Tastaturkürzel
Shortcuts und Programmtipps
Lotus-Software
Microsoft-Software
OpenOffice
Andere
Infos
DFÜ
Befehlszeilenparameter
und Programmtipps
Hardware
Fristenlisten
Obligatorisches
Downloads
Ein Virtuelles Privates Netzwerk, VPN, verbindet entfernte PCs, die clients, über das Internet mit einem Lokalen Netzwerk. Der entfernte
Client wird
dabei vom VPN-Server behandelt als sei er ein lokaler Rechner im LAN. Die
Verbindung erfolgt verschlüsselt, ein Abhören der Verbindung ist nicht möglich.
Unter PPTP sind mehrere Verbindungen nur mit Hilfe teurer Server-Betriebssysteme
möglich. Einzelverbindungen sind auch mit der Server-Version des PPTP von
Windows 2000 und XP Home/Professional möglich.
Die notwendige Software zur Einwahl in ein PPTP-VPN bietet bereits Windows 98,
der Zugang ist ähnlich einfach wie eine DFÜ-Verbindung.
Mögliche Anwendungen für VPNs sind
Datensicherung für Heim- oder Außendienstmitarbeiter sowie die
Datensynchronisation von Filialen mit zentralen Rechenzentren und PC-Fernwartung
/-steuerung sind professionelle Anwendungen, die aber auch von Privatanwendern
sinnvoll genutzt werden können.
Für die Fernwartung kommen vor allen die Fernwartung von Windows XP Professional und die
Open-Source-Software TightVNC für alle Windows-Versionen in Frage.
Besonders Netzwerkspiele, die nur im lokalen Netzwerk nicht aber über das
Internet gespielt werden können, sowie Videokonferenzen mit Microsofts NetMeeting
sind die für den Laien interessanten Anwendungen eines VPN. Leider sind das aber
auch die Anwendungen, die an schwierigsten einzurichten sind.
Eigentlich sollten alle Netzwerkdienste und -programme funktionieren, sobald
eine VPN-Verbindung aufgebaut ist. Neben der einfachen Installation und Konfiguration
des Dienstes, stellt das VPN vor allem eine
sichere Verbindung entfernter Rechner dar.
Das Microsoft-Protokoll wird nicht nur von modernen
Microsoft-Betriebssystemen unterstützt, sondern auch von Mac OS X und Linux. Die
einfache Konfiguration und weite Verbreitung machen diese Protokoll zur ersten
Wahl für die private Nutzung, wie Netzwerkspiele und gemeinsame Dateinutzung.
PPTP hat allerdings im Bereich Sicherheit geringfügige Defizite aufzuweisen. Die
Passwortlänge sollte deswegen mindestens 12 Zeichen lang sein und aus einer
zufälligen Zeichenfolge bestehen. Außerdem sollte zur Authentifizierung mit dem
aktuellen MSCHAPv2, Microsoft Challenge/Reply Handshake Protocol, gearbeitet
werden.
PPTP wurde von Microsoft in Zusammenarbeit mit Ascend, 3Com und einigen anderen
Netzwerk-Herstellern entwickelt..
Dieser herstellerunabhängige Standard wird ebenfalls von allen gängigen
Betriebssystemen unterstützt. Im Unterschied zu PPTP wird allerdings nur
IP-Verkehr unterstützt. Andere Netzwerkprotokolle wie AppleTalk oder Novell-Netzwerkprotokolle
bleiben außen vor.
IPSec gilt als wesentlich sicherer, da es gegen Brute-Force-Angriffe, dem
plumpen ausprobieren aller möglichen Zeichenkombinationen von Passworten,
einigermaßen immun ist und weil die Verschlüsselung stärker ist als bei PPTP.
Die Authentifizierung ist bei IPSec wesentlich flexibler. Im Rahmen on IKE,
Internet Key Exchange, erfolgt diese vor allem via X.509-Zertifikat. Eine CA,
Certification Authority, bestätigt die Echtheit eines RSA-Public-Key-Zertifikats,
bevor eine VPN-Verbindung aufgebaut werden kann. Zur Verschlüsselung dient in
der Regel Triple-DES, AES oder andere symmetrische Verschlüsselungsverfahren.
IPSec wird oft zusätzlich mit dem archaischen Layer 2 Tunneling Protocol, L2TP,
verwendet.
Der Vorteil liegt darin, dass der remote PC eine dynamisch zugewiesen IP-Adresse
erhalten kann und DNS- sowie WINS-Server zugewiesen bekommen kann.
IPSec ist allerdings aufwändiger in der Installation als PPTP und schon deshalb
eher was für den professionellen Einsatz.
SSH, das Secure Shell Protokoll, wird auch das VPN des einfachen Mannes genannt. Es bietet starke Verschlüsselung und Authentifizierung.
L2TP ist eine Kombination aus PPTP und L2F, Layer 2 Forwarding. L2TP wurde von Cisco entwickelt.
