tools laufen im Prinzip auf jedem Betriebssystem. Weil aber PHP installiert sein muss, ist die Einrichtung auf Linux am einfachsten. Auf jedem Update-gepflegten Linux wird eine PHP-Version 7.x für die Konsole („cli“) nämlich bereits vorliegen. Außerdem gibt es mindestens eine interessante Funktion der Tools, die Open SSL benötigt – und auch dies ist Standard unter Linux. Für Debian/Ubuntu-basierte Distributionen genügt daher der Download des winzigen DEB-Pakets „fb-tools.deb“ von www.mengelke.de/Projekte/FritzBox-Tools (nur 90 KB) und die Installation per Doppelklick oder im Terminal:
sudo dpkg -i fb-tools.deb
Für Linux-affine Windows-Nutzer ist genau derselbe Weg zu empfehlen, sofern sie ein Debian oder Ubuntu im „Windows Subsystem für Linux“ (WSL) verwenden. Dies ist wesentlich einfacher, als der Anleitung für die Installation unter Windows zu folgen.
Erste Umschau: Auf den typischen Hilfeschalter „-h“
fb_tools -h
meldet die Toolsammlung die verfügbaren Hauptbefehle (Modes). Einige dieser Befehle besitzen wieder diverse Unterbefehle (Funktionen), wovon Sie sich mit
fb_tools konfig -h
fb_tools smarthome -h
überzeugen können. Es gibt nun einige einfache Modes (ohne Unterbefehle), die ohne jede Benutzer-Authentifizierung sofort Antworten liefern:
fb_tools boxinfo
fb_tools systemstatus
Damit erhalten Sie die Basisdaten über Modell, Hardwarerevision, Provider, Laufzeit, Neustarts. Ebenfalls selbsterklärend ist die Abfrage der öffentlichen IP-Adresse:
fb_tools getip
Bei anderen Modes wie „traffic, anrufliste, led, konfig, smarthome“ werden Sie hingegen keinen Erfolg haben. Das Tool meldet dann „Anmeldung fehlgeschlagen, SID.lua ist ungültig“. Das bedeutet, dass Sie sich für diese Modes und Funktionen an der Fritzbox anmelden müssen.
Anmeldung und Fritzbox-Einstellung
Alle wirklich interessanten Funktionen setzen eine Anmeldung voraus. Die verläuft aber denkbar einfach innerhalb des Kommandos:
fb_tools Geh3im@fritz.box anrufliste
Dies genügt, falls der Router nur durch ein allgemeines Passwort geschützt ist. Wenn Sie in der Fritzbox Benutzerkonten angelegt haben, benötigen Sie folgende Syntax
fb_tools sepp:Geh3im@fritz.box anrufliste
mit der Abfolge „[Konto:Kennwort@Gerät]“. Und noch ein akademisches Detail: Wer sich in mehreren Netzen befindet, muss den angesprochenen Router statt mit „fritz.box“ genau adressieren (was aber auch sonst nie schadet):
fb_tools sepp:Geh3im@192.168.178.1 anrufliste
Mit dieser Syntax und somit korrekter Anmeldung sind aber auf jüngeren Fritzboxen immer noch nicht sämtliche Funktionen realisierbar. Die Lösung dafür liegt in der Fritzbox-Konfiguration unter „System → Fritz!Box-Benutzer → Zusätzliche Bestätigung → Ausführung bestimmter Einstellungen und Funktionen zusätzlich bestätigen”. Die Option ist standardmäßig aktiviert und verhindert einige Kommandos der Fritzbox-Tools. Es ist Ermessensfrage, ob man dies dauerhaft abschalten will. Zumindest vorübergehend ist das nötig, um einen der interessantesten Befehle abzusetzen:
Dieses Kommando liest im Klartext sämtliche Verbindungsdaten aus, unter anderem Provider-Zugangsdaten, WLAN-Passwörter, Telefonie-Passwörter, Internet- und MyFritz-Onlinezugangsdaten. Diese Daten sind in dieser Form und Vollständigkeit weder über die Fritzbox-Oberfläche noch in der (verschlüsselten) Konfigurationssicherung erreichbar.
Weitere Beispiele
Mit dem Mode „konfig“ können Sie interaktiv oder automatisiert Konfgurationssicherungen des Routers ausführen:
Mit „konfig import“ lässt sich eine Sicherung später wieder zurückspeichern.
Der einfache Mode „traffic“ hat keine Unterfunktionen und spuckt nach
fb_tools […] traffic
die Zusammenfassung aus, die in der Konfigurationsoberfläche unter „Internet -> Online-Monitor -> Online-Zähler“ zu finden ist. Der Mode „Ereignisse“ bietet das Systemprotokoll („System -> Ereignisse“) und hat dabei genau dieselben optionalen Filter wie die Oberfläche:
fb_tools […]ereignisse filter:system
Einfache, aber mindestens im zweiten Fall interessante Aktionen lösen folgende Kommandos aus:
fb_tools […] led off
fb_tools […] reconnect
Die LED-Leuchten lassen mit „on“ jederzeit wieder aktivieren. „reconnect“ darf als weiteres Highlight der Toolsammlung gelten, weil die Fritzbox-Oberfläche zur Neuverbindung nur den kompletten und zeitaufwändigen Gerätestart vorsieht – obendrein verbuddelt unter „System -> Sicherung -> Neustart“. Dass „reconnect“ die Fritzbox tatsächlich in Sekunden neu verbindet, können Sie dem Systemprotokoll entnehmen („System -> Ereignisse“ oder das entsprechende Kommando der fb_tools).
Besonders ergiebig ist der Mode „SmartHome“, der mit
fb_tools sepp:Geh3im@192.168.178.1 smarthome list
alle Smarthome-Komponenten („Aktoren“) mit AIN-Kennziffer anzeigt (AIN=Aktor Identifikationsnummer). Einschränkend ist zu bemerken, dass solche Steuerung eine homogene und ausschließliche Nutzung von AVM-Produkten voraussetzt. Da der Verfasser solche Funksteckdosen und Sensoren nicht nutzt, vertrauen wir an dieser Stelle auf Aussagen des Tool-Entwicklers und von Kommentaren im Web.
Auf Basis der mit „smarthome list“ ermittelten Gerätekennungen, lässt sich die betreffende Hardware dann detailliert steuern: Ein AVM-Thermostat mit der AIN „18“ kann dann etwa mit folgendem Befehl
fb_tools […] smarthome set 18 20
auf exakt 20 Grad gesetzt werden oder mit
fb_tools […] smarthome set 18 spar
auf eine in der Fritzbox („Smart Home -> Geräteverwaltung“) hinterlegte Spartemperatur.
Das Open-Source-Programm Calibre hat sich ganz auf die
Verwaltung von E-Books spezialisiert. Für wirklich große Sammlungen lohnt sich
Calibre als Server, der die Bibliothek über jeden Browser für alle Netzgeräte
bereitstellt.
Mit der Verbreitung von Tablets gewinnen E-Books – oft im
PDF-, MOBI-, CHM- oder EPUB-Format – immer mehr Freunde. Selbst bibliophile und
konservative Leser sind leicht durch die unbestreitbaren Vorteile zu überzeugen,
die E-Books auf einem handlichen Tablet bieten: Textgröße, Kontrast, Helligkeit
lassen sich an jede Situation anpassen. Und auf einem Tablet passt eine ganze Bibliothek
ins Handgepäck. Für eine opulente oder systematische Sammlung belletristischer
und technischer Bücher ist aber die Aufbewahrung auf verstreuten Lesegeräten
suboptimal: Neben der Frage „Was habe ich eigentlich wo (doppelt)?“
wird dort auch schnell der Speicher knapp. Eine ideale zentrale Lösung für das
Heimnetz bietet die Software Calibre mit seiner Server-Komponente.
Calibre installieren und Bibliothek erstellen
Calibre gibt es für alle Betriebssysteme unter https://calibre-ebook.com/download.
Diese Anlaufstelle ist auch für Linux zu empfehlen, weil eine Installation über
die Paketquellen etwa unter Debian/Ubuntu/Mint mit
sudo apt install calibre
nur ältere Versionen anbietet. Für die lokale Nutzung auf
einem Rechner spielt das keine große Rolle, aber gerade die Serverkomponente
hat in den aktuellen Versionen funktional dazugelernt und kommt auch optisch
wesentlich frischer daher. Verwenden Sie daher zur Installation diese
Befehlskombination:
Das komplexe Kommando kann von der oben genannten Downloadseite oder von hier ohne Tippaufwand direkt ins Terminal kopiert werden. Diese Installationsmethode funktioniert auch als Update einer älteren Version, wobei eine bereits bestehende Bibliothek erhalten bleibt. Calibre ist nach der Installation über das Desktop-Menü oder mit dem Aufruf calibre im Terminal zu erreichen.
Für den Aufbau und die
Erweiterung einer Bibliothek dient die Schaltfläche „Bücher
hinzufügen“. Den Massenimport von heterogenen Formaten und ganzer
Verzeichnisebenen ermöglicht die Unteroption „Bücher aus verschiedenen
Verzeichnissen […], jede e-Book-Datei ist ein anderes Buch“. Damit
integrieren Sie unstrukturierte Sammlungen von PDF-, HTML-, EPUB- und
Office-Formaten in die Calibre-Datenbank. Beachten Sie, dass Calibre alle
Dateien physisch kopiert und standardmäßig im Ordner ~/Calibre-Bibliothek/
einsammelt. Beim Import aus unstrukturierten Quellen wird die Software versuchen,
aus Dateinamen und Metadaten Informationen zu beziehen, um jedes Buch sinnvoll
zu katalogisieren. Fehler aufgrund unzulänglicher Metadaten sind beim
Massenimport unvermeidlich, können aber später über „Metadaten
bearbeiten“ manuell und mit der Hilfe von Online-Diensten („Metadaten
herunterladen“) korrigiert werden.
Die Suche bestimmter
Titel erfolgt im Suchfeld über dem Hauptfenster. Weitere Filtermöglichkeiten
bieten Kategorien in der linken Navigationsleiste wie „Autoren“,
„Formate“, „Bewertung“ oder „Schlagwörter“. Zum
Lesen eines markierten Titels verwenden Sie die Schaltfläche „Bücher
öffnen“.
Da es nicht primärer
Gegenstand dieses Beitrags ist, die zahlreichen Filter-, Konvertierungs- und
Einstellungsoptionen der komplexen Software zu erläutern, verweisen wir an
dieser Stelle auf das größtenteils deutschsprachige Online-Handbuch
unter https://manual.calibre-ebook.com/de/.
Calibre als Lektüre-Server im Netz
Ist eine Bibliothek erst einmal eingerichtet, kann
Calibre diese für das Netzwerk freigeben. Für den Start der Serverkomponente
genügt der Klick auf „Verbinden/Teilen -> Inhalteserver starten“.
Danach informiert Sie ein weiterer Klick auf „Verbinden/Teilen“,
unter welcher Adresse der Blbliotheksserver zu erreichen ist. Eine Angabe wie
„192.168.178.10, port 8080“ zeigt, dass jeder Browser im lokalen Netz
mit der Adresse „192.168.178.10:8080“ zum Calibre-Server gelangt. Wie
bei jedem Server ist es auch hier von Vorteil, diese IP-Adresse statisch zu
setzen (über den Router), damit Sie sich künftig jederzeit mit einem
Lesezeichen verbinden können. Der Calibre-Server kann unter „Einstellungen
-> Netzwerkserver“ detailliert konfiguriert werden. Falls nötig, gibt
es unter „Benutzerkonten“ auch eine Benutzerverwaltung mit
Zugriffskennwörtern.
Auf Client-Seite ist das wichtigste Werkzeug das
Lupensymbol im Seitentitel. Im einfachsten Fall geben Sie im Suchfeld einen
Autoren- oder Titelnamen ein. Die Treffer werden mit ihrem Titelbild angezeigt,
und ein Klick darauf bietet Detailinformationen sowie die Optionen
„Lesen“ und „Herunterladen“. Für die Option
„Lesen“ wechselt der Browser automatisch in den Vollbildmodus.
Bei einer umfangreichen und gut gepflegten
Calibre-Bibliothek können Sie unterhalb des Suchfeldes die Suchkategorie
eingrenzen und etwa nur in der Kategorie „Schlagwörter“ nach einem
bestimmten Begriff suchen oder unter „Bewertung“ nach einem
speziellen Rating.
Calibre-Server
„headless“: Die bislang beschriebenen Einrichtungs- und Server-Möglichkeiten
orientierten sich an der grafischen Oberfläche von Calibre. Für den grundsätzlichen
Aufbau der Bibliothek und insbesondere für Nachbesserungen an den
Meta-Informationen ist die grafische Oberfläche in der Tat dringend zu
empfehlen. Calibre bietet jedoch darüber hinaus Kommandozeilenwerkzeuge, die
eine vollständige Steuerung über eine SSH-Konsole ermöglichen. Somit kann der
Lektüre-Server auch auf einem Platinenrechner ohne Monitor und Tastatur laufen
(headless). Der wichtigste Befehl
calibre-server /home/ha/Calibre-Bibliothek/
startet die Server-Komponente und ist im Prinzip
gleichbedeutend mit dem Menüpunkt „Verbinden/Teilen -> Inhalteserver
starten“ an der grafischen Oberfläche. Der Befehl gibt nur den einfachsten
Einsatz wieder, ist aber für das Heimnetz in der Regel völlig ausreichend. Die
Hilfeseite
calibre-server --help
informiert darüber, dass Sie auf der Kommandozeile alles
steuern können, was auch auf der grafischen Oberfläche unter
„Einstellungen -> Netzwerkserver“ zu finden ist.
Für den Ausbau und die Verwaltung der Bibliothek ist das
mächtige Kommandozeilenprogramm calibredb zuständig. Der wichtigste Schalter
„add“ kann alles, was die Optionen unter „Bücher
hinzufügen“ auf der grafischen Oberfläche anbieten. So importiert der
Befehl
calibredb add --recurse /media/ha/Data/PDFs
alle E-Book- und Textformate, die im angegebenen Pfad
liegen, in die Calibre-Bibliothek. Weitere add-Optionen zeigt die Hilfeseite calibredb add –help undden Gesamtumfang des Tools calibredb der
Befehl calibredb –help. Theoretisch
lässt sich damit ein Calibre-Server von Anfang an und vollständig ohne
Oberfläche betreiben – wirklich komfortabel ist das allerdings nicht. Wir
empfehlen daher, die Basis im grafischen Programm zu legen. Der Serverstart und
gelegentliche Nachbesserungen bereiten hingegen über das SSH-Terminal im
Headless-Betrieb keine Mühe.
Der kompakte Beitrag zum lokalen Netzwerk bespricht die typische Hardware für das private Heimnetz und Home Office und die wichtigsten Konfigurationseinstellungen und Netzwerkkommandos für Desktop und Server.
