Sicher ins Intranet ohne VPN: Microsoft Direct Access im Test

Die einfachste Möglichkeit, mit einer IPv4-Anbindung Zugang zum weltweiten IPv6-Backbone zu erhalten, ist die 6to4-Tunnelung nach RFC3056. Sie kann bereits heute von jedermann genutzt werden und verursacht weniger Overhead als Teredo. Über die Anycast-Adresse 192.88.99.1 ist sie weltweit verfügbar. Wie diesen Dienst jedermann nutzen kann, erläutert ZDNet in dem Artikel IPv6 für alle: Das Internet von morgen schon heute nutzen.

Die 6to4-Tunnelung hat allerdings den Nachteil, dass sie nur von Rechnern genutzt werden kann, die eine öffentliche IPv4-Adresse besitzen. Bei einer Anbindung über einen NAT-Router mit privater IPv4-Adresse ist nichts zu machen. Nur wer einen 6to4-fähigen Router besitzt, etwa die Fritzbox 7270 mit aktueller Laborfirmware, kann seinen NAT-Router so konfigurieren, dass das gesamte Heimnetz IPv6-fähig wird. Wie das geht, zeigt der Artikel AVM bringt das Internet von morgen auf die Fritzbox.

Teredo hingegen tunnelt das IPv6-Protokoll in UDP-Pakete. So wird es möglich, IPv6 auch hinter einem NAT-Router ohne IPv6-Unterstützung, in einem öffentlichen WLAN oder über den stark eingeschränkten NAT-Internetzugang deutscher UMTS-Anbieter zu tunneln. Die Microsoft-Lösung schafft also einen Zugang von überall, sofern die Firewall den Teredo-Traffic über UDP-Port 3544 nicht absichtlich blockt.

Teredo und 6to4 dürfen nicht mit 6over4 und Isatap verwechselt werden. Letztere sind Tunnelmechanismen, die ein VPN schaffen, in dem alle teilnehmenden Rechner untereinander mit einer linklokalen Adresse mit dem IPv6-Prefix FE80 kommunizieren. Linklokale Adressen sind ein neues Konzept von IPv6. Sie sind „noch privater“ als private IPv4-Adressen wie 192.168.0.1. Private IP-Adressen werden normalerweise innerhalb eines Intranets geroutet, zum Beispiel zwischen zwei Unternehmensstandorten. Linklokale Adressen werden überhaupt nicht geroutet und automatisch zusätzlich zu einer öffentlichen oder privaten IPv6-Adresse an einen Netzwerkadapter gebunden. Das ermöglicht unter anderem die Autokonfiguration. So kann ein Rechner mit der Multicastadresse eines Routers kommunizieren, um weitere Konfigurationsdaten zu erhalten.

Themenseiten: Microsoft, Security-Praxis, Server, Servers, Storage, Storage & Server, VPN

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Sicher ins Intranet ohne VPN: Microsoft Direct Access im Test

Kommentar hinzufügen
  • Am 3. April 2011 um 15:31 von Daniel R.

    einschränkung
    Es sollte allerdings nicht unerwähnt bleiben das DA ausschließlich auf W7 Ultimate oder Enterprise eingesetzt werden kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *