Testserie VPN, Teil 3
VPN-Speziallösungen
Abseits der gängigen VPN-Lösungen finden sich Angebote, die jeweils eine spezielle Nische abdecken. Im Rahmen der LANline-Testserie zu VPN-Clients haben wir uns drei Vertreter dieser Gattung angesehen: den Shrew Soft VPN Client, Microsofts Directaccess sowie Vipnet von Infotecs.
VPN ist nicht gleich VPN, denn nicht alles lässt sich universell nutzen. Mitunter scheitert es an den unterstützten Protokollen, am Know-how der IT-Abteilung oder schlicht an der Tatsache, dass es auch im Internetzeitalter Netzwerke gibt, bei denen Provider ihr eigenes möglichst profitables Süppchen in puncto IP-Adresszuordnung kochen.
Shrew Soft VPN-Client
Als ein besonderer Fall darf der Shrew Soft VPN Client for Windows gelten. Hierbei handelt es sich um einen VPN-Client, der auf allen Windows-Versionen ab Windows 2000 aufwärts läuft. Populär ist dieser VPN-Client unter anderem in universitären und in Forscherkreisen, was nicht zuletzt Cisco und Microsoft zu verdanken ist. Denn der zwar seit Jahren in seiner End-of-Life-Phase befindliche, aber immer noch gern genutzte Cisco VPN Client ist ein bewährter IPSec-Client, der das einst gängige Verfahren IKEv1 (Internet Key Exchange Version 1) unterstützt; bis kurz vor seiner Abkündigung lief die Software jedoch nur auf 32-Bit-Windows-Systemen, während 64-Bit-Varianten nicht unterstützt wurden. Microsoft wiederum hat die IKEv1-Unterstützung mit Einführung von Windows 7 beerdigt. Der in seitdem erschienenen Windows-Releases enthaltene VPN-Client unterstützt bei der Nutzung von IPSec als Tunnel-Mode-Protokoll nur noch IKEv2.
Shrew Softs VPN-Client bietet da weitaus mehr Flexibilität. Die Software läuft sowohl auf den 32-Bit- als auch den 64-Bit-Varianten der Windows-Betriebssysteme (ebenso wie unter Linux und BSD, was hier aber nicht weiter Thema ist) und beherrscht IKEv1. Und es gibt weitere Besonderheiten: So ist die Standard-Edition der Software kostenlos, und dies sowohl für den persönlichen als auch den kommerziellen Gebrauch. Dieser Faktor sowie die Möglichkeit, VPN-Tunnel mit IKEv1-fähigen Gegenstellen aufzubauen, dürfte maßgeblich zur Popularität dieses VPN-Clients beigetragen haben. Die kostenpflichtige Professional-Edition, die pro Lizenz und mit einem Jahr Updates knapp 20 Dollar kostet, versteht zudem Split-DNS (Hostnamen für das lokale Netzwerk werden vom dortigen DNS-Server aufgelöst, andere Anfragen zur Namensauflösung von dem beim LAN-Adapter konfigurierten DNS-Server) sowie "AD/Domain Login". Dahinter verbirgt sich die Option, den Windows-Anmeldebildschirm um ein Shrew-Soft-Icon zu erweitern, das die Eingabe von VPN- und Active-Directory- oder Domänen-Anmeldeinformationen gestattet. So kann der Benutzer an seinem PC zunächst eine VPN-Verbindung aufbauen und dann eine gesicherte Anmeldung am Firmennetz vollziehen.
Der Einsatz des VPN-Clients von Shrew Soft geht leicht von der Hand. Nach der Installation der Software auf einem Windows-PC lässt sich dort der VPN Access Manager starten. Dieses Tool fungiert als Steuerzentrale, in der die Gegenstellen manuell einzutragen oder zu importieren sind. Nach Auswahl eines Eintrags lässt sich zu diesem VPN-Server dann eine Verbindung herstellen. Ist der Tunnel erfolgreich aufgebaut, erscheint ein Hinweis im Infobereich der Taskleiste.
Anwender berichten davon, dass Shrew Softs VPN-Client nicht nur unter Windows 7 seinen Dienst verrichtet, sondern auch unter Windows 8.1 und Windows 10 lauffähig ist - und das, obwohl die letzte Version 2.2.2 auf den 1. Juni 2013 datiert ist. Sollte es allerdings Probleme geben, ist man im Wesentlichen auf eine Mailing-Liste oder Selbsthilfe angewiesen, da der Hersteller keinen anderen Support bietet.