Netzwerke sind Hardware-seitig unglaublich flexibel und ausbaufähig. Linux wiederum ist für das Netzwerken geschaffen und macht als Netzwerk-Client wie als Server eine glänzende Figur. Dieser Beitrag liefert Basiswissen und vertiefende Tipps für ein optimiertes Heimnetz. Dabei geht es ausschließlich um das lokale LAN- und WLAN-Netz mit typischen Geräten, Kommunikationsprotokollen, Freigaben und Serververwaltung. Das öffentliche Netz, das Internet, bleibt komplett außen vor – siehe dazu diesen Artikel: Tipps und Tools fürs Internet
1. Der grafische Network-Manager
Sowohl für Ethernet als auch für WLAN erfolgt die grafische Netzwerkverwaltung unter fast allen Desktop-Distributionen über das Applet des Network-Managers in der Systemleiste. Auf Gnome-affinen Distributionen können Sie die dafür zuständigen Komponenten notfalls auch über
nachinstallieren. In Ubuntu erscheint das Icon in der Systemleiste am oberen Bildschirmrand. Nach einem Klick darauf sehen Sie ein Menü mit einer Liste der verfügbaren Funknetzwerke. Klicken Sie das gewünschte an, geben Sie hinter „Passwort“ den WPA-Schlüssel ein, und klicken Sie auf „Verbinden“. Ist eine Ethernet-Verbindung aktiv, erscheint dieses unter „Kabelnetzwerk“. Im Menü gibt es außerdem die Einträge „Netzwerk aktivieren“ und bei WLAN „Funknetzwerk aktivieren“. Vor beiden muss ein Häkchen gesetzt sein, damit die Verbindung funktioniert.
Bei Fehlfunktionen sollten Sie über „Verbindungen bearbeiten“ die Einstellungen prüfen und gegebenenfalls ändern. Wählen Sie etwa „Kabelnetzwerkverbindung 1“, klicken Sie auf „Bearbeiten“ und gehen Sie auf die Registerkarte „IPv4-Einstellungen“. Hinter „Methode“ sollte hier „Automatisch (DHCP)“ eingetragen sein. Es ist nur in Ausnahmefällen ratsam (Server, Access Points, Netzdrucker), feste IP-Adressen manuell zu konfigurieren, damit das Gerät immer unter der gleichen IP-Adresse erreichbar ist (siehe -> Punkt 9).
Tipp: Der Network-Manager unterstützt keine deutschen Umlaute beim WLAN-Passwort. Vermeiden Sie daher WLAN-Kennwörter mit „ä“, „ö“, „ü“, „ß“ in der Router- oder Access-Point-Konfiguration.
2. Klassische Netzwerk-Konfiguration
Distributionen ohne Network Manager verwenden die klassische Linux-Konfiguration über die Datei /etc/network/interfaces. Deren Einträge haben in jedem Fall Vorrang vor denen des Network-Managers. Fehlerhafte Angaben an dieser Stelle können daher auch den Network-Manager lahmlegen. Standardmäßig enthält die Datei interfaces auf Desktop-Systemen nur die zwei Zeilen
auto lo
iface lo inet loopback
für den Loopback-Adapter (siehe dazu -> Punkt 3).
Für einen Server ohne grafischen Network Manager wären die folgenden Zeilen eine gültige Konfiguration für den Ethernet-Adapter, der hier die feste IP „100“ beziehen soll:
Der Adressraum „192.168.0.x“ muss natürlich angepasst werden, bei Fritzbox-Routern ist „192.168.178.x“ typisch. Spielt die IP keine Rolle (dynamisch über DHCP), dann genügen zwei Zeilen:
auto eth0 iface eth0 inet dhcp
Die Einstellungen werden erst nach einem Neustart wirksam.
3. Netzwerkadapter mit ifconfig im Griff
Das Terminaltool ifconfig ist unentbehrlich für die Anzeige der Netzadapter und beherrscht auch fundamentale Eingriffe. Bei purer Eingabe ifconfig erhalten Sie die IP-Adresse des Geräts, die physikalische MAC-Adresse des Netzadapters, ferner die Download- (RX) und Upload-Datenmenge (TX) seit dem letzten Systemstart. Der Ethernet-Adapter erscheint als „eth0“ (oder „enp6s0“), der WLAN-Adapter als „wlan0“. Die angezeigte „lo“-Schnittstelle mit der IP-Adresse 127.0.0.1 existiert nicht physisch: Bei dieser „lokalen Schleife“ (Loopback) handelt es sich um eine zum lokalen System zurückführende Schnittstelle, womit lokale Prozesse via TCP/IP miteinander kommunizieren.
Wenn ifconfig nur den virtuellen Loopback Adapter „lo“ anzeigt, hat Linux den Ethernet-Adapter Hardware-technisch nicht erkannt. Bei Ethernet-Adaptern ist das so gut wie ausgeschlossen. Was Sie bei WLAN-Adaptern in diesem Fall unternehmen können, lesen Sie im Hardware-Kasten („WLAN-Adapter unter Linux“).
Mit „down“ und „up“
sudo ifconfig eth0 down
schalten Sie einen Adapter, in diesem Fall mit „eth0“ den Ethernet-Anschluss, aus oder wieder ein.
Der nachfolgende Befehl
sudo ifconfig eth0 192.168.0.222
fordert eine neue lokale IP-Adresse vom Router. Dies führt zwar zu einer inkonsistenten Netzkonfiguration, sollte aber nach wie vor den Zugriff auf die Router-Oberfläche ermöglichen. Dort können Sie dann diese Wunsch-IP als feste IP festlegen.
4. WLAN-Konfiguration mit iwconfig und iwlist
Die manuelle Konfiguration des WLAN-Adapters ist nur nötig, wenn Sie einen Headless-Server ohne Monitor, Maus, Tastatur per SSH konfigurieren. Folgende Kombination von Netzwerkkommandos, die allesamt zum Linux-Standard gehören, kann das erledigen:
iwlist zeigt zunächst die verfügbaren Funknetze (Netznamen als „ESSID“), und iwconfig verbindet zum gewünschten Netz: Nach „essid“ folgt der Netzname, nach „key“ das WLAN-Passwort. Da nicht der hexadezimale Schlüssel, sondern das Passwort übergeben wird, muss das mit „s:“ signalisiert werden. Zu guter Letzt bezieht der Rechner mit dhclient eine IP-Adresse vom Router.
Speziell bei Ubuntu-basierten Systemen ist diese Vorgehensweise aber oft erfolglos. Hier empfiehlt sich auch bei späteren Headless-Servern zunächst die Grundkonfiguration des Funknetzes mit dem grafischen Network Manager.
5. LAN-Rechner mit ping prüfen
Ping gehört überall zur Linux-Standardausstattung. Das einfache Tool prüft, ob der aktuelle PC Verbindung zum Router („ping 192.168.0.1“) hat oder ob ein anderer PC im lokalen Netz („ping 192.168.0.10“) erreichbar ist. Neben der schlichten Recherche, ob sich der befragte Host überhaupt meldet, gibt es auch qualitative Aussagen: Im Heimnetz sollten keine verlorenen Datenpakete auftreten („packet loss“) und die Antwortzeiten unter zehn Millisekunden liegen, während Pings ins Web selten unter 20 Millisekunden antworten.
Ping ohne Counter („-c“) läuft endlos, lässt sich aber mit der Tastenkombination Strg-C abbrechen. Ist der Router mit ping nicht erreichbar, hilft oft das Aus- und Einschalten des Netzwerkadapters, um eine neue IP-Adresse zu beziehen.
6. Nmap-Pings an alle Geräte im lokalen Netz
Ping (siehe -> Punkt 5) kann Hostnamen auflösen („ping fritz.box“), übersetzt aber keine IP-Adressen zu Hostnamen. Außerdem kann es – ohne Scriptunterstützung – nur auf eine Adresse losgeschickt werden. Für eine Komplettübersicht im lokalen Netz hilft nmap. Nmap ist in der Regel nicht vorinstalliert, aber mit seinem Paketnamen „nmap“ in allen Repositories erhältlich. Folgende nmap-Kommandos
nmap -sP 192.168.0.1-50
nmap -sP 192.168.0.*
schicken Ping-Anfragen an die ersten 50 und alle 255 Adressen des Adressraum. Der schnelle Ping-Scan zeigt dann alle laufenden Netzgeräte mit Host-Namen und IP-Adresse.
Ohne Ping-Parameter („-sP“) macht nmap sorgfältige und zeitaufwändige Portscans: Sie erhalten zu jedem Rechner Host-Namen, IP-Adresse, MAC-Adresse und die Liste aller offenen Ports. Ist der Vorgang für den gesamten lokalen Adressraum zu langwierig, lässt sich auch ein einzelner PC befragen (nmap 192.168.0.10 oder auch mit Hostnamen nmap raspberry).
7. Netzwerksicherheit mit Nmap-Portscans
Risiken für Ihr Heimnetz entstehen durch offene Ports, die den Zutritt über das Internet in Ihr lokales Netz erlauben. Handelt es sich um Portfreigaben im Router, die Sie selbst eingerichtet haben, dann ist das in Ordnung, wenn nicht, bedeuten offene Ports Alarmstufe rot. Kontrolle über eventuell vergessene Portfreigaben erhalten Sie im Router, so etwa in der Fritzbox unter „Internet -> Freigaben -> Portfreigaben“. Einen objektiven Test, der auch innere Feinde in Form von laufender Schadsoftware entlarvt, können Sie mit nmap realisieren.
Zunächst müssen Sie Ihre öffentliche IP-Adresse ermitteln. Die kennt zum Beispiel Ihr Router („Übersicht“ in der Fritzbox), sie kann aber auch mit einem Tool wie inxi ermittelt werden („WAN IP“ nach Eingabe inxi -i). Die öffentliche WAN-IP, beispielweise 178.23.136.15, prüfen Sie dann mit diesem Kommando:
sudo nmap -Pn 178.23.136.15
Dabei untersucht nmap die Standardports von 1 bis 1000. Sämtliche Ports erfassen Sie mit diesem Befehl:
sudo nmap -Pn -p0-65535 178.23.136.15
Dieser Scan durchläuft alle Ports von 1 bis 65535 und dauert sehr lange. Als Ergebnis sollten Sie, sofern Ihr Netz für das Internet komplett geschlossen sein soll, die Antwort erhalten „All scanned ports are filtered“. Wo immer das nicht der Fall ist und die Ursache unklar, weil dafür keine Portfreigabe im Router vorliegt, gehen Sie mit der angezeigten Portnummer der Sache auf den Grund:
sudo nmap -sV -Pn -p[Nummer] 178.23.136.15
Mit Schalter „-sV“ zeigt nmap an, welches Programm oder welcher Dienst diesen Port benutzt. Ist dieser Prozess unerwünscht, beenden Sie den Verursacher mit einem Taskmanager umgehend (in der „Systemüberwachung“ oder mit top/htop im Terminal) und dauerhaft durch Deinstallieren und Löschen der Programmdateien.
8. MAC-Adressen mit arp ermitteln
Jeder Netzadapter hat eine eindeutige MAC-Adresse der Form C2:22:09:F2:5F:E8 (sechs zwei-stellige Hexadezimalzahlen). Die brauchen Sie zum Beispiel dann, wenn Sie im Router feste IP-Adressen oder Zugangskontrollen einrichten wollen (siehe -> Punkt 9). Der Router selbst kennt und zeigt natürlich sämtliche MAC-Adressen. Am lokalen Rechner zeigt ifconfig (siehe -> Punkt 3) immerhin dessen MAC-Adresse(n) als „Hardware Adresse“ an. Der Befehl arp (Address Resolution Protocol) kann noch mehr:
arp –a
Dies wirft die MAC-Adressen aller in letzter Zeit verbundenen Netzgeräte aus. Da der Arp-Cache seine Daten periodisch verwirft, ist vielleicht momentan genau das gesuchte Gerät nicht in der Liste. Wenn Sie aber vorher einen Ping an das Gerät schicken und dann arp -a befragen, erhalten Sie zuverlässig die MAC-Adresse des entfernten Geräts.
9. Feste IPs im Router einrichten
Server, aber auch Geräte wie Access Points, WLAN-Repeater oder Netzwerkdrucker verdienen eine feste lokale IP-Adresse, damit Sie Konfigurationsoberflächen oder Daten zuverlässig erreichen (etwa via Browser-Lesezeichen oder in Scripts). Die Vergabe fester IP-Adressen erledigt am besten zentral der Router, der die IPs als DHCP-Server vergibt. Der betreffende Punkt kann „DHCP-Reservierung“ oder ähnlich lauten. In der Fritzbox finden Sie diese Möglichkeit unter „Heimnetz –> Netzwerk“. Dort erscheint für die eingetragenen Netzwerkgeräte die Option „Diesem Netzwerkgerät immer die gleiche IP-Adresse zuweisen.“
Dabei kann aber nur die gerade aktuelle IP als künftig konstante IP eingestellt werden. Wenn Sie eine ganz bestimmte andere IP wollen, lassen Sie sich unter „Heimnetz -> Heimnetzübersicht“ die Details des gewünschten Netzgeräts anzeigen und notieren sich die MAC-Adresse („Geräteinformation“). Danach verwenden Sie „Heimnetz -> Heimnetzübersicht -> Netzwerkverbindungen -> Gerät hinzufügen“. Dort können Sie unter Angabe der „MAC-Adresse“ die Wunsch-IP vergeben. Der Router wird melden, dass ihm das Gerät unter einer anderen IP bekannt ist, und Sie müssen mit „OK“ bestätigen, dass Sie die Einstellung überschreiben wollen. Danach sollten Sie das Gerät (oder dessen Netz-Adapter) neu starten.
10. Server: Fritz-NAS als zentraler Speicher
Wer „nur“ einen zuverlässigen Datenserver braucht und eine Fritzbox als Router besitzt, braucht nicht notwendig einen Server oder Platinenrechner. Mit der Fritzbox reduziert sich der Einrichtungsaufwand auf ein Minimum: Wenn Sie unter „Heimnetz -> Speicher (NAS)“ die NAS-Funktion über „Speicher (NAS) aktiv“ einschalten, ist sofort der interne Speicher im Netz verfügbar. 512 MB bis 1,5 GB bieten neuere Fritzboxen an internem Speicher an. Das reicht natürlich nicht für einen Datenserver. Sobald Sie aber an einen der beiden USB-Ports einen USB-Datenträger anschließen, wird dieser unter „Heimnetz -> Speicher (NAS)“ angezeigt und kann dort durch die Klickbox aktiviert werden.
Das Fritz-NAS arbeitet wie eine Samba-Freigabe unter Linux: Der Standard-Hostname „fritz.nas“ (Standard-IP ist xxx.xxx.xxx.254) erscheint unter „Netzwerk“ im Dateimanager von Linux- und Windows-PCs, und die Daten lassen sich nutzen, sofern sich der Netzteilnehmer ausweisen kann. Die Einrichtung mindestens eines Benutzerkontos erledigen Sie unter „System -> Fritz!Box-Benutzer“. An dieser Stelle sind differenzierte Schreib- und Leserechte und Ordnerfreigaben möglich wie unter Linux üblich. Standardmäßig gibt die Fritzbox „Alle…verfügbaren Speicher“ mit Lese- und Schreibrecht frei.
