Hallo wer-weiss-was Nutzer!
Der Bedarf für eine Anleitung zur Internetverbindungsfreigabe von Win98SE, WinME, etc., sowie für Links zu alternativen Proukten scheint hier recht groß zu sein. Damit wir nun nicht jede Woche wieder dieselben Fragen stellen und beantworten müssen, sollten wir eine Anleitung zu diesem Thema zusammentragen.
In der aktuellen c’t (19/2000) ist ein entsprechender Artikel zu finden. Da er leider nicht im Web verfügbar ist, habe ich mich einmal an einer Zusammenfassung versucht (siehe unten).
Ich selbst nutze die Internetverbindungsfreigabe nicht. Daher bin ich Euch insbesondere dankbar für jeden Tip, praktische Erfahrungen, sowie jede Korrektur.
CU
Markus
(Moderator des Brettes ‚Netzwerke‘)
Internetverbindungsfreigabe
Um mehrere Rechner eines LANs (local area network) gemeinsam mit dem Internet zu verbinden, bieten Windows 98SE und Windows ME die Internetverbindungsfreigabe. Sie ermöglicht es anderen Rechnern im lokalen Netzwerk über einen zentralen Host die Verbindung zum Internet herzustellen (http://support.microsoft.com/support/kb/articles/Q23…).
Funktionsprinzip
Das Prinzip der Internetverbindungsfreigabe basiert auf NAT (network address translation). Jeder Client-Rechner erscheint dem Internet gegenüber lediglich unter der IP-Adresse, welche der zentrale Host beim Verbindungsaufbau vom Provider erhalten hat. NAT ersetzt die IP des Absenders durch die IP des Gateways (Host-Rechner) und speichert den Port, über den die Pakete eines bestimmten Absender verschickt wurden. Aus dem Internet zurückkommende Antwort-Pakete können über die Ports, auf denen sie eintreffen, den ursprünglichen Absendern wieder zugeordnet werden. Diese Vorgehensweise funktioniert allerdings nur dann, wenn die Anwendung die IP des Absenders nicht noch zusätzlich im Datenpaket abspeichert. Ebenfalls besteht keine Möglichkeit, vom Internet aus in das LAN eine Verbindung aufzubauen, da in diesem Fall keine Portzuordnung existiert. Ein Server kann im LAN daher nicht betrieben werden, da er nicht adressiert werden kann. Allerdings bietet dies auch eine Steigerung der Sicherheit, da die Clients im Internet nicht einzeln sichtbar sind.
Voraussetzungen
Voraussetzung für die Internetverbindungsfreigabe ist ein PPP-Zugang (point to point protocol), wie er von T-Online oder diversen Internet-by-Call Anbietern zur Verfügung gestellt wird. AOL verwendet hingegen ein proprietäres Zugangsprotokoll. Um ICS (internet connection sharing) hiermit zu nutzen, ist es erforderlich, die AOL-Software vor der ICS-Einrichtung zu installieren, damit der AOL-Adapter in der Netzwerkkonfiguration zur Verfügung steht. AOL 5.0 verursacht Konflikte aufgrund zu vieler TCP/IP Bindungen (http://support.microsoft.com/support/kb/articles/Q23…). Für eine Zusammenarbeit mit ICS sollte daher AOL 4.0 bevorzugt werden. Auch der PPP-over-Ethernet Treiber von T-DSL arbeitet nicht einwandfrei mit ICS zusammen. Hier kann der alternative Treiber RASPPPoE (http://user.cs.tu-berlin.de/~normanb/) Abhilfe schaffen.
Installation
Zunächst sollte die Internetverbindung auf dem Host-Rechner wie üblich eingerichtet und auf Funktionsfähigkeit überprüft werden. Anschließend kann die Internetverbindungsfreigabe installiert werden.
Windows 98: Systemsteuerung -> Software -> Verbindungen -> Internet -> Internetverbindungsfreigabe
Windows ME: Systemsteuerung -> Software -> Verbindungen -> Internetverbindungsfreigabe
Den Anweisungen des folgenden Assistenten kann Folge geleistet werden, bis die Diskette für die Windows 9x und ME Clients erstellt wurde. Die Verwendung dieser Diskette zur Einrichtung der Clients ist allerdings nicht zwingend erforderlich. Insbesondere funktioniert sie bei Windows 2000 nicht. Die Clients lassen sich wie folgt auch manuell einrichten:
Assistent für Internetzugang -> manuelle Einrichtung -> Zugang über LAN -> Proxy-Server automatisch suchen
Es ist sicherzustellen, daß für DNS (domain name service) sowie als Gateway die IP-Adresse des Host-Rechners eingetragen ist.
Um die Verbindungsfreigabe zu testen muß auf dem Host ein Benutzer angemeldet sein!
IP-Adressen
Problematisch erweist sich die Einrichtung von ICS in bereits bestehenden LANs, da hierbei möglicherweise bestehende IP-Adressen geändert werden. Für den ICS-Host wird automatisch die IP 192.168.0.1 vergeben. Alle Clients erhalten entsprechend höhere Adressen des Netzes 192.168.0.0 zuggewiesen. Einstellungen zum ICS finden sich in der Registratur unter ‚HKEY_Local_Machine\System\CurrentControlSet\Services\ICSharing‘. Unter ‚Setting\General\InternetAdapters‘ können die IP des ICS-Hosts und die Subnetzmaske unter ‚IntranetInfo‘ festgelegt werden. Die IPs der Clients werden jedoch durch den DHCP-Server des ICS-Hosts dynamisch vergeben. Der Bereich ist in der Registratur durch ‚Addressing\Settings\Start‘ bzw. ‚Stop‘ festgelegt. Alle Adressen, die größer sind als durch ‚Stop‘ definiert, können manuell vergeben werden. Ebenso kann der DHCP-Server deaktiviert werden unter ‚Settings\General‘, indem der Eintrag ‚EnableDHCP‘ auf 0 gesetzt wird. Die Domain des lokalen Nameservers kann ebenfalls manuell geändert werden unter ‚HKEY_Local_Machine\System\CurrentControlSet\Services\VxD\MSTCP\IcsLocalDomainName‘.
