Handreichungen

Handhelds mit dem Betriebssystem Windows Mobile 2003 eignen sich gut sowohl für Internet- als auch für VPN-Verbindungen, doch in vielen Situationen wird der VPN-Tunnel ohne ersichtlichen Grund abgebaut. Mit den richtigen Hintergrundkenntnissen lässt sich die Spaßbremse aber leicht lösen.

Voraussetzung für reibungslose Internet- und VPN-Verbindungen ist, dass man die – wenig intuitive – Bedienphilosophie des Microsoft Connection Manager verstanden hat. Grundsätzlich unterscheidet er zwischen zwei Zonen. Der Zone "Internet" ordnet er potenziell "gefährliche" Rechner zu, während er in der Zone "Firmennetzwerk" vertrauenswürdige, über VPN erreichbare Stationen aufführt.

Setzt man den Pocket Internet Explorer ein, baut Windows Mobile die Verbindung automatisch auf und ab. Soll der Browser auf einen Rechner im Internet zugreifen, wird zunächst nur die Dialup-Verbindung über das Mobilnetz initiiert. Sobald man einen Rechner kontaktiert, der in der Zone "VPN" aufgeführt ist, wird auch der VPN-Tunnel automatisch aufgebaut. Greift man dann wieder auf einen Rechner der Internet-Zone zu, muss der VPN-Tunnel geschlossen werden. Beides, der Auf- und der Abbau, funktioniert in der Praxis zuverlässig.

Das Problem besteht darin, dass man mit dieser Automatik nicht rechnet, und dass der Connection Manager nur oberflächlich zwischen Internet und VPN unterscheidet. Löst man also den Aufbau der Internet- und der VPN-Verbindung zum Beispiel über die Startleiste von Windows Mobile aus, kommen auch beide zustande. Sobald man jedoch einen VPN-Host kontaktiert, wird der Tunnel geschlossen. Eine brauchbare Meldung liefert das System nicht, sodass die Ursache den meisten Nutzern rätselhaft bleiben dürfte. Erst mit einiger Intuition kommt man darauf, dass das Windows-Mobile-Gerät die VPN-Stationen fälschlicherweise der Zone "Internet" zuordnet.

Geschlossene Gesellschaft

Alle Hosts des lokalen LAN 192.168.1.0 werden als VPN-Clients behandelt, alle übrigen als Internet-Stationen.

Warum das passiert, wird bei genauem Hinsehen klar: Windows Mobile unterscheidet nämlich sehr primitiv zwischen der Internet- und Firmen-Zone: Wenn die Bezeichnung des Zielsystems einen "." enthält, dann behandelt es das Betriebssystem als Internet-Station. Hat die Bezeichnung keinen Punkt, wird das System dem Firmennetz zugeordnet. Diese Technik funktioniert in reinen Windows-Umgebungen einwandfrei, weil für die Namensauflösung der lokalen LAN-Stationen der eigentlich längst obsolete, nicht hierarchische NetBIOS-Namensraum benutzt wird – und damit lassen sich keine Domain-Namen definieren; Punkte in Rechnernamen sind also nicht erlaubt.

Positive Ausnahme: Mit diesem Eintrag gelingt der reibungslose Zugriff auf VPN und Internet gleichzeitig.

Bei der Verwendung der üblichen Internet-Adressierung scheitert das Verfahren, weil ja schon jede "nackte" IP-Adresse drei Punkte hat und Domain-Namen üblicherweise mindestens einen (z. B. heise.de). Deshalb ordnet Windows Mobile die Rechner, die man per Browser über URLs aufruft, automatisch der Zone "Internet" zu, selbst wenn sie im VPN lokalisiert sind.

Aus dieser Bredouille kann man sich verblüffend leicht befreien: Es genügt, eine Host-Ausnahmeliste anzulegen. Windows Mobile 2003 Premium Edition unterstützt sowohl PPTP als auch L2TP over IPSec; Letzteres bevorzugt man aus Gründen der Sicherheit und der besseren NAT-Verträglichkeit. Die Einrichtung ist für beide Verfahren bis auf einen Abschnitt gleich, weshalb wir sie im weiteren gemeinsam beschreiben.

Abzweig versetzen

Der integrierte VPN-Client erfordert etwas Vorarbeit. Dafür öffnet man im Startmenü die Einstellungen, wählt dort die Kategorie "Verbindungen" und startet das Programm Verbindungen. Dann öffnet man die Kategorie "Erweitert" und klickt dort "Netzwerke auswählen" an.

