Das Internet setzt sich immer mehr als das Transportnetzwerk schlechthin durch. Es bietet deutlich mehr als nur den Zugriff auf Webserver oder E-Mail-Dienste. Mit etwas Aufwand kann man sogar zwei Rechner miteinander verbinden, die auf verschiedenen Kontinenten stehen. Dabei sieht es für die beiden Rechner so aus, als ob sie sich im selben LAN befinden. Damit ersparen sich die Benutzer der beiden Computer den umständlichen Dateiversand per E-Mail oder die teure Wählverbindung zum Zielcomputer.
Der einzige Haken bei der Sache: Ohne geeignete Schutzmechanismen stehen Hackern Tür und Tor offen, sei es zum direkten Angriff auf den Computer oder auch nur zum Belauschen des Datenverkehrs. Virtuelle private Netzwerke (VPNs) bietet eine Reihe von Sicherungsmethoden gegen diese Angriffe. Wie VPNs funktionieren lesen Sie in unserem Grundlagenbeitrag. In diesem Beitrag zeigen wir, wie einfach man unter Windows ein eigenes VPN aufsetzen kann. Dazu ist nicht einmal spezielle Software nötig, denn Microsoft liefert die entsprechenden Treiber gleich mit dem Betriebssystem aus oder bietet sie auf seiner Website zum Download an.
Voraussetzungen
Damit Sie zwei Windows-Rechner über ein VPN verbinden können, muss einer der beiden unter Windows NT oder Windows 2000 laufen. Er dient als VPN-Server, Windows 9x kann nur als VPN-Client fungieren.
Zudem sollte der VPN-Server eine statische IP-Adresse haben. Wie Sie das Ganze ohne statische IP-Adresse lösen können, zeigen wir im Abschnitt Hilfsmittel.
Beide Rechner benötigen natürlich eine Verbindung zum Internet - dabei ist es egal, ob es eine Wählverbindung ist oder über ein LAN, das ans Internet angebunden ist. Der VPN-Server muss jedoch über eine öffentliche IP-Adresse erreichbar sein, damit der Client ihn auch von außen erreichen kann. In lokalen Netzen werden meist private IP-Adressen verwendet (etwa 192.168.X.X). In einem solchen Fall können Sie lediglich ein VPN innerhalb des LAN aufbauen, was bei bestimmten Gegebenheiten durchaus sinnvoll ist - etwa um die Verbindung zwischen zwei Stationen gegen das Belauschen durch die eigenen Mitarbeiter zu sichern.
Soll der VPN-Client unter Windows 95 laufen, laden Sie zunächst das Dial-up-Networking-Upgrade 1.3 von der Microsoft-Site herunter und installieren Sie es. Es enthält die Treiber, die für das VPN notwendig sind. Dazu gibt es noch das Jahr-2000-Update und ein zusätzliches VPN-Update, das laut Microsoft die Stabilität und Geschwindigkeit von VPN-Verbindungen verbessert.
Installation des VPN-Servers
Auf dem NT-Rechner installieren Sie zunächst über die Eigenschaften der Netzwerkumgebung das Point-to-Point Tunneling Protocol.
Im Folgenden werden Sie automatisch nach der Zahl der simultan möglichen VPN-Verbindungen gefragt. Bei einem NT-Server können Sie maximal 256 einstellen. Bei einer NT-Workstation dürfen Sie nur 1 eintragen, da die NT-Workstation nur eine RAS-Verbindung erlaubt.
Da eine VPN-Verbindung als eine Remote-Access-Verbindung gewertet wird, startet Windows NT automatisch den RAS-Setup-Dialog. Ist RAS noch nicht installiert, richtet NT es gleich ein. Im Setup-Dialog fügen Sie den VPN-Adapter als Einwahlport hinzu. Haben Sie mehr als eine Verbindung ermöglicht, führen Sie diesen Schritt für jeden VPN-Adapter durch.
Konfiguration des RAS-Servers
Den VPN-Adapter konfigurieren Sie nun so, dass er eingehende Verbindungen zulässt. Im nächsten Schritt legen Sie die erlaubten Netzwerkprotokolle für diese Verbindung fest, indem Sie auf Netzwerk klicken. Hier stellen Sie auch die Art der Verschlüsselung ein und legen fest, ob der Client nur auf den NT-Rechner zugreifen darf oder auch auf das LAN, an das der NT-Rechner eventuell angeschlossen ist. Soll das möglich sein, agiert der VPN-Server gleichzeitig auch als Router.
Um die Verbindung weiter abzusichern, können Sie ausschließlich NetBEUI als Protokoll zulassen und verbieten, dass der entfernte Rechner auf das LAN zugreifen darf. Dann kann der VPN-Client nur auf die Freigaben des VPN-Servers zugreifen. Das LAN und die Internetdienste des VPN-Servers sind für Client nicht mehr sichtbar. Danach ist das Protokoll installiert und konfiguriert.
Bei TCP/IP über das VPN sind noch einige weitere Konfigurationsschritte notwendig. Wenn Sie keinen DHCP-Server eingerichtet haben, weisen Sie einen statischen Adress-Pool zu. Verwenden Sie jedoch nur private IP-Adressen, keine öffentlichen. Der Adressbereich muss mindestens zwei Adressen umfassen, eine für den VPN-Server und eine für den VPN-Client.
Jeder Benutzer benötigt eine Berechtigung, um über das VPN auf den Server zugreifen zu können. Dazu rufen Sie den Benutzermanager auf und aktivieren bei den Benutzern unter dem Menüpunkt Einwahl den Remote-Zugriff.
