Router Kaskade – Schutz des eigenen Netzwerks wegen IoT

Mit einer Kaskade schützen Sie erfolgreich sensible Bereiche ihres Netzwerks. Lesen Sie hier, wie die Einrichtung funktioniert und das Netzwerk arbeitet.

Im Artikel wird ein FritzBox Router der Firma AVM benutzt. Sie können aber auch andere Router für eine Kaskade verwenden. Die FritzBox dient lediglich als Beispiel, weil Sie sehr weit verbreitet ist und auch oft von Internet-Anbietern ausgeliefert wird.
Eine nicht mehr benötigte FritzBox muss nicht im Regal verstauben. Diese lässt sich wunderbar dazu verwenden, ihrem heimischen Netzwerk mehr Sicherheit vor unbeliebten Eindringlingen wie Hacker und anderen Cyber-Kriminellen zu geben. Erschaffen Sie mit einer Kaskade einen Bereich mit „erhöhter Sicherheit“ in ihrem Heimnetz.

INFO: Diese Anleitung wurde am 16.06.2020 komplett überarbeitet, aktualisiert und getestet.

wlan-signal optimal einstellen verbessern kanaele automatisch repeater dlan netzwerk fritzbox Fritz OS 7 Kaskade

Sicherheit erhöhen wegen IoT Geräten

Sie fragen sich jetzt sicherlich, warum Sie einen zweiten Router für ein „verstecktes Netzwerk“ verwenden sollten. Die Sache ist schnell erklärt. IoT steht für Internet of things und beschreibt alle Geräte die Zugriff auf das Internet haben. Insbesondere sind die Geräte wie Saugroboter, IP-Kameras, Smarte Lampen / TV-Geräte und so weiter gemeint. Etliche dieser Geräte sind schlichtweg unsicher, wegen veralteter Software oder nicht gepatchter Sicherheitsslücken. Leider kümmern sich viele Hersteller entschieden zu wenig um das Thema Sicherheit. Hacker lieben solche IoT Geräte insbesondere, weil Sie durch deren Lücken, Zugriff auf das gesamte Netzwerk erlangen können. Sehr beliebt sind hier Smart-TVs, da Sie in fast jedem Haushalt vorhanden sind.

Aufbau einer Kaskade

Es gibt bei einer Kaskade im Prinzip zwei Ebenen im Netzwerk. Die erste ist direkt mit dem Router verbunden der sich auch ins Internet einwählt. Diese Ebene wird dann der Bereich für die IoT Geräte. Dazu Zählen dann auch die Smart-TVs.

Die zweite Ebene ist die „verschleierte / sichere“ Ebene. Hier werden PC und Handy an das Internet angebunden. Also alle Geräte die von außerhalb nicht sofort ersichtlich sein sollen und grundlegend als „sicher“ eingestuft werden. Dazu verwenden Sie die zweite FritzBox. Diese wird per Netzwerkkabel an den ersten Router angeschlossen. Alle Geräte die hier angeschlossen werden, sind von außerhalb nicht direkt erreichbar. Angreifer sehen nur einen weiteren „PC“ wissen aber nicht sofort, dass es sich dabei um einen Router (die FritzBox) handelt hinter dem sich noch weitere Geräte befinden. Zudem kann die zweite Ebene nicht durch eine eventuelle Sicherheitslücke in der ersten Ebene gefährdet werden.

Welche Geräte in welche Ebene und warum?

Im Prinzip können Sie selbst entscheiden welche Geräte Sie in welche Ebene lassen. Dies hier ist nur ein Ratgeber damit Sie ungefähr die richtige Richtung einschlagen. Computer und Handys gehören in die „verschleierte“ zweite Ebene. Vorausgesetzt Sie werden immer aktuell gehalten und mit Sicherheitsupdates versorgt. Ein Rechner mit Windows 7/Vista/XP/98/ oder ein Handy / Tablet mit Android 4.0 haben hier nichts verloren. Die Software ist meistens nicht mehr sicher da es keine Sicherheitsupdates mehr von den Herstellern gibt.