Soll eine Rechner hinter einem Router als VPN-Server dienen, muss dieser das
PPTP-Protokoll weiterleiten können. PPTP verwendet dazu aber weder TCP noch UDP,
sonder das ungewöhnliche IP-Protokoll GRE, Generic Routing Encapsulation.
Deswegen können die meisten Router eingehende PPTP-Anfragen nicht an einen
VPN-Server weiter vermitteln. Die meisten Router sind aber andererseits sehr
wohl in der Lage eine Verbindung zu einem VPN-Server herzustellen. Ob ein
eingesetzter Router GRE beherrscht, muss man im Zweifelsfall ausprobieren. Dazu
muss man die IP-Prokollnummer 47 des GRE zum VPN-Server weiterleiten.
Günstige Router mit Unterstützung für VPN-Server bietet Draytek mit den Vigor-Routern, die schon ab etwa 130 Euro (Stand Juni 2003) zu bekommen sind.
Ist der VPN-Server direkt per DFÜ-Netzwerk mit dem Internet verbunden, ist
auch für private VPN-Server eine einfache Installation unter Windows 2000 oder XP möglich.
Zum Schutz des VPN-Servers sollte eine Firewall ihren Dienst leisten. Als Filterregeln sind, sofern keine vorgefertigten Regeln für einen VPN-Server oder GRE vorhanden sind:
Windows liefert ein Test-Tools, das die Verbindung zwischen zwei Rechnern überprüft, ob also alle zwischen dem VPN-Server und dem -Client liegenden Router eine PPTP-Verbindung zulassen. Dazu müssen der TCP-Port 1723 und der Protokoll-Typ 47, GRE, Generic Routing Encapsulation, frei sein. Die Benutzung der Point to Point Tunneling Protocol Ping Utilities erfolgt an der Eingabe-Konsole. Auf dem vorgesehenen VPN-Server wird pptpsrv.exe, auf dem Client pptpclnt.exe aufgerufen. Die Point to Point Tunneling Protocol Ping Utilities müssen von der Windows 2000/XP-CD nachinstalliert werden, siehe auch Konsolen-Tipps.
Server
|
Client
|
C:\>pptpsrv Now you must run pptpclnt.exe on remote machine Waiting for inbound connection on TCP port 1723... Inbound connection from client has completed successfully! Data received from client: ---> test Sending the message 'Reply from server' to the client ===================================================== Connectivity test to TCP Port 1723 was successful!!! Closing down socket... ===================================================== Created socket for GRE protocol test Listening on PROTOCOL 47 for incoming GRE packets... Total GRE packets received = 1 Total GRE packets received = 2 Total GRE packets received = 3 Total GRE packets received = 4 Total GRE packets received = 5 ====================================== GRE protocol test was successful! ====================================== Closing socket Goodbye! C:\> |
C:\>pptpclnt 192.168.0.19 Initializing WinSock... Obtaining host information... Successfully resolved server's host information ====================================== Enter data to send to server (between 1 and 255 chrs.), then hit enter: -->test Successfully connected to server using TCP port 1723 (PPTP) Sending data to server Waiting for a reply to the data which was just sent... Received a reply. Reply contains the following text: ---> Hello, there! This is a reply from the server. ================================= Connectivity test to TCP Port 1723 was successful!!! Closing down socket... ================================= Creating a socket to test GRE protocol traffic... Total GRE packets sent = 1 Total GRE packets sent = 2 Total GRE packets sent = 3 Total GRE packets sent = 4 Total GRE packets sent = 5 ===================================== Check server to see if the GRE packets were received successfully ===================================== Closing down socket Goodbye! C:\> |
Die Einrichtung eines VPN-Servers unter Windows 2000 erfolgt
durch Aufruf des Netzwerkassistenten unter Start-Einstellungen-Systemsteuerung Netzwerk- und DFÜ-Verbindungen. Unter Neue Verbindung erstellen zeigt sich zunächst der Begrüßungsbildschirm des Netzwerkverbindungs-Assistenten. |
|
Im nächsten Bildschirm wird Eingehende Verbindungen akzeptieren ausgewählt. | |
Bei der Wahl des Gerätes für die eingehenden Verbindungen wird nichts weiter eingetragen. Es werden je nach installierten Geräten verschiedene Auswahlmöglichkeiten angezeigt, das Fenster wird deswegen auch andere Geräte anzeigen als in diesem Beispiel. | |
Eigentlich selbsterklärend ist diese Auswahl, denn eine Virtuelle private Verbindung soll ja gerade eingerichtet werden. | |
Das Fenster Zugelassenen Benutzer zeigt die bereits im System registrierten Benutzer an. Hier kann eine erste Auswahl getroffen werden. Benutzer und Benutzergruppen können aber zu jeder Zeit verändert werden. | |
Die Netzwerkkomponenten können erst mal wie vorgegeben übernommen werden, da das Internetprotokoll sowieso Voraussetzung ist und man auf dem VPN-Server Dateien zur Verfügung stellen will, muss die Datei und Druckerfreigabe auch aktiviert sein. Der Client für Microsoft-Netzwerke ist wegen der beidseitigen Dateiübertragung ebenfalls vonnöten. Weitere Protokolle sind für den Betrieb eines VPN-Servers nicht notwendig. | |
Mit einem energischen Klick auf Fertig stellen ist der VPN-Server schon fast eingerichtet. In den Netzwerk- und DFÜ-Einstellungen werden weitere Vorgaben durch Anklicken mit der rechten Maustaste und wählen von Eigenschaften eingerichtet. Besonders wichtig ist dabei der Reiter Benutzer, in dem die Benutzer gewählt werden, die auf das VPN Zugriff erhalten sollen. | |
Auch alte Windows-Versionen können PPTP-Verbindungen herstellen. Für Windows
95 und 98 gibt es bei Microsoft unter Updates. Für Windows 95
wird der PPTP-Client nachinstalliert, für Windows 98 die
128-Bit-Verschlüsselung.
