Von Thomas Wölfer, tecChannel.de
Bei einem virtuellen privaten Netzwerk haben Sie eigentlich fast immer das gleiche Szenario: Es existiert ein funktionierendes LAN, vermutlich mit integriertem Active Directory. Auf dieses LAN soll nun von außen über das Internet zugegriffen werden, und zwar so, als sei der Rechner "außerhalb" ein ganz normal in das LAN integrierte System.
Das wirft natürlich eine ganze Menge Fragen auf, und die meisten davon haben mit Sicherheit zu tun. Zunächst einmal braucht das LAN einen eigenen Internetzugang, der zu schützen ist. Dann soll der Internetzugriff auf das LAN möglich werden, aber eben nicht für jedermann: Es gilt also, auch den Zugriff von außen zu schützen. Und dann ist da noch die Tatsache zu bedenken, dass eine Verbindung von "außen" mit Daten von "innen" bedeutet, dass diese Daten durch ein öffentliches Netz fließen - und somit eigentlich von jedermann leicht aufgezeichnet und wiederverwendet werden können.
"Routing and Remote Access" einsetzen
Bei einem VPN mit dem Windows Server 2003 ist zunächst der Internetzugang mit der "Routing and Remote Access"-Komponente des Servers anzulegen. Und genau dieselbe Komponente kümmert sich auch um die Bereitstellung des VPN-Zugangs.
Bei der VPN-Verbindung selbst richten Sie Ihr Augenmerk dann auf zwei Punkte: die initiale Authentifizierung und den eigentlichen Transport der Daten. Beides muss einigermaßen geschützt sein - und Windows bietet dazu eine ganze Reihe von Möglichkeiten.
Grundsätzlich ist es wichtig, die IP-Konfiguration bei einer VPN-Verbindung zu verstehen - die ist nämlich ein bisschen kompliziert, und das macht die Sache unübersichtlich. Als Beispiel soll ein kleines Firmennetzwerk dienen. Alle Workstations erhalten ihre IP-Adressen vom DHCP-Server im Windows-2003-System. Diese IP-Adressen sind nicht routbar, es handelt sich also nicht um öffentliche IP-Adressen.
Im Server, der den Internetzugang zur Verfügung stellen soll, stecken zwei Netzwerkkarten. Die eine hat eine IP-Adresse aus dem Subnetz des LAN. Über diese Karte können also die Clients im LAN mit dem Server kommunizieren.
Die zweite Netzwerkkarte des Servers stellt die Verbindung zum Internet her. Dazu können Sie entweder einen Router verwenden oder die Routing-Komponente des Servers einsetzen. Letzteres ist die günstigere Variante.
IP-Verwirrung
Die mit dem Internet verbundene Netzwerkkarte erhält ihre öffentliche IP-Adresse vom ISP, beziehungsweise Sie tragen die vom ISP zugewiesene Adresse für diese Karte ein. Das geschieht ganz normal mit Hilfe der Eigenschaften der Karte in den Netzwerkverbindungen.
Die später eingehenden VPN-Verbindungen laufen dann über diese öffentliche IP-Adresse. Der Trick dabei ist der, dass die VPN-Clients mit der öffentlichen IP-Adresse eine Verbindung aufbauen und über diese mit dem VPN-Server kommunizieren. In diesem Zusammenhang findet die Autorisierung statt. Nach erfolgter Autorisierung wird ein Tunnel geöffnet, über den die Clients mit dem LAN in Verbindung treten.
Im Wesentlichen läuft der Datentransfer wie folgt ab: Ein vom Client an den Server gesendetes Paket wird zunächst auf dem Client verschlüsselt und dann in ein neues Paket verpackt. Dieses Paket sendet der Client über das öffentliche Internet an den VPN-Server. Der wiederum packt das verschlüsselte Paket aus, entschlüsselt es und sendet es ins LAN - ganz so, als wäre es tatsächlich ein Paket aus dem LAN. In der anderen Richtung passiert das Gleiche.
Damit das Paket aber im LAN "funktioniert", muss es natürlich aus dem passenden Subnetz stammen. Mit anderen Worten: Die gekapselten Pakete, also die eigentlich für den Server und Client interessanten, müssen von einer IP-Adresse stammen, die zum LAN passt. Das wiederum bedeutet, dass die VPN-Clients im Rahmen der Anmeldung eine IP-Adresse vom DHCP-Server des LAN erhalten müssen. Mit dem können diese Rechner allerdings im Zuge der Anmeldung nicht kommunizieren - denn weiter als bis zum VPN-Server reicht die Kommunikations- fähigkeit über die öffentliche IP-Adresse zu diesem Zeitpunkt noch nicht.
VPN-Server als DHCP-Helfer
Da der DHCP-Server bei der Anmeldung noch nicht verfügbar ist, müssen die Clients Ihre IP-Adresse im LAN vom VPN-Server erhalten. Der kann zu diesem Zweck mit dem DHCP-Server "reden", die Adresse anfordern und dann an den Client weitergeben. In diesem Fall benötigen Sie noch einen Dienst, der diese Kommunikation ermöglicht. Beim Windows Server 2003 ist das der DHCP Relay Agent.
Alternativ können Sie dem VPN-Server einen Bereich von lokalen IP-Adressen zur Verfügung stellen. Dazu müssen Sie diesen Bereich vorher im DHCP-Server ausschließen.
