Netzwerk Vpn

mw-headline" id="Konventionelle_VPNs">Konventionelle VPNs="mw-editsection-halterung">[code]>

Das Virtual Private Network (VPN) hat zwei verschiedene Bedeutungen: Zum Beispiel kann der Rechner eines Arbeitnehmers von zu Haus aus auf das Firmennetzwerk zugreifen, als wäre er mitten drin. Die Netzwerke dazwischen (Heimnetzwerk und Internet) sind aus der Perspektive der VPN-Verbindung auf die Aufgabe eines Erweiterungskabels beschränkt, das den Rechner (VPN-Partner) exklusiv mit dem zugewiesenen Netzwerk (VPN-Gateway) verbunden hat.

Der Effekt ist ähnlich wie die Wiederverbindung des Computernetzwerkkabels mit dem über VPN zugewiesenen Netzwerk. 2] Der Aufbau eines verschlüsselten (virtuellen) Netzwerks über ein nichtverschlüsseltes Netzwerk kann ein wesentliches Entscheidungskriterium sein, manchmal auch die Hauptursache für den Einsatz eines VPN. 3] Dies ist symbolisch kein Anschluss des Netzwerkkabels an ein anderes Netzwerk; es erlaubt nur den sicheren Zugang zu bestimmten Diensten des anderen Netzwerks.

"In diesem Fall ist das Netzwerk dazwischen auch das Netzwerk, das dem VPN als Übertragungsweg fungiert (aus der Perspektive der VPN-Verbindung wird das Netzwerk auf die Rolle eines Erweiterungskabels reduziert). Ein VPN-Netzwerk, an das seine Abonnenten gebunden sind, wird manchmal auch als zugehöriges Netzwerk bezeichnet. Aus dem zugewiesenen Netzwerk kann ein physikalisches Netzwerk entstehen, in das über ein eigenes (VPN-)Gateway ("End-to-Site"-VPN) Fremdgeräte mit VPN eingebunden werden können.

8] Die VPN-Partner werden so Teil des zugewiesenen Netzwerks und können von dort aus gezielt angesprochen werden - quasi so, als wären sie dabei. Wegen dieser Täuschung wird von einem Virtual Network im Hinblick auf VPN-Partner gesprochen. Sind mindestens zwei getrennte Netzteile über ein einziges Endgerät angeschlossen, so sind sie untereinander zugänglich.

Die Verbindungseinrichtung erlaubt die Verbindung zwischen den einzelnen Rechnern und kann z.B. ein (NAT-)Router oder ein Gateways sein; in reinen Virtual Networks (die in ein anderes Netzwerk eingebunden sind) kann auch einer der Beteiligten diese Aufgabe wahrnehmen. Das Anschlussgerät kann z. B. ein DSL-Router sein, der ein Firmennetzwerk mit dem Netzwerk des Internets verbind.

Im Gegensatz zu einem Abonnenten, der unmittelbar mit dem Unternehmensnetz verbunden ist, kann ein mit dem Netz verbundener Abonnent nicht nur auf alle Netzressourcen des Unternehmens (z.B. Datei- und Druckerfreigaben) zurückgreifen. Dazu müßte er an das Firmennetzwerk angebunden sein. Exakt dies kann über ein VPN realisiert werden, wodurch die Zugriffsberechtigung auf einzelne Personen beschränkt werden kann.

Neben der bisher bekannten Funktionalität wird das Verbindungsgerät zum VPN-Gateway (auch VPN-Einwahlknoten). Im Beispiel könnte Netzwerk C ein Firmennetzwerk, Netzwerk C das Netzwerk B das Netzwerk selbst sein. Sofern eine Verbindung mit dem jeweiligen Nachbarnetz bis zum VPN-Einwahlknoten möglich ist, arbeitet VPN über mehrere Netze - so können sich nicht nur Netzteilnehmer aus Netzwerk B, sondern auch Netzteilnehmer aus Netzwerk B über VPN in Netzwerk C einschalten.