11. Server-Freigaben mit Samba im Terminal
Wer es sich bequem machen will, wird auch auf einem ferngewarteten Platinenserver ein Serversystem mit einer klickfreundlichen Weboberfläche einsetzen. Erste Wahl für Raspberry & Co ist aktuell die NAS-Distribution Open Media Vault (openmediavault.org). Wirklich notwendig ist ein solcher Überbau für einen einfachen Datenserver im Heimnetz allerdings nicht. Wenige Kommandos im Terminal des Servers oder per SSH auf einem anderen Netzrechner (siehe -> Punkt 13 und 17) genügen, um Netzwerkfreigaben via Samba einzurichten. Voraussetzung ist zunächst ein installiertes Samba-Server-Paket (bei Server-Distributionen meist schon vorinstalliert):
Jeder Benutzer, der auf Freigaben zugreifen darf, muss ein Systemkonto mit Passwort besitzen:
sudo adduser sepp
Das Benutzer-Passwort wird nach Eingabe dieses Befehls automatisch abgefragt.
Ferner muss der Benutzer zusätzlich ein Samba-Kennwort erhalten, denn Samba hat seine unabhängige Kennwortverwaltung:
sudo smbpasswd -a sepp
Danach genügt folgender Befehl, um ein Verzeichnis dauerhaft über das Netzwerk freizugeben:
sudo net usershare add sepp /home/sepp "" sepp:f
Hier wird das Verzeichnis /home/sepp als Freigabe mit dem Namen „sepp“ für den gleichnamigen User im Netzwerk freigegeben.
12. Samba-Konfiguration in der Datei smb.conf
Samba verwendet als einzige Konfigurationsdatei /etc/samba/smb.conf. Darin sind die Basis-Einstellungen für den Samba-Server und auch die Freigaben festgelegt. Das Editieren der smb.conf ist umfassender und oft auch bequemer als net-Befehle auf der Kommandozeile:
sudo nano /etc/samba/smb.conf
Arbeitsgruppe: Mit „workgroup=WORKGROUP“ unter „[global]“ legen Sie die Arbeitsgruppe fest. Windows verwendet die Gruppe ebenfalls standardmäßig, sodass Sie die Einstellung belassen können. Wenn Sie in Ihrem Netzwerk eine anders benannte Gruppe verwenden, ändern Sie den Wert entsprechend. Für den Zugriff auf die Freigaben ist die Arbeitsgruppe nicht wesentlich, jedoch zeigen Linux-Datei-Manager nicht einfach alle Rechner mit Freigaben in einer Liste an, sondern organisieren sie in Arbeitsgruppen unterhalb von „Windows-Netzwerk“. Sie sparen sich unnötige Mausklicks, wenn Sie alle Rechner in derselben Gruppe unterbringen.
Home-Verzeichnisse freigeben: Weiter unten in der smb.conf gibt es einen auskommentierten Abschnitt, der mit „;[homes]“ beginnt. Entfernen Sie die Kommentarzeichen (Semikolon), um die Home-Verzeichnisse aller Benutzer standardmäßig freizugeben. Soll auch der Schreibzugriff erlaubt sein, ändern Sie „read only = yes“ auf „read only = no“. Wenn ein authentifizierter Benutzer auf den Server zugreift, sieht er nur sein eigenes Home-Verzeichnis als Freigabe.
Allgemeine Freigaben: Eine neue Freigabe für ein beliebiges Verzeichnis lässt sich über drei Zeilen realisieren, die Sie am Ende der Datei smb.conf einfügen:
[data]
path = /media/data
writeable = no
In diesem Beispiel wird das Verzeichnis „/media/data“ unter der Bezeichnung „data“ freigegeben. Der Ordner muss existieren und die Benutzer müssen auf der Ebene des Dateisystems zumindest Leserechte besitzen.
Achtung: Änderungen in der smb.conf werden erst wirksam, wenn Sie den Samba-Dienst mit
sudo service smbd restart
neu starten:
13. SSH-Serverwartung mit Linux und Mac OS X
Kein Server ohne Secure Shell (SSH)! Selbst wenn Sie einen (Raspberry-) Server mit Webserver und freundlicher Konfigurationsoberfläche betreiben, bleibt die SSH-Wartung auf der Kommandozeile das umfassendste, schnellste und direkteste Werkzeug. Einzige Voraussetzung auf dem Server ist ein installierter Open-SSH-Server (auf typischen Server-Distributionen wie Cent OS, Ubuntu Server oder Open Media Vault standardmäßig installiert und aktiv). Wo er noch fehlt, ist das mit
sudo apt-get install openssh-server
leicht zu korrigieren.
Die Client-Komponente für den Fernzugriff bringt jedes Linux- und Mac-System mit. Dort genügt dann der Befehl
ssh [benutzer]@[IP-Adresse]
für die Anmeldung auf dem entfernten Server, also etwa:
ssh root@192.168.0.10
Beim allerersten Zugriff auf einen Server ist dem Client-System der Rechner noch nicht bekannt, und Sie müssen die Verbindung mit „yes“ bestätigen. Künftig entfällt diese Abfrage, weil der Fingerabdruck des Servers auf dem Client unter .ssh/known_hosts gespeichert wird. Nach Erlaubnis der Verbindung mit „yes“ erfolgt die Abfrage des User-Kennwort. Auf dem Remote-Terminal können Sie alle Befehle verwenden wie in einem lokalen Terminal. Sie bearbeiten Konfigurationsdateien, installieren Programme mit apt-get oder versorgen das System mit Updates. Der Befehl exit oder die Tastenkombination Strg-D beenden die SSH-Verbindung.
14. SSH-Datenaustausch mit dem Midnight Commander
Der Midnight Commander (MC) erlaubt unter Linux und Mac OS den direkten Datenaustausch zwischen Server und Client (anstatt über scp-Kommandos oder auf dem Umweg von Samba-Freigaben). Es beherrscht nämlich selbst SSH über die Option „Shell-Verbindung“ in den Menüs „Links/Rechts“. Wie bei ssh auf der Kommandozeile geben Sie hier den Servernamen oder die IP-Adresse an, optional bereits mit dem gewünschten User (etwa: root@192.168.0.10). Nach Eingabe des Kennworts zeigt der Midnight Commander in einer Fensterhälfte das Dateisystem des Servers, in der anderen das des zugreifenden Client – Sie können als root sofort Dateien im gesamten Dateisystem austauschen.
Der MC erwartet die Kommunikation über den SSH-Standardport 22. Für abweichende Ports gibt es eine spezielle Lösung: Legen Sie auf dem zugreifenden Linux-Client-System (nicht auf dem Server!) unter ~/.ssh die Datei „config“ neu an. Dort definieren Sie einen oder auch mehrere Server in folgender Weise:
Host raspi
Hostname 192.168.0.20
Port 12345
User root
Ab sofort genügt es, im MC beim Eingabefeld der „Shell-Verbindung“ als Host den Namen „raspi“ einzugeben. Alle übrigen Infos über IP, Port, User liest der MC aus der config-Datei.
15. Linux-Dateimanager und Netzressourcen
Linux-Dateimanager wie Nautilus (Ubuntu) oder Nemo (Mint) können mit allen Netzressourcen inklusive Samba, FTP, Webdav und SSH umgehen. Wenn Sie in der Navigationsspalte auf „Netzwerk“ gehen, werden die Netzrechner angezeigt, Windows- und Samba-Freigaben unter „Windows-Netzwerk“. Über die Adresszeile (editierbar nach Strg-L) können Sie direkte Serveradressen eingeben. Bei Windows- und Samba-Freigaben verwenden Sie „smb://[Server]/[Freigabename]“, wobei statt „[Rechner]“ immer auch die IP-Adresse des Servers funktioniert. Bei der Fernwartung von Servern mit SSH bieten Dateimanager oft komfortablere Bearbeitungsmöglichkeiten als das SSH-Terminal. Eine typische Adresse im Dateimanager könnte so lauten:
ssh://root@192.168.0.8[:Port]
Die Angabe der Portnummer ist nur notwendig, wenn der Port vom Standard „22“ abweicht. Nach der Anmeldung kopieren und bearbeiten Sie Daten bequem und sicher direkt im Dateimanager über das Protokoll SFTP.
16. Grafische Programme über SSH (X11-Forwarding)
Sofern es auf dem Server grafische Programme gibt, lassen sich diese auch über SSH starten und auf dem Client-PC anzeigen. Unter Linux als zugreifender Client ist der Aufwand am geringsten: Hier verwenden Sie beim SSH-Aufruf einfach den Schalter „-X“ (Großschreibung!):
ssh –X root@192.168.0.10
In der SSH-Konsole starten Sie dann etwa mit thunar oder gedit das gewünschte, grafische Programm.
Der SSH-Client von Mac OS X unterstützt nur die pure Kommandozeile. Für grafisches X11-Forwarding ist die zusätzliche Komponente XQuartz erforderlich (http://xquartz.macosforge.org/landing/).
17. SSH-Clients unter Windows (Putty / Xming)
Wenn Sie einen Linux-Server mit einem Windows-PC warten wollen, sind Sie auf Putty oder seinen fast identischen Klon Kitty angewiesen (auf Heft-DVD, Downloads und Infos unter www.putty.org und www.9bis.net). Kitty unterscheidet sich dadurch, dass es die automatische Übergabe des Passworts erlaubt („Connection -> Data“) und damit eine automatische Anmeldung, ferner dass es die Server-Daten in Klartextdateien unter \Kitty\Sessions ablegt (statt in der Windows Registry).
Putty/Kitty bieten die komfortable Verwaltung mehrerer Server. Die Basiskonfiguration ist einfach: Geben Sie unter „Host Name“ den Rechnernamen oder die IP-Adresse des Servers an. Mit „Connection type: SSH“ und dem vorgegebenen Standardport 22 können Sie sich mit „Open“ sofort verbinden. Für häufigeren Zugriff lohnt es sich, unter „Saved Sessions“ eine aussagekräftige Bezeichnung zu verwenden, „Appearance“, „Color“ und „Data“ (Benutzer) einzustellen und dies mit „Save“ dauerhaft zu speichern. Unter „Window -> Translation -> Remote character set“ sollten Sie den Eintrag „UTF-8“ wählen, damit Sonderzeichen und Linien in der SSH-Konsole korrekt angezeigt werden. Putty/Kitty dienen ausschließlich als SSH-Vermittlungsclient und Serververwaltung, die eigentliche Arbeit geschieht wie unter Linux im Terminal.
Grafische Programme über X11-Forwarding: Auch unter Windows bringen Sie grafische Programme des Servers auf den Desktop. Neben Putty/Kitty benötigen Sie dazu noch den kostenlosen X-Server Xming (http://sourceforge.net/projects/xming/). Xming muss laufen, bevor Sie die SSH-Session starten. Unter Putty/Kitty aktivieren Sie die maßgebliche Option unter „Connection -> X11 -> Enable X11 forwarding“ und tragen als „X display location“ die Angabe „localhost:0“ ein. Sichern Sie die Konfiguration mit „Session -> Save“. Die so gestartete SSH-Sitzung erlaubt wie unter Linux den Aufruf von grafischen Programmen.
Netzwerk-Hardware
Nachfolgend geht es um den Umgang mit der wichtigsten Netzwerk-Hardware, Optionen des Netzwerkausbaus und wichtige Konfigurationsmöglichkeiten. Ein Großteil dieser Infos gilt Betriebssystem-unabhängig: Für Router, Switch, Access Point, Repeater, Powerline-Adapter spielt das System eines Netzwerkgeräts keine Rolle.
Generell gilt im Netzwerk noch deutlicher als anderswo: Wenn die Hardware unzureichend, veraltet oder defekt ist, helfen keine Software-Tipps. Insbesondere bei diffusen Phänomenen eines zeitweise funktionierenden, aber immer wieder unterbrechenden Netzwerks sind Fehleranalyse und Austausch der Komponente alternativlos. Ein stabil langsames Netz ist hingegen nur eine Frage der Toleranz: Ausbaumöglichkeiten gibt es genug.
Die Router-Adresse
Die zahlreichen Router-Funktionen lassen sich in dessen Konfigurationsoberfläche über den Browser steuern. Dessen IP-Adresse lautet oft 192.168.178.1 oder 192.168.0.1, ist aber auch leicht zu ermitteln. Der Befehl
ip route show
zeigt die Adresse nach „default via …“ an. Im Prinzip genügt auch der Befehl ifconfig, wenn Sie im vierten Block der IPv4-Adresse statt der angezeigten Ziffer (die IP des aktuellen Geräts) die „1“ einsetzen.
Der Router zeigt eine wichtige Geräteübersicht mit allen Gerätenamen, IP- und MAC-Adressen (in der Fritzbox unter „Heimnetz -> Heimnetzübersicht“). Einige weitere fundamentale Router-Optionen wie die Vergabe von festen IP-Adressen oder den Hinweis auf das Fritzbox-NAS finden Sie im Haupttext (-> Punkt 9 und 10).
Der Gigabit-Switch
Im lokalen Netz verläuft nicht der gesamte Datenverkehr durch den Router: Wenn in einem Raum Kabelnetz verfügbar ist und dort ein Netzwerk-Switch mehrere Endgeräte verbindet, dann regelt der Switch den Datenaustausch dieser Geräte direkt – ohne Umweg zum Router und vor allem ungeachtet des sonstigen Netzdurchsatzes. Es wäre also falsch, im Hinblick auf die allgemeine Netzwerkleistung (Fast Ethernet, Powerline, WLAN?) auf einen Gigabit-Switch zu verzichten. Wenn die angeschlossenen Clients Gigabit-Ethernet beherrschen, lässt sich der Datenaustausch dieser Geräte erheblich optimieren.
WLAN-Adapter unter Linux
Externe WLAN-Adapter an USB sind nicht immer Linux-kompatibel. Wer Treiberproblemen aus dem Weg gehen will, kann sich an die folgenden preiswerten Empfehlungen halten (Preise bei amazon.de und conrad.de, Dezember 2016):
Edimax EW-7811UN Wireless USB Adapter (6,80 €)
Asus N10 Nano WLAN-Stick (10,15 €)
TP-Link TL-WN823N N300 Mini WLAN USB Adapter (10,00 €)
CSL 300 Mbit/s USB 2.0 WLAN Stick (12,50 €)
Fritz!Wlan USB Stick-N v2.4 (22,99 €)
Viele weitere WLAN-Adapter sind Linux-tauglich oder werden es nach gewisser Handarbeit. Eine Übersicht für Ubuntu-basierte Systeme (incl. Linux Mint) gibt die Seite https://wiki.ubuntuusers.de/WLAN/Karten/.
