Geräte im LAN - Zugriff übers Internet - der elegante Weg

Alle hier kennen wohl das Problem: Man hat im lokalen Netzwerk eines oder mehrere Geräte (z.B. IPS-Server, Netzwerkfestplatte / NAS, IP-Kamera etc.) auf die man gern von innen (zu Hause, im LAN bzw. WLAN) und auch von außen (über das Internet) zugreifen möchte. Das ist generell natürlich möglich und mit einem zeitgemäßen Router (Fritzbox etc.) gar keine große Schwierigkeit mehr. Da es zu diesem Thema auch schon unzählige Anleitungen gibt, sei der Vorgang hier nur kurz zusammengefasst.

Man nehme einen Router wie z.B. Fritzbox, der Dynamische-DNS-Dienste wie z.B. no-ip.com unterstützt. Bei diesem Dienst holt man sich eine dynamische Domain, z.B. meinhaus.no-ip.com. Dann richtet man diese Adresse mit den entsprechenden Zugangsdaten auf dem Router ein, gibt die entsprechenden Ports frei (z.B. 80 auf den IPS-Rechner, 20 und 21 für die NAS) und sorgt dafür dass die entsprechenden Geräte im LAN auch eine feste IP-Adresse haben, zu denen man die Ports dann durchleitet.

Wem dieser Vorgang noch nicht klar ist, der wende sich an eine der unzähligen Anleitungen zu diesem Thema. Worum es hier gehen soll sind nämlich nicht die Allgemeinplätze der Portfreigabe und dynamischen-DNS-Dienste, sondern einige Tricks mit denen man seine Freigaben wesentlich eleganter und benutzerfreundlicher gestalten kann.

Hierzu lohnt es, sich zunächst die Nachteile einer dynamischen Domain mit Portfreigabe vor Augen zu führen. Als da wären:

[ul]
[li]Der Domainname ist nicht frei wählbar. Es handelt sich bei einer dynamischen Domain nämlich nicht um eine „normale“, sog. Second-Level-Domain, wie z.B. meinhaus.de eine wäre, sondern um eine Third-Level-Domain, die zwingend auf eine nicht frei bestimmbare Second-Level-Domain des Dynamic-DNS-Dienstanbieters enden muss, z.B. no-ip.com. Das ist nicht nur hässlich, es erschwert auch das Merken des Domainnamens gerade für Laien, außerdem ist eine solche Adresse natürlich recht lang.
[/li][li]Man kann von zu Hause aus nicht immer auf die selbe Weise auf sein Gerät zugreifen wie von unterwegs. Meist, aber nicht immer, ist es prinzipiell möglich, den „externen“ Domainnamen mit dem man von außen auf Geräte zugreifen kann, auch zu Hause zu verwenden. Wenn das geht ist es schon mal bequemer als dass man zu Hause einen gesonderten Link benutzen muss. Allerdings läuft die Verbindung dann eben auch tatsächlich einmal über den Router, quasi „zum Internet und zurück“. Die Folge ist eine deutlich geringere Zugriffsgeschwindigkeit als sie im LAN prinzipiell möglich wäre, außerdem funktioniert der Zugriff bei Ausfall der Internetverbindung nicht mehr, obwohl man im selben LAN sitzt.
[/li][/ul]

Die gute Nachricht ist: Mit einigen Tricks und der richtigen „Ausstattung“ ist es keine große Schwierigkeit, beide Probleme elegant zu umgehen.

Einen eigenen, frei wählbaren Domainnamen verwenden

Manch einer ist bereits im Besitz einer eigenen Second-Level-Domain. Domains gibt es bei vielen verschiedenen Anbietern und für ca. 2 Euro im Monat ist man dabei.

Unter der eigenen Domain befindet sich möglicherweise die private Homepage mit Fotos vom Hund, oder sogar ein Link auf die Dyn-DNS-Adresse des Homeservers so dass Interessierten beispielsweise der Zugang zur Wetterstation offen steht. Mit einem entsprechenden Kennwort kommt man dann auch ins Webfront und kann auf seine Automation zugreifen.

In diesem Fall ist der „hässliche“ dynamische Domainname bereits recht wirksam unter den Teppich gekehrt, denn er versteckt sich in einem Link und ist nur beim Anklicken desselben in der Browserzeile sichtbar.

