Zugriff auf Firmennetzwerk

VPN unter Android einrichten

05.07.2016 von Thomas Joos
So greifen Sie mit Smartphones und Tablets per VPN-Verbindung auf das Firmennetzwerk zu.

Protokolle prüfen

Wenn Unternehmen auf Standard-VPN-Protokolle wie PPTP, IPSec und L2TP setzen, haben sie die Chance, dass sich Android-Smartphones und -Tablets problemlos verbinden lassen. Da sich an dieser Stelle aber die verschiedenen Hersteller respektive deren Geräte deutlich unterscheiden, sind grundlegende Tests erforderlich. Wer Android-Handys mit dem Firmen-VPN verbinden will, sollte auf jeden Fall nur auf kompatible Verbindungen setzen und die Installation zusätzlicher Apps vermeiden.

Da einige VPN-Clients Root-Rechte auf den Telefonen benötigen, sind diese Clients für den Durchschnittsanwender schlicht und ergreifend ungeeignet. Vor allem die fehlende Unterstützung von Cisco-VPN kann für größere Unternehmen oft problematisch sein. Administratoren jedoch, die Systemanwendungen auf dem Gerät installieren müssen und das Handy ohnehin rooten, können selbstverständlich die erweiterten Möglichkeiten nutzen. Android 4/5 bietet zwar in dieser Hinsicht einige Neuerungen, dennoch muss auch hier die Konfiguration genau geplant werden.

Interne Android-Clients ohne Rooting

Standardmäßig unterstützt Android PPTP mit Shared Secret, L2TP und L2TP/IPSec entweder mit Zertifikat oder Shared Secret. Mit Android 2.1/ 2.2 lassen sich zwar viele VPNs über den integrierten Standard-Client einrichten, aber längst nicht alle. Android 4/5/6 unterstützen noch IPSec und RSA-Verschlüsselung.

Erste Wahl sollte immer die Verwendung des internen Clients sein, da dieser keine Root-Rechte benötigt und kompatibel mit vielen VPN-Servern ist. Außerdem ist der Client sehr einfach einzurichten und von Anwendern leicht zu bedienen. Vor allem wenn Sie zusätzliche VPN-Clients verwenden wollen, zum Beispiel für den Aufbau zu speziellen Geräten wie SonicWALL oder Cisco, lassen sich diese Clients nur mit Root-Rechten installieren und konfigurieren. Außerdem unterscheiden sich die verschiedenen Geräte der unterschiedlichen Hersteller sehr stark voneinander. Clients, die auf dem einen Mobiltelefon laufen, müssen nicht zwingend auf allen Android-Handys funktionieren. Hier sind vor dem Einsatz grundlegende Tests angesagt.

Bildergalerie:
Android 5: VPN einrichten und nutzen
Um eine sichere Verbindung mit Ressourcen im Unternehmen aufzubauen, ist ein VPN-Zugang der gängige Weg. Das klappt auch mit Android-Smartphones und Tablets, erfordert in einigen Fällen allerdings etwas mehr Eingriffe als bei anderen mobilen Betriebssystemen. Wir berücksichtigen Geräte bis inklusive Android 5.x.
Android 5: VPN einrichten und nutzen
In Android 5 fügen Sie VPNs über die erweiterten Einstellungen von WLANs hinzu.
Android 5: VPN einrichten und nutzen
Bevor Sie in Android 5 ein VPN erstellen können, müssen Sie das Gerät mit einer PIN schützen.
Android 5: VPN einrichten und nutzen
Klicken Sie in Android 5 auf das Plus-Zeichen, erstellen Sie ein neues VPN mit zahlreichen Möglichkeiten.
Android 5: VPN einrichten und nutzen
Für die Verbindung mit dem VPN tragen Sie in Android 5 noch die Benutzerdaten ein. Das Zertifikat dazu müssen Sie ebenfalls installieren.
Ältere Android-Versionen: VPN einrichten und nutzen
Unter der Konfiguration für Drahtlosnetzwerke findet sich auch der Punkt für die VPN-Einstellungen.
Ältere Android-Versionen: VPN einrichten und nutzen
Es gilt die Art der VPN-Verbindung auszuwählen.
Ältere Android-Versionen: VPN einrichten und nutzen
Bei der Einrichtung eines VPNs in den Einstellungen von Android 4 lassen sich zahlreiche Möglichkeiten auswählen.
Ältere Android-Versionen: VPN einrichten und nutzen
Android 4 bietet zahlreiche Möglichkeiten zur Einstellung von VPNs.
Ältere Android-Versionen: VPN einrichten und nutzen
Nach der Auswahl des VPN sind die Daten desselben einzugeben.
Ältere Android-Versionen: VPN einrichten und nutzen
Damit Sie die App OpenVPN GUI (Root) verwenden können, benötigen Sie Root-Rechte auf dem Telefon.
Ältere Android-Versionen: VPN einrichten und nutzen
Das Einrichten eines L2TP-VPN unter Android.

