Seite 2: Global lokal

Inhaltsverzeichnis

Global lokal

Bei der Einwahl in ein VPN mit PPTP erhalten die Internet-Gäste eine private IP-Adresse aus dem lokalen Netz des VPN-Servers. Für die Netzwerkanwendungen sieht es deshalb so aus, als seien die entfernten PCs direkt per Kabel mit dem VPN-Server verbunden. Auf diese Weise lassen sich viele Anwendungen, die normalerweise nur im lokalen Netz funktionieren, ohne spezielle Konfiguration auch über das Internet nutzen.

Die VPN-Gäste verbinden sich fast wie im LAN mit Netzwerkfreigaben, um auf beliebige Dateien zuzugreifen. Über eine schnelle DSL-Leitung gleicht man so die eigene MP3-Sammlung mit der eines Freundes ab. Auch für Backup-Zwecke ist es eine sehr gute Idee, zusätzliche Kopien der eigenen Arbeitsergebnisse regelmäßig auf einen entfernten PC zu übertragen. Via VPN können sich etwa zwei Kommilitonen gegenseitig Speicherplatz zur Verfügung stellen, um die Daten ihrer Diplomarbeiten gegen den Hardware-GAU abzusichern.

Ein VPN bietet aber noch viel mehr Möglichkeiten, als nur Dateien zu übertragen. So erreicht man auch private Web- oder Mail-Server über das Internet, ohne dass sie für den Rest der Welt zu sehen sind. Mit einer virtuellen LAN-Verbindung via VPN funktionieren einige Netzwerkspiele ohne den Umweg über einen öffentlichen Spielserver. Externe Mitspieler kommen so ohne Anreise zur LAN-Party. Auch Videokonferenzen lassen sich via VPN abhalten – das kann je nach verwendeter Software allerdings einige Trickserei erfordern; mit Netmeeting etwa lässt sich so im Privatnetz trotz beteiligter NAT-Router kommunizieren.

Über den Tunnel ist Windows sicher fernzusteuern, zum Beispiel mit dem in Windows XP Professional integrierten Remote-Desktop. Das geht aber auch mit der Open-Source-Software TightVNC, per Java-Applet sogar auf beliebigen Client-Betriebssystemen.

Dieser Vorteil gilt für alle Anwendungen im VPN: Der einzige Dienst, der direkt aus dem Internet erreichbar sein muss, ist der VPN-Server selbst. Das minimiert nicht nur die Angriffsfläche für Hacker, sondern vereinfacht auch die Konfiguration von Firewall und Router. Man muss keine einzelnen Ports für die Netzwerkanwendungen öffnen, um sie aus der Ferne zu nutzen.

Torwart

Als VPN-Server kann ein beliebiger PC mit Windows 2000 oder XP dienen, der direkt per DFÜ-Verbindung ins Internet eingewählt ist. Mit der in Windows eingebauten Internet-Verbindungsfreigabe (Internet Connection Sharing, ICS) dient er gleichzeitig als Software-Router und versorgt weitere PCs im lokalen Netzwerk mit Netzzugang. Auch diese sind von außen via VPN erreichbar, wenn alles richtig konfiguriert ist.

Um die Einrichtung des VPN-Servers kümmert sich bei Windows XP und 2000 der "Assistent für neue Verbindungen". Er startet, wenn man im Fenster "Netzwerkverbindungen" die Funktion "Neue Verbindung erstellen" wählt. Die Netzwerkverbindungen erreicht man über die Systemsteuerung oder per Rechtsklick auf die Netzwerkumgebung auf dem Windows-Desktop ("Eigenschaften").

Als Erstes weist man den Assistenten an, eine "erweiterte Verbindung" einzurichten, die "eingehende Verbindungen zulassen" soll. Auf der folgenden Dialogseite überspringt man die Auswahl eines Gerätes und wählt stattdessen auf der nächsten Seite "VPN-Verbindungen zulassen" aus. Jetzt zeigt der Assistent eine Liste der lokalen Benutzer, denen man per Mausklick Einlass via VPN gewähren kann. Die ausgewählten können sich später bei der Einwahl mit ihrem Windows-Passwort gegenüber dem VPN-Server ausweisen.

Zum Schluss werden die Netzwerkeinstellungen für das VPN konfiguriert. Sollen auch Freigaben über das VPN erreichbar sein, müssen hier die "Datei- und Druckerfreigabe" sowie der "Client für Microsoft-Netzwerke" aktiviert sein. In den Eigenschaften des Internet-Protokolls TCP/IP lässt sich ein Adressbereich vorgeben, aus dem der VPN-Server dem anrufenden Gast eine IP-Adresse zuteilt. Diese Option sollte man nutzen, wenn an den VPN-Server noch weitere Rechner per LAN angeschlossen sind. Auch diese sind über das VPN anzusprechen, wenn man hier einen Bereich aus dem lokal verwendeten IP-Netz wählt.

Wer auf dem VPN-Server zusätzlich die Internet-Verbindungsfreigabe aktiviert hat, trägt am besten den Bereich 192.168.0.250 bis 192.168.0.254 ein. ICS besteht bei Windows XP und 2000 nämlich darauf, für die lokalen Rechner Adressen aus dem Netzwerk 192.168.0.0/24 zu verwenden. Dabei werden die niedrigen Adressen zuerst vergeben; mit dem genannten Adressraum sind in der Regel also keine Kollisionen zu befürchten.