Zur Anbindung eines Teilnehmers aus seinem Ausgangsnetz an ein von dort aus zugängliches Netzwerk wird eine VPN-Software vorausgesetzt. Es wird in der herkömmlichen Ausführung einerseits auf dem Endgerät montiert, das die Netze untereinander vernetzt und andererseits zum Anschluss an den jeweiligen Beteiligten mitgebracht. Der VPN-Partner aus dem Netzwerk hat sich in das Netzwerk angewählt und spricht mit B2.

Ausgehend von der Beispieldarstellung wird auf dem Endgerät mit Netzwerkanschluss A2 eine VPN-Client-Software ausgeführt, die dem Endgerät das Netzwerk B zuweist. Früher war es der " Netzwerk B " Teilnehmer für unseren VPN-Partner PcB7. Es fügt die Mitteilung in einen Umschlag ein (Adresse ="PC B2", Absender ="PC B7") und überträgt den Buchstaben dann auf den Netzwerkport A2.

Der Buchstabe wird in einen anderen Umschlag (Adresse ="Netzwerkverbindung A3" (VPN-Gateway), Absender ="Netzwerkverbindung A2") eingefügt und damit in das Netzwerk A2 übertragen. Die A3-Netzwerk-Schnittstelle empfängt den Buchstaben und überträgt ihn an die auf dem Endgerät laufende Applikation "VPN Gateway". Dieses Programm entnimmt den Umschlag und schickt den Innenbrief vom Netzwerkanschluss B6 zum Rechner B2 (dem Empfänger des Innenumschlags).

Das VPN-Gateway merkt, dass die Adresse "PC B7" einem seiner VPN-Partner zugeordnet ist. Dieser Buchstabe wird vom VPN-Gateway auch optisch in einen zweiten Umschlag eingefügt (Adresse ="Netzwerkverbindung A2", Absender ="Netzwerkverbindung A3") und an das Netzwerk A3 weitergeleitet. Die Netzwerkverbindung A2 empfängt den Buchstaben und gibt ihn an den VPN-Adapter weiter.

In sehr vereinfachter Form wurde das Netzwerk der VPN-Partner auf die Aufgabe eines Erweiterungskabels beschränkt, das die Verbindung zwischen Computer B7 und Netzwerk aufbaut. Bei beiden Kommunikationspartnern, also sowohl für die beiden PCs B7 als auch B2, scheint es, als ob sich der Rechner B7 in der Mitte des Netzes und nicht im Netzwerk A1 befindet.

Je nach eingesetztem VPN-Protokoll können die daraus resultierenden Vorteile eines VPN durch Verschlüsselungen erweitert werden, die sicherstellen, dass die Verbindung zwischen Rechner B7 und dem VPN-Gateway von niemandem aus dem Netzwerk A1 einsehbar oder gar manipulierbar ist. Er greift nicht in das Netzwerk B, sondern beendet oder fängt am VPN-Gateway an (Rückweg).

Im wirklichen Umfeld könnte Netzwerk B ein Firmennetzwerk und Netzwerk A1 das Netzwerk selbst sein ( "Internet", hier sehr vereinfacht dargestellt), über das sich ein über VPN ins Unternehmen einwählendes Endgerät ins Unternehmen einwählen kann. Als Alternative könnte das Netzwerk B auch das Heimnetzwerk des Arbeitnehmers sein, bei dem das Netzwerk B und das Netzwerk B ("Punkt X" in der Beispielabbildung) miteinander verbunden sind.

Zu diesem Zeitpunkt kann es durchaus mehrere Netzwerke dazwischen geben, die der Buchstabe dank der Außenhülle durchläuft, bevor er das VPN-Gateway erreicht. Das VPN arbeitet weitestgehend unabhängig von der physikalischen Struktur und den eingesetzten Netzprotokollen, auch wenn das zugewiesene Netzwerk B von einem völlig anderen Typ ist.

Da die eigentlichen Netzwerk-Pakete im VPN-Protokoll gebündelt sind, müssen sie (die Innenbuchstaben, d.h. die Netzwerkprotokolle "Network B") nur von den VPN-Partnern und nicht von den dazwischen befindlichen Netzwerk-Komponenten aus dem Netzwerk A gelesen und interpretiert werden.

