Tunnel graben
Wer ein VPN per Router betreiben will, entgeht damit schon der pflegeaufwendigen Umgebung eines PC. Ganz ohne Fleiß sind die Virtual Private Networks aber auch mit Routern nicht zu bekommen.
Wer ein VPN per Router betreiben will, entgeht damit schon der pflegeaufwendigen Umgebung eines PC. Ganz ohne Fleiß sind die Virtual Private Networks aber auch mit Routern nicht zu bekommen.
Zunächst empfiehlt es sich, die korrekte Zeit im Router einzustellen – also einen NTP-Server sowie die passende Zeitzone zu wählen. Auf diese Weise sind Log-Einträge leichter zuzuordnen. Manche Router-Hersteller unterteilen die Logs in Funktionsbereiche. Stellen Sie sicher, dass das Logging für VPN respektive das eingesetzte VPN-Verfahren eingeschaltet ist.
Wenn noch nicht geschehen, registrieren Sie einen Hostnamen bei einem DynDNS-Anbieter (kostenlos) und tragen Sie die Benutzerdaten sowie diesen Hostnamen im DynDNS-Client des Routers ein – so ist das Gerät immer anhand seines DynDNS-Namens im Internet erreichbar, obwohl es an üblichen Internet-Anschlüssen bei jeder Einwahl eine neue IP-Adresse bekommt.
Prüfen Sie, ob der Router anhand dieses Hostnamens im Internet erreichbar ist und richten Sie die VPN-Konten für die Clients ein. Wenn vorhanden, schalten Sie auch die Übertragung von NetBIOS-Paketen übers VPN ein, sodass Windows-Clients VPN-Gegenstellen anhand ihrer Windows-Namen ansprechen können. Testen Sie die VPN-Verbindung und wenn alles zur Zufriedenheit läuft, legen Sie ein Backup der Router-Konfiguration an.
Auf Android-Smartphones und dem iPhone sind keine weiteren Vorkehrungen erforderlich, die Geräte sprechen von Haus aus PPTP und lassen sich auch ohne großen Aufwand einrichten. Allerdings verstehen sich Smartphones nicht mit allen Routern dieser Galaxis, da sind auch Windows-Mobile-Geräte keine Ausnahme. Im Beitrag Tunnelbau haben wir sechs Kandidaten aus der Einstiegsklasse gegen Smartphones getestet und nur einer davon baute PPTP-Verbindungen zu allen Testgegenstellen auf.
Windows Mobile
Auf Geräten mit Windows Mobile richtet man VPN-Verbindungen über „Einstellungen“, „Funkeinstellungen“, „Menü“, „Verbindungen“ und schließlich „VPN-Server bearbeiten“ ein. Tippen Sie auf „Neu…“ und tragen Sie die Bezeichnung für die VPN-Verbindung und darunter den DynDNS-Namen Ihres VPN-Routers ein – stellen Sie „PPTP“ ein und tippen Sie auf „Weiter“. Tragen Sie die Credentials sowie – wenn bekannt – die Windows-Domäne oder Arbeitsgruppe ein.
Damit hat das Gerät alles, was es für den Aufbau der VPN-Verbindung benötigt. Zugriffe auf VPN-Stationen klappen aber dennoch nicht. Normalerweise muss man, um eine Station im VPN zu erreichen, nur deren IP-Adresse im Smartphone eingeben. Das ist bei privaten LANs, die zumeist ohne einen internen Namensdienst betrieben werden, üblich.
Windows Mobile leitet aber ohne weitere Vorkehrungen auch bei aufgebauter VPN-Verbindung alle Pakete ins öffentliche Internet, also auch solche, die für das VPN bestimmt sind. In der Folge findet das Windows-Smartphone das Ziel nicht, kappt die VPN-Verbindung, sucht erfolglos im Internet danach und gibt dann die Adresse unnützerweise sogar in Microsofts Suchmaschine Bing ein …
Es gibt zwei wenig bekannte Wege, die aus dieser Sackgasse herausführen: Gegenstellen, die man in eine Ausnahmeliste einträgt, versucht Windows Mobile dann doch übers VPN anzusprechen. Weil es dabei ausschließlich Namenseinträge und keine IP-Adressen akzeptiert, kann man diese Lösung aber nur dann nutzen, wenn im LAN ein DNS eingerichtet ist. In größeren Firmennetzen kann man von einem DNS ausgehen und wie man DNS in einem Windows Home Server einschaltet, finden Sie im c’t-Artikel Aufbausatz. Der Router sollte im optimalen Fall die Adresse des hauseigenen DNS den VPN-Clients per DHCP mitteilen können.
Falls er das nicht kann, legt man den DNS im Smartphone per Hand fest: Öffnen Sie „Verbindungen“, „Bestehende Verbindungen verwalten“, wählen Sie die gewünschte VPN-Verbindung aus, tippen Sie auf „Bearbeiten“, „Weiter“, „Erweitert“ und dann neben „TCP/IP“ auf den Bereich „Server“. Tragen Sie dort unter „Spezifische Serveradresse“ den DNS ein, der sich in Ihrem VPN auskennt.
Anschließend kann man die Ausnahmen eintragen, die übers VPN kontaktiert werden sollen, nämlich in „Einstellungen“, „Funkeinstellungen“, „Menü“, „Verbindungen“, „Erweitert“, „Ausnahmen“. Dort tippt man auf „Neuer URL“ und trägt dann den DNS-Namen der gewünschten Station ein, beispielsweise „macserv.localnet“. Man kann auch eine komplette Domain in die Ausnahmeliste aufnehmen, also etwa „*.localnet“. Schließen Sie den Dialog über „OK“.
Poor man’s DNS
In Netzen ohne eigenen DNS kann man sich mittels einer auf dem Smartphone eingerichteten Namensauflösung behelfen. In der Unix-Welt gibt es dafür die Textdatei /etc/hosts, die IP-Adressen und zugehörige Hostnamen auflistet. Auf Windows Mobile trägt man solche Zuordnungen in der Registrierung ein.
Die Registrierung des Smartphones lässt sich beispielsweise mit dem CE Registry Editor vom PC aus bearbeiten, wenn der PC via ActiveSync Kontakt mit dem Smartphone aufgenommen hat.
Fügen Sie unter HKEY_LOCAL_MACHINE\Comm\Tcpip\Hosts für jede VPN-Station einen Key mit dem Windows-Namen der betreffenden VPN-Station hinzu. In der Registrierung ist ein solcher Key dann als Ordner sichtbar. Legen Sie in diesem Ordner einen Binär-Wert namens „ipaddr“ an. Wandeln Sie die Dezimalwerte der IP-Adresse der VPN-Station in die Hexadezimalnotation um und tragen Sie diese im Wert „ipaddr“ ein. Für die IP-Adresse 192.168.1.100 beispielsweise sieht die hexadezimale Schreibweise so aus: c0 a8 01 64 (tragen Sie die Hex-Angaben ohne Punkte ein). Tragen Sie einen zweiten Binär-Wert namens „expiretime“ ein, der Wert soll 99 99 99 99 99 99 99 betragen.
Ab der nächsten Verbindung kann man nun Gegenstellen erreichen, deren IP-Adressen im VPN übers DNS oder über die Hostzuordnung aufgelöst werden. Immerhin hat dieses umständliche Verfahren den Vorteil, dass das Smartphone die VPN-Verbindung selbstständig aufbaut, sobald es ein Ziel aus der Ausnahmeliste ansteuern soll. (dz)
