Virtuelle Private Netze: Das bringt VPN

Bis ein VPN aufgebaut ist, sind einige Hürden zu überwinden – die meisten davon, ohne dass der Anwender es überhaupt merkt.

Eigentlich hört es sich einfach an: Ein VPN verpackt die zu übertragenden Daten in IP-Pakete und leitet sie über das Internet zum Empfänger. Wo beim Dial-In Modem und Telefonnetz stehen, verwendet ein VPN den Router und das Internet. Was beim Dial-In die Telefonnummer, ist beim VPN die IP-Adresse. Doch halt, stimmt das überhaupt? Wohl kaum, denn schließlich verbindet man per VPN eben private Netze. Und private Netze sind solche, die private und damit über das Internet nicht adressierbare IP-Adressen verwenden.

Eine mögliche Lösung des Problems ist es, dem Zielserver im LAN zusätzlich zur privaten auch eine offizielle IP-Adresse zu spendieren. Damit wird das System adressier- und somit für VPN-Clients erreichbar. Diese Methode bringt allerdings ein paar Nachteile mit sich. Der wohl schwerwiegendste: auf diese Weise lässt sich lediglich ein Client-to-Server VPN realisieren. Der Rest des LAN und damit auch die dort vorhandenen Ressourcen bleiben für den Client verborgen.

Wird das Ziel einer VPN-Verbindung über eine direkt adressierbare IP-Adresse angesprochen, besteht ohne aufwändiges Routing kein Zugriff auf den Rest des LAN.

Daran ändert sich auch nicht viel, wenn man der Firewall per Port-Forwarding mitteilt, an welchen Rechner sie eingehende VPN-Requests weiterleiten soll. Da sich für jeden Eingangsport nur ein Zielsystem definieren lässt, fährt man mit dieser Lösung unter Umständen sogar schlechter. Schließlich lassen sich weitere offizielle IP-Adressen immerhin besorgen.

Kritischer Faktor: VPN-Support
Ergo ist die einzig umfassende Lösung, einen Router oder eine Firewall einzusetzen, die VPN-Verbindungen direkt unterstützen – und zwar richtig. Viele Router werben mit VPN-Support, bei genauerer Betrachtung stellt sich aber heraus, dass damit der reine Passthrough-Betrieb gemeint ist.

Das heißt nichts anderes als: Das Gerät merkt, wenn ein Client aus dem lokalen Netz heraus eine VPN-Verbindung aufbauen will, und lässt diesen Datenstrom vorsichtshalber in Ruhe. Abhängig vom verwendeten VPN-Protokoll und dem Aufwand, den der Hardware-Hersteller getrieben hat, lassen sich ein oder mehrere dieser ausgehenden VPN-Sitzungen unterstützen. Für eingehende VPN-Requests sind diese Geräte aber nicht oder – unter Einsatz von Port-Forwarding – nur bedingt geeignet.

Auch Produkte mit echtem VPN-Support bieten keine unbegrenzte Zahl von VPN-Sitzungen. Ursache sind die zum Teil recht aufwändigen Mechanismen, die von den Protokollen gefordert werden. Da sich aber über eine VPN-Verbindung theoretisch beliebig viele Client-Sitzungen tunneln lassen, fällt dies hier nicht so sehr ins Gewicht. Schließlich ist es so möglich, ganze Netze zu koppeln, ohne dass jeder Client eine eigene VPN-Verbindung aufbauen muss. Weiterer Vorteil dieser Variante: Die Clients haben – sofern das gewünscht ist -Zugriff auf das komplette Netzwerk der Gegenstelle.

Über eine VPN-Unterstützung direkt im Router steht dem Client der Zugriff auf alle Ressourcen des LAN offen.

Dominierende Protokolle
Nun wurde ja schon öfter erwähnt, dass einige Besonderheiten eines VPN vom verwendeten Protokoll abhängen. Neben einer Vielzahl herstellerspezifischer Lösungen dominieren derzeit die drei Protokolle Point to Point Tunneling Protocol (PPTP), Layer 2 Tunneling Protocol (L2TP) und Security Architecture for IP (IPsec) das Geschehen. Daher betrachten wir diese nun ein wenig genauer.