Heimnetz abschotten

Gast-WLAN für Bekannte und Freunde einrichten

Ein Gastzugang zum Drahtlosnetzwerk für Bekannte und Besucher zu Hause oder im Büro ist eine nette Aufmerksamkeit. Neben einer sicheren Konfiguration gilt es aber auch die rechtliche Lage zu beachten.

Ein öffentlicher Hotspot für geladene und ungeladene Gäste stellt ein rechtliches Risiko dar. Denn der Betreiber eines WLANs haftet im Zweifelsfall für das Treiben seiner Gäste im Internet. Im Heimnetz möchte man sich mit den potenziellen Problemen eines öffentlichen Zugangs sicher nicht herumschlagen und sorgt deshalb mittels WPA2 für Sicherheit. Was aber, wenn Freunde, Bekannte oder Kunden zu Besuch sind und mit dem Notebook E-Mails abrufen wollen?

Ein Dilemma: Gibt man den Netzwerkschlüssel für das eigene WLAN preis, so lässt man die Gäste ins eigene Netzwerk. Und wer weiß schon, von welchen Viren und Würmern das mitgebrachte Windows-Notebook befallen ist? Verweigert man den WLAN-Zugang, so gilt man als unfreundlich oder paranoid.

Für Gäste: Separate Wege ins Netz

Die beste Lösung: Ein Gast-WLAN, das getrennt vom sonstigen WLAN arbeitet, lässt Ihre Besucher auf Anfrage ins Internet, aber nicht ins lokale Netzwerk. Das eigene WLAN-Passwort brauchen Sie nicht preiszugeben, denn das Gast-WLAN bekommt seinen eigenen Schlüssel. Je nach Netzwerkausrüstung ist ein getrenntes Gastnetzwerk auch nicht weiter kompliziert und braucht noch nicht mal zusätzlich Hardware.

Bei den meisten WLAN-Routern und Access Points können Sie einen Gastzugang über die Konfigurationsoberfläche einrichten. Aktuelle Router bieten dafür die Funktion mit dem Namen „Gastzugang“, „Gast-Netzwerk“, „Guests“ oder auch „Virtual Access Points“ (D-Link). Damit baut der Router ein weiteres, virtuelles WLAN auf, mit dem sich die Gäste verbinden können. Das Gast-WLAN hat seine eigene SSID (Netzwerkkennung), läuft in diesem Fall aber auf dem gleichen Funkbaustein, der nun abwechselnd mehrere SSIDs bedienen muss.

Damit ist es noch nicht getan: Viele Router und Access Points erstellen das neue Gast-WLAN zunächst als offenes Netzwerk ohne Passwortschutz. Das Gast-WLAN soll aber nicht zum öffentlichen Hotspot werden, da das Missbrauchspotenzial durch Unbekannte in Funkreichweite zu groß ist. Setzen Sie deshalb auch im Gast-WLAN WPA2 als Zugangssicherung ein, und vergeben Sie ein Passwort, das Sie ihren Gästen auf Anfrage hin verraten.

Tipp: Auch jeder Alt-Router aus dem Kellerregal kann ein zusätzliches WLAN für Gäste mit eigenem Kennwort bereitstellen. An geeignetem Ort an das Ethernet angeschlossen, müssen Sie nur über seine Konfigurationsoberfläche WLAN aktivieren und SSID sowie WPA2-Schlüssel anlegen. Eine Abschottung der Gäste vom LAN ist hier oft nicht möglich (siehe nächsten Punkt).

Die meisten halbwegs aktuellen Access Points und WLANRouter, hier ein Billigmodell von D-Link, erlauben ein separates Gäste- WLAN mit eigener SSID.
Die meisten halbwegs aktuellen Access Points und WLANRouter, hier ein Billigmodell von D-Link, erlauben ein separates Gäste- WLAN mit eigener SSID.

Client Isolation: Gäste kommen nicht ins LAN

Eine weitere Sicherheitsvorkehrung ist empfehlenswert: Im Gast-WLAN sorgen Sie dafür, dass alle Clients nur sich selber und den Zugangspunkt im lokalen Netzwerk sehen, nicht aber andere Clients. In der Konfigurationsoberfläche von Access Points und WLAN-Routern nennt sich diese Einstellung meist „Wireless Isolation“, „Clients Isolation“, „AP Isolation“ oder „Station Isolation“. Die AVM Fritzbox und der Telekom Speedport nennen diese Option „Die angezeigten WLAN-Geräte dürfen untereinander kommunizieren“. Ist die Client Isolation aktiviert beziehungsweise in der Fritzbox die Client-Kommunikation abgeschaltet, erreichen WLAN-Geräte über den Router zwar das Internet, können sich aber nicht mit dem lokalen Netzwerk verbinden.

Auf diese Weise können Sie andere WLAN-Geräte ins Funknetzwerk lassen, ohne befürchten zu müssen, dass sie auf Netzwerkfreigaben spazieren gehen.