Technik & Know-how: VPN mit Windows Server 2003 einrichten

27.04.2006

IP-Verwirrung

Die mit dem Internet verbundene Netzwerkkarte erhält ihre öffentliche IP-Adresse vom ISP, beziehungsweise Sie tragen die vom ISP zugewiesene Adresse für diese Karte ein. Das geschieht ganz normal mit Hilfe der Eigenschaften der Karte in den Netzwerkverbindungen.

Die später eingehenden VPN-Verbindungen laufen dann über diese öffentliche IP-Adresse. Der Trick dabei ist der, dass die VPN-Clients mit der öffentlichen IP-Adresse eine Verbindung aufbauen und über diese mit dem VPN-Server kommunizieren. In diesem Zusammenhang findet die Autorisierung statt. Nach erfolgter Autorisierung wird ein Tunnel geöffnet, über den die Clients mit dem LAN in Verbindung treten.

Im Wesentlichen läuft der Datentransfer wie folgt ab: Ein vom Client an den Server gesendetes Paket wird zunächst auf dem Client verschlüsselt und dann in ein neues Paket verpackt. Dieses Paket sendet der Client über das öffentliche Internet an den VPN-Server. Der wiederum packt das verschlüsselte Paket aus, entschlüsselt es und sendet es ins LAN - ganz so, als wäre es tatsächlich ein Paket aus dem LAN. In der anderen Richtung passiert das Gleiche.

Damit das Paket aber im LAN "funktioniert", muss es natürlich aus dem passenden Subnetz stammen. Mit anderen Worten: Die gekapselten Pakete, also die eigentlich für den Server und Client interessanten, müssen von einer IP-Adresse stammen, die zum LAN passt. Das wiederum bedeutet, dass die VPN-Clients im Rahmen der Anmeldung eine IP-Adresse vom DHCP-Server des LAN erhalten müssen. Mit dem können diese Rechner allerdings im Zuge der Anmeldung nicht kommunizieren - denn weiter als bis zum VPN-Server reicht die Kommunikationsfähigkeit über die öffentliche IP-Adresse zu diesem Zeitpunkt noch nicht.

Zur Startseite