Sie sind hier:  /  Netzwerk  /  VPN  /  Netztopologien

DEUTSCH  /  English

Netztopologien

Virtuelle Netzwerke und Netzverbindung per VPN

Dieser Abschnitt behandelt unterschiedliche Methoden, virtuelle Netze zu spannen und diese mit "echten" Netzwerken zu verbinden.

Wie im ganzen Referat gilt, dass ich auf Grund des Einsatzes und meiner Erfahrung mit OpenVPN gegebenenfalls Begriffe verwende, die mit OpenVPN im Zusammenhang stehen. Andere VPN-Techniken verwenden ggf. eigene Begriffe.

Point-to-Point Verbindung

Eine oft verwendete Art der virtuellen Netzwerkverbindung sind Point-to-Point Verbindungen. Dabei handelt es sich um eine direkte IP-Verbindung zweier Knoten (Points). Das bedeutet Client und Server können darüber direkt kommunizieren. Die Netzwerke der Knoten sind dabei grundsätzlich nicht von der anderen Seite erreichbar. Dazu ist es notwendig, Verbindungen der zwischen den Netzwerken zu routen.

Bei OpenVPN werden für Point-to-Point Verbindungen sogenannte TUN-Schnittstellen verwendet. Hierbei dient meist der OpenVPN-Server als DHCP-Server und vergibt automatisch IP-Adresse aus dem gewünschten Bereich. Auch PPTP setzt auf PPP, was schon am Name, Point-to-Point Tunneling Protocol, erkennbar ist.

Da VPN oft zur Anbindung von Außendienstmitarbeitern oder von Firmenstandorten verwendet wird, müssen jedoch oft mehrere gleichzeitige Verbindungen möglich sein. Bei einer sogenannten Point-to-Multipoint Struktur dient ein VPN-Server als Einwahlpunkt für mehrere Knoten. Bei dieser Struktur bildet der Server mit jedem einzelnen Client eine Point-to-Point Verbindung. Die Clients selbst können sich dabei nur dann gegenseitig erreichen, wenn der Server entsprechen konfiguriert ist, die Paketen zwischen den für sich geschlossenen Point-to-Point Verbindungen zu routen.

Ethernet

Über eine sogenannte TAP-Schnittstelle bilden die VPN-Rechner ein echtes Netzwerk, bei dem der Server als Switch arbeitet. Über eine Netzwerkbrücken kann man das virtuelle Netz auf Betriebssystemebene mit einem echten Netzwerk verbinden. Diese Technik bezeichnet man als Bridging.

Auch TAP-Schnittstellen können für Routing verwendet werden, allerdings werden für reines Routing Point-to-Point-Verbindungen bevorzugt, da diese effizienter arbeiten.

 

Netzverbindung

Die Anbindung eines VPN an ein echtes Netzwerk kann auf verschiedene Arten erfolgen.

Routing

Beim Verbinden mehrerer IP-Netze über ein VPN setzt man Routing ein. Dabei werden wie beim Routing ins Internet Pakete zwischen den Netzen geroutet. Hier arbeiten die VPN-Knoten auf der IP-Ebene und routen Pakete entsprechend ihrer Zieladresse.

Per Routing kann man z.B. ein VPN einrichten, über das Rechner der beiden privaten Netzwerke 192.168.1.0/24 und 192.168.178.0/24 sich gegenseitig über ihre IP-Adressen erreichen können. Wird hierbei eine Point-to-Point-Verbindung eingesetzt, nutzt diese ein eigenes Netz, z.B. 192.168.200.0/24. Über eine TAP-Schnittstelle kann jedoch ebenso IP-Verkehr geroutet werden, diese Art der Vebindung ist jedoch für reine Routing-Netze weniger geeignet.

Routing über eine Point-to-Point-Verbindung lässt sich relativ einfach einrichten und arbeitet effektiv. Dabei hat sie aber den Nachteil, dass Broadcasts zwischen den Netzen nicht möglich sind und somit einige Dienste nicht ohne Weiteres genutzt werden können. Ein Beispiel hierfür sind einfache Windowsnetzwerke ohne WINS-Server, da hier die Rechner ihre Namen per Broadcast verbreiten.

Sicherheit

Eine Point-to-Point Verbindung mit Routing ist relativ einfach absicherbar, da sie nur mit auf IP-Ebene arbeitet und somit eine Firewall für IP-Verbindungen ausreicht und diese es ermöglicht, die Kommunikation nach Wunsch einzuschränken. Somit kann man beispielsweise einem VPN-Client nur Zugriff auf bestimmte Server und Dienster wie Mailserver und Intranet-Webserver erlauben und Zugriffsversuche direkt auf einen bestimmten Client schon auf dem VPN-Gateway blocken.

Bridging

Beim Bridging wird die virtuelle TAP-Schnittstelle über das Betriebssystem (Windows: "bridge connections", Linux: bridge-utils) mit einer echten Netzwerkkarte verbunden. Diese "Bridge" arbeitet wie ein Switch auf der OSI-Schicht 2 und reicht Pakete mit entsprechendem Zielrechner sowie Broadcasts an die TAP-Schnittstelle und somit an den VPN-Gegenüber weiter.

Dadurch vehalten sich die über die Bridge verbundenen Rechner, als wären sie im selben Netzwerk. Dadurch kann man dann auch Dienste nutzen, die Broadcasts verwenden. Dazu zählen z.B. Windows-Arbeitsgruppen ohne WINS-Server oder auch viele Spiele, die oft mit Broadcasts oder auch eigenen Protokollen arbeiten.

Der Nachteil ist, dass die Broadcasts einen Teil der Bandbreite verbrauchen und so ggf. unnötige Netzwerkpakete die VPN-Verbindung verlangsamen. Außerdem muss man beim Verbinden zweier Netzwerke per Bridging darauf achten, das die Broadcasts das System nicht lahmlegen, so sollte es z.B. nur ein DHCP-Server pro Netzwerk geben bzw. jeder muss unterschiedliche Adressbereiche verteilen.

Verwendet man eine TAP-Schnittstelle und verzichtet dabei auf das Erstellen einer Netzwerkbrücke, erhält man ein eigenes Netzwerk, welches die Vorteile des Broadcastings bietet, dabei aber getrennt von den eigentlichen Netzwerkverbindungen des Servers und der Clients arbeitet.

Sicherheit

Da bei einer Netzwerkbrücke der Client wie ein "echter" Rechner ins Netzwerk eingebunden ist, kann dieser ohne bestimmte Schutzmaßnahmen nahezu alle Arten von Paketen über die VPN-Verbindung ins Netzwerk schicken. Scheinbar harmlose Broadcasts können z.B. genutzt weden, um Netzwerke mit Paketen zu fluten. Es gibt zwar Techniken zur Filterung auf Ethernet-Basis, jedoch erfordern diese einen erhöhten Konfigurationsaufwand.