Troubleshooting: Wenn Linux keinen Treiber für den WLAN-Chipsatz eines Notebooks oder für einen USB-WLAN-Adapter anbietet, bleibt die Netzwerkschnittstelle unerkannt und der Network Manager an der grafischen Oberfläche kann keine Funknetze anbieten. Dann gilt es herauszufinden, mit welchem Chipsatz ein Gerät arbeitet. Bei Netzwerkkarten und internen Chips gehen Sie im Terminal
lspci |grep -i network
ein: Sie erhalten eine Liste aller Netzwerkgeräte im PCI-Bus mit Hersteller, Typenbezeichnung und Revisionsnummer. USB-Adapter sind weniger gesprächig. Eventuell zeigt der Stick selbst eine genaue Typenbezeichnung inklusive Revisionsnummer. Notfalls hilft der Befehl lsusb. Der zeigt Hersteller und Geräte-ID im Format XXXX:YYYY:
BUS 003 Device 004: ID 2001:3c15 D-Link Corp.
Der Teil vor dem Doppelpunkt bezeichnet den Hersteller (XXXX), die darauf folgende Zeichenkette (YYYY) ist das Gerät, in diesem Fall „3c15“. Beides ist auf der Seite www.linux-usb.org/usb.ids zu entschlüsseln. Nutzen Sie hier die Suchfunktion im Browser, um den exakten Gerätenamen mit Revisionsnummer anhand der ID zu ermitteln. Die Nummer ist wichtig, da viele Hersteller verschiedene Chipsätze verbauen, ohne die Typenbezeichnung zu ändern.
Mit der exakten Typenbezeichnung ist viel erreicht: Damit kann eine gezielte Suche nach Linux-Treibern starten. Erste Anlaufstelle ist nicht der Hersteller, sondern das Supportforum der verwendeten Distribution. Eine der besten Ressourcen im Web ist die schon genannte Adresse http://wiki.ubuntuusers.de/WLAN/Karten mit Hinweisen und Installationsanleitungen. Etliche Module für WLAN-Chipsätze gibt es für verbreitete Distributionen als fertiges Paket. Dann ist der Modulname über den Paketmanager der Distribution zu finden.
WLAN-Repeater einrichten
Ein Repeater vergrößert die Reichweite des Funksignals. Die je nach Ausstattung und Sendeleistung zwischen 20 und 100 Euro teuren Geräte sind die einfachste Methode, mangelhaftes WLAN zu verbessern. Leistungstechnisch sind aber andere Alternativen überlegen (siehe unten: Access Point, Powerline).
Falls es für eine Repeater-Ersteinrichtung keine WPS-Option gibt, können Sie das Gerät auch manuell einrichten. Dazu stecken Sie das Gerät in der Nähe eines PCs in eine Steckdose. Danach klicken Sie unter Linux auf den Network-Manager in der Systemleiste. Hier sollte ein zusätzliches Netz mit dem Namen des Repeaters erscheinen, mit dem Sie sich „Verbinden“. Der Sicherheitsschlüssel lautet oft „00000000“, ein eventuell abweichendes Standardkennwort verrät das Doku-Heftchen. Danach laden Sie die Repeater-Konfigurationsoberfläche im Browser. Netzwerknamen wie etwa „fritz.repeater“ funktionieren nicht immer. In diesem Fall müssen Sie die IP-Adresse des Repeaters eingeben, die Sie über die Liste der WLAN-Geräte im Router herausfinden. Einzige fundamentale Einstellung in der Konfiguration ist die Wahl des Funknetzes, das der Repeater verstärken soll. Aktivieren Sie in dieser Liste den Namen Ihres Netzes, und geben Sie das Kennwort für dieses Funknetz ein.
Bei der automatischen Ersteinrichtung übernehmen Repeater den Netznamen (SSID) der Basisstation. Das ist von Nachteil, wenn Sie mit Tablets oder Smartphones in der Wohnung unterwegs sind: Viele Geräte wechseln zwar automatisch zum Sender mit der optimalen Signalstärke, aber längst nicht alle und nicht alle schnell genug. Daher ist es besser, selbst entscheiden zu können, mit welchem WLAN-Sender man sich verbindet. Dazu sollte der Repeater einen eigenen Namen melden wie etwa „Repeater“. Dies lässt sich in der Konfigurationsoberfläche einstellen, etwa beim Fritz Repeater unter „WLAN -> Funkeinstellungen“.
Bei einem Repeater besteht wenig Tuningbedarf, aber es ist immer besser, wenn Sie die Konfigurationsoberfläche über eine feste IP erreichen. Geräte wie der Fritz Repeater bieten diese Möglichkeit nicht an. Die feste IP müssen Sie daher im Router definieren, wie im Haupttext unter -> Punkt 9 beschrieben.
WLAN-Access-Points einrichten
Wo das Router-Funknetz wichtige Räume nicht abdeckt, verwenden Sie an diesem Standort vorzugweise einen Access Point. Der bietet für etwa 40 Euro aufwärts deutlich besseren Datendurchsatz als ein Repeater, setzt allerdings voraus, dass am betreffenden Ort ein Zugang zum Kabelnetz besteht. Ob es sich dabei um eine direkte Kabelvernetzung handelt oder um eine Powerline-Brücke, spielt keine Rolle.
Ein Access Point wie etwa der abgebildete D-Link DAP-2310 (circa 65 Euro) wird über seinen Ethernet-Port mit CAT-Kabel am geeigneten Ort mit dem Kabelnetz verbunden. Sobald angeschlossen, lässt sich der Access Point über seine IP-Adresse am PC im Browser konfigurieren. Access Points nehmen sich per Werkseinstellung eine IP, die das Handbuch verrät, aber auch in der Geräteliste des Routers leicht zu finden. Mit der IP-Adresse laden Sie im Browser die Konfigurationsoberfläche des Access Points. Ab Werk bringt Sie eventuell der Benutzer „admin“ und leeres Kennwort in die Konfiguration. Im Zweifel sind die Zugangsdaten im Handbuch vermerkt. Sorgen Sie dann dafür, dass der „admin“ ein echtes Kennwort erhält und das Gerät künftig eine selbstdefinierte, feste IP (das geht sowohl in der Gerätekonfiguration als auch zentral im Router).
Das Einrichten des neuen Funknetzes geschieht unter „WLAN“, „Wireless“ oder „Drahtlos“ und erfordert die üblichen WLAN-Infos – also einen Netzwerknamen (SSID), den Verschlüsselungstyp sowie das Zugangskennwort. Danach können sich mobile Geräte zum neuen Funknetz verbinden oder je nach Standort zur Basisstation. Verwenden Sie besser klar unterscheidbare SSID-Namen für das Router-Funknetz und für dasjenige des Access Points.
Repeater mit Ethernet-Port
Wenn Sie in Ihrem Netzwerk eindeutig auf WLAN setzen, kann sich die Situation ergeben, dass Sie punktuell eine Ethernet-Anbindung brauchen: Das wird etwa notwendig, wenn Sie fernab vom Router einen Netzwerkdrucker verwenden möchten, der kein WLAN, aber einen Ethernet-Port anbietet. Ein weiteres Beispiel wäre ein Linux-Rechner, der eine Kabelverbindung nutzen soll, um einem Treiberproblem mit WLAN aus dem Weg zu gehen.
Die einfachste Lösung für diese Aufgabe ist ein WLAN-Repeater mit zusätzlichem Ethernet-Port ab circa 20 Euro bis 100 Euro (je nach Ausstattung und Sendeleistung). Sie stecken den Repeater einfach am gewünschten Ort in die Steckdose und verbinden Repeater und Drucker oder PC mit einem CAT-Netzkabel. Leistungsstärker, kaum teurer, aber geringfügig aufwändiger ist der Einsatz zweier Powerline-Adapter (etwa ab 50 Euro).
Altgeräte als Repeater/Access Point
Besitzen Sie neben einer als Router genutzten Fritzbox noch eine ausgediente Fritzbox (auch „Speedport“), dann können Sie sich den Kauf eines Repeaters sparen. Die Geräte ergänzen sich als Basisstation und Repeater und bieten die Zusammenarbeit in der Konfigurationsoberfläche sogar direkt an. Die Option finden Sie unter „Erweiterte Ansicht“ im Menü „WLAN / Repeater“. Dort stellen Sie ein, was als Basis und was als Repeater arbeiten soll.
Beim Einsatz als Access Point gibt es keine Einschränkungen hinsichtlich des Geräteherstellers. Hier arbeiten auch Router und Altgeräte unterschiedlicher Hersteller zusammen: Schließen Sie den alten Router mit CAT-Kabel an das Kabelnetz an. Dessen Konfigurationsoberfläche erreichen Sie dann über seine IP-Adresse im Browser. Hier stellen Sie seine Funktion als DHCP-Server ab und auch sonst am besten alle Funktionen außer WLAN. Im Übrigen verfahren Sie wie bei einem Neugerät, definieren also SSID, Verschlüsselungstyp und Zugangskennwort. Auch hier empfehlen wir, unter „LAN“ (oder ähnlich) eine feste IP anzufordern, um den Zugang in die Konfiguration zu vereinfachen.
Einige Router zeigen in der Konfiguration eine explizite Option „Internetzugang über LAN“ oder ähnlich, die Sie aktivieren müssen. Andere Altgeräte wie die alten Speedports (Telekom-Klons der Fritzbox) lassen jeden Hinweis auf diese Einsatzmöglichkeit vermissen, arbeiten aber trotzdem einwandfrei als Access Points.
Powerline-Ethernet
Powerline ist eine Alternative zu WLAN oder zur Ethernet-Verkabelung. Aus Sicht des Endgeräts ist Powerline eine Ethernet-Verbindung. Das bietet gegenüber WLAN den Vorteil, dass Netzanmeldung und alle Treiberprobleme entfallen. Für den Datentransport wird die Stromleitung genutzt. Starterkits mit zwei Adapter und 500 MBit/s gibt es ab etwa 40 Euro, die aktuell schnellsten 1200 MBit/s-Adapter ab 85 Euro (AVM), besser mit Durchreichesteckdose für etwa 120 Euro (Devolo). Im Idealfall kommen die Adapter allerdings allenfalls auf 40 bis 50 Prozent der theoretischen Leistung, in ungünstigen Fällen auch nur auf 10 bis 20 Prozent. Fast-Ethernet-Leistung (100 MBit/s) sollte aber mit den schnellsten Adaptern überall zu erreichen sein. Wenn man bei einem Hersteller bleibt, sind Adapter unterschiedlicher Geschwindigkeiten (200, 500, 1200 MBit/s) zu hundert Prozent kompatibel.
Powerline-Adapter kommen in die Steckdose. Verwenden Sie nur Wandsteckdosen (keine Steckerleisten), und schließen Sie Steckerleisten über die Durchreiche des Adapters an. Die Einhaltung dieser und weiterer Empfehlungen der Hersteller ist keine Pedanterie: Nach unserer Erfahrung kann sich der Datendurchsatz bei einer optimalen Anschlussvariante gegenüber einer fehlerhaften verdreifachen (!). Empirisches Ausprobieren und Messung durch Kopieren großer ISO-Dateien hilft.
Den einen Adapter verbinden Sie per Ethernet-Kabel mit dem DSL-Router, den zweiten Adapter mit dem Endgerät (PC oder Switch). Bei der Ersteinrichtung drücken Sie innerhalb von zwei Minuten den Verschlüsselungsknopf am Gehäuse (bei älteren Devolo-Adaptern auf der Unterseite neben dem Ethernet-Port, bei neueren an der rechten Seite unten). Die Geräte handeln dann einen Code aus, über den sie sich künftig automatisch verbinden. Bei einem weiteren, späteren Ausbau stecken Sie den neuen Adapter an, drücken dann erst den Verschlüsselungsknopf auf einem der älteren Adapter und danach den Knopf auf dem neuen.
WLAN über Powerline
Powerline-Adapter können auch das Funknetz ausbauen. Ein Adapter wie der Devolo DLAN 500 Wifi (802.11n) für etwa 55 Euro eignet sich vor allem dort, wo schon eine Powerline-Basis vorliegt. Es muss mindestens ein weiterer normaler Powerline-Adapter per Ethernet mit dem Router verbunden sein, mit dem sich der Wifi-Adapter dann verbinden kann. Der Wifi-Erweiterungsadapter arbeitet wie ein Access Point und hat vergleichbare Funktionen (Gastnetz, Kindersicherung, Zeitschaltung).
Die Ersteinrichtung erfolgt durch Drücken der Verschlüsselungstaste – erst auf einem normalen Adapter, dann auf dem neu einzurichtenden Wifi-Adapter. Ist das Gerät auf diese Weise angemeldet, kommen Sie über die IP-Adresse an die Konfigurationsoberfläche. Beim genannten Devolo-Adapter legen Sie die üblichen Einstellungen wie SSID (Netzwerkname), WPA/WPA2 und das Kennwort unter „WLAN-Konfiguration -> Access Point“ fest. Auch hier empfehlen wir zur besseren Kontrolle eine vom primären Router-WLAN abweichende SSID.
Netzwerkdrucker
Drucker gehören zu den unkomplizierten Peripheriegeräten. Viele Modelle benutzen standardisiertes PCL (Printer Command Language) oder Postscript. Damit ist der Druck ohne genau passenden Druckertreiber möglich. Multifunktionsgeräte sind problematischer, da sie für jede Funktion einen Treiber benötigen. Nicht jedes Modell läuft mit allen Funktionen unter Linux.
Netzwerkdrucker richten Sie über „Systemeinstellungen –> Drucker –> Hinzufügen“ ein (Ubuntu/Mint). Unter „Neuer Drucker“ gehen Sie auf „Netzwerkdrucker“ und warten Sie eine oder zwei Minuten. Taucht der Drucker nicht von alleine auf, gehen Sie auf „Netzwerkdrucker finden“. Geben Sie hinter „Host“ den Namen oder die IP-Adresse des Druckers ein, und klicken Sie auf „Suchen“. Wird der Drucker gefunden, versucht Linux das Modell zu ermitteln und zeigt unter „Verbindung“ etwa „HP Linux Imaging and Printing (HPLIP)“ an. Nach weiteren optionalen Abfragen klicken Sie zum Abschluss auf „Anwenden“.
Für Druckerfreigaben von Windows-PCs gehen Sie unter „Neuer Drucker“ auf „Windows Drucker via SAMBA“. Nach „smb://“ tragen Sie den Pfad zur Windows-Freigabe in der Form „PC-Name/Drucker-Name“ ein. Eventuelle Leerzeichen in Druckerbezeichnungen müssen durch „%20“ ersetzt werden. Falls nötig, müssen Sie Benutzernamen und Kennwort zur Anmeldung auf dem Windows-PC angeben und diese Kontoinformationen auch unter „Authentifizierungs-Details jetzt festlegen“ eintragen. Dann klicken Sie auf „Vor“, wählen den Hersteller des Druckers und dann das Modell. Wenn mehrere Treiber angeboten werden, wählen Sie den „empfohlenen“.
Der kompakte Ratgeber erklärt wesentliche Aspekte der Internet-Nutzung hinsichtlich Effizienz und Sicherheit. Neben typischen Client-Rollen mit Browser und Mail geht es auch um öffentliche Home- und Web-Server.