Microsoft Directaccess
Eine andere Speziallösung für den gesicherten Fernzugriff stammt aus dem Hause Microsoft und nennt sich Directaccess. Das Besondere bei diesem mitunter auch als "VPN-ähnliche VPN-Lösung ohne VPN" beschrieben Konzept ist, dass der Benutzer an seinem Client den Auf- und Abbau einer gesicherten Verbindung nicht selbst in die Wege leiten muss, da es sich um ein Always-on-Verfahren handelt. Sobald der Computer mit dem Internet verbunden ist, stellt dieser über einen IPSec-Tunnel eine Directaccess-Verbindung mit der Gegenstelle im Unternehmen her. Der Benutzer ist also nicht gezwungen, technische Verfahren zu beachten, da die Technik nahtlos in seine Windows-Arbeitsumgebung integriert ist.
Im Gegensatz zu klassischen VPN-Lösungen arbeitet Directaccess zudem bidirektional - da der Computer ja automatisch mit der Firma verbunden ist, sobald eine Internetverbindung besteht. Das bedeutet: Die IT-Abteilung ist zum Beispiel in der Lage, Wartungsarbeiten auf dem Computer auszuführen oder Aktualisierungen auf dem Rechner aufzuspielen.
Zudem stellt der Directaccess-Client einen Managed Client dar, den man mit aktualisierten Konfigurationen versehen kann. Damit lassen sich Sicherheitsprobleme, die aus schlecht gewarteten VPN-Clients oder Client-PCs resultieren, von vornherein vermeiden.
Bei Bedarf kann das Unternehmen auch nur die Verwaltungsfähigkeit nutzen: Directaccess gestattet es, wahlweise nur die Fernverwaltung oder die Kombination aus diesem sowie die Möglichkeit zum Client-Zugriff bereitzustellen - da der jeweilige Netzwerkverkehr über zwei getrennte Tunnel reist.
Was fast zu schön klingt, um wahr zu sein, hat leider ein paar Haken. Der erste betrifft den Ruf, der Directaccess vorauseilt. Hierbei geht es mitnichten um die Sicherheit, sondern um die Bedienbarkeit. Denn als Microsoft die Technik mit Windows Server 2008 R2 auf den Markt brachte, waren für den Directaccess-Server zwei aufeinanderfolgende öffentliche IPv4-Adressen zwingend vorgeschrieben. Des Weiteren hat Microsoft die Lösung auf Basis von IPv6 konstruiert, das sich bis dato eher schleppend verbreitet. Für einen Remote-Benutzer, dessen Computer nur über IPv4 ans Internet angebunden ist, mussten Administratoren zusätzliche Komponenten konfigurieren, um diesem Anwender beispielsweise vom Hotel oder von zu Hause aus den Zugang zum IPv6-Directaccess-Server im Unternehmen zu ermöglichen. Mit Windows Server 2012 hat Microsoft diese Einschränkungen zwar gelockert, doch das vermeintlich "schlechte Image vom IPv6-Zwang" hält sich bis heute bei vielen Administratoren hartnäckig.
Eine andere Limitation betrifft die Liste der möglichen Clients, denn Directaccess wird lediglich von bestimmten Windows-Versionen und -Editionen unterstützt. Auf Arbeitsplatzseite kommen nur Windows 7 Enterprise und Ultimate, Windows 8/8.1 Enterprise sowie Windows 10 Enterprise und Education infrage. Darüber hinaus eignen sich Windows Server 2008 R2 und neue Server-Betriebssysteme aus dem Hause Microsoft als Directaccess-Clients. Geräte, die mit Android oder IOS laufen, bleiben ebenso außen vor wie Mac- und Linux-Clients - und bei Windows Phone und dem neuen Windows 10 Mobile schaut es nicht anders aus. Das hat letztlich einen simplen technischen Grund: Directaccess-Clients müssen zwingend der Active-Directory-Domäne des Unternehmens als Computer angehören.
Nach der aufwendigen Installation bei Windows Server 2008 R2 hat Microsoft die Prozedur inzwischen stark vereinfacht. Unter Windows Server 2012 R2 führt ein Assistent die erforderlichen Schritte durch. Eine simple Konfiguration, bei der eine PKI (Public Key Infrastructure) nicht mehr vonnöten ist, kann somit schnell eingerichtet sein. Einstellungen an Directaccess-Clients lassen sich bequem und zuverlässig über den Gruppenrichtlinien-Mechanismus verteilen, sodass diese automatisch zu allen gewünschten Rechnern (standardmäßig: alle in der Active-Directory-Gesamtstruktur vorhandenen mobilen Computer) gelangen.