Das ist schon eine brauchbare Lösung für die meisten, aber so ganz elegant ist sie natürlich nicht. Wenn man nämlich die Adresse eingibt, bspw. meinhaus.de, dann kommt man eben nicht direkt ins Webinterface, sondern muss einmal extra klicken.

Als Abhilfe könnte man sich unterhalb der eigenen Second-Level-Domain eine Subdomain anlegen, die per HTTP-Weiterleitung auf die DynDNS-Domain verweist. Beispielsweise haus.meinehomepage.de, die dann auf meinhaus.no-ip.org weiter leitet. Ich gehe davon aus, dass viele es so machen, ich selbst habe das auch lange getan. Die meisten Webhoster erlauben eine solche Konfiguration und sie ist in vielen Fällen schon komplett ausreichend.

Aber es ist eben noch immer nicht „the real deal“ denn die HTTP-Weiterleitung nutzt rein gar nichts, um z.B. auf den FTP-Dienst zugreifen zu können. Da muss man dann doch wieder die hässliche Dyn-DNS-Adresse bemühen.

Doch ich würde diesen Beitrag natürlich nicht schreiben, wenn es nicht einen eleganteren Weg gäbe den ich gern vorstellen möchte. Das Zauberwort heißt CNAME-Eintrag und z.B. der verbreitete Webhoster 1&1 erlaubt eine solche Konfiguration. (Bei anderen Hostern dürfte es ähnlich sein, ich gehe hier mal von 1&1 aus.)

Ein CNAME-Eintrag konfiguriert eine Domain als Alias, so dass diese automatisch zum selben Host führt, wie eine andere Domain, ohne dass es sich aber um eine Weiterleitung zu dieser handelt. Die Domain mit dem CNAME-Eintrag kann ganz normal benutzt weden wie jede andere Domain auch, und es ist im Betrieb weder sichtbar noch von Bedeutung, dass im Hintergrund nach wie vor die dynamische DNS werkelt. Das ist genau was man haben will - ein frei wählbarer Domainname der direkt und ohne Weiterleitungen, Frames oder ähnliche „Workarounds“ nach Hause führt.

Man kann entweder seiner Second-Level-Domain direkt einen solchen CNAME-Eintrag verpassen, oder falls diese schon eine Funktion erfüllt wie z.B. Privathomepage, geht das auch mit einer eigens angelegten Subdomain.

Man legt also z.B. wenn einem meinehomepage.de bereits gehört, die Subdomain haus.meinehomepage.de an. Dann wählt man aus dass diese nicht zum Webspace des Hosters führen soll, sondern verpasst ihr einen DNS-Eintrag, mit der Einstellung CNAME bzw. Alias.

Als Alias wählt man dann seine ungeliebte dynamische DNS-Adresse aus und fertig ist die Laube, man muss sich fortan nicht mehr erinnern, ob es nun no-ip.org, no-ip.com oder no-ip.de war…

Auf Geräte von innen wie von außen zugreifen

Wenn man mehrere Geräte betreibt, auf die von außen aus zugegriffen werden soll, dann ist die Unterscheidung von außen nur anhand der Portnummer möglich. Haben beispielsweise zwei Geräte ein Webinterface, so muss man eines davon, zumindest von außen aus, auf einem anderen Port als dem Standard-Port 80 betreiben.

Das ist natürlich um so verwirrender, als dass man auf ein und das selbe Gerät möglicherweise von innen aus mit dem lokalen Namen, z.B. meinenas und Port 80, von außen aber unter haus.meinehomepage.de und Port 81 zugreifen muss. Solche Unterscheidungen sind nicht nur Dritten schwer begreiflich zu machen, auch für einen selbst ist es lästig, jeden Link immer doppelt im Browser abzulegen und zu pflegen.

Doch auch hier geht es besser und intuitiver. Wie möchten gern von innen und außen den selben Domainnamen benutzen um ins Interface zu kommen. Auch möchten wir z.B. nicht zwei Webfront-Konfigurationen parallel pflegen müssen, bloß weil eine bestimmte Unterseite einen Link auf eine Webcam enthält. Ich weiß dass viele es bislang so machen, aber notwendig ist das gottlob nicht. Jedenfalls nicht mit einem modernen Router wie z.B. einer Fritzbox.

Der Trick besteht darin, zunächst einmal jedem Dienst der von außen zugänglich sein muss, eine eindeutige Portnummer zuzuweisen. Dies ist nämlich die Voraussetzung, um intern wie extern über denselben Link zugreifen zu können. Die meisten Geräte erlauben eine Port-Wahl. Außerdem kommen sich viele Geräte allein aufgrund der unterschiedlichen Dienste die sie anbieten, kaum ins Gehege.