Konfiguration praktisch von alleine
Je nachdem, wie aufwändig Sie die Sache betreiben wollen, können die unterschiedlichsten Authentifizierungsmethoden zum Einsatz kommen. Im einfachsten Fall lassen Sie die Anmeldung einfach über die Windows-Anmeldung zu, also mit Hilfe eines gültigen Active Directory Accounts. Es ist aber auch möglich, Kerberos oder eine vorhandene PKI einzusetzen und die Anmeldung per Zertifikat zu ermöglichen.
Jetzt kommt das Beste: Praktisch alle benötigten Konfigurationsvorgänge kann der Server-Konfigurationsassistent mehr oder minder automatisch erledigen - und er tut das auch sehr gut.
Für die Einrichtung des VPN starten Sie zunächst diesen Assistenten. Der bietet eine Reihe von Funktionen an, die Sie dem System hinzufügen können. Damit alles richtig funktioniert, müssen bereits beide Netzwerkkarten im System stecken. Die Karte, die Richtung Internet geht, sollten Sie aber noch nicht an den öffentlichen Ausgang angeschlossen haben.
Im Assistenten wählen Sie als Server-Funktion "RAS/VPN Server" aus und klicken auf "Weiter", um mit der Konfiguration zu beginnen. Der Assistent erfragt, welche der beiden Netzwerkkarten die interne für das LAN und welche die externe in Richtung Internet ist. Damit ist eigentlich alles eingestellt, was einzustellen ist.
Installation
Zwar stellt der Assistent noch die eine oder andere Frage, aber diese Fragen sind tatsächlich ebenso einfach zu beantworten wie die nach den Netzwerkkarten. Unter anderem wird gefragt, welche der Teilkomponenten Sie installieren möchten: Das sind sowohl das Routing als auch der RAS-Part. Dann legt der Assistent los und installiert Routing und RAS.
In diesem Zuge deinstalliert er zunächst die Windows-Firewall, sofern diese aktiviert war: Die Windows-Firewall können Sie nicht parallel zur Firewall von "Routing und RAS" einsetzen. Aber keine Angst: Der Assistent macht die Sache richtig und legt auch einen Firewall-Schutz über das äußere Netzwerk-Interface, ohne dass man ihn dazu extra auffordern muss. Ist der Assistent fertig, finden Sie in den administrativen Werkzeugen einen neuen Eintrag für die Konfiguration von "Routing und RAS". Der startet die zugehörige MMC-Konsole.
Manuelle Überprüfung in der Konsole
In der Managementkonsole finden Sie in der Baumdarstellung die einzelnen Komponenten, die Sie nun noch weiter konfigurieren können. Der oberste Eintrag im Baum trägt den Namen Ihres Rechners. Unter dessen Eigenschaften können Sie zum Beispiel entscheiden, ob Routing und RAS oder nur eine der beiden Teilkomponenten ausgeführt werden soll.
Im Reiter "Sicherheit" legen Sie die Art der Authentifizierung fest: Von Haus aus haben Sie die Auswahl zwischen der Windows-Anmeldung und RADIUS. Außerdem können Sie unter verschiedenen Methoden auswählen. Hier besteht unter anderem die Möglichkeit, eine Authentifizierung per Zertifikat oder das einfache MS-CHAP2 zu selektieren. MS-CHAP2 ist die Methode, die Sie verwenden sollten, wenn Sie die Authentifizierung einfach nur per Account-Daten vornehmen lassen. Dabei ist es noch wichtig, dass Sie in der Benutzerverwaltung des Active Directory dem Konto, mit dem die Einwahl möglich sein soll, dieses Recht auch zugestehen. Das erledigen Sie dort auf dem Reiter "Einwählen".
Firewall einstellen
Im Baum der MMC finden Sie unter "IP-Routing -> NAT/Basisfirewall" die Konfiguration der Firewall. Wenn Sie auf diesen Knoten klicken, erhalten Sie im rechten Teil der MMC eine Auflistung aller Schnittstellen im System. Wenn Sie dort auf diejenige für den Internetzugang klicken, können Sie zusätzliche Filter für die Firewall konfigurieren.
Im Großen und Ganzen erfolgt die Konfiguration des Servers also automatisch: Es macht natürlich trotzdem Sinn, wenn Sie diese Konfiguration nochmals kurz überprüfen, bevor Sie das Netzwerk- kabel für die Internetverbindung einstecken.
Auch auf der Client-Seite müssen Sie tätig werden. Dort sind zwei Punkte einzustellen. Zum einen braucht der Client eine Möglichkeit, um ins Internet zu gelangen. Diese Möglichkeit wird aber aller Wahrscheinlichkeit nach bereits bestehen.
Zusätzlich zu dieser Verbindung müssen Sie eine weitere Netzwerkverbindung für die VPN-Verbindung einrichten. Das geht aber mit dem Verbindungsassistenten von XP sehr einfach, denn der erledigt die meiste Arbeit von selbst. Alles was Sie im einfachsten Fall wissen müssen, sind die IP-Adresse des VPN-Servers sowie gültige Zugangsdaten. Um danach eine VPN-Verbindung herzustellen, reicht ein Klick auf das zugehörige Symbol in den Netzwerkverbindungen.
Dieser Beitrag stammt von tecChannel.de, dem Webzine für technikorientierte Computer- und Kommunikationsprofis. Unter www. tecChannel.de finden Sie weitere Beiträge zu diesem Thema.