Als letzten Schritt starten Sie den Remote Access Server, damit VPN-Verbindungen aufgebaut werden können.
VPN-Client: Windows NT
Die Installation des VPN-Clients von Windows NT gleicht der Einrichtung des VPN-Servers. Folgen Sie zunächst den ersten vier Schritten wie bei Einrichtung des Servers beschrieben. Also:
PPTP installieren
Anzahl der Verbindungen festlegen
VPN-Adapter als RAS-Gerät hinzufügen
VPN-Adapter im RAS konfigurieren
Der einzige Unterschied ist bei der Konfiguration des VPN-Adapters. Hier setzen Sie den Adapter auf ausgehende Verbindungen statt auf eingehende.
Danach speichern Sie die Einstellungen und warten den Neustart ab. Im nächsten Schritt öffnen Sie das DFÜ-Netzwerk und richten einen neuen Telefonbucheintrag ein. Als Gerät wählen Sie den VPN-Adapter aus und als Rufnummer geben Sie die IP-Adresse des VPN-Servers an.
Damit ist die Konfiguration des VPN-Clients von Windows NT erledigt und das virtuelle private Netzwerk aufgebaut.
VPN-Client: Windows 2000
Die Einrichtung des VPN-Clients ist deutlich einfacher und weniger aufwendig als beim Server. Unter Windows 2000 gehen Sie in die Eigenschaften der Netzwerk-Umgebung und erstellen über den Netzwerk-Assistenten eine neue Verbindung.
Normalerweise benötigt der Assistent die IP-Adresse des VPN-Servers. Hier geben Sie die normale IP-Adresse an, nicht die des VPN-Netzwerks.
Danach ist das VPN konfiguriert und die Verbindung wird aufgebaut. Zur Authentifizierung auf dem NT-Rechner geben Sie Benutzername und Passwort eines Benutzers ein, dem Sie Rechte für den Remote Access zugewiesen haben.
Danach baut Windows 2000 gleich die Verbindung auf und das VPN ist komplett.
VPN-Client: Windows 9x
Die Installation des VPN-Clients unter Windows 95, 98 und 98 SE ist identisch. Zunächst ist die VPN-Unterstützung einzurichten. Anders als bei Windows NT wird hier kein Protokoll hinzugefügt, sondern ein Netzwerkadapter.
Windows 9x richtet alle eventuell notwendigen zusätzlichen Komponenten wie DFÜ-Netzwerk automatisch ein und stellt die Bindungen zu den verschiedenen Protokollen her. Damit ist die Installation der Treiber abgeschlossen.
Als nächstes erstellen Sie einen neuen Telefonbucheintrag im DFÜ-Netzwerk. Als Gerät wählen Sie den VPN-Adapter aus.
Bei Windows 9x fragt das Betriebssystem korrekt nach der IP-Adresse für den VPN-Server. Hier sind also keine Verwirrungen zwischen Telefonnummer und IP möglich.
Damit ist die Konfiguration des VPN-Clients abgeschlossen und die Verbindung kann hergestellt werden. Dazu geben Sie nur noch den Benutzernamen und das Passwort für den NT-Rechner an.
Windows 9x baut nun die Verbindung über das Internet auf, erstellt den Tunnel, durch den die privaten Daten fließen können.
Hilfsmittel
Wollen Sie beispielsweise vom Büro (VPN-Client) auf Ihren Rechner zu Hause (VPN-Server) zugreifen, haben Sie zwei Probleme:
1. der Rechner zu Hause ist nicht ständig mit dem Internet verbunden (es sei denn, Sie haben eine Standleitung), oder
2. der VPN-Client erwartet eine IP-Adresse. Diese wissen Sie jedoch im Allgemeinen nicht im Voraus, da die meisten Serviceprovider eine dynamische IP vergeben.
Mit OnlineJack gibt es eine interessante Lösung für beide Probleme. OnlineJack ist ein kleines Tool, das Sie auf dem Rechner zu Hause installieren können. Vom Büro aus können Sie dann über die Webseite von OnlineJack per Benutzername und Kennwort den Rechner zu Hause dazu veranlassen, eine Verbindung zum Internet herzustellen. Im so genannten Cockpit erfahren Sie dann gleich die IP-Adresse, die Ihr Provider dem Rechner zugewiesen hat. Mit dieser IP-Adresse können Sie den VPN-Client konfigurieren und starten.
Zwei Einschränkungen: OnlineJack funktioniert nur, wenn der Rechner über ISDN angeschlossen und eine CAPI 2.0 installiert ist. Außerdem muss der Rechner eingeschaltet sein.
Fazit
Die Einsatzmöglichkeiten von VPNs sind vielfältig: Die Anbindung von Außendienstmitarbeitern ans lokale Firmennetz, die Verbindung von zwei PCs oder Netzwerken in verschiedenen Städten oder auch der Zugriff vom Büro-Computer auf den Rechner zu Hause sind ohne weiteres möglich.
Mit VPNs lassen sich nicht nur Daten sicherer übertragen, sie sparen auch eine Menge Geld, wenn es darum geht, zwei weit entfernte Rechner miteinander zu verbinden. Anstatt eines direkten Anrufs beim Zielrechner, der womöglich sogar im Ausland steht, genügt ein Anruf beim lokalen Internet Service Provider, um die Verbindung herzustellen. Und das Beste daran: Es ist recht einfach und kostet nichts, ein VPN aufzubauen. (mha)