Der VPN-Tunnel ist im Vergleich zu anderen Tunneltypen eines TCP/IP-Netzwerks dadurch gekennzeichnet, dass er alle Netzwerk-Pakete ungeachtet höherer Protokolle (HTTP, FTP, etc.) durchleitet. Dadurch ist es möglich, den gesamten Verkehr von zwei Netzwerkkomponenten nahezu unbegrenzt durch ein anderes Netzwerk zu übertragen, weshalb auch ganze Netzwerkverbindungen über ein oder mehrere angrenzende Netzwerk (in der Grafik als X bezeichnet) möglich sind.

Wenn das VPN-Gateway 2 feststellt, dass eine Meldung an einen Abonnenten aus Zweig 2 (PC A2-....) adressiert ist, wird sie symbolisch in den zweiten Umschlag eingefügt und entsprechend der oben genannten Funktionalität an das VPN-Gateway 2 gesendet. Wenn das VPN-Gateway 2 feststellt, dass eine Meldung an einen Abonnenten von Zweig 2 (PC A1-....) gesendet wird, sendet es sie nach dem gleichen Verfahren an das VPN-Gateway 2 Kapselung von drei Netztypen.

Im Beispiel enthält Netzwerk A1 zusätzlich zu den normalen Abonnenten (z.B. A1) zwei weitere Netzwerke (in diesem Fall Netzwerk B und Netzwerk C). Jeder von ihnen ist ein eigenes (in sich geschlossenes) Netzwerk, das seinen eigenen Richtlinien entspricht, von der Ansprache und Verteilung bis hin zum benutzten Übertragungsprotokoll.

Bei den VPN-Partnern, einschließlich des VPN-Gateways, kann man davon ausgehen, dass VPN ein unabhängiges Netzwerk ist, das in einem anderen Netzwerk liegt. Dies kann für das gesamte Netzwerk gelten, wenn es ausschliesslich aus VPN-Partnern zusammengesetzt ist, wie es im Netzwerk B der Fall ist. Sie kann sich aber auch nur auf einen Teil des Kommunikationspfades erstrecken, wie es im Netzwerk C der Fall ist.

Kommuniziert ein unmittelbar an das Netzwerk C angeschlossener Subscriber (z.B. C1) mit einem "Network C" VPN-Partner (z.B. C6), wird am VPN-Gateway die Verkapselung gestartet oder beendet (Rückkanal). 1 ] Obwohl sie physikalisch (zumindest teilweise) in das obige Einwahlnetz eingebunden sind, scheint es den Teilnehmern, dass jedes Netzwerk seine eigene Verbindung hat.

Ist eine VPN-Verbindung einmal hergestellt, ist der Prozess ähnlich wie das erneute Stecken des Netzkabels von seinem Ursprungsnetzwerk in das zugewiesene Netzwerk, mit allen Folgen der Änderung von IP-Adressen und Routingunterschieden. Wenn der Rechner beispielsweise eine Web-Seite aufruft, wird die Anforderung nun aus dem neuen Netzwerk ins Web geroutet.

Der Antrag ist somit den Einschränkungen des zugewiesenen Netzplans unterworfen und nicht mehr denen des Originalnetzes. Journalistinnen und Journalisten in Staaten, in denen der kostenlose Zugang zum Medium nicht möglich ist, benutzen dies beispielsweise, um Zugangsbeschränkungen zu umfahren. Es ist lediglich erforderlich, dass sich der Rechner über sein ursprüngliches Netzwerk mit dem VPN-Gateway verbinden kann.

Der VPN-Gateway ist in der Regel in einem anderen Staat oder einem Netzwerk mit kostenlosem Internet-Zugang angesiedelt. Es wird davon gesprochen, dass die Internet-Anfragen (wie auch alle weiteren Netzwerk-Anfragen) über VPN getätigt werden. Der VPN-Tunnel behebt beide Aufgaben, da (je nach VPN-Protokoll) eine Chiffrierung aller Netzwerk-Pakete bis zur Ausgabe des VPN-Tunnels möglich ist.