Das öffentliche Netz, sprich: Internet, scheint auf den ersten Blick unkomplizierter als das lokale Netzwerk. Der Aspekt Hardware fällt unter den Tisch, denn dafür sorgen der Internet-Provider beziehungsweise die Millionen Web-Server mit ihren Mail-, Download-, Kommunikations-, Info-Diensten. Wer nur Download-technisch unterwegs ist, hat nur die Sicherheitssorge: Er muss dafür sorgen, dass kein digitaler Schmutz im eigenen lokalen Netz landet – und dabei ist Linux per se ein effizienter Schutzwall. Aber Internet ohne Uploads ist nicht realistisch: Mail, Cloud, soziale Netzwerke, Banking, Online-Konten und Synchronisierungsdienste summieren sich zu einer Entropie-Wolke veröffentlichter Upload-Daten. Hier geht es um Datenschutz, also um Schutz durch Verschlüsselung, um Überblick und um Reduktion der Datenmenge. Technisch anspruchsvoll wird es, wenn Daten von Home-Servern und Web-Servern über das Internet erreichbar sein sollen, aber vielleicht nicht für alle und jeden.
Internet-Grundlagen
Bandbreiten und MBit/s
Die Währung der Internet-Provider sind die relativ unhandlichen MBit/s, Megabits pro Sekunde. Um aus MBit/s eine anschauliche Datenmenge zu errechnen, teilen Sie grob durch 10 und runden großzügig auf: Bei 16 MBit/s gehen also gut 1,6 MB (2,0) pro Sekunde durch die Leitung, bei 50 MBit/s gut 5 MB (6,25). Aktuell reichen die angebotenen Bandbreiten von 2 bis 400 MBit/s. Welche Bandbreite wofür notwendig ist, soll folgende Grobübersicht zeigen:
Mit 6 MBit/s funktionieren Mail, soziale Netzwerke und HTML-Darstellung noch flott, Video-Wiedergabe wird aber bereits bei mäßiger Qualität grenzwertig.
16 MBit/s garantieren schnelles Surfen, flotte Software-Downloads und mit Abstrichen den Zugang zu IPTV und TV-Mediatheken.
25-50 MBit/s erlauben rasante Medien-Downloads (Audio, Film) und ruckelfreie Wiedergabe aller Medienangebote, grenzwertig bei hochauflösendem HD-Inhalten.
100-200 MBit/s sind Bandbreiten für anspruchsvolles Home-Office und Download-Junkies mit keinerlei Limits auf der Empfängerseite. Noch schnellere Leitungen sind derzeit kaum sinnvoll, weil Internetserver solche Datenmengen selten ausliefern.
Die Übertragungstechniken
DSL (Digital Subscriber Line) nutzt vom grauen Kasten an der Straße (DSLAM) bis zum Kunden das Kupferkabel der Telefonleitung und ist mit 16 MBit/s am oberen Limit. VDSL (Very High Speed Digital Subscriber Line) verwendet denselben Übertragungsweg, kommt aber durch technische Optimierung auf maximal 52 MBit/s.
Internet via Fernsehkabel ist schneller als (V)DSL und mit geringem Aufwand erreichbar, wo bereits ein Kabelanschluss besteht. Die Angebote der größten Kabelprovider Vodafone und Unitymedia reichen derzeit von 32 bis 400 MBit/s.
Glasfaser direkt zum Endkunden (Fibre to the Home) könnte theoretisch 1000 MBit/s übertragen, ist aber praktisch überall mit langsameren Kupferkabel kombiniert. Die Angebote nennen daher vergleichsweise bescheidene 25 bis 200 MBit/s. Glasfasernetze sind in Deutschland nur sporadisch anzutreffen.
Das Funknetz UMTS erzielt theoretisch bis zu 42 MBit/s. Typische Angebote liegen bei 7, 14 und 21 MBit/s. Neben der relativ geringen Geschwindigkeit müssen UMTS-Kunden mit einem knappen Downloadlimit auskommen. Wer dies überschreitet, wird auf mageren Kilobyte-Durchsatz gedrosselt. UMTS bleibt ein Notnagel, wo sonst nichts geht.
Das Funknetz LTE (Long Term Evolution, UMTS-Nachfolger) liefert – in der Theorie – bis zu 375 MBit/s. Die Angebote der Hauptprovider Telekom, Vodafone und O2 bewegen sich überwiegend zwischen 7 und 50 MBit/s. Auch hier gibt es enge Downloadlimits, deren Überschreitung die Leitung drosselt.
Verfügbarkeit prüfen: Simpelster Rat ist es, positive Erfahrungen der Nachbarn zu erfragen. Eine systematische Recherche-Quelle ist der Breitbandatlas unter www.zukunft-breitband.de, der Techniken und Anbieter für die Region anzeigt und dabei auch einen Filter für die gewünschte Bandbreite vorsieht. Mit einer Verfügbarkeitsprüfung beim passenden Anbieter mit genauer eigener Adresse erhalten Sie dann zuverlässige Auskunft.
Downloads und Uploads: Provider-Angebote nennen meist nur die Empfangsleistung, also die Download-Bandbreite. Das ist insofern berechtigt, als 99 Prozent der Endkunden nur Daten abholen wollen (HTML-Seiten, Medien-Streams, Datei-Downloads). Wer zu Hause einen Server betreibt oder beruflich große Datenmengen an Server verschicken muss, sollte auch an die Upload-Leistung denken. Die liegt oft nur bei 1 bis 3 MBit/s. Schnellere Uploads sind in der Regel nicht gesondert, sondern nur über teurere Gesamtpakete zu erreichen, die dann zugleich schnellere Downloads erlauben.
Die zwei IP-Adressen (LAN und WAN)
Im lokalen Netzwerk (LAN – Local Area Network) hat jedes Gerät hat seine IP-Adresse. Der Zugang ins Internet bedeutet den Schritt in ein anderes Netzwerk – ins WAN (Wide Area Network), und dafür ist eine zweite, öffentliche IP-Adresse notwendig. Alle PCs, Tablets oder sonstige Geräte in Ihrem Heimnetz gehen mit dieser einen WAN-IP ins Internet. Die öffentliche IP-Adresse können Sie nicht beeinflussen: Sie wird dem Router einmal täglich neu vom Provider zugewiesen. Auch beim manuellen Neustart des Routers erhalten Sie eine neue öffentliche WAN-IP. Feste WAN-IPs gibt es nur noch bei einigen Uralt- oder teuren Business-Verträgen.
Für typische Internet-Nutzung ist es unerheblich, seine WAN-IP zu kennen: Das Gerät im lokalen Netz fordert eine Seite im öffentlichen Internet an (meist via Browser), der Router merkt sich die lokale IP, geht mit der öffentlichen WAN-IP zum angefragten Internet-Server, der schickt die angefragten Daten über die WAN-IP zum Router zurück, und der Router leitet sie schließlich an jenes Gerät weiter (an dessen lokale IP-Adresse), das die Anfrage ausgelöst hatte.
Der skizzierte Vorgang der „Network Address Translation“ (NAT) des Routers sorgt dafür, dass der Benutzer über den permanenten Wechsel vom lokalen Netz ins öffentliche Netz und wieder zurück nichts wissen muss. NAT sorgt ferner dafür, dass das lokale LAN-Netz und die dort befindlichen Teilnehmer vor unerwünschten Anfragen aus dem Internet abgeschottet sind: Alle Teilnehmer (IPs) im lokalen Netz sind nicht direkt erreichbar, sondern nur über die WAN-IP. Eine direkte Kommunikation vom Internet zu einem LAN-PC ist daher nicht möglich, und das ist aus Sicherheitsgründen auch gut so. Der Router verwirft alle Datenpakete aus dem Internet an die öffentliche WAN-IP, die von keinem Gerät im lokalen Netzwerk angefordert wurden.
Externe WAN-IP ermitteln
Die externe WAN-IP wird wichtig, wenn Sie über das Internet auf irgendeinen Serverdienst Ihres lokalen Netzwerks zugreifen oder die Sicherheit Ihres Netzes von außen prüfen wollen (etwa mit nmap). Die WAN-IP zeigt der Router in seiner Konfigurationsoberfläche, so etwa die Fritzbox unter „Übersicht“. Ferner gibt es zahlreiche Webdienste wie etwa www.browsercheck.pcwelt.de/firewall-check, welche die öffentliche IP via Browser zurückliefern.
Auf der Kommandozeile genügt der Befehl:
curl ifconfig.co
Sie erhalten ohne Umschweife die öffentliche WAN-IP. Auch das beliebte Kommandozeilen-Tool inxi, das über den gleichnamigen Paketnamen schnell nachinstalliert ist, beherrscht mit Parameter inxi -i die Abfrage der WAN-IP.
Das Heimnetz über Portfreigaben öffnen
Wer Daten oder Dienste seines lokalen Heimnetzes unterwegs aus dem öffentlichen Internet erreichen will, steht vor technischen und sicherheitstechnischen Problemen. Hinsichtlich der Benutzerauthentifizierung müssen weit strengere Regeln gelten als im lokalen Netz, da mit permanenten Einbruchsversuchen zu rechnen ist. Daher verbieten sich standardisierte User-Namen wie „root“ oder „gast“, und bei den Zugangskennwörtern sind komplexe Passwörter zwingend, an denen Wörterbuchattacken scheitern. Technisch entstehen drei Aufgaben:
1. Der Router benötigt eine Portfreigabe. Welche Portnummer (1- 65535) Sie nach außen öffnen, ist unerheblich – Sie müssen sie sich nur merken. Mit einer Portnummer größer 1000 erhöhen Sie theoretisch die Sicherheit, da Portscanner oft nur prominente Standardports abfragen (etwa 21 FTP, 22 SSH, 80 HTTP, 110 POP-Mail, 143 IMAP-Mail) oder die ersten 1000. Die Portfreigabe geschieht im Router, in der Fritzbox unter „Internet -> Freigaben -> Portfreigaben“. Bei anderen Routern mag das „Portforwarding“, „Portmapping“ oder „Virtual Server“ heißen, das hier für die Fritzbox erklärte Prinzip ist aber überall gleich: Sie tragen neben „von Port“ und „bis Port“ eine frei gewählte Portnummer ein, die nach außen geöffnet wird. Unter „an Port“ müssen Sie genau den Port-Kanal angeben, mit dem der Serverdienst arbeitet. Das kann beispielsweise 22 für SSH oder 80 für einen Webserver sein. Die Abbildung zeigt ein Beispiel für den SSH-Fernzugriff.
2. Der Heimserver benötigt eine feste lokale IP. Damit der Router Anfragen aus dem Web über die definierte Portnummer (frei wählbar) an das richtige Gerät schickt, ist es zuverlässiger, sich nicht auf dessen Hostnamen zu verlassen, sondern mit einer festen IP zu arbeiten. Die Fritzbox erledigt dies unter „Heimnetz -> Heimnetzübersicht -> Netzwerkverbindungen“ mit der Option „Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen“.
3. Für den Fernzugriff auf den heimischen Server benötigen Sie die öffentliche WAN-IP. Der Fernzugriff für das abgebildete SSH-Beispiel kann dann mit ssh -p [Port] [User]@[WAN-IP] erfolgen, also etwa mit:
ssh -p 10880 ha@178.27.34.204
Dabei stellt sich jedoch das Problem, dass Sie die aktuelle WAN-IP Ihres Heimnetzes nicht ermitteln können, wenn Sie sich außerhalb Ihres Netzwerks befinden. Dafür gibt es zwei Lösungen:
3a. Sie registrieren eine Pseudo-Domain etwa bei www.noip.com oder www.dlinkddns.com (für D-Link-Router). Kontodaten und Hostnamen geben Sie dann in die dafür vorgesehenen Eingabefelder des Routers ein. Bei der Fritzbox finden Sie diese unter „Internet -> Freigaben -> Dynamic DNS“. Der Router wird ab sofort bei jeder Einwahl seine WAN-IP an diesen Dienst weitergeben. Folglich führt die Angabe der Pseudo-Domain weltweit in Ihr Heimnetz.
3b. Sie sorgen selbst dafür, dass die aktuelle WAN-IP Ihres Netzwerks irgendwo im Internet hinterlegt ist. Für diese Methode ohne externe Fremdhilfe liefert der nachfolgende Haupttext dieses Artikel Tipps und Anregungen.
Speedtest mit und ohne Browser
Wie schnell ist die Internetverbindung? Als aussagekräftig haben sich die Messwerte von Speedtest.net erwiesen (www.speedtest.net), und viele Provider, die scheinbar eigene Speedtests anbieten, nutzen im Hintergrund ebenfalls Speedtest.net. Die typische Messung erfolgt mit dem Browser, der dazu aktuelles Adobe Flash benötigt. Auf Linux-Systemen, zumal auf Servern ohne grafische Oberfläche, gibt es eine universellere Testmethode im Terminal. Das Python-Script speedtest.py benötigt keinen Browser, lässt sich mit
starten. Durch Pings ermittelt das Script den optimalen Testserver und führt dann die Messungen für die Download- und Upload-Geschwindigkeit durch. Technische Basis ist auch hier der weltweite Web-Service von speedtest.net.
Wie schnell ist der Web-Server?
Wer seinen eigenen Webserver testen will, nutzt am besten das Kommandozeilen-Tool Siege, das unter diesem Paketnamen überall unter Linux verfügbar ist. Siege erzeugt auf dem Zielserver mit einer konfigurierbaren Flut von Anfragen eine ordentliche Last. Siege hat die Anlagen eines Denial-of-Service-Tools und sollte nur zeitlich und numerisch begrenzt, außerdem nur auf eigene Server losgelassen werden. Einen Stresstest mit 50 Verbindungen startet dieses Kommando:
siege -c50 -b www.meinserver.de
Die Anfragen laufen endlos, bis Sie mit Strg-C abbrechen. Nach Abbruch der Belagerung zeigt Siege eine Statistik der Messwerte an. Weitere Server-Tests mit zusätzlichen Ratschlägen zur Leistungsverbesserung bieten Web-Dienste wie https://developers.google.com/speed/pagespeed/insights von Google oder die Pingdom-Analysen unter http://tools.pingdom.com/fpt/.
Downloads und Uploads mit wget und curl
Für automatisierte Downloads und Uploads sind Browser und grafische FTP-Programme ungeeignet. Die wichtigsten Kommandozeilen-Werkzeuge wget und curl sind daher auf den meisten Linux-Systemen standardmäßig installiert. Wget beherrscht den rekursiven Download und kann somit eine komplette Website lokal speichern:
wget –r -l8 http://meineseite.de
Dieser Befehl holt bis in die achte Verzeichnisebene (-l8) alle Dateien von der angegebenen Website. Einzeldownloads sind natürlich mit wget http://seite.de/Datei.txt ebenfalls möglich. Über wget-Downloads lassen sich auch PHP-Scripts auf Web-Servern auslösen. Wo nötig, kann sich wget über die Parameter „–user=“ und „–password==“ auf dem Webserver ausweisen.