In Ebene eins (die „sichtbare“ Ebene) kommen alle IoT Geräte wie Saugroboter, IP-Kameras, Kühlschränke, Drucker, TV und so weiter. Hier sollten auch alle veralteten Geräte wie XP-Rechner oder alte Android Tablets sowie Smartphones eingebunden werden. Theoretisch alle Geräte, die ein erhöhtes Sicherheitsrisiko darstellen. Sei es auf Grund vom Alter der Geräte, grundlegender Mangel an sicherer Software oder Updates.

router kaskade skizze
Skizze einer Kaskade

FritzBox vorbereiten für Kaskade

Damit eine erfolgreiche Kaskade zustande kommt, muss der zweite Router (der Router der nicht direkt am Internet angeschlossen) noch vorbereitet werden. Dies zeigen wir hier an Hand einer FritzBox. Sollten sich auf dieser noch Daten befinden, setzen Sie diese am besten erst auf die Werkseinstellungen zurück. Die Anleitung kann auch mit anderen Routern verwendet werden.

  • Schließen Sie die FritzBox direkt per Netzwerkkabel an ihren PC an.
  • Schalten Sie die FritzBox ein, indem Sie den Stromstecker der FritzBox einstecken.
  • Öffnen Sie ihren Browser und geben fritz.box in die Adresszeile ein.
  • Melden Sie sich jetzt mit dem Passwort an.
  • Wichtig: Handelt es sich um einen Router der gebrandet ist, (also von einem Internet-Anbieter beim Vertrag mitgeliefert wurde) startet im Normalfall der Einrichtungsassistent automatisch. Hier lässt sich der Internetanbieter nicht auswählen. Diesen müssen Sie aber wechseln damit es funktioniert. Brechen Sie den Assistenten deshalb ab und wechseln manuell in den Reiter Internet -> Zugangsdaten. Fahren Sie dann mit den nächsten Schritten fort.
  • Wenn Sie beim Schritt Internetanbieter angekommen sind, wählen Sie hier weitere Internetanbieter und darunter andere Internetanbieter aus.
  • Bei Anschluss wählen Sie Anschluss an externes Modem oder Router aus.
anmeldung verbindung zugriff nicht moeglich avm lan netzwerk web oberflaeche
  • Beim Punkt Betriebsart wählen Sie Internetverbindung selbst aufbauen aus.
  • Bei Zugangsdaten wählen Sie Nein.
anmeldung verbindung zugriff nicht moeglich avm lan netzwerk web oberflaeche
  • Tragen Sie ihre Download– und Upload-Geschwindigkeit bei Verbindungseinstellungen ein.
  • Danach klicken Sie auf den Link Verbindungseinstellungen ändern.
  • Unter IP-Einstellugen wählen Sie IP-Adresse automatisch über DHCP beziehen aus.
  • Als letztes tragen Sie noch bei DHCP-Hostname den Namen ihres ersten Routers ein und klicken auf Übernehmen.
  • Den DHCP-Hostname des ersten Routers finden Sie im Menüpunkt Übersicht. Es ist der Name von „IhrFritz!Box-Name“.
anmeldung verbindung zugriff nicht moeglich avm lan netzwerk web oberflaeche

Die Einstellungen werden jetzt gespeichert und Sie erhalten eine Meldung, das die WAN-Buchse am Router anders konfiguriert wird. Überprüfen Sie noch in der Übersicht ob der Router die gleiche IP-Adresse hat wie der erste Router. Sollte das der Fall sein, schalten Sie den DHCP ab und vergeben Sie unter IP-Einstellugen manuell eine IP. Dies kommt vor, wenn Sie zwei Router des selben Herstellers verwenden.

Netzwerk einrichten

Nachdem Sie den zweiten Router eingerichtet haben müssen Sie diesen noch in das Netzwerk einbinden. gehen Sie dazu wie folgt vor.

  • Der erste Router bleibt wie gehabt direkt am Internet angeschlossen.
  • Verbinden Sie den ersten Router mit einem Netzwerkkabel von LAN 1, 2, 3 oder 4 mit dem WAN-Port des zweiten Routers.
  • Schließen Sie alle Geräte, die in die zweite „geschützte“ Ebene sollen, an einen beliebigen freien LAN-Port des zweiten Routers an.
  • Schließen Sie alle Geräte, die in die erste Ebene sollen, an einen beliebigen freien LAN-Port des ersten Routers an.

