Router Kaskade – Schutz des eigenen Netzwerks wegen IoT

Mit einer Kaskade schützen Sie erfolgreich sensible Bereiche ihres Netzwerks. Lesen Sie hier, wie die Einrichtung funktioniert und das Netzwerk arbeitet.

Im Artikel wird ein FritzBox Router der Firma AVM benutzt. Sie können aber auch andere Router für eine Kaskade verwenden. Die FritzBox dient lediglich als Beispiel, weil Sie sehr weit verbreitet ist und auch oft von Internet-Anbietern ausgeliefert wird.
Eine nicht mehr benötigte FritzBox muss nicht im Regal verstauben. Diese lässt sich wunderbar dazu verwenden, ihrem heimischen Netzwerk mehr Sicherheit vor unbeliebten Eindringlingen wie Hacker und anderen Cyber-Kriminellen zu geben. Erschaffen Sie mit einer Kaskade einen Bereich mit „erhöhter Sicherheit“ in ihrem Heimnetz.

INFO: Diese Anleitung wurde am 16.06.2020 komplett überarbeitet, aktualisiert und getestet.

wlan-signal optimal einstellen verbessern kanaele automatisch repeater dlan netzwerk fritzbox Fritz OS 7 Kaskade

Sicherheit erhöhen wegen IoT Geräten

Sie fragen sich jetzt sicherlich, warum Sie einen zweiten Router für ein „verstecktes Netzwerk“ verwenden sollten. Die Sache ist schnell erklärt. IoT steht für Internet of things und beschreibt alle Geräte die Zugriff auf das Internet haben. Insbesondere sind die Geräte wie Saugroboter, IP-Kameras, Smarte Lampen / TV-Geräte und so weiter gemeint. Etliche dieser Geräte sind schlichtweg unsicher, wegen veralteter Software oder nicht gepatchter Sicherheitsslücken. Leider kümmern sich viele Hersteller entschieden zu wenig um das Thema Sicherheit. Hacker lieben solche IoT Geräte insbesondere, weil Sie durch deren Lücken, Zugriff auf das gesamte Netzwerk erlangen können. Sehr beliebt sind hier Smart-TVs, da Sie in fast jedem Haushalt vorhanden sind.

Anleitung als Video

youtube logo

An dieser Stelle wird ihnen ein Video von Youtube angezeigt.

Weitere Hinweise zum Datenschutz und Cookies finden Sie unter: YouTube Datenschutz

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Personenbezogene Daten können an Drittplattformen übermittelt werden. Weitere Informationen unter Datenschutz

Aufbau einer Kaskade

Es gibt bei einer Kaskade im Prinzip zwei Ebenen im Netzwerk. Die erste ist direkt mit dem Router verbunden der sich auch ins Internet einwählt. Diese Ebene wird dann der Bereich für die IoT Geräte. Dazu Zählen dann auch die Smart-TVs.

Die zweite Ebene ist die „verschleierte / sichere“ Ebene. Hier werden PC und Handy an das Internet angebunden. Also alle Geräte die von außerhalb nicht sofort ersichtlich sein sollen und grundlegend als „sicher“ eingestuft werden. Dazu verwenden Sie die zweite FritzBox. Diese wird per Netzwerkkabel an den ersten Router angeschlossen. Alle Geräte die hier angeschlossen werden, sind von außerhalb nicht direkt erreichbar. Angreifer sehen nur einen weiteren „PC“ wissen aber nicht sofort, dass es sich dabei um einen Router (die FritzBox) handelt hinter dem sich noch weitere Geräte befinden. Zudem kann die zweite Ebene nicht durch eine eventuelle Sicherheitslücke in der ersten Ebene gefährdet werden.

Welche Geräte in welche Ebene und warum?

Im Prinzip können Sie selbst entscheiden welche Geräte Sie in welche Ebene lassen. Dies hier ist nur ein Ratgeber damit Sie ungefähr die richtige Richtung einschlagen. Computer und Handys gehören in die „verschleierte“ zweite Ebene. Vorausgesetzt Sie werden immer aktuell gehalten und mit Sicherheitsupdates versorgt. Ein Rechner mit Windows 7/Vista/XP/98/ oder ein Handy / Tablet mit Android 4.0 haben hier nichts verloren. Die Software ist meistens nicht mehr sicher da es keine Sicherheitsupdates mehr von den Herstellern gibt.