Unter Windows ME reicht es in der Systemsteuerung unter Software - Windows
Setup die VPN-Komponente nachzuinstallieren.
Der Netzwerkassistent von Windows XP wird, wie schon zur
Einrichtung des Servers unter Windows 2000 beschrieben, über die
Systemsteuerung-Netzwerkverbindungen
aufgerufen. Nun hat der Netzwerkverbindungstyp die griffige Bezeichnung Verbindung mit dem Netzwerk am Arbeitsplatz herstellen. |
|
Im nächsten Fenster wird VPN-Verbindung ausgewählt. Das ist ja auch das Ziel der ganzen Bemühungen. | |
Der Name der Verbindung ist beliebig. | |
Die Auswahl des Servers kann entweder eine IP-Adresse sein oder ein Hostname. Da die Übermittlung einer IP-Adresse bei der Einwahl der meisten Internet Service Provider, ISP, recht mühselig ist, das diese sich mit jeder Einwahl ändert, kann man auf verschiedene Dienste zugreifen, die sich für die dynamische Umsetzung von Hostnamen spezialisiert haben. DynDNS ist solch ein Service. | |
Nach der Bestätigung Fertig stellen ist die schwierigste Arbeit fast schon getan. | |
Beim folgenden Fenster sind der Benutzername und das
Kennwort des VPN-Servers, den man nutzen möchte, einzutragen. Optional
können diese Daten gespeichert werden. Wie immer der Speicherung
persönlicher oder sicherheitsrelevanter Daten, muss man sich des
Sicherheitsrisikos allerdings bewusst sein. Weitere Einstellungen erfolgen unter Eigenschaften. |
|
Nachdem man eine Internet-Verbindung hergestellt hat, ruft man das VPN auf.
Nach der Eingabe von Kennung und Passwort, sieht man die gelungene Verbindung
im Tray als weiteres Netzwerk-Icon neben der Internet-Verbindung. Zum Testen
kann man nun in einem Terminalfenster, vulgo MS-DOS Eingabeaufforderung oder
einfach nur Eingabeaufforderung, mit ipconfig /all sehen, ob vom PPTP-Server eine IP-Adresse zugewiesen wurde.
Zumindest zu Prüfzwecken sollte der VPN-Server Ping-Anfragen beantworten. Zum
Testen Verbindung kann dann im Terminalfenster mit
ping servername die
korrekte Verbindung getestet werden.
Windows leitet nach der Verbindung mit einen VPN-Server alle Anfragen ins
Internet auch an diesen, da der Server als Vorgabe-Gateway angesehen wird.
Unter Windows XP und 2000 wird in den TCP/IP-Eigenschaften des Netzwerks unter
"erweitert" der Schalter "Standardgateway für das Remotenetzwerk verwenden"
ausgeschaltet. Dadurch werden nur noch die an das VPN gerichteten Daten über
diesen Tunnel geschickt, der Internetzugang läuft wie gewohnt über einen
Router oder eine DFÜ-Verbindung.
Selbst günstige Router haben in der Regel keine Probleme mit der Einwahl in ein
virtuelles privates Netzwerk. Es ist aber zu beachten, dass der Router für das
eigene Netzwerk einen anderen IP-Nummernkreis verwendet als das VPN. Dieses
Problem ist besonders dann zu erwarten, wenn der VPN-Server in seinem Netzwerk
die Microsoft Internet-Verbindungsfreigabe, ICS oder Internet Connection
Service, verwendet und auch der Client ICS verwendet.
Unter Windows 9x kann man durch Manipulation der Registrierdatenbank
verschiedene IP-Nummernkreise für LAN und ICS benutzen.
Schmerzfreier ist allerdings die Benutzung eines richtigen Routers oder einer
anständigen Proxy-Software.
| [17. Juli 2008]