Networking 3 Min. Lesezeit

IP-Routing und Client Isolation – Was netstat und arp wirklich verraten

Mit zwei einfachen Befehlen lässt sich erstaunlich viel über ein Netzwerk herausfinden. Dieser Artikel erklärt IP-Routing, Host-Routen und Client Isolation am realen Beispiel des Eduroam-Netzwerks.

Jedes Mal wenn du dich ins WLAN einwählst, passiert im Hintergrund eine Menge. Dein Gerät bekommt eine IP, trägt Routen in eine Tabelle ein und sucht per ARP nach anderen Geräten im Netz. Was dabei passiert und was das über das Netzwerk verrät, zeige ich am Beispiel von meinem Uni Netz: Eduroam

Die Routentabelle verstehen

Mit dem Befehl netstat -rn zeigt Windows alle aktiven Routen an. Die wichtigsten Eintragstypen:

Default Route (0.0.0.0/0) Alle Pakete ohne passende spezifische Route gehen an den Gateway. Im Eduroam-Beispiel ist das 172.31.0.1 – der Router der Uni.

Netzroute (/17) Die Maske 255.255.128.0 entspricht einem /17-Netz und umfasst die Adressen 172.31.0.0 bis 172.31.127.255 – Platz für 32.766 Hosts. Typisch für eine Hochschule mit vielen gleichzeitigen Nutzern.

Host-Routen (/32) Eine Maske mit allen gesetzten Bits zeigt auf genau eine IP-Adresse. Windows legt diese automatisch an:

  • Eigene IP (172.31.93.21/32) – das Betriebssystem markiert die eigene Adresse
  • Broadcast-Adresse (172.31.127.255/32) – fuer Broadcast-Pakete ins lokale Netz
  • Loopback (127.0.0.1/32) – internes Interface

Was man aus netstat -rn herleiten kann

Die Routentabelle verrät die eigene IP-Adresse, den Gateway, die Subnetzgröße und ob ein VPN aktiv ist.

Was sie nicht zeigt: andere Nutzer im Netz, die VLAN-Struktur der Infrastruktur oder Firewall-Regeln.

ARP und Client Isolation

Mit arp -a fragt das Betriebssystem: Welche MAC-Adressen gibt es im lokalen Netz? Im Eduroam zeigt sich etwas Interessantes – nur der Gateway hat eine dynamische ARP-Einträge. Kein einziger anderer Student ist sichtbar, obwohl tausende Geräte im selben /17-Netz hängen.

Der Grund ist Client Isolation, ein Sicherheitsfeature von WLAN-Access-Points. Es verhindert direkte Kommunikation zwischen Clients:

  • Ohne Client Isolation: Geräte im selben Netz können sich gegenseitig direkt erreichen
  • Mit Client Isolation: Jeder Client kommuniziert nur mit dem Gateway

Der Access Point verwirft alle Frames, die von einem Client zu einem anderen Client adressiert sind. Nur Traffic zum und vom Gateway wird weitergeleitet.

Wo wird Client Isolation eingesetzt?

Client Isolation ist überall dort Standard, wo viele unbekannte Geräte dasselbe Netz teilen: Universitäten, Hotels, Flughäfen und öffentliche WLANs. Es schützt Nutzer davor, von anderen Teilnehmern im selben Netz angegriffen zu werden.

Fazit

Mit netstat -rn und arp -a lassen sich in Minuten wichtige Rückschlüsse über ein Netzwerk ziehen. Die fehlenden ARP-Einträgeim Eduroam sind kein Fehler, sondern ein bewusstes Sicherheitsdesign. Das Netz kommuniziert – man muss nur die richtigen Fragen stellen.

Weitere Artikel aus Networking

Networking 21.04.2026

Was sind Subnetzmasken?

Subnetting löst eines der größten Probleme der frühen Internetgeschichte: die verschwenderische Vergabe von IP-Adressen. Lerne, wie Netzwerke in logische Teilnetze aufgeteilt werden – mit CIDR, Subnetzmasken und praktischen Beispielen.

Artikel lesen