Speed-Test in der zweiten Ebene

Der DSL-Check mit den Geräten in der zweiten Ebene (sichere Ebene) hat keine Unterschiede gezeigt im Vergleich zu Tests bevor die Router-Kaskadierung umgesetzt wurde. Im Screenshot sehen Sie den Test mit der Kaskadierung aus der zweiten Ebene. Der DSL-Anschluß im Test ist eine 100Mbit/s Leitung.

speed test mit kaskade von zweite ebene
DSL-Speedtest aus der zweiten (sicheren) Ebene einer Kaskade

Häufig gestellte Fragen

  • Brauche ich zwei Router?
    Ja. Einen Hauptrouter direkt am Internet-Anschluss und einen für den sicheren Bereich.
  • Ist das zweite Netzwerk von außerhalb Sichtbar?
    Nein. Es wird nur ein „simulierter PC“ angezeigt.
  • Funktioniert die Internetverbindung in der zweiten Ebene?
    Ja, ausgehende und eingehende Verbindungen funktionieren ohne Einschränkungen.
  • Ist ein Zugriff von der „verschleierten“ Ebene auf Geräte die sich in der „sichtbaren“ Ebene befinden möglich?
    Grundlegend ist der Zugriff blockiert.
    Es gibt aber eine Möglichkeit, über eine Port-Weiterleitung den Zugriff auf gewisse Geräte zu erlauben.

Nützliche Links

Weitere Tipps und Tricks zu Hardware finden Sie hier.


Beitragsbildquelle: Windows 10 Screenshots, AVM Screenshots, Browser Screenshots, Foto IT Tweak

5 Kommentare

  1. Servus 🙂

    Wenn ich jetzt einen Drucker im ersten Router parke, habe ich dann die Möglichkeit über einen Laptop, der mit dem zweiten ‚versteckten‘ Netzwerkbereich verbunden ist auf den Drucker zuzugreifen?

    • Sollte eigentlich kein Problem darstellen. Getestet habe ich das bislang aber noch nicht.

      • Erstmal danke für die schnelle Antwort 🙂

        Ich hab das ganze bei mir eingerichtet via der Option „Vorhandener Zugang über WAN“ bei meiner zweiten Fritz.Box. Da hab ich den Drucker nirgends gefunden, deswegen die Frage.

        Die andere Option wäre das Verbinden der zweiten Fritz.Box an die erste via „IP Client“. Da gibts aber folgende Nachteile:
        – Die Firewall von Router 2 ist deaktiviert.
        – Die mit der FRITZ!Box verbundenen Computer, Smartphones und anderen Geräte erhalten ihre IP-Einstellungen weiterhin vom vorhandenen Router.
        – Der Zugriff aller Geräte untereinander ist uneingeschränkt möglich, egal ob diese an der FRITZ!Box oder an dem anderen Router angeschlossen sind.

        Aufgrund des letzten Punktes ist die Option für mich nicht sinnvoll, da ich nicht will, dass Geräte aus Netzwerk 1 auf Geräte in Netzwerk 2 zugreifen können. Sonst wäre der ganze Aufbau ja sinnlos.
        Was muss ich machen damit der Zugriff vom Laptop (Netzwerk 2) auf denn Drucker (Netzwerk 1) möglich ist?
        Aufbau wäre so gedacht:
        https://www.dropbox.com/s/yel90ieem2mr3mu/Home%20Network%20zensiert.png?dl=0

        Weiß nicht ob du mal Lust hast das Ganze anzukucken bzw wenn das Ganze funktioniert vllt einen Folgeartikel oder ein Youtube-Video zu erstellen wie man die Router Kaskade richtig einrichtet und eben den Zugriff von der unteren auf die obere Ebene bewerkstelligt 🙂

        • Danke für die Infos. An sich ist dein Aufbau richtig. Der zweite Router (sicheres Netzwerk) sollte als IP Client eingerichtet theoretisch aber keinen Zugriff erlauben, wenn ein Gerät von Router 1 („unsicheres Netzwerk“) darauf zugreifen möchte. Die Geräte sollten Router 2 nur als Client mit einer IP-Adresse sehen, nicht aber die dahinter befindlichen Geräte. Leider konnte wir es bislang noch nicht testen und muss die Frage weiter geben an die Leser. Wenn es ausgiebig getestet wurde, werden wir natürlich noch einen Folge-Artikel verfassen.

    • Die Anleitung wurde komplett überarbeitet und sollte jetzt verständlicher sein. Der Ausdruck Client-Router konnte in der alten Anleitung Fehlinterpretiert werden.
      Der Zugriff auf den Drucker im ersten Netzwerk ist nicht ohne weiteres möglich. Hier muss eine Port-Weiterleitung eingerichtet werden damit es funktioniert. Das werde ich die Tage aber noch testen und dementsprechend die Anleitung erweitern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Informationen zur Datenschutzerklärung.