Die Clients müssen von Änderungen an der Konfiguration erfahren. Am einfachsten geschieht dies über einen Neustart. Alternativ kann dies mit dem Programm ‚winipcfg‘ über ‚alles freigeben‘, ‚alles aktualisieren‘ erfolgen. Die Konfiguration des DHCP kann auf dem Host-Rechner unter ‚ICSharing\Settings\DNS‘ als Zuordnung von MAC-Adressen zu IP-Adressen kontrolliert werden.
Da der ICS-Host einen DNS sowie einen DHCP-Server zur Verfügung stellt, sollte er nicht auf einem Windows 2000 System installiert werde, welches bereits selbst DNS oder DHCP zur Verfügung stellt, da es ansonsten zu Konflikten kommt.
Portzuordnungen
Der gesamte IP-Verkehr der Clients und des Hosts selbst werden über ICS umgeleitet. Dies kann zur Folge haben, daß Anwendungen nicht funktionieren, deren Ports von ICS nicht akzeptiert werden. In den bereits erwähnten Zweigen der Registratur finden sich unter ‚Mappings‘ die freigegebenen Ports. Lediglich Windows 2000 hat einen Konfigurationsdialog für diese Einstellungen in die ICS integriert. Windows 9x und ME können entweder direkt in der Registratur konfiguriert werden oder über ein zusätzliches Programm wie ICSCFG (http://www.timhiggins.com/sharing/icsconfiguration.htm). In gewisser Weise stellt die selektive Freigabe von Ports eine kleine Firewall dar. Es sollten daher nur die Ports freigegeben werden, die wirklich von Anwendungen benötigt werden. Angaben zu Ports bekannter Programm finden sich unter http://www.timhiggins.com/sharing/icsconfig_maps.htm .
Sicherheitsprobleme
Sicherheitstechnisch bietet ICS einige Probleme: Ist mehr als das TCP/IP Protokoll installiert (z.B. NetBEUI oder IPX/SPX), so wird ICS auch an diese gebunden. Diese Bindungen sollten unbedingt entfernt werden. Ebenso sollte die Bindung an die ‚Datei- und Druckerfreigabe‘ sowie den ‚Client für MS-Netzwerke‘ für ‚TCP/IP an DFÜ-Adapter‘ entfernt werden, damit freigegebene Laufwerke und Drucker nicht dem Internet zur Verfügung gestellt werden! Um mit Sicherheit zu verhindern, daß kein Zugriff auf freigegebene Ressourcen über das Internet möglich ist, sollte in diesem Fall die Freigabe über NetBEUI erfolgen, da dieses Protokoll im Internet nicht geroutet wird.
Verbindungsauf- und abbau
Sobald die Internetverdingungsfreigabe auf dem Host aktiviert ist, wird die Internetverbindung automatisch aufgebaut, sobald sie von einem Client angefordert wird. Eine Bestätigung durch den Benutzer wird nicht eingeholt - auch, wenn dies zuvor so konfiguriert wurde!
Der Abbau der Verbindung hingegen kann mit Bordmitteln lediglich durch ein geeignetes Timeout auf dem Host-Rechner realisiert werden (Verbindung automatisch abbauen nach x Minuten Inaktivität). Abhilfe kann hier das ‚Remote Disconnect Utility‘ schaffen (http://www-twiga.fsbusiness.co.uk/downloads.htm). Dieses Utility läuft mit Windows 9x, ME und 2000. Als RDU-Host arbeitet Windows 2000 jedoch nicht einwandfrei. Kommt eine Firewall im LAN zum Einsatz, sollte beachtet werden, daß RDU den TCP-Port 1000 verwendet.
Alternative Betriebssysteme
Als ICS-Client kommen nicht nur Windows Systeme in Frage, sondern prinzipiell jedes Betriebssystem, daß über einen DHCP-Client verfügt, sofern die IP-Adressen der Clients automatisch vergeben werden sollen. Die IP das ICS-Hosts muß bei allen Clients als Gateway und als DNS eingetragen werden.
Sonstige Proxy-Server
Eine Vielzahl weiterer Proxy-Server ist mittlerweile verfügbar. Sie bieten von der integrierten Personal Firewall bis hin zum eMail-Server meist mehr als das ICS von Windows:
AnalogX http://www.analogx.com kostenlos
Gatekeeper http://www.proxy-pro.com ab 79US$
Jana Server http://home.t-online.de/home/T.Hauck/ kostenlos
NAT32 http://www.nat32.com ab 25US$
Proxy+ http://www.proxyplus.cz kostenlos
(nur für drei Benutzer gleichzeitig nutzbar)
Sambar http://www.sambar.org kostenlos
Wingate http://www.wingate.com ab 109DM
(nur für drei Benutzer gleichzeitig nutzbar)
Winproxy http://www.winproxy.com ab 89DM
WinRoute http://www.tinysoftware.com ab 59US$
[basierend auf c’t 19/2000, S. 118ff, ‚Surf-Gemeinschaft‘]
))