Zugriff von außen

[PeterF]

Gut, dass wir das Thema hier ausführlich diskutieren, da es immer wieder zu Missverständnissen kommt.
Wer eine Alarmanlage betreibt und von außen auf diese zugreifen möchte, der muss über die notwendigen Netzwerkkenntnisse verfügen, sonst wird es gefährlich. Ich bin kein Spezialist, habe mir aber in den letzten Jahren entsprechende Kenntnisse angeeignet.

Ich versuche es mal mit meinen einfachen Worten.
Im Heimnetz vergibt der Router für jedes Endgerät eine private, statische IP-Adresse (DHCP). Die Nummern kann man auf der Weboberfläche des Routers nachschauen. Mit diesen Nummern greift ihr im Heimnetz auf eure Geräte zu und die Geräte kommunizieren untereinander über diese Nummern. Nach außen werden diese Nummern nicht weitergeroutet.

Die Kommunikation nach außen (Internet) erfolgt über die öffentliche IP-Adresse des Routers. Diese Nummer findet ihr auch in der Weboberfläche des Routers. Gebt ihr auf eurem Rechner in Google Schalke 04 ein, leitet der Router über die öffentliche IP-Adresse die Anfrage zu einem DNS Server (Domain NameSystem) weiter. Dort liegt ein riesiges Verzeichnis, dass jedem Domainnamen (Schalke 04) eine eindeutige IP-Adresse zuordnet, damit erfolgt dann die Weiterleitung eurer Suchanfragen auf die Webseite von Schalke 04. Der Server, auf dem diese Seite liegt, kennt die Adresse des Anfragers (öffentliche IP-Adresse eures Routers) und schickt die Seite auf euer Endgerät zurück. Dieser Datenaustausch läuft verschlüsselt ab (HTTPS-Protokoll). Der DNS Server steht meistens bei eurem Internetprovider und hat eine Nummer, die man auf der Weboberfläche des Routers nachschauen kann.

So weit, so gut. Jetzt zu dem Zugriff von außen. Dieser Zugriff kann natürlich auch nur über die öffentliche IP-Adresse erfolgen. Blöd ist nur, dass der Internetprovider diese aus Sicherheitsgründen öfters mal ändert.
Im oben beschriebenen Fall ist das kein Problem, weil der Adressat eurer Anfrage sich die gerade gültige Nummer merkt und die Daten dorthin zurückschickt.
Welche Nummer gilt aber, wenn ihr von außen zugreifen wollt. Eine Änderung der Nummer bekommt ihr gar nicht mit. Genau aus diesem Grund richtet man sich ein DDNS (Dynamic Domain System) ein, entweder direkt im Router oder bei einem Fremdanbieter. Dazu muss der eigene domainname (z.B. Test) definiert und mit einem Passwort versehen werden. Ändert sich nun die öffentliche IP-Adresse, dann teilt das euer Router dem externen Domäinbetreiber mit, dieser übernimmt dann die aktuelle Nummer und somit kommt ihr über den Domainnamen Test immer von außen auf Euren Router. Wollt ihr aber auch den Zugriff auf ein Endgerät muss eine Portweiterleitung erfolgen. Dazu gibt man den Domainnamen zusammen mit der entsprechenden Portnummer ein.
Die Portweiterleitung muss im Router definiert werden.

Aber Vorsicht, dieser Weg ist sehr gefährlich. Wenn ihr einen Port öffnet, dann bohrt ihr ein Loch in die Firewall eures Routers, was als Einfallstor für Angriffe von außen auf euer Netzwerk verwendet werden kann.

Es gibt einen sicheren Weg über VPN Virtual privat Network. Das wird zwischen dem VPN Client (euer Handy von unterwegs) und eurem Router (VPN Server) ein sogenannter Tunnel aufgebaut, der Datenaustausch erfolgt im Internet praktisch nicht sichtbar und verschlüsselt.
Wie das genau funktioniert wurde hier schon öfters beschrieben. Ich werde noch nach Videos schauen, die es für den Laien verständlich machen.

Sorry für den langen Text und ich hoffe, dass ich es richtig erklärt habe.

Beste Grüße
PeterF