Infotecs Vipnet
Voraussetzung für die Herstellung einer Verbindung zu einem VPN-Server ist es, dass dieser über eine öffentliche IP-Adresse erreichbar ist - wahlweise eine vom jeweiligen Internet-Service-Provider statisch oder dynamisch zugeteilte IP-Adresse. Bei der Anbindung eines neuen Standorts oder falls sich dieser in einem ländlichen Gebiet befindet, kommt heutzutage gerne LTE (Long-Term Evolution) ins Spiel. Dies ist häufig dann der Fall, wenn ansonsten vor Ort keine Internetversorgung beispielsweise über DSL- oder Kabelanschluss existiert. Wer seine Internetanbindung jedoch per LTE-Mobilfunk realisieren möchte, stößt schnell auf das IP-Adressproblem, denn: Je nach gewähltem Tarif erteilen Deutsche Telekom und Co. dem LTE-Kunden keine öffentliche IP-Adresse, sondern eine private IP-Adresse aus dem in RFC 1918 für Intranets definierten Adressbereich (wie 172.21.19.22). Die Krux dabei: Ein Router respektive eine dahinter befindliche Maschine wie zum Beispiel ein VPN-Server, ein Web-Server oder ein aus der Ferne zu wartender Arbeitsplatz-PC ist über eine solche eigentlich nur für private Intranets vorgesehene IP-Adresse aus dem öffentlichen Internet schlichtweg nicht erreichbar. Der Umweg über einen Dynamic-DNS-Dienst schlägt somit ebenfalls fehl.
Abhilfe schafft nur das Hinzubuchen einer Option zum Erhalt einer öffentlichen IP-Adresse oder der Wechsel in einen anderen, speziellen Business-LTE-Tarif, der keine privaten IP-Adressen vergibt - denn der simple Kniff, einen APN (Access Point Name) zu verwenden, der öffentliche IP-Adressen ausspuckt, anstatt den vom Provider genannten Zugangspunkt zu nutzen, klappt nicht immer. Wer aber vertraglich gebunden ist, kann auf einen Anbieter wie Infotecs ausweichen. Zu Preisen ab 249 Euro bietet dieses Berliner Unternehmen das Produkt Vipnet VPN an, das mit der LTE-Problematik zurechtkommt.
Der Trick bei dieser Lösung besteht darin, den VPN-Server an einem anderen Standort zu platzieren, der über eine öffentliche IP-Adresse erreichbar ist. Diese Vipnet Coordinator genannte Software, die als Windows- und Linux-Server oder als Appliance erhältlich ist, agiert als zentrale Anlauf- und Vermittlungsstelle für VPN-Clients. Auf den einzelnen Computern inner- und außerhalb des LTE-Standorts ist die dazu passende Vipnet-Client-Software zu installieren, die es für Windows, Mac OS und Android gibt. Diese erlaubt es den Computern, sich gegenseitig zu "sehen" und somit wie im lokalen Netzwerk sicher miteinander zu kommunizieren.
Geräte wie IP-Webcams, Drucker etc., auf denen die Vipnet-Client-Software nicht installiert werden kann, lassen sich laut Hersteller durch zusätzliche Geräte tunneln. Dafür kommen wahlweise klassische Rechner mit installierter Vipnet-Software oder spezielle Hardware-Server in Betracht, die Infotecs abhängig vom Einsatzszenario in verschiedenen Ausführungen anbietet. Angesichts der zahlreichen Konfigurationsmöglichkeiten, denen sich auch das 415 Seiten starke Administratorhandbuch für Vipnet Coordinator für Windows 4.3 widmet, wird schnell klar, dass es sich hierbei um keine Lösung "von der Stange" handelt. Wer möchte, kann jedoch die Dienstleistung MVS (Managed Vipnet Service) in Anspruch nehmen. So muss ein Unternehmen sein VPN-Gateway nicht selbst betreiben.
Der Autor auf LANline.de: Eric Tierling
Info: Shrew SoftWeb: www.shrew.net
Info: MicrosoftTel.: 089/31760Web: www.microsoft.de
Info: InfotecsTel.: 030/20643660Web: www.infotecs.de
Lesen Sie mehr zum Thema