VPN einrichten und Router anpassen

Für die meisten VPNs benötigen Sie keinen gesonderten VPN-Client, Sie können den internen Client in Android verwenden. Generell ist ein kompatibles VPN die beste Lösung, weil Sie dann auf dem Android keine Änderungen vornehmen müssen und die Anbindung stabil läuft.

Leider funktioniert der Standard-Client aber nicht mit allen VPN-Servern, sodass in vielen Fällen Anpassungen notwendig sind. Im Hinblick auf die Sicherheit ist das allerdings nicht immer zufriedenstellend. Denn auch wenn Sie einen sicheren Cisco-Router als VPN-Server einsetzen, erhöhen Sie die Sicherheit für die Anwender bestimmt nicht, wenn im Gegenzug die Handys gerootet werden müssen und die Anwender fortan mit Administratorrechten auf den Mobiltelefonen arbeiten.

Einstellungssache: Unter der Konfiguration für Drahtlosnetzwerke findet sich auch der Punkt für die VPN-Einstellungen. Das gilt ebenso für Android 4/5.
Foto: Thomas Joos

Wenn Sie ein Standard-VPN-Protokoll wie PPTP, L2TP oder IPSec verwenden, müssen Sie auf den Android-Geräten meistens nichts installieren, sondern können direkt mit den Standard-Tools arbeiten.

Die Einrichtung nehmen Sie dann in älteren Versionen über Einstellungen\Wireless\VPN-Einstellungen vor. In Android 4/5/6 finden Sie die Einstellungen an etwa der gleichen Stelle, müssen aber bei Wireless More beziehungsweise bei Drahtlos&Netzwerke die Option Mehr auswählen. Bei der Anbindung an ein VPN verhalten sich Android-Handys wie PCs: Sie benötigen einen VPN-Server, der auch für andere Geräte die Verbindung zur Verfügung stellt. Smartphones brauchen keinen eigenen VPN-Server, sondern begnügen sich mit einem VPN-Router oder einem Windows- beziehungsweise Linux-Server. Die Anbindung erfolgt über interne Einstellungen in Android oder über zusätzliche Apps, die Sie aus dem Market installieren.

VPN auf dem Smartphone einrichten

Wenn Sie in den VPN-Einstellungen auf VPN hinzufügen beziehungsweise das Plus-Zeichen klicken, können Sie auf der nächsten Seite auswählen, welche Art von VPN Sie aufbauen wollen. Allerdings muss dazu bei Android 5/6 eine PIN oder eine andere Absicherung des Gerätes aktiviert sein.

Verbindungsfrage: Hier wählen Sie die Art der VPN-Verbindung in Android 2 aus.

In Android 4 klicken Sie im Bereich Einstellungen\Drahtlos&Netzwerke\Mehr\VPN auf VPN-Profil hinzufügen. Ab Android 5, auch in Android 6 klicken Sie auf das Plus-Zeichen. Als Protokolle unterstützt Android 2 L2TP/IPSec und PPTP. Android 4/5/6 kennen noch IPSec und die RSA-Verschlüsselung. VPN-Datenverkehr, der auf Point to Point Tunnel Protocol (PPTP) basiert, besteht aus einer TCP-Verbindung zum TCP-Port 1723 auf dem VPN-Server. Diese Art von VPN ist am einfachsten zu betreiben, und so gut wie jeder VPN-Server beherrscht diese Technik. Um Probleme zu vermeiden, muss die Firewall TCP-Verbindungen auch als Generic-Routing-Encapsulation (GRE)-gekapselte Daten ermöglichen.

Weiterreichend: Android 4/5/6 bietet zahlreiche Möglichkeiten zur Einstellung von VPNs.

Nach der Authentifizierung am VPN-Server verschlüsselt ein PPTP-VPN die Verbindung. Die Verschlüsselung baut auf dem Kennwort der Authentifizierung auf. Je komplexer das Kennwort, umso besser die Verschlüsselung. Die zweite Variante ist das Layer 2 Tunnel Protocol (L2TP). Dieses Protokoll ist in Verbindung mit IPSec sicherer als PPTP, aber dafür auch komplexer beim Einrichten. L2TP verwendet IPSec, um eine Verschlüsselung aufzubauen.

