Gäste-LAN und VoIP

Wenn ich in meinem eigenen Homeoffice bin, dann funktioniert Skype for Business und Team eigentlich ganz gut. Wenn ich aber in verschiedenen Gäste-LANs unterwergs bin, dann ist die Leistung manchmal "durchwachsen". Am Beispiel des Gastzugangs der Fritz!Box, die es in vielen Haushalten gibt, können Sie schön die Limitierungen sehen.

Abtrennung Gäste-LAN von Haus-LAN

Da "Internet" ja mittlerweile zu einer Grundversorgung gezählt wird und speziell Kinder bei Freunden natürlich "auch" ins Internet wollen, stellt sich für die Eltern die Frage, wie dies technisch einfach aber dennoch sicher erreicht werden kann. Sie sollten ja nicht einfach den WPA-Schlüssel für ihr WLAN preisgeben, denn dann werden Sie sehr schnell sehr viele Besucher haben. Zwar haben es die Politiker mittlerweile geschafft, die Haftungsfrage zu mindern und Abmahnkosten zu begrenzen aber die Grauzone ist weiterhin vorhanden. Auch Tagen, die aus Sicht des Strafrechts nicht geahndet werden, können im Zivilrecht durchaus zu einer Schadensersatzpflicht führen. Aber auch wenn ihnen das Egal wäre, so sollten Gäste nicht im gleichen LAN unterwegs sein, wie ihre eigenen Systeme. Heute sind so viele Systeme im LAN (TV, Radio, NAS- Medienserver, PCs), die alle Dienste und Daten anbieten und per "Plug and Play" auch gefunden werden. Schauen Sie einfach mal ihre "Netzwerkumgebung" an, welche Geräte ihr Client im Haus-LAN findet. Daher trennt die Fritz!Box das Gäste-LAN vom Haus-LAN.

Die Clients können sich innerhalb ihres Subnetzs unterhalten und beide können per NAT auch eine Verbindung in das Internet aufbauen. Sie können aber nicht miteinander kommunizieren, d.h. ihr NAS-Server oder Media-Server im Haus-LAN ist von den Gästen nicht erreichbar. Das ist auch gut so, dass die Gäste aus ihrer Sicht "draußen" sind. Allerdings sind die Gäste nicht im Internet sondern ebenfalls hinter dem NAT-Routing der Fritz!Box versteckt. Die Fritz!Box filtert zudem ausgehende Verbindungen aus dem Gäste-LAN sehr restriktiv, worauf ich gleich noch eingehe. Sie können in der Fritz!Box das Gäste-LAN einfach als zusätzliche WLAN-Kennung (SSID) mit einem eigenen Kennwort einrichten. Zusätzlich können Sie der LAN4-Port umstellen, dass auch dieser ins Gäste-LAN gehört. Das eröffnet ihnen dann weitere Wege das Gäste-LAN auch Kabelgebunden zu verlängern. Interessanterweise können auch die WLAN-Repeater von AVM dann beide SSIDs (Ihr Haus-WLAN und das Gäste-WLAN) verlängern.

Allerdings nutzen auch die Clients im Gäste-VLAN die gleiche externe IP-Adresse wie ihre Haus-Clients. Für einen Internet-Provider oder einen Webservice gibt es also keinen Unterschied, ob eine Anfrage nun von ihnen oder einem Gast kommt. Insofern können auch Rechteverletzungen nicht auf bestimmte Netzwerke oder gar Clients zurück geführt werden. Meines Wissens hat die Fritz-Box hier auch keine Protokollierungsmöglichkeit.

Filter in der Fritz!Box

Gäste an ihrer Fritz!Box sind aber dennoch keine vollwertigen Internet-Teilnehmer. Die Fritz-Box hat von sich aus verschiedene Access-Listen, von denen die "Mailen und Surfen"-Liste per Default auf dem Gäste-LAN aktiv ist. Die meisten Gäste werden das kaum bemerken, weil eben Mailen und Surfen möglich ist und fast alle modernen Protokolle über HTTPS arbeiten. Einige Protokolle wie z.B. VoIP nutzen aber erst einmal UDP und dynamische TCP-Ports und wechseln nur als letzte Option auf einen HTTPS-Tunnel. Dann mit entsprechenden Qualitätseinschränkungen. Schauen wir uns die Regeln einfach mal an. Über das Menü "Internet - Filter" sehen Sie die verschiedenen Einstellungen. An erster Position steht schon dass "Gast" zwar eine unbegrenzte Online-Zeit hat aber zwei Filter und gesperrte Anwendungen aktiv sind.

