VPN - Virtual Private Network

VPN ermöglicht die sichere Verbindung zweier Computer, zweier Netzwerke (Site-to-Site-VPN) oder eines Computers mit einem Netzwerk (Remote-Access-VPN) über ein unsicheres Medium (Internet, WLAN). Man spricht von einem VPN-Tunnel. Die Daten werden mittels Verschlüsselung vor fremden Zugriff geschützt.

VPN-Server, VPN-Client, VPN-Passthrough

Man spricht irreführenderweise von VPN-Servern und VPN-Clients. Bei VPN-Verbindungen findet man aber keine klassische Server-Client-Aufteilung. Vielmehr ist der VPN-Client der VPN-Knoten, der die Verbindung anfragt und der VPN-Server, der die Verbindung akzeptiert.

Viele VPN-fähige Router sind weder VPN-Server, noch VPN-Clients. Sie unterstützen lediglich VPN-Passthrough. Sie lassen also eine VPN-Verbindung zwischen einem Gerät im Netzwerk und einem entfernten Gerät zu.

VPN-Protokolle

Die wichtigsten VPN-Protokolle sind:

- PPTP	Point to Point Tunneling Protocol (RFC 2637)
- L2TP	Layer 2 Tunneling Protocol (RFC 2661)
- IPSec	Internet Protocol Security (RFC 4301)
- OpenVPN	Open source VPN (openvpn.net)
- GET	Group Encrypted Protocol (Cisco)

VPN mit Windows

Die meisten werden vor der Herausforderung stehen ihren Computer per VPN mit einem Firmennetzwerk zu verbinden. Verwendet der Computer Windows oder Linux sind alle nötigen Mittel an Board um eine VPN-PPTP- oder eine VPN-IPSec-Verbindung aufzubauen.

Einrichtung einer VPN-Verbindung unter Windows

In den Netzwerk- und DFÜ-Verbindungen muss "Neue Verbindung erstellen" und VPN als Verbindungstyp gewählt werden.
Folgende Einstellungen müssen eingetragen werden:

1.	Hostname des Ziels oder dessen IP-Adresse
2.	Verschlüsselungsprotokoll (am besten: MS-CHAP V2, falls vom VPN-Server angeboten)
3.	IP-Adresse und DNS-Adresse eingeben, sofern diese nicht vom VPN-Server bezogen wird
4.	Wurde eine feste IP-Adresse vergeben kann man "Als Standardgateway verwenden" deaktivieren und weitere Einstellungen vornehmen. Ansonsten kann man mit der Konfiguration aufhören und die VPN-Verbindung verwenden
5.	Sicherstellen, dass die IP-Adresse der VPN-Verbindung zu einem anderen Subnet gehört wie die IP-Adressen der Netzwerkkarten

Nun muss unter Eingabe des Benutzernamens und Passwort eine VPN-Verbindung aufgebaut werden. Bei aufgebauter Verbindung in einem DOS-Fenster folgenden Befehl eingeben:
route -p ADD <ip zielnetzwerk> MASK <maske zielnetzwerk> <ip vpn-schnittstelle>

Nun liegt es nahe RIP (Routing Information Protocol) in Version 1 (RFC 1058) oder in Version 2 (RFC 2453) zu verwenden. Windows kann RIP leider nicht mit VPN-Verbindungen verwenden!

VPN-Verbindung zweier Router

Richtet man die VPN-Verbindung auf zwei Routern ein können die Computer beider Netzwerke aufeinander zugreifen, als wären sie im gleichen Netzwerk.

Die Konfiguration gestaltet sich von Router zu Router sehr unterschiedlich. Sehr einfach sind die Router der Draytek-Serie zu konfigurieren. Sehr komplex gestaltet sich die Konfiguration der Bintec-Serie. Die Fritzbox-Router unterstützen keine VPN-Funktionalität (nur VPN-Passthrough), da auf ihnen Embedded Linux läuft lässt sich OpenVPN installieren.

Einrichtung eines NAT-Routers

Soll ein VPN-Server hinter einem NAT-Router betrieben werden müssen Portweiterleitungen eingerichtet werden:

Protokoll	Port	Zweck
TCP, UDP	1723	Listening Port für eine PPTP-Verbindung
GRE		PPTP-Kommunikation
TCP, UDP	1701	Listening Port für eine L2TP-Verbindung
TCP, UDP	4500	IPSec NAT traversal
TCP, UDP	1194	OpenVPN

Das Protokoll GRE (Generic Route Encapsulation) unterstützt keine Ports. Daher kann bei Verwendung von PPTP in einem NAT-Netzwerk nur ein VPN-Server existieren, ebenso kann nur ein VPN-Client aus einem NAT-Netzwerk heraus eine Verbindung zu einem VPN-Server aufbauen.
Wenn möglich sollte der NAT-Router als VPN-Server und/oder VPN-Client konfiguriert werden wenn mehrere Computer eines Netzwerks gleichzeitig eine VPN-Verbindung nutzen müssen.

Website by Pamil-Visions