Seite 3: Heimathafen

Inhaltsverzeichnis

Heimathafen

Der fertig eingerichtete VPN-Server taucht nun bei den Netzwerkverbindungen als neues Symbol für "Eingehende Verbindungen" auf. Sobald der Server mit dem Internet verbunden ist, kann sich ein Gast im VPN anmelden. Dazu benötigt er die aktuelle öffentliche IP-Adresse des VPN-Servers. Die meisten Internet-Provider vergeben jedoch bei jeder Einwahl eine andere. Wer selbst am PC sitzt und einen Bekannten in sein VPN lassen möchte, kann ihm seine aktuelle Adresse natürlich einfach per Telefon oder E-Mail mitteilen. Sie lässt sich bei bestehender Internet-Verbindung auf der Kommandozeile (Startmenü/Eingabeaufforderung) mit dem Befehl "ipconfig /all" ermitteln. Sichtbar wird sie auch per Rechtsklick auf das Tray-Symbol der Internet-Verbindung unter "Status" als "Client-IP-Adresse" auf der Seite "Details".

Wesentlich komfortabler gelingt die Kontaktaufnahme, wenn der Server unter einem DNS-Namen im Internet bekannt ist. Diesen Service bietet zum Beispiel www.dyndns.org an.

Ein PC, der im Internet Dienste anbietet, sollte gegen Angriffe geschützt werden. Das ist besonders wichtig, wenn auf diesem Rechner außer dem VPN-Server noch weitere Server-Dienste laufen, die aber nur dem lokalen Netz zur Verfügung stehen sollen. Eine Personal Firewall wie die in Windows XP eingebaute bietet für diesen Zweck schon einen ausreichenden Schutz. Windows 2000 sollte man mit einer zusätzlichen Personal Firewall absichern.

Die Windows-XP-Firewall lässt sich in den Eigenschaften der DFÜ-Verbindung zum Internet-Provider auf der Seite "Erweitert" einschalten. Sobald der VPN-Server für eingehende Verbindungen konfiguriert ist, öffnet sie selbstständig die für den VPN-Zugriff nötigen Ports. Das lässt sich mit dem Knopf "Einstellungen ..." kontrollieren; hier erscheint die Liste der Server-Dienste, die von außen erreichbar sind. Der automatisch erstellte Eintrag "Eingehende VPN-Verbindungen (PPTP)" gibt den TCP-Port 1723 frei.

In der Voreinstellung verhindert die XP-Firewall, dass der PC auf Ping-Pakete antwortet. Das erschwert allerdings die Fehlersuche, wenn ein Verbindungsversuch nicht klappt. Erlaubt man dem Server, Ping-Antworten zu senden, können die Gäste vor der Einwahl auf der Kommandozeile mit dem Befehl "ping Serveradresse" testen, ob der VPN-Server überhaupt erreichbar ist. Der entsprechende Schalter ("Eingehende Echoanforderungen zulassen") verbirgt sich in den Firewall-Einstellungen auf der Seite "ICMP".

Damit die Personal Firewall eines Fremdherstellers den VPN-Server nicht blockiert, muss sie mit dem von PPTP verwendeten speziellen Protokoll GRE umgehen können. Die kostenlose Software von Kerio harmoniert beispielsweise mit PPTP, jedoch konnte sie bei unseren Versuchen die nötige Filterregel für GRE nicht immer automatisch erstellen. Man kann sie aber auch manuell eintragen. In jedem Fall muss man fürs VPN den TCP-Port 1723 öffnen, den PPTP als Steuerkanal verwendet. Damit Kerio auch die GRE-Pakete passieren lässt, fügt man der Liste der Filterregeln, die sich über den Knopf "Advanced" im Administrationsdialog aufrufen lässt, einen neuen Eintrag hinzu. Als Protokoll wählt man nicht TCP oder UDP, sondern "Other" und gibt die Protokollnummer 47 an, mit der die IP-Header der GRE-Pakete gekennzeichnet sind. Der Verkehr muss in beide Richtungen fließen können. Anders als Kerio benötigt die Personal Firewall des Herstellers Sygate keine spezielle GRE-Regel, hier genügt es, Port 1723 freizuschalten.

Lass mich rein

Um sich über das Internet auf dem frisch eingerichteten VPN-Server einzuwählen, erstellt man auf dem Client-PC eine neue DFÜ-Verbindung. Auch das erledigt unter Windows XP der "Assistent für neue Verbindungen", wenn man ihn anweist, eine "Verbindung mit dem Netzwerk am Arbeitsplatz" herzustellen. Der "Firmenname" ist als Bezeichnung für den neuen Eintrag beliebig wählbar. Bevor man den VPN-Tunnel startet, muss der PC bereits mit dem Internet verbunden sein. Dazu lässt sich als "Anfangsverbindung" eine weitere DFÜ-Verbindung auswählen, die Windows dann beim Klick aufs VPN automatisch zuerst herstellt. Jetzt fehlt nur noch die IP-Adresse oder die dynamische DNS-Adresse, unter der der VPN-Server zu erreichen ist.

Auch ältere Windows-Ausgaben können mit dem PPTP-Server per DFÜ-Verbindung Kontakt aufnehmen. Für Windows 95 und 98 stellt Microsoft ein Update für das DFÜ-Netzwerk bereit, das bei Windows 95 den PPTP-Client nachrüstet und bei Windows 98 für eine sichere VPN-Verschlüsselung mit 128 Bit sorgt. Nutzer von Windows ME können die VPN-Komponente einfach per Windows-Setup in der Kategorie "Verbindungen" nachinstallieren. In der fertig eingerichteten DFÜ-Verbindung schaltet man die standardmäßig aktivierten Protokolle NetBEUI und IPX/SPX ab.

Mit der fertigen DFÜ-Verbindung lässt sich nun die Einwahl ins VPN starten. Nach Abfrage von Benutzername und Passwort erscheint der geöffnete VPN-Tunnel als zweites Icon neben der bestehenden Internet-Verbindung im Tray. Der Befehl "ipconfig /all" zeigt einen neuen PPP-Adapter mit der zugeteilten privaten IP-Adresse an. Wenn man alles richtig konfiguriert hat, antworten nun auch die anderen Computer im VPN auf Ping-Pakete an ihre privaten IP-Adressen.

Um auf die Netzwerkfreigaben seiner Nachbarn im VPN zugreifen zu können, sollte der eingewählte Computer am besten derselben Arbeitsgruppe angehören, die auch die Gegenstelle verwendet. Dennoch tauchen die PCs beim Fernzugriff nicht immer in der Netzwerkumgebung auf, weil die dafür nötigen Broadcast-Nachrichten nicht über den VPN-Server hinaus weitergeleitet werden. Die Rechner lassen sich aber trotzdem ansprechen, wenn man ihren Namen oder ihre private IP-Adresse kennt. Um sich mit einer Freigabe im VPN zu verbinden, kann man den Rechnernamen direkt in UNC-Notation mit einem vorangestellten "\\" angeben. Die Freigaben eines in der Netzwerk-Umgebung unsichtbaren VPN-PC namens FILESERVER erscheinen zum Beispiel, wenn man unter Start/Ausführen \\fileserver eintippt. Auch die Suchfunktion in der Netzwerkumgebung kann unsichtbare VPN-PCs aufspüren.