Tastaturkürzel
Shortcuts und Programmtipps

Lotus-Software

Microsoft-Software

OpenOffice

Andere


Infos


DFÜ


Befehlszeilenparameter
und Programmtipps


Hardware


Fristenlisten


Obligatorisches


Downloads


 

 

VPN

Inhalt

 

Virtuelle Private Netzwerke

Ein Virtuelles Privates Netzwerk, VPN, verbindet entfernte PCs, die clients, über das Internet mit einem Lokalen Netzwerk. Der entfernte Client wird dabei vom VPN-Server behandelt als sei er ein lokaler Rechner im LAN. Die Verbindung erfolgt verschlüsselt, ein Abhören der Verbindung ist nicht möglich.
Unter PPTP sind mehrere Verbindungen nur mit Hilfe teurer Server-Betriebssysteme möglich. Einzelverbindungen sind auch mit der Server-Version des PPTP von Windows 2000 und XP Home/Professional möglich.
Die notwendige Software zur Einwahl in ein PPTP-VPN bietet bereits Windows 98, der Zugang ist ähnlich einfach wie eine DFÜ-Verbindung.

Mögliche Anwendungen für VPNs sind


Datensicherung für Heim- oder Außendienstmitarbeiter sowie die Datensynchronisation von Filialen mit zentralen Rechenzentren und PC-Fernwartung /-steuerung sind professionelle Anwendungen, die aber auch von Privatanwendern sinnvoll genutzt werden können.
Für die Fernwartung kommen vor allen die Fernwartung von Windows XP Professional und die Open-Source-Software TightVNC für alle Windows-Versionen in Frage.

Besonders Netzwerkspiele, die nur im lokalen Netzwerk nicht aber über das Internet gespielt werden können, sowie Videokonferenzen mit Microsofts NetMeeting sind die für den Laien interessanten Anwendungen eines VPN. Leider sind das aber auch die Anwendungen, die an schwierigsten einzurichten sind.
Eigentlich sollten alle Netzwerkdienste und -programme funktionieren, sobald eine VPN-Verbindung aufgebaut ist. Neben der einfachen Installation und Konfiguration des Dienstes, stellt das VPN vor allem eine sichere Verbindung entfernter Rechner dar.

 

Die Protokolle

PPTP, Point-to-Point-Tunneling-Protokoll

Das Microsoft-Protokoll wird nicht nur von modernen Microsoft-Betriebssystemen unterstützt, sondern auch von Mac OS X und Linux. Die einfache Konfiguration und weite Verbreitung machen diese Protokoll zur ersten Wahl für die private Nutzung, wie Netzwerkspiele und gemeinsame Dateinutzung.
PPTP hat allerdings im Bereich Sicherheit geringfügige Defizite aufzuweisen. Die Passwortlänge sollte deswegen mindestens 12 Zeichen lang sein und aus einer zufälligen Zeichenfolge bestehen. Außerdem sollte zur Authentifizierung mit dem aktuellen MSCHAPv2, Microsoft Challenge/Reply Handshake Protocol, gearbeitet werden.
PPTP wurde von Microsoft in Zusammenarbeit mit Ascend, 3Com und einigen anderen Netzwerk-Herstellern entwickelt..