Etwas gewöhnungsbedürftig ist, dass es sich um Sperrliste und nicht "Allow"-Listen handelt. Wenn Sie also "nur HTTP" erlauben wollen, dann müssen Sie eine Liste anlegen, die 1-79,81-65535 sperrt". Sie können an einem Profil mehrere Sperrlisten anfügen, die dann addiert werden. das hilft natürlich nur, wenn Sie die Sperrliste nicht zu umfangreich gestaltet haben. Ich hätte es übersichtlicher gefunden, wenn hier mit "Allow-Listen" gearbeitet werden könnte.

Unter dem Punkt "Listen" sind die Listen der gesperrten Anwendungen zu sehen. Hier finden wir auch "alles außer Surfen und Mailen" wieder.

Über die "Bearbeiten-Funktion" sehen Sie dann die gesperrten Protokolle.

Wenn Sie die Lücken zwischen den Ports einsammeln, dann erlaubt dieser Regel nur die Port 25 (SMTP), 80(HTTP , 110(POP3), 143(IMAP4), 443(HTTPS), 465(Client-SMTPS), 587 (Server-SMTPS),993 (IMAP4S), 995 (POP3S),8080. 8080 ist ein häufig genutzter Port für HTTP-Proxy-Server. Die Fritz!Box beschränkt sich auf Layer 3 und 4, d.h. UDP/TCP Ports können geblockt werden aber es wird nicht kontrolliert, ob über 80 wirklich "HTTP" gesprochen wird und nicht jemand was anderes dahinter betreibt.

Sie sehen aber auch, dass hier einige Ports geblockt werden, die man vielleicht doch gerne hätte, z.B.

  • 5060/5061 für SIP
    Skype for Business Client und Teams Clients nutzen diese Ports allerdings nicht, sondern tunneln SIP over HTTPS. Aber der ein oder andere SIP-Client auf PCs und Smartphones ist so schon mal behindert.
  • UDP ANY
    Diese Sperre ist natürlich sehr eingreifend für jegliche Art einer direkten Kommunikation per VoIP (und einige andere Datendienste wie EMULE etc.), da gerade VoIP von UDP als Transport profitiert. Mit dieser Einstellung bleibt nur TCP übrig, wenn Sie in einem Gäste-LAN sind.
  • TCP Many
    Aber auch TCP ist stark limitiert da eben nur die wenigen bekannten Ports für Surfen und Mailen erreichbar sind. Wenn ausgehend keine TCP High-Ports möglich sind, dann kann RTP diese nicht nutzen. Als Folge wird an einem Fritz!Box-Gäste-LAN die RTP-Verbindung immer den Umweg über einen TURN-Server laufen.

Die strenge Limitierung verhindert natürlich auch andere Dienste wie z.B. IPSEC, L2TP, IPv6 Traversal und alles andere, was nicht irgendwie auf 443 einen Fallback unterstützt. Im privaten Umfeld kann so ein Filter weiterhin durchaus seine Berechtigung haben, da Sie so wirklich ihre Gäste im wesentlichen auf "Malen und Surfen" beschränken. Sie können damit zwar immer noch die ein oder anderen Straftaten begehen aber es ist schon sehr schwer so einen geschützten Film selbst anzubieten.

In Verbindung mit Azure ist die strenge Filterung der TCP-Ports natürlich sehr störend, wenn Sie per RDP auf eine Azure-VM zugreifen wollen oder ein WebService auf einem anderen Port gestartet wird. Dann hilft nur ein VPN über 443 zu einem VPN-System, welche dann wieder den Zugang ermöglicht.