Bis auf die Einstellung des Pre-Shared Key oder Zertifikats ist die Konfiguration für PPTP und L2TP over IPSec gleich.

Daraufhin öffnet sich die Netzwerkverwaltung. Im Bereich "Programm mit automatischem Zugriff auf ein privates Netzwerk verwenden" muss die Option "Firmennetzwerk" ausgewählt sein. Im oberen Bereich sollte die Grundeinstellung erhalten bleiben, also bei "Programme mit automatischem Internetzugriff verwenden" "ISP" auswählen. Nach einem Klick auf "ok" kehrt man in das Fenster "Verbindungen" zurück.

Unter "Ausnahmen" gibt man nun eine Liste von Hostnamen und IP-Adressen ein, die der Zone "VPN" angehören sollen. Dabei sind auch Wildcards erlaubt. So kann man zum Beispiel das Subnetz 192.168.2.0/24 mit "192.168.2.*" definieren. Möchte man das Windows-Mobile-Gerät ausschließlich für die VPN-Kommunikation verwenden, trägt man nur "*.*" ein.

"Domäne" meint hier lediglich eine Windows-Anmeldedomäne, nicht das Internet-Äquivalent.

Dann sind keine Internet-Hosts mehr direkt erreichbar, sondern nur noch indirekt über das VPN respektive den dort laufenden Web-Proxy. Man genießt dann den gleichen Schutz wie die Rechner im internen LAN, insbesondere einen verbesserten Schutz bei Verwendung von Sicherheits-Proxies auf dem Gateway.

Manche Windows-Kenner würden vermutlich statt "*.*" nur "*" in die Ausnahmeliste eintragen. Doch das funktioniert nicht, dann landen alle Hosteinträge, die einen "." enthalten, in der Zone Internet und nur die übrigen in der Zone VPN. Nur wenn man "*.*" einträgt, werden alle Hosts der VPN-Zone zugeordnet.

Proxy-Schutz inklusive

Nun konfiguriert man den VPN-Tunnel, indem man "Verbindungen" über Startmenü, Einstellungen, Verbindungen öffnet. Dann setzt man eine "Neue VPN-Serververbindung" auf. Falls bereits eine VPN-Verbindung vorliegt, wählt man stattdessen "VPN-Server bearbeiten" und klickt auf "Neu...".

Beschleuniger: Kompression sollte für Mobilfunk-Verbindungen eingeschaltet sein.

Daraufhin startet ein Assistent, über den man der Verbindung einen Namen gibt, beispielsweise "Firmen-VPN". Weiterhin werden der Name des VPN-Servers, zum Beispiel vpn.example.org, und der VPN-Typ abgefragt (PPTP oder IPSec/L2TP). Für L2TP over IPSec gibt man anschließend entweder den Pre-Shared Key ein ("Einen vorinstallierten Schlüssel") oder belässt die Auswahl bei der Authentisierung durch X.509-Zertifikate. Für Zertifikate ist erheblich mehr Aufwand nötig; eine detaillierte Anleitung gibt es unter [1].

Anschließend öffnet sich der Dialog für die Eingabe des Benutzernamens und Passworts. Hat man zuvor PPTP ausgewählt, geht es gleich mit diesem Dialog weiter, weil diese Einstellungen nur IPSec-spezifisch sind.

Überblick: Windows Mobile 2003 erlaubt immer nur eine aktive VPN-Verbindung; man muss also umschalten.

Klickt man auf "Fertig", wird die Verbindung angelegt. Zu beachten ist, dass man immer nur eine VPN-Verbindung aktivieren kann, auch wenn man mehrere konfiguriert hat. Damit man eine andere VPN-Verbindung aufbauen kann, muss man in den Verbindungen unter "VPN-Server bearbeiten" den gewünschten Tunnel auswählen und durch "ok" bestätigen.

Um die Verbindung manuell aufzubauen, kann man in der Startleiste auf das Symbol mit dem Doppelpfeil klicken und den Eintrag VPN-Verbindung auswählen. Alternativ baut der Connection Manager die voreingestellte Verbindung automatisch auf, wenn man mit dem Pocket Internet Explorer eine Gegenstelle im VPN ansteuert. (dz)

Literatur

[1] L2TP over IPSec, Hintergrund und Anleitungen, www.jacco2.dds.nl/networking/