IPSec

Dieser herstellerunabhängige Standard wird ebenfalls von allen gängigen Betriebssystemen unterstützt. Im Unterschied zu PPTP wird allerdings nur IP-Verkehr unterstützt. Andere Netzwerkprotokolle wie AppleTalk oder Novell-Netzwerkprotokolle bleiben außen vor.
IPSec gilt als wesentlich sicherer, da es gegen Brute-Force-Angriffe, dem plumpen ausprobieren aller möglichen Zeichenkombinationen von Passworten, einigermaßen immun ist und weil die Verschlüsselung stärker ist als bei PPTP.
Die Authentifizierung ist bei IPSec wesentlich flexibler. Im Rahmen on IKE, Internet Key Exchange, erfolgt diese vor allem via X.509-Zertifikat. Eine CA, Certification Authority, bestätigt die Echtheit eines RSA-Public-Key-Zertifikats, bevor eine VPN-Verbindung aufgebaut werden kann. Zur Verschlüsselung dient in der Regel Triple-DES, AES oder andere symmetrische Verschlüsselungsverfahren.
IPSec wird oft zusätzlich mit dem archaischen Layer 2 Tunneling Protocol, L2TP, verwendet.
Der Vorteil liegt darin, dass der remote PC eine dynamisch zugewiesen IP-Adresse erhalten kann und DNS- sowie WINS-Server zugewiesen bekommen kann.
IPSec ist allerdings aufwändiger in der Installation als PPTP und schon deshalb eher was für den professionellen Einsatz.

SSH

SSH, das Secure Shell Protokoll, wird auch das VPN des einfachen Mannes genannt. Es bietet starke Verschlüsselung und Authentifizierung.

L2TP

L2TP ist eine Kombination aus PPTP und L2F, Layer 2 Forwarding. L2TP wurde von Cisco entwickelt.

VPN einrichten

VPN und Router

Soll eine Rechner hinter einem Router als VPN-Server dienen, muss dieser das PPTP-Protokoll weiterleiten können. PPTP verwendet dazu aber weder TCP noch UDP, sonder das ungewöhnliche IP-Protokoll GRE, Generic Routing Encapsulation. Deswegen können die meisten Router eingehende PPTP-Anfragen nicht an einen VPN-Server weiter vermitteln. Die meisten Router sind aber andererseits sehr wohl in der Lage eine Verbindung zu einem VPN-Server herzustellen. Ob ein eingesetzter Router GRE beherrscht, muss man im Zweifelsfall ausprobieren. Dazu muss man die IP-Prokollnummer 47 des GRE zum VPN-Server weiterleiten.
Günstige Router mit Unterstützung für VPN-Server bietet Draytek mit den Vigor-Routern, die schon ab etwa 130 Euro (Stand Juni 2003) zu bekommen sind.
Ist der VPN-Server direkt per DFÜ-Netzwerk mit dem Internet verbunden, ist auch für private VPN-Server eine einfache Installation unter Windows 2000 oder XP möglich.

Installation eines VPN-Servers

Firewall-Regeln

Zum Schutz des VPN-Servers sollte eine Firewall ihren Dienst leisten. Als Filterregeln sind, sofern keine vorgefertigten Regeln für einen VPN-Server oder GRE vorhanden sind:

Test der Hardware

Windows liefert ein Test-Tools, das die Verbindung zwischen zwei Rechnern überprüft, ob also alle zwischen dem VPN-Server und dem -Client liegenden Router eine PPTP-Verbindung zulassen. Dazu müssen der TCP-Port 1723 und der Protokoll-Typ 47, GRE, Generic Routing Encapsulation, frei sein. Die Benutzung der Point to Point Tunneling Protocol Ping Utilities erfolgt an der Eingabe-Konsole. Auf dem vorgesehenen VPN-Server wird pptpsrv.exe, auf dem Client pptpclnt.exe aufgerufen. Die Point to Point Tunneling Protocol Ping Utilities müssen von der Windows 2000/XP-CD nachinstalliert werden, siehe auch Konsolen-Tipps.

Server
  • auf dem Server wird das Programm pptpsrv gestartet, das Programm wartet auf einen Anruf
  • wenn von Client eine Zeichenfolge erkannt wird, schickt der Server diese zurück
  • bei Erfolg wird das Programm beendet
Client
  • auf dem Client wird mit pptpclnt und der Adresse des Rechners, auf dem pptpsrv wartet angegeben
  • als Adresse kann eine IP-Nummer oder der Name des Rechners angegeben werden
  • zum Testen wird eine beliebige Zeichenfolge eingegeben und der Client wartet, dass diese Zeichenfolge zurückgegeben wird
  • bei Erfolg wird das Programm beendet
C:\>pptpsrv

Now you must run pptpclnt.exe on remote machine

Waiting for inbound connection on TCP port 1723...
Inbound connection from client has completed successfully!

