Nach Hause tunneln
Gewährt ein VPN-Router den Zugang zum eigenen LAN, kann man von überall auf der Welt zum Beispiel private Dokumente wie Bilder oder Musik abrufen.
Virtual Private Networks (VPNs) wurden ursprünglich für die Vernetzung von Standorten entwickelt. Als dafür zunehmend mehr ungesicherte öffentliche Übertragungswege genutzt wurden – etwa Internet-Verbindungen –, kamen schnell Authentifizierungs- und Verschlüsselungsverfahren hinzu, die unerwünschte Zuhörer aussperren. Es sind gerade diese (oft unverständlich bezeichneten) Funktionen, denen die VPN-Technik den schlechten Ruf verdankt. So haben VPNs zwar längst den Weg aus der Profi-Liga in die Amateurklassen gefunden, aber die meisten Freizeit-Administratoren verschmähen die Geschenke.
Ein näherer Blick lohnt aber. Unter den elf Routern von AirLive, AVM, Black Box, Cisco, D-Link, DrayTek, LevelOne, Netgear, SMC, Trendnet und ZyXEL, die wir für diesen Beitrag getestet haben, gibt es nämlich durchaus Modelle, die die VPN-Einrichtung auf wenige Mausklicks reduzieren.
Prinzipiell lässt sich zwar auch ein PC mit Zusatzsoftware als VPN-Server einsetzen, aber Router sind wegen ihrer zentralen Position im LAN und wegen geringer Stromaufnahme prädestiniert für diesen Job – ähnlich wie für das Filesharing. Verpflanzt man solche Dienste auf den Router, entgeht man auch der wartungsintensiven Umgebung der PC-Betriebssysteme. Weil die kleine Box für den Netzwerkverkehr oft ohnehin non-stop läuft, kann sie auch den VPN-Dienst rund um die Uhr aufrechterhalten.
Hat man das VPN erst mal aufgesetzt, kann ein Nutzer per Laptop von überall auf sein LAN zugreifen, ob in der Firma, auf der Ferieninsel oder im D-Zug. Auf diese Art der VPN-Kopplung, also von einem PC zu einem LAN (Roadwarrior-Szenario), bezieht sich dieser Beitrag. Daneben gibt es noch die in Profi-Umgebungen verbreitete Standortkopplung von Netz zu Netz.
Familien-VPN
Generell kann man drei Anwendungsfälle für VPNs unterscheiden: den Zugriff auf LAN-Ressourcen aus der Ferne, die Absicherung des Internet-Verkehrs in suspekter Netzwerkumgebung sowie die Zusammenschaltung von entfernten Stationen in einem Subnetz.
Für den ersten Fall eignen sich moderne VPNs, weil sie den Verkehr üblicherweise verschlüsseln, also insbesondere einen sicheren Zugang zu den privaten Schätzen darstellen, die daheim auf dem NAS ruhen. Ist man aber einmal mit dem Heim-LAN verbunden, hat man im Prinzip alle Ressourcen im Zugriff, sodass man unterwegs auch interne Server nutzen und warten kann. Als Werkzeug kann dafür schon ein Smartphone vom Schlage des iPhone genügen.
Beim zweiten Anwendungsfall verschaffen VPNs Vertraulichkeit, wenn man in fremden Hotspots auf Mail und Bankkonto zugreifen will; der gesamte Internet-Verkehr des Clients wird dann geschützt über den VPN-Umweg zum eigentlichen Ziel gesendet.
Ferner können Dienstleister Fahrten zu ihren Kunden einsparen, wenn sie über die zu ihrem Router aufgebauten VPN-Tunnel malade PCs fernwarten. Schließlich ermöglicht es der Zusammenschluss von mehreren VPN-Clients in einem eigenen LAN, auch solche Netzwerkspiele übers Internet zu spielen, die nur für den Betrieb in einem Subnetz ausgelegt sind.