Wenn man nun jedem freizugebenden Gerät einen netzwerkweit „einzigartigen“ Port zugewiesen hat, kommt der nächste Schritt: Eindeutige Domainnamen.

Hierzu erzeugt man pro Gerät wiederum bei seinem Webhoster eine eindeutige Subdomain, ebenso wie oben unter der letzten Überschrift beschrieben. Beispielsweise haus.meinehomepage.de für den IPS-Rechner mit dem Webfront, nas.meinehomepage.de für die NAS, cam.meinehomepage.de für die Webcam etc. Alle diese Domains werden genau wie oben beschrieben mit CNAME-Eintrag angelegt, der auf die dynamische DNS-Adresse verweist.

Anschließend öffnet man das Konfigurationsmenü seines Routers, bei der Fritzbox beispielsweise den Punkt „Heimnetz“ und sorgt dafür dass die freizugebenden Geräte jeweils eine feste IP zugewiesen bekommen. Als Hostnamen trägt man nun für jedes der Geräte den vollen externen Domainnamen ein. Also wiederum für die NAS den Namen nas.meinehomepage.de usw…

Dann muss man natürlich noch die entsprechenden Portfreigaben anlegen und den entsprechenden Netzwerkgeräten zuführen.

Mit dieser Konfiguration hat man nun im lokalen Netzwerk den gleichen Link für sein Gerät wie über das Internet. Macht man z.B. im LAN per Kommandozeile ein Ping auf einen der Hostnamen, so erkennt man, dass dieser zu einer LAN-IP führt. Tut man das selbe von außen, so führt der selbe Hostname zur externen IP des Internetanschlusses.

Ich würde diese Konfiguration natürlich nicht vorschlagen, wenn ich sie nicht selbst intensiv getestet hätte. Ich nehme täglich mein Notebook mit zur Arbeit und zurück und ich hatte nie Probleme mit z.B. DNS-Caches. Sollten bei euch dennoch Probleme auftauchen wäre ich natürlich sehr interessiert, darüber zu erfahren und sie ggf. mit euch zu lösen.

Moin moin,

schöner Beitrag, gut geschrieben. Ich bevorzuge jedoch einen gut verschlüsselten VPN Zugriff in mein LAN.

Und schon ist es von Unterwegs wie zuhause und die Datenübertragung ist sicherer.

Hallo,

sehr informativer Beitrag!

Ich persönlich würde niemals eine Portfreigabe auf das WebFront des IPS Servers oder auf mein NAS einrichten. Sichere Passwörter hin oder her - ich würde so etwas ausschließlich per VPN lösen, wie auch schon mein Vorredner erwähnte. Portfreigaben gehen natürlich, aber man sollte sich dabei 100%ig sicher sein, was man dabei tut und hat m.E. immer noch ein gewisses Restrisiko.

Gruß,
Christoph

Es ist wahr dass man mit einem VPN am sichersten unterwegs ist. Allerdings muss man immer zwischen Sicherheit und Komfort abwägen. Ein VPN benötigt z.B. einen geeigneten Client mit korrekter Konfiguration auf dem Gerät des Anwenders. Diese will bzw. kann man nicht immer für jeden Anwender, bspw in einem 5-Personen-Haushalt, mit pflegen. Inwiefern das bei Smartphones etc. überhaupt geht, weiß ich nicht, aber es ist vermutlich auch zumindest mit höherem Konfigurationsaufwand verbunden.

Außerdem könnte ich z.B. mit meinem Laptop im Büro immer nur entweder auf das Büro-LAN oder auf das VPN zugreifen, weil beide im gleichen Subnetz sind. Das verwirrt und ist sehr unkomfortabel.

Wie gesagt, mit VPN hat man eine erhöhte Sicherheit, aber der Komfort ist bei direkter Portfreigabe am höchsten.

SSH kann eine Option sein, sofern das Netzwerkgerät dies unterstützt. Vernünftige Kennwörter sollten selbstverständlich sein. Ich denke, dass man damit schon sehr viel erreicht. Stories über „gehackte“ Häuser habe ich bisher zum Glück noch nicht gehört.

