Wer nach einer einfach aufzusetzenden und zu verwaltenden VPN-Lösung sucht, nutzt häufig Hamachi von LogMeIn, das für eine private Nutzung mit bis zu 16 Rechnern pro VPN kostenlos ist. Hamachi ist ein sogenanntes End-to-End-VPN. Das unterscheidet es von Site-to-Site-VPNs, die mehrere Unternehmensstandorte verbinden, oder Site-to-End-VPNs, die die Einwahl von Benutzern in ein Intranet ermöglichen.
Bei einem End-to-End-VPN ist die VPN-Software auf den Rechnern aller Teilnehmer installiert. Alle Teilnehmer befinden sich bei aktivierter Software in einem virtuellen LAN. Notwendig ist dafür nur eine bestehende Internetverbindung.
Hamachi verwendet zur Tunnelung nach Möglichkeit das UDP-Protokoll. Das ermöglicht es, dass jeder VPN-Teilnehmer auch hinter einem NAT-Router sitzen kann. Falls eine NAT- oder Firewall-Einstellung eine UDP-Verbindung verhindert, nutzt die Hamachi-Software automatisch TCP.
Dabei fungiert der zentrale Hamachi-Server std.hamachi.logmein.com nur als Vermittler der öffentlichen IP-Adressen der einzelnen Rechner. Die eigentliche Kommunikation geschieht direkt von Teilnehmer zu Teilnehmer.
Nur wenn aufgrund einer sehr restriktiven Firewall-Policy keine direkte Kommunikation zu anderen Rechnern möglich ist, agiert der Hamachi-Server von LogMeIn als Router und kann sogar einen HTTP-Proxy-Server nutzen, der alle TCP-Ports außer 80 sperrt. Das ist in der Praxis jedoch nur selten der Fall. Auch in öffentlichen WLAN-Netzen und via UMTS ist meist eine direkte Kommunikation möglich.
All diese Features bieten auch andere bekannte VPN-Lösungen, etwa OpenVPN oder tinc. Sie sind jedoch nur mit einigem Aufwand aufzusetzen. Eine direkte Kommunikation zwischen Teilnehmern ist nur möglich, wenn man die öffentlichen Schlüssel aller Teilnehmer auf jedem Rechner pflegt.
Hamachi besticht vor allem durch seine Einfachheit. Man installiert die Software, erstellt ein Netzwerk oder tritt einem bestehenden bei. Das reicht aus, dass sich alle Rechner in einem Hamachi-Netzwerk sehen können, siehe Bild 1. Ein Netzwerkbeitritt kann mit einem Kennwort geschützt werden. Ebenso lässt sich einstellen, dass ein Beitritt zu einem Netzwerk erst durch einen Administrator genehmigt werden muss. Beide Sicherheitsmaßnahmen können kombiniert werden.
Die Kommunikation erfolgt über virtuelle Netzwerkadapter. Sie erhalten IPv4-Adressen aus dem Bereich 5.0.0.0/8. Diese IP-Adressen gehören offiziell zum öffentlichen IPv4-Adressraum, sind aber bisher von der IANA nicht vergeben. Die Wahl dieses Adressraums stellt sicher, dass es keine Adresskonflikte mit privaten Adressen aus dem Bereich 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 gibt. Wenn die IANA diesen Bereich irgendwann vergibt, muss sich LogMeIn allerdings etwas einfallen lassen.
Lesermeinungen zum Artikel