Unter den VPN-Verfahren sind IPSec und PPTP besonders verbreitet. Beide findet man auf Server-PCs und Routern sowie in Client-Ausführungen auf den üblichen Desktop-Betriebssystemen Linux, Mac OS X und Windows. IPSec, Internet Protocol Security, gilt als sehr sicher, aber schwer überschaubar und kleinlich: gerade wenn Server und Clients von verschiedenen Herstellern stammen, muss man oft an Nebensächlichkeiten herumdoktern, bis die Verbindung steht.
Dennoch, jeder der Testkandidaten hat IPSec an Bord. Das dürfte die Wertschätzung der Entwickler für dieses Protokoll widerspiegeln. Zu beachten ist aber, dass alle nur das alte und überfrachtete Schlüsselaustauschverfahren IKEv1 beherrschen (Internet Key Exchange). Keiner der Kandidaten hat das moderne, schlankere IKEv2 an Bord, obwohl dessen Spezifikation schon seit 2005 vorliegt. Es wäre auch deshalb ratsam, weil es nicht an Adressübersetzungen scheitert, wenn Client oder Server oder beide hinter NAT-Routern in privaten Subnetzen betrieben werden. Besonders dem LevelOne-Router hätte IKEv2 gut getan, denn dieser konnte keine IPSec-Verbindung aufbauen, wenn der Client hinter einem DSL-Router betrieben wurde.
Für die Zuteilung von VPN-IP-Adressen an Clients gibt es einige automatische Verfahren (DHCP over IPsec, L2TP oder IKE Config Mode). Bis auf den Netgear, der den IKE Config Mode anbietet, sind in dieser Hinsicht aber alle Router antiquiert, die VPN-IP-Adressen lassen sich nur manuell einrichten.
PPTP, Microsofts Point-to-Point Tunneling Protocol, lässt sich deutlich leichter handhaben, aber man muss wegen einer Konzeptschwäche aufpassen, wie man es betreibt [1]. Mit Ausnahme des Black-Box-Routers lassen sich alle Testkandidaten wie erforderlich einstellen. Daneben findet man im Router-Bereich gelegentlich auch die Verfahren L2TP over IPSec und SSL-VPN. Manche der Kandidaten bringen sogar mehr als ein Verfahren mit (siehe Tabelle ab S. 136).
Wer den Markt der kleinen Router beobachtet, weiß, dass die für diese Geräteklasse typischen Vereinfachungen mit Nachteilen verbunden sein können. So sind Updates oder umgehende Fehlerbereinigungen der Firmware nicht bei jedem Hersteller selbstverständlich. Beispielsweise arbeiten der Cisco BEFVP41 und der D-Link DFL-200 mit jahrealten Betriebssystemen. In unseren VPN-Prüfungen fiel beim DFL-200 ein krasser Fehler auf, doch nachdem wir den Hersteller darüber informiert hatten, kündigte dieser statt einer Korrektur das Fertigungsende für den DFL-200 an. Weil dieser Router im IPSec-Bereich einen durchaus positiven Eindruck hinterließ, haben wir ihn dennoch im Testfeld belassen. Allzu lange wird man ihn aber nicht mehr im Handel finden.
Schlüsselfragen
Beim Router-Kauf sollte man auch im Sinn haben, dass die Geräte mit spartanischer Hardware-Ausstattung schnell an ihren Grenzen sind. So kann es schon kurz nach Markteintritt an Rechenleistung und Speicher mangeln, um Korrekturen oder Ergänzungen aufnehmen zu können. Der Linksys etwa beherrscht im IPSec-Bereich nur den Main-Mode zur Schlüsselaushandlung (Exchange Mode), der später eingeführte und verkürzte Aggressive Mode fehlt. Scheitert die Main-Mode-Aushandlung mit einem IPSec-Client mangels Kompatibilität, ist man gleich gezwungen, einen anderen IPSec-Client zu suchen.