@sokkerheld: sehr schön erklärt.-

Leider nützt das alles nix (auch nicht VPN) wenn einem die Policy der Firmen IT dazwischenspuckt. Bei uns ist alles bis auf Port 80 und 8080 gesperrt.
Nun gut, ein Zeitlang hab ich mir dann eben mit dem dem 8080 beholfen, und dann in meinem Router entsprechend umgemapped. Nicht schön aber ging.

• bis dann unsere „lieeeebe“ IT auch alle DynDNS Hosts auf die Blacklist gesetzt hat. Grrrrr.

Auch das könnte man wieder umgehen, aber es nervt.

gruß
bb

Sofern die Blacklist nach Domainnamen geht, könntest du genau mit der CNAME-Variante Glück haben. Und zwei Ports, das reicht ja zumindest für IPS und eine Webcam… oder eben die NAS-Oberfläche? Muss man sich halt entscheiden

Diese Unsitte mit dem Blacklisting scheint bei vielen größeren Firmen verbreitet zu sein. Der Sicherheitsgewinn dürfte sich in Grenzen halten. Vermutlich sind das die selben Firmen die ihren Mitarbeitern per Policy vorschreiben, den Internet Explorer 6 zu benutzen…

Zum Glück kann man sich ja heutzutage relativ problemlos sein „eigenes Internet“ mitnehmen, Stichwort Smartphone/Tablet.

Saubere Anleitung.

Letztendlich habe ich auch noch Bedenken bei den vielen offenen Ports die derzeit bei mir am laufen sind.

Ziel ist nur noch mit einem offenen Port nach Außen sichtbar sein und dahinter eine Reverse-Proxy bedienen, habe nur für Windows und IIS noch nix passendes gefunden. Anleitung die derzeit rumgeistern sind alle mit Apache gelöst und noch eine Webserverinstanz will ich nicht haben.

Schöne Anleitung, oder aber auch " wie mache ich es Kids leicht mein Haus zu Hacken " …

Portfreigaben nach außen gibt’s bei mir nicht, mein Netz ist nur per VPN erreichbar. Dank Zertifikaten und einem großen Netzwerkhersteller geht das auf dem iPhone vollkommen transparent. Zur Not per SSL-VPN auch ohne installierten Client.

Fazit: technische Grundlagen sind in dem Beitrag schön erklärt, diese aber so zu nutzen meiner Meinung nach mehr als fahrlässig.

Grüße

Andreas
PS: Der seine Kohle mit Network Security verdient :rolleyes:

Hi, wenn Du es „sicher“ haben möchtest, wird Dir nicht viel übrig bleiben als Apache, zumindest unter Windows und selbst dann würde ich den Apache auf einem eigenen Host laufen lassen und mindestens mit einer „two-factor authentication“ absichern.

Grüße

Andreas

Morgen

Also ich weiß nicht ob ihrs in punkto Sicherheit da nicht etwas übertreibt.
Wer soll denn schon großartig Aufwand investieren um den IPS Zugang zu hacken.
Wer weiß denn schon was sich hinter Port 20720 verbirgt (den könnte man zur Tarnung ja auch noch leicht umbiegen) ?

Und wenn doch, was fängt er damit groß an ?
Letztendlich könnte doch nur ein IPS kundiger da irgendetwas sinnvolles damit machen.

Weiters sind die Daten ja mit SSL verschlüsselt, man müßte also erst dieses hacken (also den Datenstrom irgendwie abgreifen und hacken) um dann selbst einzudringen und Unfug zu treiben.

Nun ich bin da kein Spezialist, aber wie sicher ist denn ein VPN wenn es nicht von einem IT Profi gewartet wird ?

• der typ. Hobby Admin ist doch schon glücklich wenn er selbst reinkommt
• keine sicheren Passwörter verwendet werden (wohl in 99% der Fälle)
• das Windows Auto Update ausgeschaltet ist (wohl auch oft der Fall)
• ect. ect.

Also als Hacker würde ich mich eher auf unsichere VPN als auf irgendwelche unbekannten dubiose Ports stürzen.

yust my2cent
bb

Naja, ob sich das lohnt ?

Ich habe bei mir ne Astaro laufen und mit dem IPS - Vorsicht Kalauer -> Intrusion Prevention System - werden Portscans erkannt und für den Angreifer transparent ignoriert, ergo ist schon ein Zufallstreffer nötig um den offen Port für IP-Symcon zu finden.

ich bin auch BB´s Meinung, das Sicherheit immer nur so gut wie die Schwächste Stelle ist. Ich gehe mit Portfreigaben generell restriktiv um, und wenn ich sie nicht zwingend von Überall erreichen muss, dann sind sie auch nur per VPN erreichbar.