Data received from client:
---> test


Sending the message 'Reply from server' to the client

=====================================================
Connectivity test to TCP Port 1723 was successful!!!
Closing down socket...
=====================================================

Created socket for GRE protocol test

Listening on PROTOCOL 47 for incoming GRE packets...

Total GRE packets received = 1
Total GRE packets received = 2
Total GRE packets received = 3
Total GRE packets received = 4
Total GRE packets received = 5

======================================
GRE protocol test was successful!
======================================

Closing socket

Goodbye!


C:\>
C:\>pptpclnt 192.168.0.19

Initializing WinSock...
Obtaining host information...
Successfully resolved server's host information

======================================
Enter data to send to server (between 1 and 255 chrs.), then hit enter:
-->test

Successfully connected to server using TCP port 1723 (PPTP)
Sending data to server

Waiting for a reply to the data which was just sent...
Received a reply. Reply contains the following text:
---> Hello, there! This is a reply from the server.

=================================
Connectivity test to TCP Port 1723 was successful!!!
Closing down socket...
=================================

Creating a socket to test GRE protocol traffic...

Total GRE packets sent = 1
Total GRE packets sent = 2
Total GRE packets sent = 3
Total GRE packets sent = 4
Total GRE packets sent = 5

=====================================
Check server to see if the GRE packets were received successfully
=====================================

Closing down socket

Goodbye!


C:\>

Installation mit Hilfe des Netzwerkassis am Beispiel von Windows 2000

Die Einrichtung eines VPN-Servers unter Windows 2000 erfolgt durch Aufruf des Netzwerkassistenten unter Start-Einstellungen-Systemsteuerung Netzwerk- und DFÜ-Verbindungen.
Unter Neue Verbindung erstellen zeigt sich zunächst der Begrüßungsbildschirm des Netzwerkverbindungs-Assistenten.
Im nächsten Bildschirm wird Eingehende Verbindungen akzeptieren ausgewählt.
Bei der Wahl des Gerätes für die eingehenden Verbindungen wird nichts weiter eingetragen. Es werden je nach installierten Geräten verschiedene Auswahlmöglichkeiten angezeigt, das Fenster wird deswegen auch andere Geräte anzeigen als in diesem Beispiel.
Eigentlich selbsterklärend ist diese Auswahl, denn eine Virtuelle private Verbindung soll ja gerade eingerichtet werden.
Das Fenster Zugelassenen Benutzer zeigt die bereits im System registrierten Benutzer an. Hier kann eine erste Auswahl getroffen werden. Benutzer und Benutzergruppen können aber zu jeder Zeit verändert werden.
Die Netzwerkkomponenten können erst mal wie vorgegeben übernommen werden, da das Internetprotokoll sowieso Voraussetzung ist und man auf dem VPN-Server Dateien zur Verfügung stellen will, muss die Datei und Druckerfreigabe auch aktiviert sein. Der Client für Microsoft-Netzwerke ist wegen der beidseitigen Dateiübertragung ebenfalls vonnöten. Weitere Protokolle sind für den Betrieb eines VPN-Servers nicht notwendig.
Mit einem energischen Klick auf Fertig stellen ist der VPN-Server schon fast eingerichtet. In den Netzwerk- und DFÜ-Einstellungen werden weitere Vorgaben durch Anklicken mit der rechten Maustaste und wählen von Eigenschaften eingerichtet. Besonders wichtig ist dabei der Reiter Benutzer, in dem die Benutzer gewählt werden, die auf das VPN Zugriff erhalten sollen.