In Ebene eins (die „sichtbare“ Ebene) kommen alle IoT Geräte wie Saugroboter, IP-Kameras, Kühlschränke, Drucker, TV und so weiter. Hier sollten auch alle veralteten Geräte wie XP-Rechner oder alte Android Tablets sowie Smartphones eingebunden werden. Theoretisch alle Geräte, die ein erhöhtes Sicherheitsrisiko darstellen. Sei es auf Grund vom Alter der Geräte, grundlegender Mangel an sicherer Software oder Updates.

router kaskade skizze
Skizze einer Kaskade

FritzBox vorbereiten für Kaskade

Damit eine erfolgreiche Kaskade zustande kommt, muss der zweite Router (der Router der nicht direkt am Internet angeschlossen) noch vorbereitet werden. Dies zeigen wir hier an Hand einer FritzBox. Sollten sich auf dieser noch Daten befinden, setzen Sie diese am besten erst auf die Werkseinstellungen zurück. Die Anleitung kann auch mit anderen Routern verwendet werden.

  • Schließen Sie die FritzBox direkt per Netzwerkkabel an ihren PC an.
  • Schalten Sie die FritzBox ein, indem Sie den Stromstecker der FritzBox einstecken.
  • Öffnen Sie ihren Browser und geben fritz.box in die Adresszeile ein.
  • Melden Sie sich jetzt mit dem Passwort an.
  • Wichtig: Handelt es sich um einen Router der gebrandet ist, (also von einem Internet-Anbieter beim Vertrag mitgeliefert wurde) startet im Normalfall der Einrichtungsassistent automatisch. Hier lässt sich der Internetanbieter nicht auswählen. Diesen müssen Sie aber wechseln damit es funktioniert. Brechen Sie den Assistenten deshalb ab und wechseln manuell in den Reiter Internet -> Zugangsdaten. Fahren Sie dann mit den nächsten Schritten fort.

Einstellungen in der FritzBox

  • Wenn Sie beim Schritt Internetanbieter angekommen sind, wählen Sie hier weitere Internetanbieter und darunter andere Internetanbieter aus.
  • Bei Anschluss wählen Sie Anschluss an externes Modem oder Router aus.
anmeldung verbindung zugriff nicht moeglich avm lan netzwerk web oberflaeche
  • Beim Punkt Betriebsart wählen Sie Internetverbindung selbst aufbauen aus.
  • Bei Zugangsdaten wählen Sie Nein.
anmeldung verbindung zugriff nicht moeglich avm lan netzwerk web oberflaeche
  • Tragen Sie ihre Download– und Upload-Geschwindigkeit bei Verbindungseinstellungen ein.
  • Danach klicken Sie auf den Link Verbindungseinstellungen ändern.
  • Unter IP-Einstellugen wählen Sie IP-Adresse automatisch über DHCP beziehen aus.
  • Als letztes tragen Sie noch bei DHCP-Hostname den Namen ihres ersten Routers ein und klicken auf übernehmen.
  • Den DHCP-Hostname des ersten Routers finden Sie im Menüpunkt Übersicht. Es ist der Name von „IhrFritz!Box-Name“.
  • Sollte der zweite Router genauso benannt sein wie der erste, ändern Sie noch den Namen des zweiten Routers im Punkt Übersicht.
anmeldung verbindung zugriff nicht moeglich avm lan netzwerk web oberflaeche

Die Einstellungen werden jetzt gespeichert und Sie erhalten eine Meldung, das die WAN-Buchse am Router anders konfiguriert wird. Überprüfen Sie noch in der Übersicht ob der Router die gleiche IP-Adresse hat wie der erste Router. Sollte das der Fall sein, schalten Sie DHCP ab und vergeben Sie unter IP-Einstellugen manuell eine andere IP für den zweiten Router. Dies kommt vor, wenn Sie zwei Router des selben Herstellers verwenden. Als Beispiel Router 1: 192.168.1.1 und Router 2: 192.168.150.1.

Netzwerk einrichten

Nachdem Sie den zweiten Router eingerichtet haben müssen Sie diesen noch in das Netzwerk einbinden. gehen Sie dazu wie folgt vor.

  • Der erste Router bleibt wie gehabt direkt am Internet angeschlossen.
  • Verbinden Sie den ersten Router mit einem Netzwerkkabel von LAN 1, 2, 3 oder 4 mit dem WAN-Port des zweiten Routers.
  • Schließen Sie alle Geräte, die in die zweite „geschützte“ Ebene sollen, an einen beliebigen freien LAN-Port des zweiten Routers an.
  • Schließen Sie alle Geräte, die in die erste Ebene sollen, an einen beliebigen freien LAN-Port des ersten Routers an.