Anderseits gehören bei mir getrennte Netze für Haustechnik, Wlan, Lan und Internet einfach zum Standard. Das minimiert die mögliche Schadensreichweite…

Ich bin ja schon darauf eingegangen; selbstverständlich habt ihr VPN-Benutzer Recht damit, dass eure Lösung prinzipiell sicherer ist weil es einen zusätzlichen verschlüsselten layer gibt. Ja.

Aber man sollte tatsächlich auch bedenken, wie wahrscheinlich ein solcher Hack denn wirklich ist und ob es sich angesichts der deutlichen Komforteinbußen lohnt, den VPN-Umweg zu gehen.

Gab es überhaupt schon mal so einen Fall, hier im Forum zum Beispiel, wo jemand wirklich gehackt wurde? Es dürfte doch die absolute Ausnahme sein. Und wenn es passiert dann hat es vermutlich auch noch am ehesten mit schwachen Kennwörtern zu tun.

Ich habe den Eindruck dass gerade diejenigen die von Berufs wegen mit IT-Sicherheit befasst sind, bei sich zu Hause unrealistisch hohe Maßstäbe anlegen. Bei der Website einer großen Firma gibt es ja durchaus mehr Interessenten, deren Systeme zu „hacken“ als bei Hansi Müllers Haussteuerungsseite, die noch dazu nirgends verlinkt ist. Sony wird gefühlt einmal im Monat gehackt, und die haben vermutlich riesige Teams von Security-Experten die genau das verhindern sollen.

Da müsste also jemand der sich auskennt, erstmal zufällig über die Webfront-Seite stolpern, verstehen welche Systeme im Einsatz sind und sich dann Zugang verschaffen, ohne dass das irgendwem auffällt.

Ich glaube da sollte man sich in puncto Sicherheit mehr Gedanken über Menschen machen, die physisch vorbei kommen um das Haus zu hacken: Einbrecher.

Und schon den ersten Fehler gemacht…
Bei sog. Penetration Tests ist es eine der ersten Aufgaben herauszufinden, welche Systeme eingesetzt werden, um dann Schwachstellen gezielt auszunutzen.

Die erste Aufgabe ist bei Dir jetzt leicht zu loesen.

Ich denk nicht das ein VPN ein zu großer Aufwand ist, gibt heut zu tage gute und günstige Router mit VPN und ner gescheiten Firewall. Der Administrationsaufwand ist wesentlich geringer als der eines DNS Server, zumal ein Lancom Router alle Funktionen abdeckt Für alle meine Mobilen Geräte (1x Laptop, 2x Smartphone) gibt es VPN Clients. Oder sie können es von Haus aus.

Wenn ich übertreiben wollte würde ich mir nen Knocking Server aufsetzten dahinter den VPN Router mit 3 Wege Authentifizierung und natürlich einer 2 stufigen Firewall Obwohl weit davon entfernt ist meine Konfig nicht.

Ports werden von vielen Rechnerfarmen automatisch gescannt ein Angriff ist nicht so unwarscheinlich wie man immer hofft. Schonmal ein frisch installierten Windows PC ohne Firewall ins Internet gestellt? 3…2…1… Botnetzsklave

Letzlich muss das jeder selbst abschätzen, nur wenn einer meinen Server hacken sollte hat er zugriff auf meine sensibelsten Daten, die aus Angst vor einem Hausbrand alle digitalisiert sind.

Natülich legen Leute aus dem IT Security Bereich besonderen Wert auf dieses Thema, ein Statiker oder Maurer schlägt aber auch bei fast jedem Heimwerker die Hände überm Kopf zusammen, mal gehts gut mal nicht.

Interessante Diskussion hier. Ich habe zum Beispiel noch gar nix eingerichtet um mit meinem iPhone auf mein Webfront zu kommen. Um überhaupt auf mein Netz daheim zu kommen, benutze ich das Unified Access Gateway von MS im Zusammenspiel mit einem OTP Server und einem Softtoken am iPhone. Von dort weg benutze ich eigentlich fast ausschliesslich RDP Verbindungen auf meine Server.

Wie ich jetzt mit meinem iPhone am Besten aufs Webfront kommen soll, weiss ich noch gar nicht so genau…deswegen werde ich eure weiteren Posts genau verfolgen und mir dann eine gute Lösung rauspicken

Nun ja … das ist Ansichtssache. Ist stimme Dir zu, dass die Haussteuerungsseite von Hansi Müller eher weniger interessant für einen Hacker ist, als z.B. Webseiten von größeren Unternehmen. Ich hätte auch keinen wirtschaftlichen Schaden, wenn einer mein Webfront hackt - aber schön wäre es auch nicht, wenn ich nach Hause komme und wie von Geisterhand sind Licht, Fernseher und Stereo-Anlage an und das Badezimmer ist geheizt. Hier kann niemand etwas wirklich schlimmes anrichten, aber trotzdem ist es für mich ein beruhigendes Gefühl, dass eben nach außen hin keine Ports offen sind, sondern der einzige Weg ins interne Netz nur über VPN führt. Von daher würde ich meine getroffenen Sicherheitsmaßnahmen nicht als „unrealistisch hoch“ einstufen.
Dem einen ist halt ein VPN ins interne Netz sicher genug, der andere schiebt noch eine Firewall dazwischen und gibt die benötigten Ports explizit frei und der Dritte baut sich getrennte Netze für LAN und WLAN. Es hat auch jeder unterschiedliche Dinge über IPS gelöst. Von daher kann ein Außenstehender gar nicht beurteilen, ob die getroffenen Maßnahmen genau richtig oder unrealistisch hoch sind.

Grüße,
Christoph

Ich glaube es würde sich lohnen, falls erhöhtes Interesse am Thema IT-Sicherheit besteht, dafür einen eigenen Thread aufzumachen. Mein Beitrag sollte jedenfalls kein Urteil darüber fällen, welche Ports man aus welchem Grunde offen oder geschlossen halten könnte oder sollte. Da gibt es jede Menge Gründe die im einzelnen dafür oder dagegen sprechen.

Es ging mir aber nicht darum, diese Diskussion zu führen, sondern eine Alternative zum lokalen/dynamic-dns-Domainnamen-Wirrwarr vorzustellen. Ob man unter einem „hübschen“ Domainnamen dann dieses oder jenes Gerät erreicht, oder eben ein VPN, ist eigentlich ertmal nicht so entscheidend.

das ist genau der Punkt, aus diesem Blickwinkel finde ich Deinen Beitrag sehr informativ. Es sollte sich aber auch jeder darüber im Klaren sein, dass es darüber hinaus eine Menge mehr Wissen erfordert, die für sich „beste und sicherste“ Lösung zu finden (wobei sich „beste“ und „sicherste“ fast ausschließen").
Wie schon gesagt: ich find den Beitrag klasse ;).
Und die Idee, weiteres Wissen in einem dedizierten Thread zu platzieren ist ebenfalls sehr gut.

… meine Version

ich greife zwar nicht vom Internet auf meine Haussteuerung zu, aber vom Internet auf meinen privaten Webserver.

Ablauf:

• lese per IPS-script die externe IP-Adresse aus (script aus dem Forum)
• generiere ein html- Dokument
• lade das html- Dokument per ftp-script auf meine Webseite bei 1&1
• der Aufruf wäre dann www.meinhaus.de/home.html
• dabei wird dann automatisch auf meinen Home-Webserver weitergeleitet.

/*HTML- Text mit IP in Datei schreiben */
$web_txt = (
‚<HTML>
<HEAD>
<META HTTP-EQUIV=„Refresh“ CONTENT="0; URL=http://‘.$wanIP.’">
</HEAD>
</HTML>’
);
echo ($web_txt);
$file = IPS_GetKernelDir().„scripts\home.html“;
$handle=fopen($file, „w“);
fwrite($handle, $web_txt);
fclose($handle);
}

Ich persöhnlich werde WF aus Sicherheitsgründen nicht nicht ins Internet weiterleiten. Falls es jemand doch machen möchte, dann per VPN oder SSl-VPN.

Gruß Joachim

Dann nimm einfach OpenVPN, am Besten auf Port 443, der wir bei euch ja wohl kaum gesperrt sein. Ansonsten könntet ihr keine https Seiten öffnen.

Unter Android 4.X ICS gibt es jetzt endlich Clients ohne Root Rechte. Bei iOS gibts auch was, aber nur mit Jailbreak.

Gruss
Bernd