Curl beherrscht Uploads und Downloads, allerdings nicht rekursiv. Da Sie alle Downloads mit wget erledigen können, ist Curl vor allem für automatische Uploads relevant. Der entscheidende Parameter für Uploads ist „-T“. Die meist nötige Authentifizierung für FTP-Uploads beherrscht Curl über den Parameter „–user [ftpuser]:[kennwort]“. Das folgende konkrete Beispiel
Das standardmäßig installierte Tool host gibt die IP-Adresse einer Web-Domain zurück:
host google.de
Wer weitere Details erfragen will, sollte whois nachinstalieren, das mit gleichnamigen Paketnamen unter jedem Linux zu beziehen ist. Das Tool liefert zur angegebenen Site mindestens ausführliche Angaben zum Hoster, oft aber weitere Infos zum Domain-Besitzer einschließlich Adresse und Telefon. Whois ist auch hilfreich, um bei Spam-Mails mit gefälschten Adressen den realen Web-Server zu ermitteln.
Tipps und Tricks fürs Internet
1. Sicherheit im Browser: Die Schutzmechanismen
Firefox bietet unter „Extras -> Einstellungen -> Sicherheit“ drei Optionen, um betrügerische Webseiten zu blockieren. Hier sollten unter „Allgemein“ alle Kästchen aktiviert sein. Es handelt sich allerdings nur um einen Grundschutz, der durch Add-ons erweitert werden sollte. Chrome zeigt unter „Einstellungen -> Erweiterte Einstellungen anzeigen -> Datenschutz“ die Option “ Mich und mein Gerät vor schädlichen Websites schützen“. Früher hieß die Option technisch klarer „Phishing- und Malware-Schutz aktivieren“. Sie sorgt dafür, dass Chrome den Zugang auf gefährliche Sites blockiert und vor „ungewöhnlichen“ Downloads warnt. Ob es sich letztlich um eine harmlose Datei handelt, welche die Google-Datenbank nur nicht kennt, können Sie dann selbst entscheiden.
Weitere empfohlene Browser-Erweiterungen finden und installieren Sie über „Add-ons“ in Firefox oder über „Einstellungen -> Erweiterungen“ in Chrome/Chromium. Das Firefox-Add-on Noscript verhindert, dass Webseiten Javascript, Java oder andere ausführbare Inhalte automatisch starten. Sie haben die Kontrolle, ob solche Scripts starten dürfen. Das ist nicht immer bequem, da auf vielen interaktiven Seiten die Scripts explizit erlaubt werden müssen. Einmal erlaubte Sites landen aber in der Whitelist und müssen später nicht mehr bestätigt werden.
Chrome zeigt unter „Einstellungen -> Erweiterte Einstellungen -> Inhaltseinstellungen -> JavaScript“ eine Option, Javascript generell zu verbieten. Das ist nicht praktikabel, da dann sehr viele interaktive Web-Seiten nicht mehr funktionieren (etwa Google Drive, Google Store). Eine alltagstaugliche, mit Firefox-Noscript vergleichbare Lösung, steht nach der Einstellung von Notscript 2014 aus. HTTPS Everywhere: Die Erweiterung wählt, wo immer verfügbar, eine verschlüsselte HTTPS-Verbindung zu einer Website. Verschlüsseltes HTTPS ist vor allem bei Bankgeschäften und Einkäufen im Internet unverzichtbar, weil Sie Zugangsdaten oder Kreditkartendaten über das Netz versenden müssen. Der Browser zeigt eine verschlüsselte Verbindung zur zertifizierten Gegenstelle in der Adresszeile grün gefärbt. Verifizieren Sie das immer, bevor Sie Daten eingeben.
Die über Jahre empfohlene Erweiterung Web of Trust (WOT) ist nach Bekanntwerden zweifelhafter Verkaufspraktiken disqualifiziert. WOT basiert auf einer an sich zuverlässigen Community-Datenbank mit betrügerischen oder jugendgefährdenden Websites und warnt vor dem Betreten solcher Seiten. Ende 2016 wurde allerdings bekannt, dass WOT die gesammelten Benutzerdaten an Big-Data-Kollektoren verkauft. Mozilla Firefox nahm WOT umgehend aus seinem Add-on-Angebot, und wo es bereits läuft, rät der Browser zur Abschaltung. Für Google Chrome ist es weiter erhältlich. WOT erhöht weiterhin die Sicherheit bei der Internet-Nutzung, ist aber aus Datenschutzgründen mehr als bedenklich.
2. Maximale Sicherheit: Banking mit Livesystem
Die Mehrzahl der Bankgeschäfte – Überweisungen, Buchungen, Daueraufträge – werden heute online mit SMS-TANs erledigt. In diesem Fall ist der Browser die Schnittstelle zur Bank, und dessen Sicherheitslücken können potenzielle Angreifer ausnutzen. Voraussetzung bei allen bisher bekannten Angriffsmethoden war aber immer, dass unabhängig von der eigentlichen Banking-Aktion bereits vorher schädlicher Code auf dem System eingeschleust wurde. Daher bietet das virenresistente Linux deutlich höhere Sicherheit als Windows. Überhaupt keine Chance haben Schädlinge, wenn Sie Bankgeschäfte mit Linux und einem schreibgeschützten Livesystem erledigen.
Spezialisierte Livesysteme mit Sicherheitsfokus sind Tails (https://tails.boum.org/index.de.html), Porteus (www.porteus.org) oder Trusted End Node Security (früher Lightweight Portable Security, https://www.spi.dod.mil/lipose.htm). Im Prinzip minimiert aber jedes beliebige Livesystem alle Risiken drastisch. Auf Livesystemen überleben Systemveränderungen vom Benutzer oder von einem Virus keinen Neustart. Da Sie als Software nicht mehr als den Browser benötigen, eignen sich am besten kleine, schnell startende Livesysteme wie etwa Puppy Linux, Quirky, Antergos oder Bunsenlabs.
Mit einem Linux-Livesystem sicher zur Bank: Da nur ein Browser notwendig ist, genügt jedes minimale Livesystem wie hier Puppy Linux.
3. Datenschutz durch Spezialsystem Tails
Tails (The Amnesic Incognito Live System) ist eine populäre Linux-Distribution im Zeichen von Anonymität und Datenschutz. Wenn Sie auf der Projektseite https://tails.boum.org auf „Installieren Sie Tails“ klicken, startet ein deutschsprachiger Installations-Assistent, der Sie Schritt für Schritt bei der Erstellung eines USB-Sticks begleitet. Tails erfüllt als Livesystem alle Sicherheitsansprüche, geht aber wesentlich weiter: Es nutzt das Tor-Netzwerk, das sämtlichen Internetverkehr (Browser, Mail, FTP) über jeweils drei Zwischenstationen abwickelt. Zielserver erfahren also nie Ihre öffentliche WAN-IP, sondern nur die des letzten Tor-Knotens.
Das Livesystem ist vorab so konfiguriert, dass alle Internet-Programme wie Browser oder Mail-Client das Tor-Netzwerk einsetzen. Sobald Sie sich angemeldet haben, dauert es ein paar Sekunden und Sie erhalten die Benachrichtigung, dass Tor gestartet ist. Das Zwiebelsymbol im Systempanel färbt sich grün. Ein Rechtsklick und der Aufruf des „Kontrollpanel“ bestätigt die Verbindung zum Tor-Netz. Somit können Sie mit dem anonymisierten Surfen beginnen. Wenn Sie eine der zahlreichen Seiten zur Ermittlung Ihrer externen IP-Adresse aufrufen (www.wieistmeineip.de), werden Sie sehen, dass sich die externe Adresse regelmäßig ändert.
Als Tor-Knoten kann sich allerdings jeder zu Verfügung stellen („Einstellungen -> Beteiligung -> Relais-Verkehr…“). Es gibt keine technische (Bandbreite) oder personelle Kontrolle. Die Surfgeschwindigkeit kann daher je nach Zwischenstationen beträchtlich sinken. Gelingt es Überwachungsstellen, Tor-Knoten zu kontrollieren, können Nutzer wieder de-anonymisiert werden. Außerdem ist es bei strafrechtlichen Tatbeständen zwar ein ungleich höherer Aufwand, aber keineswegs ausgeschlossen, durch Analyse aller Tor-Verbindungsdaten die Spur zum Täter zurückzuverfolgen.
Für (technische) Sicherheit im Web ist Tails nicht notwendig. Es handelt sich um ein Anonymisierungswerkzeug für besonders misstrauische Nutzer, die dafür auch langsame Verbindungen in Kauf nehmen. Wer nur Datensammler wie Google mit Re-Targeting und nachfolgender Werbebelästigung loswerden will, kommt mit dem „Private“- oder „Inkognito“-Modus von Firefox und Chrome aus (-> Punkt 5).
4. Datenschutz im Browser: Verschlüsselte Synchronisierung
Die Browser-Synchronisierung von Lesezeichen, Online-Kennwörtern, Einstellungen, Erweiterungen und Skins bedeutet für Nutzer mehrerer Geräte einen unschätzbaren Komfort. Weniger erfreulich ist der Nebenaspekt, dass dabei Mengen von persönlichen Daten auf Google- oder Mozilla-Servern hinterlegt werden müssen.
Der Mozilla-Browser Firefox verschlüsselt standardmäßig alle Daten, wobei der Schlüssel auf dem Gerät des Benutzers verbleibt. Generell darf Mozilla zu den „Guten“ gerechnet werden, die ein Auswerten von Nutzerdaten nicht selbst betreibt, sondern allenfalls zulassen muss.
In Chrome/Chromium werden standardmäßig nur die Kennwörter verschlüsselt. Aber unter „Einstellungen -> Erweiterten Synchronisierungseinstellungen“ (vorherige Google-Anmeldung vorausgesetzt) gibt es die zusätzliche Option „Alle synchronisierten Daten […] verschlüsseln“, bei der Sie ein individuelles Kennwort zur Sync-Verschlüsselung vergeben, das unabhängig vom Google-Kennwort ist. Der Komfortverlust ist nicht gravierend, da Sie dieses Kennwort auf jedem weiteren Gerät nur ein einziges Mal eingeben müssen. Alle Daten landen dann verschlüsselt auf dem Google-Server, der Schlüssel dazu (Kennwort) verbleibt auf dem lokalen Gerät.
5. Datenschutz im Browser: „Inkognito“ und „Do not Track“
„Inkognito“ Surfen bietet keinerlei technischen Schutz vor digitalen Schädlingen oder betrügerischen Webseiten. Es anonymisiert auch nicht die IP-Nummer und verschleiert keine strafbaren Handlungen. Das Browsen im „Inkognito-Fenster“ (Chrome) oder im „Privaten Fenster“ (Firefox) ist aber eine nützliche Datenschutzmaßnahme: Es unterbindet den Großteil der Tracking-Schnüffelei der Website-Betreiber. Ein wichtiger Nebenaspekt ist ferner, dass Sie hier ohne Cookies und Web-Protokolle unterwegs sind und daher neutrale und ungefilterte Ergebnisse erhalten (gelegentlich wichtig bei Suchmaschinen und Online-Shops). In Chrome und Firefox starten die Tastenkombinationen Strg-Umschalt-N und Strg-Umschalt-P am schnellsten ein privates Fenster.
Neben dem nützlichen Inkognito-Modus bietet mittlerweile fast jeder Browser eine „Do not track“-Option. Dieser Info-Tag im HTTP-Header der Browser-Anfrage sollte es der Gegenstelle verbieten, Nutzungsprofile über den Besucher anzulegen. Der Effekt ist aber fraglich, weil Websites nicht verpflichtet sind, diese Bitte zu berücksichtigen. In Chrome/Chromium wählen Sie im Menü „Einstellungen“ und dort ganz unten „Erweiterte Einstellungen“. Im Abschnitt „Datenschutz“ finden Sie die Option „Mit Browserzugriffen eine „Do Not Track“-Anforderung senden“. Auch beim Firefox ist „Do not track“ nicht standardmäßig aktiv. Sie finden die Einstellung im Menü unter „Einstellungen -> Datenschutz“ in der Option „Websites mitteilen, meine Aktivitäten nicht zu verfolgen“.
6. Datenschutz: Mailverschlüsselung mit Thunderbird
Das Verschlüsseln der Mail-Korrespondenz ist wie jede Datenschutzmaßnahme mit gewissem Mehraufwand verbunden. Die Kombination von GnuPG plus Thunderbird mit Erweiterung Enigmail ist die wohl komfortabelste Lösung, erfordert aber etwas Gewöhnung und zumindest einen Anteil von Mail-Partnern, die ebenfalls GnuPG nutzen. Thunderbird und GnuPG (GNU Privacy Guard) sind auf Linux-Desktops meist vorinstalliert, und falls nicht, über die Paketnamen „thunderbird“ und „gnupg“ schnell nachgerüstet (für Windows gibt es Downloads unter www.mozilla.org und www.gnupg.org). Enigmail finden und installieren Sie in Thunderbird über „Add-ons“.
GnuPG verwendet zwei Schlüssel: Der öffentliche Schlüssel eines Mail-Teilnehmers wird dafür genutzt, Nachrichten an diesen Teilnehmer zu verschlüsseln. Der Teilnehmer selbst entschlüsselt die Nachricht mit seinem geheimen, privaten Schlüssel.
Nach der Installation der Enigmail-Erweiterung und einem Thunderbird-Neustart verwenden Sie im automatisch angebotenen Einrichtungsassistenten die „ausführliche Konfiguration“. Im ersten Schritt geben Sie die „Passphrase“ ein. Das Passwort benötigen Sie später, um auf Ihre Schlüssel zugreifen zu können. Es bildet auch die Grundlage für die Schlüssel. Nach der doppelten Eingabe legt Enigmail das neue Schlüsselpaar (öffentlich/privat) an. Falls Sie auf einem anderen Rechner bereits ein eingerichtetes Enigmail und ein Schlüsselpaar besitzen, wählen Sie im Assistenten die Option, bestehende Schlüssel zu importieren. Schlüssel lassen sich über „Enigmail -> Schlüssel verwalten“ als Ascii-Dateien exportieren und auf anderen Rechnern importieren.
Öffnen Sie wie gewohnt den Editor zum Verfassen von Nachrichten. Dort hat Enigmail jetzt eine weitere Symbolleiste platziert. Möchten Sie eine ausgehende Nachricht verschlüsseln, benötigen Sie den öffentlichen Schlüssel des Empfängers. Wenn Ihnen dieser als Textdatei vorliegt, können Sie den Schlüssel über „Enigmail -> Schlüssel verwalten -> Datei importieren“ einlesen. Alternativ gibt es Schlüsselserver, die öffentliche GnuPG-Schlüssel aufbewahren. Über „Schlüsselserver -> Schlüssel suchen“ sehen Sie nach, ob die Empfängeradresse dort eingetragen ist; falls ja, importieren Sie den Schlüssel mit einem Klick. Umgekehrt ist es sinnvoll, den eigenen Schlüssel über „Schlüsselserver -> Schlüssel hochladen“ im Web zugänglich zu machen.
