Wenn die Firma spioniert: VPN-Verbindung ins Internet

Die Firma Inter.net Germany bietet ein interessantes Produkt an: Einen Internetzugang für Rechner, die bereits im Internet sind. Auf den ersten Blick scheint es keinen Bedarf für ein solches Produkt zu geben. Dennoch verlangt das Unternehmen dafür von Privatkunden unter der Marke snafu 7,50 Euro pro Monat.

Hinter CryptoConnect versteckt sich ein VPN-Zugang mittels PPTP-Protokoll. Anders als die meisten VPNs verbindet CryptoConnect den Nutzer nicht in ein Firmennetzwerk, sondern ins Internet, also dahin, wo er sich vermeintlich schon befindet.

Die Nachfrage nach solchen Internetzugängen ist groß. Dafür gibt es vor allem zwei Gründe: Zum einen bieten immer mehr ISP keine echten Internetzugänge mehr an, sondern nur noch NAT-Zugänge mit privater IP-Adresse, zum anderen nutzen immer mehr Arbeitnehmer solche Zugänge, um der Überwachung durch den Arbeitnehmer zu entgehen. Gleiches gilt, wenn der Arbeitgeber den Internetzugang stark einschränkt.

Von einem echten Internetzugang eines Rechners kann man streng genommen nur dann reden, wenn der PC oder ein anderes Gerät eine öffentliche IP-Adresse besitzt. Mit einem üblichen Heim-Breitbandanschluss über DSL oder Fernsehkabel lässt sich das normalerweise maximal für einen Rechner erreichen.

Es gibt jedoch Ausnahmen: M-Net duldet beispielsweise stillschweigend eine PPP-Einwahl von mehr als einem Rechner. Kabel Deutschland teilt bis zu zwei Rechnern eine öffentliche IP-Adresse per DHCP zu. Die meisten anderen Anbieter sind jedoch strenger und erlauben keine zweite öffentliche IP-Adresse.

Abhilfe schafft normalerweise ein NAT-Router. Der NAT-Router bekommt vom Provider die öffentliche IP-Adresse und teilt den Rechnern im Heimnetzwerk private IP-Adressen meist aus dem Bereich 192.168.0.0/16 oder 10.0.0.0/8 zu. Das schränkt den Internetzugang einerseits stark ein, andererseits ergibt sich daraus automatisch eine Firewallfunktionalität. Aus dem Internet kann keine Verbindung zu einem Rechner ins Heimnetzwerk aufgebaut werden.

Oft ist jedoch ein Zugriff auf heimische Rechner und Geräte, etwa VoIP-Telefone oder digitale Videorekorder, explizit gewünscht. Mit einem NAT-Router lässt sich dieser Zugriff mittels Portforwarding meist problemlos einrichten. Recht einfach funktioniert das bei TCP, da TCP-Verbindungen einen definierten Auf- und Abbau besitzen. Schwierigkeiten gibt es häufig bei UDP. Der NAT-Router muss selbst entscheiden, ob die Verbindung noch aktiv ist. Das geschieht über einen Time-out, der bei den meisten NAT-Routern fest voreingestellt ist und nicht verändert werden kann.