Speed-Test in der zweiten Ebene

Der DSL-Check mit den Geräten in der zweiten Ebene (sichere Ebene) hat keine Unterschiede gezeigt im Vergleich zu Tests bevor die Router-Kaskadierung umgesetzt wurde. Im Screenshot sehen Sie den Test mit der Kaskadierung aus der zweiten Ebene. Der DSL-Anschluß im Test ist eine 100Mbit/s Leitung.

speed test mit kaskade von zweite ebene
DSL-Speedtest aus der zweiten (sicheren) Ebene einer Kaskade

Häufig gestellte Fragen

  • Brauche ich zwei Router?
    Ja. Einen Hauptrouter direkt am Internet-Anschluss und einen für den sicheren Bereich.
  • Ist das zweite Netzwerk von außerhalb Sichtbar?
    Nein. Es wird nur ein „simulierter PC“ angezeigt.
  • Funktioniert die Internetverbindung in der zweiten Ebene?
    Ja, ausgehende und eingehende Verbindungen funktionieren ohne Einschränkungen.
  • Ist ein Zugriff von der „verschleierten“ Ebene auf Geräte die sich in der „sichtbaren“ Ebene befinden möglich?
    Grundlegend ist der Zugriff blockiert.
    Der Zugriff auf den ersten Router ist über deren IP-Adresse möglich. NetBios kann im zweiten Router deaktiviert werden, dies hebelt den Schutz des „verschleierten“ Netzwerks aber teilweise wieder aus.

Nützliche Links

Weitere Tipps und Tricks zu Hardware finden Sie hier.


Beitragsbildquelle: Windows 10 Screenshots, AVM Screenshots, Browser Screenshots, Foto IT Tweak

12 Kommentare

  1. Servus 🙂

    Wenn ich jetzt einen Drucker im ersten Router parke, habe ich dann die Möglichkeit über einen Laptop, der mit dem zweiten ‚versteckten‘ Netzwerkbereich verbunden ist auf den Drucker zuzugreifen?

    • Sollte eigentlich kein Problem darstellen. Getestet habe ich das bislang aber noch nicht.

      • Erstmal danke für die schnelle Antwort 🙂

        Ich hab das ganze bei mir eingerichtet via der Option „Vorhandener Zugang über WAN“ bei meiner zweiten Fritz.Box. Da hab ich den Drucker nirgends gefunden, deswegen die Frage.

        Die andere Option wäre das Verbinden der zweiten Fritz.Box an die erste via „IP Client“. Da gibts aber folgende Nachteile:
        – Die Firewall von Router 2 ist deaktiviert.
        – Die mit der FRITZ!Box verbundenen Computer, Smartphones und anderen Geräte erhalten ihre IP-Einstellungen weiterhin vom vorhandenen Router.
        – Der Zugriff aller Geräte untereinander ist uneingeschränkt möglich, egal ob diese an der FRITZ!Box oder an dem anderen Router angeschlossen sind.

        Aufgrund des letzten Punktes ist die Option für mich nicht sinnvoll, da ich nicht will, dass Geräte aus Netzwerk 1 auf Geräte in Netzwerk 2 zugreifen können. Sonst wäre der ganze Aufbau ja sinnlos.
        Was muss ich machen damit der Zugriff vom Laptop (Netzwerk 2) auf denn Drucker (Netzwerk 1) möglich ist?
        Aufbau wäre so gedacht:
        https://www.dropbox.com/s/yel90ieem2mr3mu/Home%20Network%20zensiert.png?dl=0

        Weiß nicht ob du mal Lust hast das Ganze anzukucken bzw wenn das Ganze funktioniert vllt einen Folgeartikel oder ein Youtube-Video zu erstellen wie man die Router Kaskade richtig einrichtet und eben den Zugriff von der unteren auf die obere Ebene bewerkstelligt 🙂

        • Danke für die Infos. An sich ist dein Aufbau richtig. Der zweite Router (sicheres Netzwerk) sollte als IP Client eingerichtet theoretisch aber keinen Zugriff erlauben, wenn ein Gerät von Router 1 („unsicheres Netzwerk“) darauf zugreifen möchte. Die Geräte sollten Router 2 nur als Client mit einer IP-Adresse sehen, nicht aber die dahinter befindlichen Geräte. Leider konnte wir es bislang noch nicht testen und muss die Frage weiter geben an die Leser. Wenn es ausgiebig getestet wurde, werden wir natürlich noch einen Folge-Artikel verfassen.