Wenn Sie am Gästeanschluss zusätzlich z.B. einen Freifunk-Router verwenden wollen, dann müssen Sie UDP-Port 10.000-10.010 zulassen
Freifunk - warum nicht?
Freifunk-Router am Gastzugang der Fritz!Box anschließen https://saar.freifunk.net/freifunk-router-am-gastzugang-der-fritzbox-anschliessen/

Öffentliche Gäste-WLANs

Ich habe keine repräsentative Erhebung von WLAN-Zugängen in Hotels, Ferienwohnungen, Zügen, Bussen, Cafes, Restaurants o.ä. und kann daher nicht sagen, wie umfangreich dort entsprechende Filter umgesetzt werden. Sie können aber davon ausgehen, dass nicht nur die Umsetzung per NAT und die Blockade von UPNP den Zugang zum Internet limitiert. je kommerzieller eine Lösung ist, desto eher kommen erweiterte Blocklisten, Portsperrungen und teilweise auch Inspektionen dazu. Für professionelle Lösungen ist es heute kein Problem anhand der Ports und vor allem der Ziel-IP-Adressen und im TLS-Handshake verwendete Namen die Dienste zu unterscheiden und selektiv zu sperren.

Es ist auch gar nicht so leicht zu erkennen, wo ein Paket durch eine Filterregel verworfen wird, da leider viele Systeme in so einem Fall keine "ICMP not reachable"-Meldung zurück senden. Damit würde man einem "guten Anwender" zwar das Leben einfacher machen, da die Software darauf reagieren kann anstatt lange auf den Timeout zu warten. Allerdinge verrät sich so natürlich auch der Filter gegenüber "bösen Anwendern", die gezielt nach Schwachstellen suchen. Allerdings lassen sich diese auch durch fehlende Rückmeldungen nicht aufhalten.

Freifunkt statt Fritz!Box

Aber selbst das Gäste-WLAN der Fritz!Box wollen Sie natürlich mit einem Kennwort schützen. Der Betrieb eines "komplett offenen" Zugangs erscheint immer noch als risikobehaftet. Aber auch hier gibt es eine interessante Lösung. Es gibt verschiedene Anbieter, die ihnen auf ihrem WLAN-Router oder mit einer gesonderten Hardware einen offenen Zugang einrichten. Das machen DSL-Provider wie die Telekom, Vodafone, Unitymedia schon heute gerne, damit sie ihren (bezahlenden) Kunden viele Zugangspunkte auf Basis ihres Hausanschlusses bereitstellen können. Alle versprechen, dass ihre eigene Surfgeschwindigkeit danke Priorisierung darunter nicht leiden würde. Es sind aber keine "freien" Zugänge, da sich die Nutze natürlich anmelden müssen. Es gibt natürlich auch entsprechende Angebote für öffentliche Zugänge, die z.B. bei der Telekom ca. 30€/Monat extra kosten und auch andere Anbieter wie Hotsplots etc. leiten den Verkehr über ihre Server um als Provider mit ihrem Privileg bezüglich der Haftung zu schützen.

Wie wäre es aber, wenn Sie selbst quasi zum Selbstkostenpreis ein offenes WLAN mit gedrosselter Bandbreite für ihre Gäste und Personen in der Umgebung anbieten würden, ohne regelmäßig zu ändernde WLAN-Kennworte. Genau das können Sie z.B. mit Freifunk selbst realisieren. Neben ihren DSL-Anschluss brauchen Sie quasi nur einen weiteren WLAN-Router für ca. 20€ mit der passenden Firmware, eine Freifunk Community, die Sie anbindet und einen Provider der ihnen deswegen nicht die Leitung kappt. Der Accesspoint verbindet sich per VPN mit dem Freifunk-Relay und der Verkehr erscheint nicht mehr mir ihrer IP-Adresse im Internet. Aus Überlegungen einer Haftung ist diese Lösung allemal besser als ein Gäste-WLAN, bei der ihre Besucher und Gäste dennoch unter ihrem Anschluss im Internet sichtbar sind.

Weitere Links