VPN für Einsteiger: Die wichtigsten Informationen

Was ist ein VPN?

Jeder Internetteilnehmer kann mit jedem anderen Internetteilnehmer Daten austauschen. Diese Tatsache machen sich z.B. Tauschbörsen zunutze. Allerdings erfolgt dieser Datenaustausch völlig ungesichert, so dass wiederum andere Internetteilnehmer die Daten manipulieren oder mitschneiden können.



Abbildung 1: Ungesicherter Datenaustausch im Internet

Für einen professionellen Einsatz ist das natürlich nicht akzeptabel. Bei einem VPN (Virtual Private Network) wird der Datenstrom daher verschlüsselt übertragen. Zudem müssen sich die Gegenstellen vor dem Verbindungsaufbau gegenseitig autorisieren, so dass Unbefugte sich nicht einfach mit einem Unternehmensnetz verbinden können.



Abbildung 2: Gesicherter Datenaustausch im Internet

Durch die verschlüsselte Verbindung werden die Pakete „getunnelt“, d.h. es kann direkt auf das private Netz der entfernten Seite zugegriffen werden, so als ob man Teil des Netzes wäre.
Es gibt verschiedene Möglichkeiten, ein VPN aufzubauen. AVM nutzt den weit verbreiteten IPSec-Standard, der sich herstellerübergreifend etabliert hat. Er bietet neben maximaler Sicherheit auch Interoperabilität zu VPN-Lösungen anderer Hersteller.

Verbindungsarten

Bei einer VPN-Verbindung wird grundsätzlich zwischen dem Fernzugang für einen Benutzer und der Verbindung entfernter Netzwerke unterschieden.
Bei dem Fernzugang verbindet sich ein Client, z.B. ein Außendienstmitarbeiter oder ein Administrator mit einem Netzwerk. Für die Verbindung wird dem Client eine IP-Adresse zugewiesen, über die er mit dem entfernten Netz kommunizieren kann.
Werden Netzwerke miteinander verbunden, kann jede Seite die Verbindung aufbauen. Bei bestehender Verbindung können alle Teilnehmer der beiden Netze miteinander Daten austauschen. Für die Kommunikation werden direkt die in den lokalen Netzen vergebenen IP-Adressen genutzt.

Anwendungsmöglichkeiten

Ein mit IPSec aufgebautes VPN lässt prinzipiell sämtlichen IP-Verkehr zu. Durch einen VPN-Tunnel sind also alle IP-basierten Anwendungen möglich, so z.B. der Zugriff auf E-Mail-Server, Datenbanken, Warenwirtschaftssysteme oder Dateifreigaben sowie die Fernwartung entfernter Systeme.

VPN und IP - Die Randbedingungen

Damit sich zwei Gegenstellen erfolgreich verbinden können benötigen sie vor allem zwei Dinge: einen Internetzugang und unterschiedliche lokale IP-Netze. Der Grund für letzteres ist einfach. Würden zwei Netze A und B die gleichen Netzadressen verwenden, wäre bei einer Verbindung der Netze eine eindeutige Adressierbarkeit nicht mehr gewährleistet. So könnte es z.B. in beiden Netzen ein Gerät mit der IP-Adresse 192.168.178.1 geben. Wird diese IP-Adresse angesprochen, könnte nicht differenziert werden, ob das Gerät in Netz A oder B gemeint ist.
Technisch kann es zu einer Verwechslung gar nicht erst kommen. Damit ein Datenpaket durch einen VPN übertragen werden kann, muss es zunächst in Richtung Internet geschickt werden, denn dort beginnt bzw. endet der VPN-Tunnel. Das Paket muss also an das Standardgateway geschickt werden, das für die Internetverbindung zuständig ist, z.B. die FRITZ!Box oder das AVM VoIP Gateway. Ein Paket wird aber nur an das Standardgateway gesendet, wenn die Zieladresse nicht im eigenen Netz liegt. Befindet sich die Zieladresse im eigenen Netz, wird immer versucht, das Ziel lokal anzusprechen, auch wenn es ggf. keine Antwort gibt.
Das gleiche gilt für den Fernzugang eines Benutzers. Zwar bekommt dieser für die VPN-Verbindung eine IP-Adresse zugewiesen, aber auch hier gelten lokal die gleichen Mechanismen. Versucht also der Benutzer über ein VPN auf das gleiche Netz zuzugreifen, in dem er sich lokal befindet, werden die Pakete lokal verschickt und die Gegenseite nie erreichen. Dies kann z.B. passieren, wenn ein Benutzer sich aus einem FRITZ!Box-Netz heraus mit einem anderen FRITZ!Box-Netz verbinden möchte. Nutzen beide das werksseitig vorgegebene IP-Netz, wird das VPN zwar aufgebaut, kann aber nicht genutzt werden.