    • Die Anleitung wurde komplett überarbeitet und sollte jetzt verständlicher sein. Der Ausdruck Client-Router konnte in der alten Anleitung Fehlinterpretiert werden.
      Der Zugriff auf den Drucker im ersten Netzwerk ist nicht ohne weiteres möglich. Hier muss eine Port-Weiterleitung eingerichtet werden damit es funktioniert. Das werde ich die Tage aber noch testen und dementsprechend die Anleitung erweitern.

  2. Klaus Hofmann-Kiefer

    Hallo, danke für die Anleitung, funktioniert super. Eine Frage habe ich aber doch: Drucker/Scanner (Epson Premium XP 830) hängt im Netzwerk 1 (DMZ), mein Office Rechner im Netzwerk 2. Drucken ist problemlos möglich. Scheint mir auch logisch da Druckauftrag vom Netzwerk 2 zum Netzwerk1 (DMZ) geht. Nicht jedoch Scannen (Scanauftrag von Netzwerk 1 zum Rechner im Netzwerk 2). Kann man das doch irgendwie möglich machen? Beide Router sind Fritzboxen. Danke im voraus. KHK

    • Der Drucker kann normalerweise in dieser Konstellation zwar Druckaufträge annehmen aber andersherum keine Daten in ihr geschützte s Netzwerk senden. So sollte es auch sein, denn sonst könnten ja auch alle anderen Geräte in der DMZ in Ihren geschützten Bereich eindringen. Für solche Anforderungen reicht ein simples FritzBox-Netz leider nicht aus.

  3. Klaus Hofmann-Kiefer

    Ok, danke für die Info! Dann scanne ich auch einen USB Stick, den ich anschließend in den Rechner im NW 2 stecke. Geht auch.

    VG

    KHK

  4. Zitate:

    Als letztes tragen Sie noch bei DHCP-Hostname den Namen ihres ersten Routers ein und klicken auf Übernehmen.

    Überprüfen Sie noch in der Übersicht ob der Router die gleiche IP-Adresse hat wie der erste Router.

    Wie soll denn eine Kaskade funktionieren, wenn der „Master“ und der „Slave“ die gleichen IPs und Namen haben?

    Also wenn es schon eine Fritzbox sein muss, dann schau doch bitte mal hier:

    Grundsätzlich ist diese Lösung ein erster Schritt in die richtige Richtung.

    Cheers!

    • Hallo, danke für ihren Kommentar.
      Die beiden Router dürfen nicht die gleiche IP Adresse nutzen. Das ist vollkommen richtig. In der Anleitung wird dies anscheinend nicht ganz klar beschrieben. Ich werde mich diesbezüglich hier noch etwas klarer ausdrücken.
      Der DHCP Hostname des ersten Routers muss im zweiten hinterlegt sein. Sonst funktioniert es nicht. Die beiden Router sollen natürlich nicht den gleichen Hostnamen benutzen. Lediglich wenn DHCP genutzt wird muss der Name des ersten Routers bei Hostname des zweiten Routers in den IP-Einstellungen eingetragen werden. So beziehen die Clients die IPs vom ersten Router. Der Name des zweiten Routers soll nicht geändert werden. Nur wenn er genauso heißen sollte wie der erste. Die beiden Router müssen definitiv unterschiedliche Namen haben. Das werde ich dann auch nochmal deutlicher machen.

  5. Hallo IT Tweak
    Danke für die gute Anleitung.
    Ich lebe im Bereich eines schlechten DSL und habe ein altes Haus in dem ich mit einer FritzBox und einigen W-Lan Repatern und PowerLine Adaptern inzwischen ein akzeptable W-Lan Abdeckung erreicht habe.
    Vor Kurzem hat die Telekom in unserem Dorf einen LTE (nein kein 5G) Mast aufgestellt. Ich überlege auf den Telekom Hypridvertrag (DSL + LTE) zunehmen. Hier kommt wegen der notwendigen externen Antenne nur der älter Speedport Hybridrouter der Telekom infrage. Ziel ist es nicht einen zusätzlichen Schutz aufzubauen, sondern mein altes Netzwerk möglichst zu belassen und nur den Telekom Speedport Hybridrouter als „Modem“ vor zuschalten. Der Router unterstützt allerdings keine Modem Funktion.
    Frage ist jetzt: Wie bekomme ich möglichst alle Funktionen (inkl. Telefon) vom Speedport Hybridrouter in zweite Netz weitergeleitet?

    • So ein ähnliches Problem mit dem Signal durchschleifen hatte ich auch vor kurzem. Anbieter kontaktiert und die FritzBox auf einem Port zu meinem Firewall-Router durchgeschliffen. Leider macht das nicht jeder Anbieter. Einfach mal bei T-Offline energisch nachfragen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Informationen zur Datenschutzerklärung.