 

Installation des VPN-Client-Rechners

Auch alte Windows-Versionen können PPTP-Verbindungen herstellen. Für Windows 95 und 98 gibt es bei Microsoft unter Updates. Für Windows 95 wird der PPTP-Client nachinstalliert, für Windows 98 die 128-Bit-Verschlüsselung.
Unter Windows ME reicht es in der Systemsteuerung unter Software - Windows Setup die VPN-Komponente nachzuinstallieren.

Der Netzwerkassistent von Windows XP wird, wie schon zur Einrichtung des Servers unter Windows 2000 beschrieben, über die Systemsteuerung-Netzwerkverbindungen aufgerufen.
Nun hat der Netzwerkverbindungstyp die griffige Bezeichnung Verbindung mit dem Netzwerk am Arbeitsplatz herstellen.
Im nächsten Fenster wird VPN-Verbindung ausgewählt. Das ist ja auch das Ziel der ganzen Bemühungen.
Der Name der Verbindung ist beliebig.
Die Auswahl des Servers kann entweder eine IP-Adresse sein oder ein Hostname. Da die Übermittlung einer IP-Adresse bei der Einwahl der meisten Internet Service Provider, ISP, recht mühselig ist, das diese sich mit jeder Einwahl ändert, kann man auf verschiedene Dienste zugreifen, die sich für die dynamische Umsetzung von Hostnamen spezialisiert haben. DynDNS ist solch ein Service.
Nach der Bestätigung Fertig stellen ist die schwierigste Arbeit fast schon getan.
Beim folgenden Fenster sind der Benutzername und das Kennwort des VPN-Servers, den man nutzen möchte, einzutragen. Optional können diese Daten gespeichert werden. Wie immer der Speicherung persönlicher oder sicherheitsrelevanter Daten, muss man sich des Sicherheitsrisikos allerdings bewusst sein.
Weitere Einstellungen erfolgen unter Eigenschaften.

Fehlersuche nach der Installation

Nachdem man eine Internet-Verbindung hergestellt hat, ruft man das VPN auf. Nach der Eingabe von Kennung und Passwort, sieht man die gelungene Verbindung im Tray als weiteres Netzwerk-Icon neben der Internet-Verbindung. Zum Testen kann man nun in einem Terminalfenster, vulgo MS-DOS Eingabeaufforderung oder einfach nur Eingabeaufforderung, mit ipconfig /all sehen, ob vom PPTP-Server eine IP-Adresse zugewiesen wurde.
Zumindest zu Prüfzwecken sollte der VPN-Server Ping-Anfragen beantworten. Zum Testen Verbindung kann dann im Terminalfenster mit ping servername die korrekte Verbindung getestet werden.
Windows leitet nach der Verbindung mit einen VPN-Server alle Anfragen ins Internet auch an diesen, da der Server als Vorgabe-Gateway angesehen wird.
Unter Windows XP und 2000 wird in den TCP/IP-Eigenschaften des Netzwerks unter "erweitert" der Schalter "Standardgateway für das Remotenetzwerk verwenden" ausgeschaltet. Dadurch werden nur noch die an das VPN gerichteten Daten über diesen Tunnel geschickt, der Internetzugang läuft wie gewohnt über einen Router oder eine DFÜ-Verbindung.
Selbst günstige Router haben in der Regel keine Probleme mit der Einwahl in ein virtuelles privates Netzwerk. Es ist aber zu beachten, dass der Router für das eigene Netzwerk einen anderen IP-Nummernkreis verwendet als das VPN. Dieses Problem ist besonders dann zu erwarten, wenn der VPN-Server in seinem Netzwerk die Microsoft Internet-Verbindungsfreigabe, ICS oder Internet Connection Service, verwendet und auch der Client ICS verwendet.
Unter Windows 9x kann man durch Manipulation der Registrierdatenbank verschiedene IP-Nummernkreise für LAN und ICS benutzen.
Schmerzfreier ist allerdings die Benutzung eines richtigen Routers oder einer anständigen Proxy-Software.


verwendete Abkürzungen

 

| [17. Juli 2008]