Außerdem können diejenigen, die den Public Access-Datenverkehr lesen, nur eine einzige Leitung zum VPN-Gateway wiedererkennen. Das sind nur zwei ausgewählte Anwendungsbeispiele, die einerseits die Vorteile eines Netzwechsels verdeutlichen und andererseits die Vorteile einer eventuellen Chiffrierung erhellen. Durch VPN können die lokalen Netzwerke mehrerer Niederlassungen über das Netz sicher untereinander vernetzt werden (sog. Site-to-Site-Verbindung).

Von zu Hause aus kann der Rechner eines Arbeitnehmers über VPN sicher auf das Firmennetzwerk zugreifen. Zu diesem Zweck wird eine Internetverbindung hergestellt. Damit wird eine Anbindung an das VPN-Gateway des Unternehmens über das Netz hergestellt. Mit der Authentisierung haben die Mitarbeitenden Zugang zum Firmennetzwerk - so, als säßen sie inmitten.

Damit wird eine permanente Netzverbindung ohne permanente Wahlwiederholung möglich. Möglich ist auch, dass der Computer des Arbeitnehmers nicht über VPN in ein physikalisches Firmennetzwerk einhängt, sondern sich unmittelbar mit einem zentralen Netzwerk verbindet. So ist es auch möglich, ein sinnvolles (aber nicht physikalisch) gekapseltes Netzwerk einzurichten, das nur aus anderen VPN-Partnern bestehen kann, die sich auch mit dem Datenserver einwählen.

Wie bei der Anwahl in ein Firmennetzwerk von zu Haus aus können sich auch Kunden aus dem Firmennetzwerk über VPN in ein eigenes, besonders abgesichertes Netzwerk im Unternehmen einwählen: ein eigenes (datentechnisch gekapseltes) Netzwerk im Firmennetzwerk, in dem die Kunden bis zum Gateway die gleiche physische Verbindung wie alle anderen Kunden im Netzwerk nutzen - mit dem einzigen Vorteil, dass alle VPN-Netzwerkpakete in verschlüsselter Form zum Gateway durchgestellt werden.

Computerspiele, deren ursprüngliche Infrastuktur nicht mehr über das Netz erreichbar ist, die aber über einen LAN-basierten Multiplayer-Modus verfügen, können weiterhin über das Netz über VPN abgespielt werden. Das ist besonders nützlich für Player, deren lokales Netzwerk NAT-fähig ist. In der Regel liefert die verwendete VPN-Software den Input zum VPN-Tunnel als zusätzliche virtuelle (nicht als Hardwarestandard verfügbare) Netzteil.

Somit gibt es keinen Unterscheid zwischen dem Betriebssystem und der Applikationssoftware zwischen dem VPN-Tunnel und einem physisch existierenden Netzwerk. Wie der reale Netzadapter kann auch der Virtual Network Adapter in das Routingkonzept eingebunden werden und somit Datenpakete aller Services wie dieser übertragen werden. So kann z.B. ein sogenanntes Fat Client SSL VPN (ein komplettes herkömmliches VPN) einem Mobilcomputer den Zugriff auf ein Firmennetzwerk ermöglichen.

7] Wie bei anderen herkömmlichen VPNs ist es auch hier erforderlich, eine VPN Client -Software auf dem Rechner zu betreiben, die das zugewiesene Netzwerk quasi reproduziert (siehe VPN-Adapter). Es ist dann möglich, den gesamten Netzverkehr der VPN-Partner über die SSL-Verbindung zu übermitteln und so den Rechner an das Remote-Netzwerk zu bindet.

Elliot Lewis, Joseph Davies: Virtuell Privatnetzwerke mit Windows Server 2003 (Sichere Netzwerkverbindung mit VPNs). Gerhard Lienemann: Virtuell Privatnetze. Der Vde-Verlag, Berlin et al. 2002, ISBN 3-8007-2638-6 Manfred Lipp: VPN - Virtuelles Privatnetz. "Sprung zu: abc VPN: Virtuelles Privatnetzwerk: Virtuelles Privatnetzwerk.