VPN-Verwaltung ohne Probleme

So mancher Netzwerk-Administrator hat sicherlich bereits verzweifelt versucht, einen Virtual Private Network (VPN) Client von einer Workstation mit nicht routbaren (privaten) IP-Adressen einzurichten, nur um festzustellen, dass die Network Address Translation (NAT) auf dem Internet-Router die Verbindungsherstellung des VPN-Clients nicht erlaubt. Wir werfen einen Blick auf die Gründe für dieses bekannte Problem und schlagen Lösungsansätze vor.

Zuerst einmal vier Grundkonzepte, die Sie verstehen müssen:

Encapsulation ist das Einschließen einer Dateneinheit – meist ein IP-Paket – in einem Header. Encapsulation wird auch Tunneling genannt. IP-Pakete werden zum Beispiel in einem Frame-Relay-Header eingeschlossen, wenn sie in einem Frame-Relay-WAN unterwegs sind.

Verschlüsselung bietet eine Möglichkeit, wichtige Daten durch Umwandlung in einen privaten Code zu sichern. Die Daten können nur mit einem geheimen Schlüssel oder Passwort entschlüsselt werden.

Ein VPN schließt Pakete ein und verschlüsselt sie, um die Daten des privaten Netzwerks über ein öffentlichen Netz (z. B. das Internet) an ein anderes privates Netz zu senden. Point-to-Point Tunneling Protocol (PPTP), Layer 2 Tunneling Protocol (L2TP) und IP Security (IPSec) sind die meistverwendeten Protokolle zum Schutz von VPN-Verkehr.

NAT basiert auf RFC1631 und wird gewöhnlich benutzt, um ein privates Netz mit einem öffentlichen zu verbinden, zum Beispiel das Firmennetzwerk mit dem Internet. Wahrscheinlich verwenden Sie NAT, um auf diesen Artikel im Internet zuzugreifen. Beachten Sie, dass NAT nicht lediglich IP-Quell- und Zieladressen austauscht, sondern vielleicht auch TCP-Quell- und Zielports austauscht, die IP- und TCP-Header-Prüfsummen, die TCP-Folge- und Bestätigungsnummern und die IP-Adressen in der Datenfracht ändert.