Nach einem Schlüsselimport ist der neue Mail-Empfänger Enigmail/GnuPG bekannt. Künftig klicken Sie beim Verfassen einer Nachricht an diesen Empfänger auf das Symbol mit dem Schloss. Enigmail lässt sich auch so einstellen, dass Mails automatisch verschlüsselt gesendet werden, wenn für die Empfänger-Adresse schon ein Schlüssel vorliegt („Enigmail -> Einstellungen -> Senden“). Um Mails verschlüsselt zu versenden, müssen Sie Ihr Passwort eingeben. Wenn Sie mit dem Schloss-Symbol verschlüsselt senden wollen, aber kein Empfänger-Schlüssel vorliegt, erscheint automatisch der Hinweis, dass dieser Empfänger „nicht gültig“ ist. Dann besorgen Sie sich entweder den öffentlichen Schlüssel oder Sie senden unverschlüsselt.
Erhalten Sie umgekehrt eine E-Mail, die verschlüsselt wurde, erkennt Enigmail das automatisch. Wenn Sie im Vorschaubereich von Thunderbird auf das Element klicken, werden Sie dazu aufgefordert, das Passwort einzugeben. Wenige Augenblicke später erscheint die Nachricht.
Beachten Sie, dass Sie bei der Nutzung mehrerer Rechner die Schlüsselverwaltung manuell synchron halten müssen. Eine wichtige Hilfe ist wieder „Enigmail -> Schlüssel verwalten -> Datei exportieren“, wobei Sie einfach sämtliche Schlüssel markieren. Die resultierende Ascii-Datei lässt sich dann auf dem nächsten Rechner in einem Rutsch importieren.
7. Datenschutz: Verschlüsseln der Cloud-Daten
Dateien auf Dropbox, Onedrive, Hidrive & Co. sollten verschlüsselt werden, zumindest jene mit sensiblem Inhalt. Ohne Vorbereitung praktikabel, aber etwas unkomfortabel sind passwortgeschützte Packer-Archive etwa mit 7-Zip. Wenn Sie eine Cloud wie Dropbox über einen lokalen Synchronisierungsordner nutzen, dann ist der Einsatz von EncFS (Encrypted File System) mit grafischem Frontend Cryptkeeper komfortabler. EncFS und Cryptkeeper sind unter Debian, Ubuntu oder Linux Mint mit
sudo apt-get install encfs cryptkeeper
schnell nachinstalliert. Die Ersteinrichtung müssen Sie auf der Kommandozeile mit encfs erledigen, da Cryptkeeper Quellordner und Mountordner auf gleicher Ebene anlegt. Das wäre in diesem Fall kontraproduktiv, weil die Cloud neben den verschlüsselten auch die unverschlüsselten Dateien erhielte:
encfs ~/dropbox/privat ~/Dokumente/dropbox
Sie arbeiten dann unter „~/Dokumente/dropbox“ normal mit den Dateien, die unter „~/dropbox/privat“ verschlüsselt werden. In der Cloud landen demnach nur verschlüsselte Daten.
Den bequemen cryptkeeper mit seinem Schlüsselsymbol in der Systemleiste können Sie später über die Option „Importiere EncFS Ordner“ mit dem Dropbox-Ordner bekannt machen. Der erlaubt einfache Auswahl zwischen mehreren EncFS-Ordner und schnelles Mounten und Aushängen per Mausklick.
Beachten Sie, dass alle sonstigen Dateien im Cloud-Verzeichnis weiter unverschlüsselt bleiben. Wenn Sie diese nachträglich verschlüsseln möchten, müssen Sie diese in den verschlüsselten Unterordner verschieben.
8. Datenschutz: Keepass-X mit Synchronisierung
Die Browser-Synchronisierung (-> Punkt 4) ist eines der komfortabelsten Cloud-Angebote. Dennoch hat sie zwei Mängel: Erstens machen Sie sich abhängig von Google oder Mozilla, zweitens speichern Firefox und Chrome keine lokalen Kennwörter. Wenn Sie alle Passwörter im Griff haben wollen, brauchen Sie zusätzliche Hilfe.
Der Passwort-Manager Keepass-X, der in gängigen Distributionen in den Paketquellen liegt (Debian/Ubuntu/Mint: sudo apt-get install keepassx) arbeitet als lokale Software und öffnet die maßgebliche KBDX-Datenbankdatei nach Eingabe des Keepass-Masterpassworts. Eine Synchronisierung der KBDX-Datei über mehrerer Rechner ist leider nicht vorgesehen, lässt sich aber über einen Trick erreichen, etwa über den lokalen Synchronisierungs-Ordner von Dropbox. Dann genügt es, Keepass-X mit der aktuellen KBD-Datei über den Aufruf
keepassx ~/Dropbox/[name].kbdx
zu laden. Dieser direkte Aufruf der Datenbankdatei funktioniert auch unter Windows.
Wer selbst einen Server besitzt, kommt ohne Cloud-Dienst aus und kann mit einem simplen Bash-Wrapper wie
dafür sorgen, dass Keepass immer die aktuelle Datenbank nutzt und Änderungen wieder auf den Server zurückschreibt. Die KBDX-Datei ist per se verschlüsselt und kann ohne weiteren Schutz auf jedem Server liegen.
9. Server: Homepage – öffentlich statt privat?
Eine Homepage kann neben öffentlichen Aufgaben auch dazu dienen, wichtige Downloads oder Infos bereitzustellen, die Sie überall erreichen wollen. Dabei sollten Sie aber sichergehen, dass nicht öffentlich wird, was Sie für den privaten Bedarf bevorraten. Google und andere Suchmaschinen durchsuchen praktisch alle verbreiteten Text-, Tabellen-, Präsentationsformate, selbst PDF- und Postscript-Dateien. Dies führt dazu, dass Suchmaschinen eventuell weltweit Inhalte präsentieren, die Sie für sich persönlich hochgeladen haben. Lediglich Zip-, Rar-, 7-Zip oder Tar-Archive sind den Bots zu mühsam. Packen ist also eine Methode, um die Crawler von Privatinhalten fernzuhalten. Eine weitere, noch einfachere Lösung ist ein „Disallow“ in der robots.txt. Diese Datei im Hauptverzeichnis Ihrer Site kann die Suchmaschinen von bestimmten Verzeichnissen fernhalten:
User-agent: *
Disallow: /Downloads/
Auch der Ausschluss von bestimmten Dateitypen ist möglich:
Disallow: /*.doc$
Für mehrere Anweisungen benötigen Sie je eine eigene „Disallow“-Zeile. Beachten Sie aber, dass sich die Suchmaschinen zwar an die robots.txt halten, dazu aber nicht verpflichtet sind. Packen ist letztlich sicherer.
10. Server: Homepage ohne Dateiauflistung
Ohne spezielle Vorkehrungen ist theoretisch jede Datei im Web von jedem Browser aus zu erreichen, wenn der URL-Pfad und der Dateiname bekannt oder zu erraten sind. Die Situation verschärft sich, wenn Sie für Verzeichnisse eine index.php oder index.html verwenden, die den Inhalt des Verzeichnisses auflistet. Der für Websites meist verantwortliche Apache-Server kann sogar so eingestellt sein, dass er Verzeichnislisten automatisch anbietet, ohne dass dafür eine Index-Datei notwendig wäre („/etc/apache2/apache2.conf“ und Einstellung „Options Indexes FollowSymLinks“). Hier genügt es in jedem Browser weltweit, den Verzeichnisnamen zu erraten („downloads“, „uploads“), um den Inhalt anzuzeigen und herunterzuladen. Standardmäßig schalten die Web-Hoster diese Einstellung allerdings ab.
Ungewöhnlich benannte Verzeichnisse oder PHP- und HTML-Datei erschweren das Erraten von privaten Daten. Allerdings gibt es spezialisierte Tools wie Dirbuster, die öffentliche Webserver hartnäckig nach Verzeichnisnamen durchkämmen, die in einer Wörterbuchdatei definiert sind. Deutlich sicherer ist es, den Zugriff mit einer htaccess-Datei zu beschränken. Das müssen Sie nicht manuell, sondern können es über das Kundencenter des Hosters erledigen. So bieten etwa Strato oder 1&1 einen „Verzeichnisschutz“, wo Sie nur einen Benutzer mit Kennwort anlegen müssen, danach das gewünschte Verzeichnis schützen und drittens dem vorher angelegten Benutzer eine Freigabe für das Verzeichnis erteilen.
11. Server: Portfreigabe ohne Fremdhilfe
Wie Sie einen Web-, FTP- oder SSH-Server im heimischen Netzwerk für das Internet freigeben, ist im Kasten „Internet-Grundlagen“ beschrieben. Wie dort skizziert, ist das Problem der wechselnden WAN-IP durch die tägliche Zwangstrennung auch ohne Hilfe durch Dyndns-Anbieter wie www.noip.com zu lösen. Die Zutatenliste hierfür ist keine große technische Herausforderung. Im Wesentlichen geht es nur darum, dass Sie Ihre aktuelle WAN-IP zuverlässig irgendwo im Internet vorfinden. Damit und mit der Portnummer, die Sie im Router freigegeben haben, kommen Sie dann von außen an den Home-Server. Im einfachsten Fall erkundigt sich ein Rechner im Heimnetz einmal täglich bei einem Web-Dienst nach der WAN-IP und schreibt sie in eine Textdatei:
curl ifconfig.co > wan-ip.txt
Diese Textdatei kopieren Sie dann etwa in den lokalen Synchronisierungsordner der Dropbox, wonach sie umgehend im Internet erreichbar ist. Oder Sie kopieren sie mit
auf einen FTP-Server im Web.
Wenn Sie eine Webseite besitzen oder einen Bekannten, der Ihnen dort Zugriff und ein paar Kilobyte einräumt, dann geht es auch ganz ohne Cloud und Web-Dienste:
1. Die Abfrage der WAN-IP muss aus dem heimischen Netz erfolgen. Am besten erledigt das der Server, dessen Dienste Sie freigeben wollen, mit einem Cronjob (nach crontab -e):
2. Das täglich um acht Uhr mit wget angestoßene PHP-Script liegt auf Ihrer oder Ihres Bekannten Website und enthält im Minimalfall folgende Zeilen:
Der Webserver ermittelt die WAN-IP Ihres Heimnetzes, da die Anfrage von dort kommt, und legt sie als TXT-Datei am Server ab – im gleichen Verzeichnis, wo auch das Script liegt. Somit können Sie die IP weltweit abgreifen und damit Ihr Heimnetz betreten.
Beachten Sie bei einer frei gewählten Nummer für die Portfreigabe (siehe „Internet-Grundlagen“), dass Sie beim Fernzugriff unbedingt auch den Port angeben müssen. Einen Apache-Webserver erreichen Sie dann etwa mit der Adresse http://[WAN-IP]:[Port] oder gegebenenfalls mit zusätzlicher Angabe des Verzeichnisses (etwa http://[WAN-IP]:[Port]/dokuwiki).
13. Server: Datentransfer über SSH (SFTP)
Ein über das Internet mit SSH zugänglicher Server bietet nicht nur Fernwartung im Terminal, sondern auch direkten Dateitransfer. Der verläuft verschlüsselt und ist somit sicherer FTP. Auf der Kommandozeile gibt es die Befehle scp (Secure Copy) und sftp (Secure File Transfer Protocol):
scp test.txt sepp@[WAN-IP]:~/sftp sepp@[WAN-IP]
Portfreigaben mit abweichender Portnummer (Standard ist 22) können Sie beiden Tools dem Parameter „-P“ mitteilen.
Weit komfortabler ist der Einsatz grafischer Dateimanager. Nautilus & Co. verstehen URLs wie ssh://[WAN-IP]:[Port] in der Adresszeile (die Adresszeile lässt sich mit Strg-L einblenden). Selbst unter Windows gibt es einen bequemen Zugriff: Filezilla beherrscht neben FTP auch SFTP: Sie können daher einen freigegebenen SSH-Server mit der WAN-IP, seinen Authentifizierungsdaten („Verbindungsart: Normal“) und SFTP-Protokoll in den Servermanager eintragen und sich verbinden.
Achtung: SFTP hat ein historisches Problem, das nach erfolgreicher Anmeldung zu Zeitüberschreitungsfehlern führt. Relativ einfache Abhilfe schafft eine Korrektur der Datei /etc/ssh/sshd_config auf dem SSH-Server. Ersetzen Sie dort
Subsystem sftp /usr/lib/openssh/sftp-server
durch „Subsystem sftp internal-sftp“ und starten Sie den SSH-Dienst mit sudo service ssh restart neu.
13. Server: Benutzer bei SSH ausschließen
Standardmäßig kann sich jeder Benutzer, der ein Konto auf einem Linux-Server hat, per SSH mit Kontonamen und Passwort anmelden. Im lokalen Heimnetz ist das meist in Ordnung, bei öffentlich erreichbaren Servern nicht. Der Benutzer root beispielsweise sollte sich nicht anmelden können, denn hier ist von den beiden Zugangshürden (Benutzer plus Kennwort) schon mal eine bekannt. Wenn ein Angreifer das root-Passwort durch eine Wörterbuchattacke errät, ist das System kompromittiert. Um root und andere Benutzer von SSH auszuschließen, ist eine Anpassung der Konfigurationsdatei /etc/ssh/sshd_config nötig. Tragen Sie die Zeile
PermitRootLogin no
an einer beliebigen Position ein, um einen root-Login zu verbieten. Wichtige Voraussetzung für diese Maßnahme ist, dass sudo für einen oder mehrere Benutzer eingerichtet ist, damit man sich als Admin nicht selbst über das Netzwerk aussperrt. Weitere Benutzer schließen Sie durch die Zeile
DenyUsers [Benutzer1] [Benutzer2]
aus, wobei die Platzhalter [Benutzer] durch die tatsächlichen Namen der Benutzerkonten ersetzt werden. Die Einstellung wird nach
Zwei Internetzugänge sind im Hinblick auf Ausfallsicherheit eine feine Sache. Dann hat man aber auch zwei Router und zwei lokale Netze an der Backe – mit allerlei Chancen und logischen Problemen.
Dieser Beitrag bespricht ganz klar ein Minderheitenthema: Die Luxusprobleme, die sich mit zwei Internetzugängen, zwei Routern und zwei lokalen Netzen ergeben, dürften in privaten Haushalten und Home-Office-Umgebungen die große Ausnahme sein. Wer allerdings beruflich auf ein funktionierendes Internet angewiesen ist, wird über ein günstiges Fallback-Internet zumindest schon mal nachgedacht haben – insbesondere in Situationen, wo sich der aktuelle Provider mal wieder eine Auszeit nahm.
Hier geht es ausschließlich um die logische Organisation und praktikables Arbeiten mit zwei Netzen, nicht um Bandbreitenoptimierung und Load Balancing mit speziellen Dual-WAN-Routern. Einen Beitrag zu diesem Thema finden Sie auf pcwelt.de unter http://goo.gl/xNQNI8.