Die zwei Netze des VPNs

Bei einem VPN werden private Netze über das öffentliche Internet verbunden. Für die Konfiguration einer VPN-Verbindung werden daher vier Adressen benötigt: die öffentlichen IP-Adressen der Teilnehmer, zwischen denen das VPN aufgebaut wird, und die privaten Adressen der Netze, die durch das VPN miteinander verbunden werden.



Abbildung 3: Öffentliche und private Adressen bei einem VPN

Während die privaten Adressen bekannt sein sollten, sind die öffentlichen IP-Adressen mitunter problematischer. Der IPSec-Standard setzte ursprünglich feste IP-Adressen im Internet voraus. Da private Nutzer und kleinere Unternehmen oft nur dynamische, also sich regelmäßig ändernde Adressen im Internet haben, kann ein VPN heute auch mit dynamischen Adressen aufgebaut werden. Allerdings muss dabei vor jedem Verbindungsaufbau die aktuelle IP-Adresse der Gegenstelle in Erfahrung gebracht werden.

Dynamic DNS

Eine praktikable Lösung für VPN-Verbindungen zwischen Gegenstellen mit dynamischen IP-Adressen ist Dynamic DNS. Dabei wird ein fester, sich nicht ändernder DNS-Name eingerichtet, der immer in die aktuelle Internet-IP-Adresse aufgelöst wird. Spezielle Dynamic DNS Provider bieten dafür verschiedene Dienste an, oft sogar kostenlos. Die Einrichtung eines Dynamic DNS Accounts dauert meist nur ein paar Minuten.
Für die Aktualität der Zuordnung zwischen IP-Adresse und DNS-Name sorgen entsprechende Clients, die die Zuordnung bei jeder Adressänderung automatisch erneuern. FRITZ!Box und das AVM VoIP Gateway verfügen über einen integrierten Dynamic DNS Client, der diese Aufgabe übernimmt.

Namensauflösung

Namensauflösung spielt nicht nur bei dem Aufbau eines VPNs eine große Rolle, sondern auch bei dessen Nutzung. Durch ein VPN sind die Gegenstellen mit dem IP-Protokoll verbunden und können sofort über IP-Adressen kommunizieren. Rechner eines entfernten Netzwerkes können z.B. über ihre IP-Adresse gesucht werden, um Dateifreigaben zu nutzen. Üblicherweise wird ein Computer aber über seinen Namen gesucht. Das ist durch ein VPN nicht ohne weiteres möglich.
In kleinen Netzen erfolgt die Namensauflösung in der Regel über Broadcast-Pakete. Diese werden aber nur im eigenen Netz zugestellt und nicht über eine VPN-Verbindung übertragen. Um Namen der entfernten Seite auflösen zu können, muss ein netzübergreifender Mechanismus zur Namensauflösung eingeführt werden. Dies kann z.B. ein DNS- oder WINS-Server sein oder die Verwendung von LMHOST-Dateien. Nähere Informationen zum Thema Namensauflösung entnehmen Sie dem Handbuch Ihres Betriebssystems.