Immerhin bieten fast alle Router im IPSec-Bereich die sichere Verschlüsselung per AES, einzige Ausnahme ist das Gerät von ZyXEL. Auch der DrayTek-Router bietet dieses Protokoll, aber er konnte sich mit den im Test verwendeten IPSec-Clients nicht auf AES-verschlüsselte Verbindungen einigen; deshalb mussten wir ersatzweise ein schwächeres Verfahren einsetzen.
Manche Hersteller haben lediglich die älteren Verschlüsselungen DES und 3DES implementiert, von denen DES längst geknackt ist. Bei manchen Routern ist es aber dennoch voreingestellt. Nur die IPSec-Implementierungen von DrayTek, D-Link, LevelOne, Netgear und Trendnet bringen zusätzlich zu der Passwort-Authentifizierung (Pre-Shared Key) auch die sichere Methode per Zertifikat mit (RSA-Schlüssel). Dafür muss der Router zumindest am PC vorbereitete Zertifikate laden können, besser noch selbst erzeugen und im eigenen Speicher vorhalten.
Prüfparcours
Im Test ließen sich alle Router für VPN-Kopplungen verwenden – wenngleich mit sehr unterschiedlichem Aufwand. Alle Router richtet man wie üblich per Web-Browser ein. Bis auf AVM und DrayTek beschränken sich die Hersteller aber nur auf die Konfiguration des Servers. Beide haben Software entwickelt, die auch den Client konfiguriert. Die übrigen Hersteller lassen den Freizeit-Administrator allein mit der Frage, welcher Client zum Router passt und wie man ihn konfiguriert.
In den VPN-Prüfungen musste jeder Router zwei über unterschiedliche DSL-Anschlüsse ans Internet angekoppelte Laptops so einbinden, dass von den Laptops aus zumindest der Zugriff auf das LAN hinter dem Router möglich war (siehe Tabelle: SMB-Test, Web-Server-Test). Zusatzpunkte gab es für ein automatisches Routing, das die Kommunikation unter den VPN-Clients ermöglichte (siehe Tabelle: Client-zu-Client).
Weitere Noten gab es für die Bedienung, unter der wir auch die Qualität der Online-Hilfe, Verwaltung der Profile und Tunnel sowie die Verständlichkeit der Protokollierung (Logs) zusammenfassen. Von der Aussagekraft der Logs hängt stark ab, wie schnell man Verständnisproblemen zwischen den Gegenstellen auf die Spur kommt. Manche Router-Entwickler haben die Einträge offensichtlich nur für sich selbst geschrieben, ohne weitreichende IPSec-Kenntnisse sind sie fast wertlos.
Die Menü- und Fensterstruktur sollte einfache Zugriffe auf alle VPN-Funktionen bieten. Sehr nützlich sind separate, selbstaktualisierende Fenster für Log-Einträge, sodass man auf Kommunikationsfehler mühelos aufmerksam wird.
Im User-Interface sollten durchaus die VPN-üblichen Fachbegriffe auftauchen – nur wenn sie auf Client und Server einheitlich sind, kann man beide auch ohne Fachwissen korrekt einrichten. Die Erklärung der Begriffe sollte der Dokumentation vorbehalten bleiben oder noch besser einer kontextbezogenen Online-Hilfe im Router. Eine Übersetzung der VPN-Begriffe, wie sie Zücksl auf sich nimmt, finden wir zwar ambitioniert, aber eher hinderlich, zumal wenn die Fehlermeldungen wie bei ZyXEL weiterhin englisch sind.
Den vollständigen Artikel finden Sie in c't 21/2009.
[1] Bruce Schneier und Mudge, Cryptanalysis of Microsoft’s PPTP Authentication Extensions
"Von überall ins eigene Netz"
| Artikel zum Thema "Von überall ins eigene Netz" finden Sie in der c't 21/2009: | |
| Router mit VPN-Service | S. 128 |
| Konfiguration, Fehlersuche, Optimierung | S. 138 |
(dz)