Zweites Netz als pures Backup-Netz
Das einfachste Szenario ist ein Entweder-Oder, wobei das zweite Netz als reine Fallback-Aushilfe dient, wenn das primäre ausfällt. Damit geht man allen organisatorischen Problemen aus dem Weg. Etwas Planung ist aber sogar hier zu empfehlen: Damit der sekundäre Router im Ernstfall sofort sämtliche Geräte versorgen kann, sollte er nach einer einzigen Kabelverbindung an einem Switch zum Netzwerk-Chef werden. Theoretisch kann der zweite Router sogar dauerhaft am Switch verbunden bleiben, sofern man ihn prinzipiell nur dann einschaltet, wenn vorher der primäre Router abgeschaltet wurde.
Bei dieser konsequent einfachen Konstellation ist es komfortabel, wenn beide Router eine identische Konfiguration aufweisen, also mit der gleichen Router-IP und den gleichen festen IP-Adressen für die Netzgeräte. Die Router-IP und damit den Adressraum für das lokale Netz können Sie etwa bei Fritzboxen unter „Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IP-Adressen“ vorgeben. Feste IPs für Geräte (sofern nötig) sind unter „Heimnetz -> Netzwerk -> Geräte und Benutzer -> Gerät hinzufügen“ einzustellen. Bei sehr ähnlichen Routern desselben Herstellers kann sogar der Import aller Einstellungen über eine Datei gelingen. Eine identische Konfiguration der beiden Router hat den großen Vorteil, dass man Konfigurations-Backends, Web-Server, Intranet-Wikis, Freigabenallesamt mit der gleichen IP sowie Browser-Lesezeichen und Dateimanager-Lesezeichen erreicht – egal, welches Netz gerade läuft.
Zweites Netz im Parallelbetrieb
Das Fallback-Netz über Wochen oder Monate brachliegen zu lassen, ist oft zu schade. Es eröffnet Möglichkeiten, das Gesamtnetzwerk in privilegierte und nicht privilegierte Bereiche zu trennen. Auch die sicherheitskritische Öffnung für das Internet über Portfreigaben, ist risikoloser, wenn sie in einem sekundären Netz stattfindet, das nicht viel Sensibles zu bieten hat. Das prinzipbedingte Problem beim Parallelbetrieb ist aber, dass am Ende für den Gesamtbetrieb wieder beide Netze unentbehrlich werden und beim Ausfall eines Netzes erheblicher Konfigurationsaufwand anfällt. Daher: Keep it simple!
Für einen Parallelbetrieb gibt es diverse Spielarten. Am einfachsten sind zwei getrennte Netze, etwa eines für Ethernet und eines für WLAN, oder eines für private und eines für berufliche Zwecke. Sobald ein Datenaustausch zwischen den Netzen möglich sein soll, gelten einige Grundregeln:
1. Die beiden Router benötigen unbedingt verschiedene IP-Adressen, etwa 192.168.1.1 und 192.168.178.1, womit die resultierenden Netze ebenfalls unterschiedliche Adressbereiche erhalten.
2. Jedes Gerät, das zwei Netzwerkadapter mitbringt (etwa Ethernet und WLAN), kann sich mit beiden Netzen verbinden – also etwa auf Freigaben im Netz 1 wie auch im Netz 2 zugreifen. Die beiden Adapter eines solchen Clients sollten aber so konfiguriert werden, dass der Rechner standardmäßig nur über ein bestimmtes Gateway ins Internet geht (vorzugsweise über das schnellere). Bleibt dies ungeregelt, führt das praktisch zwangsläufig zu massiven Einbrüchen der Internet-Leistung. Unter Linux ist die Datei /etc/network/interfaces für die Adapterkonfiguration zuständig. Hier benötigt der zweite Adapter, der ausschließlich im lokalen (zweiten) Netz arbeiten soll, eine manuelle, statische IP und – wichtig: Das „gateway“ wird einfach weggelassen.
Bei Windows-Rechnern ist es über das „Netzwerk- und Freigabecenter“ auch kein Problem, für einen Adapter die IPv4-Einstellungen mit fester Adresse vorzunehmen und dabei „Standardgateway“ und „DNS-Server“ leer zu lassen.
3. Einfacher als mehrere Client-Rechner so einzurichten wie unter 2. beschrieben, ist ein zentraler Datenserver für beide Netze. Dann muss man die Adapter via /etc/network/interfaces nur bei diesem Server konfigurieren, der dann beide Netze bedient. Der Server sollte aber zwei Ethernetports mitbringen, die dann per Kabel mit den beiden Routern verbunden sind. Da ein zweiter Ethernetport meist fehlt, ist ein LAN-Adapter via USB eine ideale Ergänzung. Der nicht ganz billige Delock Adapter (circa 22 Euro) mit schnellem USB 3.0 und schnellem Gigabit-Ethernet ist eine Empfehlung, weil er auf jedem getesteten Platinenserver (mit Debian, Ubuntu, Open Media Vault, Windows IoT) auf Anhieb funktionierte.
Parallelbetrieb mit Netzwerkbrücke
Eine elegante Option, zwei Netze zu vereinen, ist eine Netzwerkbrücke. Diese sorgt dafür, dass jedes Gerät, das sich in einem Netz anmeldet, automatisch auch im zweiten Netz eine IP-Adresse erhält und somit auch dort verfügbar ist. Alle Freigaben, Netzdrucker, Intranet-Ressourcen sind überall zugänglich. Voraussetzung ist, dass ein Rechner, der in beiden Netzen hängt (am besten per Ethernet), dauerhaft diese Brückenrolle übernimmt. Diese Abhängigkeit von einem laufenden Rechner hat auch einen Vorteil, nämlich dass nach Abschaltung des Brückenrechners wieder der getrennte Zustand eintritt.
Linux benötigt lediglich ein winziges Toolpaket:
sudo apt-get install bridge-utils
Eine temporäre Brücke ist dann mit
brctl addbr br0 brctl addif br0 eth0 eth1
schnell gebaut. Die im Beispiel genannten Schnittstellen „eth0“ und „eth1“ können natürlich anders heißen, was mit ifconfig vorab abzufragen ist. Diese temporäre Brücke überlebt keinen Neustart des Brückenrechners, eine dauerhafte Brückenkonfiguration muss in die Datei /etc/network/interfaces eingetragen werden. Die wesentlichen Anweisungen lauten so:
auto br0 iface br0 inet manual bridge_ports eth0 eth1
Nach dem Eintragen der Brücke ist ein Neustart des Geräts zu empfehlen. Bei einer neu eingerichteten Brücke kann es etwas dauern, bis alle laufenden Netzgeräte erkannt und berücksichtigt sind. Ein Blick in die Geräteliste der beiden Router wird aber umgehend zeigen, dass die Geräte vom jeweils anderen Netz hier neu auftauchen.
Das Prinzip der Brücke ist nicht wirklich kompliziert: Der Brückenrechner sieht nach, welche Geräte in beiden Netzen vorhanden sind und vergibt für jedes Gerät eine IP-Adresse für das jeweils andere Netzwerk.
Unter Windows ist eine Brücke bequem über das „Netzwerk- und Freigabecenter“ in den Adaptereinstellungen zu errichten. Dabei werden einfach beide Adapter markiert und dann nach Rechtsklick zur Brücke zusammengefasst.
Bandbreiten mit 30, 50, 100 und 200 MBit/s – früher nur im lokalen LAN denkbar – sind heute weder technisch noch finanziell eine Hürde. Die Fragen sind: Welche Bandbreite wollen Sie und was ist vor Ort verfügbar?
Die Währung: Was sind MBits?
Die entscheidende Währung der Internet-Provider ist MBit/s, Megabits pro Sekunde. Wenn bei Angeboten drei Nullen dranhängen wie etwa bei „DSL 16000“, dann sind das Bits pro Sekunde. Streichen Sie die Nullen weg, dann sind Sie wieder bei MBit/s (also 16). Und um von MBit/s eine anschauliche Datenmenge zu errechnen, teilen Sie grob durch 10: Bei 16 MBit/s kommen also etwa 1,6 MB pro Sekunde durch die Leitung, bei 50 MBit/s circa 5 MB pro Sekunde.
Wieviel MBit/s braucht man wofür?
Die folgenden Übertragungsraten, die den gängigen Providerangeboten entsprechen, geben Ihnen ein Orientierungsraster, was Sie für welche Ansprüche benötigen: Mit 6 MBit/s funktionieren Mail, soziale Netzwerke und HTML-Darstellung noch flott, Video-Wiedergabe ist aber bereits bei mäßiger Qualität grenzwertig. 16 MBit/s garantieren schnelles Surfen, flotte Software-Downloads und – bereits grenzwertig – den Zugang zu IPTV und TV-Mediatheken. 25-32 MBit/s erlauben rasante Medien-Downloads (Audio, Film) und ruckelfreie Wiedergabe aller Medienangebote, grenzwertig bei hochauflösendem HD-Inhalten. 50-100 MBit/s ist die Bandbreite für Download-Junkies mit keinerlei Limits auf der Empfängerseite.
200 MBit/s und mehr sind Overkill für einen Einzelabnehmer, da kaum ein Web-Server diese Datenmenge an eine einzelne IP ausliefert – eine Leitung für Kleinunternehmen, Großfamilien und Personen, die schon heute absolut zukunftssicher surfen möchten.
Beachten Sie, dass alle Internetprovider in gewisser Weise „zocken“ und die zugesagten Bandbreiten nur mit dem Kalkül bereitstellen können, dass immer nur ein Bruchteil der Kunden Bandbreite benötigen. Im Allgemeinen können Sie davon ausgehen, dass dieses Zockerspiel umso dreister ausfällt, je höher die versprochene Bandbreite liegt.
Was leisten die verschiedenen Techniken? DSL (Digital Subscriber Line) nutzt vom grauen Kasten an der Straße (DSLAM) bis zum Kunden das Kupferkabel der Telefonleitung und ist mit 16 MBit/s am oberen Limit angelangt. VDSL (Very High Speed Digital Subscriber Line) verwendet denselben Übertragungsweg, kann aber durch technische Optimierung theoretisch auf 52 MBit/s kommen. Größere Entfernungen zum DSLAM verringern den Durchsatz beträchtlich. Typische Provider-Angebote für VDSL reichen von 25 bis 50 MBit/s. Internet via Fernsehkabel ist schneller als DSL und VDSL und überall dort mit geringem Aufwand erreichbar, wo bereits ein Kabelanschluss besteht. Die Angebote der größten Kabelprovider Unitymedia und Kabel Deutschland reichen derzeit von 16 bis 200 MBit/s. Das versprochene Maximum erhalten Sie aber nur im Einfamilienhaus, in Mehrfamilienhäusern müssen Sie sich diesen Datendurchsatz mit den anderen Haushalten teilen. Aktuell (Anfang 2016) rate ich allerdings von einem Vertrag mit Kabel Deutschland / Vodafone dringend ab, siehe Finger weg von Kabel Deutschland!. Glasfaser direkt zum Endkunden (FTTH – Fibre to the Home) könnte theoretisch 1000 MBit/s übertragen, ist aber praktisch überall am Ende mit langsameren Kupferkabel kombiniert. Die Angebote nennen daher vergleichsweise bescheidene 25 bis 200 MBit/s. Glasfasernetze legen neben der Telekom diverse kleine, regionale Anbieter, sind aber in Deutschland nur sporadisch anzutreffen.
Das Funknetz UMTS erzielt theoretisch bis zu 21 MBit/s. Typische Angebote liegen bei 7 und 14 MBit/s. Neben der relativ geringen Geschwindigkeit müssen UMTS-Kunden mit einem relativ knappen Downloadlimit auskommen. Wer dieses überschreitet, wird im entsprechenden Monat auf magere 384 Kbit/s gedrosselt. UMTS bleibt ein Notnagel, wo sonst nichts geht.
Das Funknetz LTE (Long Term Evolution, UMTS-Nachfolger) liefert theoretisch bis zu 100 MBit/s. Die Angebote der Hauptprovider Telekom, Vodafone und O2 bewegen sich aber überwiegend zwischen 7 und 14 MBit/s. Und auch hier gibt es monatliche Downloadlimits zwischen 5 und 30 GB, deren Überschreitung die Leitung drosselt. 1 GB ist an einem Tag schnell erreicht, wenn Sie sich via Internet Videos ansehen. Beide Funknetze – UMTS und LTE – sind gemessen an den Leistungen relativ teuer.
Welche Netze gibt es bei mir?
Das herauszufinden, ist nicht ganz einfach. Simpelster Rat ist, positive Erfahrungen der unmittelbaren Nachbarn zu erfragen. Systematischere Wege, falls Sie Ihre Nachbarn nicht mögen (oder umgekehrt):
1. Suchen Sie auf www.zukunft-breitband.de unter „Breitbandatlas“ Ihre Region so präzise wie möglich, und sehen Sie nach, welche Technik und welcher Anbieter dort zur Auswahl stehen. Danach gehen Sie auf die Web-Seite des passenden Providers und machen auch dort eine Verfügbarkeitsprüfung für Ihre Adresse. Dies geht in der Regel einher mit genauer Angabe der Straße und Hausnummer und darf dann als relativ zuverlässig gelten.
2. Vor allem bei vorhandenem Kabelfernsehen und Interesse an Web via Kabel können Sie die Provider direkt ansteuern, da es mit Kabel Deutschland und Unitymedia nur zwei wesentliche Anbieter gibt. Die Verfügbarkeitsprüfung ist meistens zuverlässig. Brauchen Sie Uploads?
Provider-Angebote nennen meist nur die Empfangsleistung, also die Download-Bandbreite. Das ist insofern berechtigt, als 99 Prozent der Endkunden nur Daten abholen wollen (HTML-Seiten, Medien-Streams, Datei-Downloads). Wer zu Hause einen FTP- oder Web-Server betreibt, will aber auch einen brauchbaren Upload. Der ist leider meist lausig:
Bei DSL sind es maximal 1 MBit/s, bei Kabel meist 1 bis 2,5 MBit/s (maximal 6). Deutlich besser sind hier VDSL-Tarife mit maximal 10 MBit/s und Glasfaser mit mindestens 25 MBit/s (bis zu 100 MBit/s). Die genaue Upload-Leistung müssen Sie oft mühsam den Detailangaben der Tarife entlocken, manchmal hilft gar nur direktes Nachfragen.
Verlustwege im lokalen Netz?
Wenn am Ende, nämlich bei Ihnen am Browser oder Smart TV, nicht das ankommt, was Sie bezahlen, kann es am Provider liegen. Der wird sich aber mit dem Hinweis auf das diplomatische „Bis zu XX.MBit/s“ herausreden – die Leistungsangaben der Hersteller beginnen regelmäßig mit „Bis zu…“.
Ein guter Teil des Datenstroms kann aber auch im lokalen Netz verlorengehen. Regelmäßig ist das zu erwarten, wenn die Daten im Haus per WLAN oder via Powerline verschickt werden. Besondere Sorgfalt ist geboten, wenn Sie sich eine Highend-Leitung mit 100 MBit/s ins WAN leisten, der die Geräte im heimischen LAN nicht gewachsen sind. WLAN-Router und Adapter an den Endgeräten müssen in diesem Fall unbedingt auf dem neuesten Stand sein.