Beim Aufbau eines VPN mit L2TP wird der Datenverkehr, im Gegensatz zu PPTP, bereits vor der Authentifizierung zuverlässig verschlüsselt. Da L2TP zur Verschlüsselung des Datenverkehrs IPSec verwendet, können Sie mit diesem VPN-Typ auch eine 3DES-Verschlüsselung durchführen. Der Einsatz eines VPN auf Basis von L2TP setzt eine Zertifizierungsstelleninfrastruktur voraus, und Sie müssen auf dem Android ein Zertifikat installieren. Das ist aber beispielsweise per SD-Karte kein Problem. Android 4/5/6 bieten hier noch weitere Einstellmöglichkeiten.

Übergabe: Für die Verbindung mit dem VPN tragen Sie in Android 5 die Benutzerdaten ein. Das Zertifikat dazu müssen Sie ebenfalls installieren.
Foto: Thomas Joos

Haben Sie sich für eine Variante entschieden, müssen Sie die Daten des VPN eingeben. Bei der Einrichtung von PPTP-VPN handelt es sich hierbei um einen freien Namen, die IP-Adresse oder den DNS-Namen des VPN-Servers sowie die Anmeldedaten.

Wenn Sie mit einem zertifikategesicherten VPN arbeiten, müssen Sie vor dem Verbindungsaufbau das Zertifikat auf die SD-Karte des Android kopieren und es installieren. Haben Sie eine Zertifikatedatei auf das Android-Gerät kopiert, installieren Sie das Zertifikat über Einstellungen\Standort und Sicherheit\Von SD-Karte installieren. In Android 4 finden Sie die Funktion über Einstellungen\Sicherheit\Von SD-Karte installieren. Bei Android 5/6 suchen Sie nach Einstellungen\Nutzer\ Sicherheit\Von Speicher\installieren.

Verbindung aufnehmen

Haben Sie alle Daten eingegeben, können Sie sich jederzeit mit dem VPN verbinden, wenn Sie zu Einstellungen\Wireless\VPN-Einstellungen wechseln beziehungsweise ab Android 4/5/6 zu Einstellungen\Drahtlos&Netzwerke\Mehr\VPN.

VPNs einzurichten und aufzurufen vereinfacht beispielsweise die App VPN Show aus Google Play. Diese hat aber keine andere Funktion, als einfach sofort direkt in das Fenster zur Konfiguration der VPNs zu springen. Sie ersparen sich also lediglich die Navigation zu den Standardeinstellungen des Telefons. Anwender, die häufiger auf VPNs zugreifen müssen, können auf diese Weise die Verbindung schneller starten. Ohne eine solche App müssen Sie sich für jeden Verbindungsaufbau erst zu den VPN-Einstellungen hangeln. Da es sich bei dieser App nur um eine Hilfe beim Aufrufen der VPN-Verbindungen handelt, benötigt sie keine Root-Rechte. Bauen Anwender eine VPN-Verbindung auf, müssen sie Benutzernamen und Kennwort eingeben. Das Kennwort lässt sich allerdings nicht dauerhaft speichern.

Auch hier leistet eine App aus dem Market wertvolle Hilfestellung: Mit der 5 VPN App können Sie VPN-Verbindungen leichter aufbauen und Kennwörter für die Verbindung speichern. Diese App benötigt ebenfalls keine Root-Rechte, erleichtert den Umgang mit VPNs aber deutlich.

OpenVPN und Cisco-VPN mit Android

Unternehmen, die OpenVPN einsetzen, können Android-Handys per VPN verbinden, indem sie die App OpenVPN aus dem Market auf den Endgeräten installieren. Wenn Sie OpenVPN verwenden, benötigen Sie auch einen OpenVPN-Server, der die Anfragen entgegennimmt.

OpenVPN baut auf SSL auf und ist sehr flexibel, was die Konfiguration betrifft. Die Authentifizierung kann über Zertifikate oder über Shared Secrets erfolgen. Die Verbindungsdaten geben Sie dann im Client auf dem Handy ein. Damit Sie die App OpenVPN GUI (Root) verwenden können, benötigen Sie Root-Rechte auf dem Endgerät. Eine weitere App, die die Einstellung von OpenVPN auf dem Android vereinfacht, ist OpenVPN Settings. Auch diese App benötigt Root-Rechte. Bei beiden Apps können Sie die Konfiguration in einer Konfigurationsdatei hinterlegen und über eine USB-Verbindung auf die Android-Handys übertragen. Als VPN-Server lassen sich problemlos Internet-Router einsetzen. Selbst kleinere Router für den Heimeinsatz sind in vielen Fällen kompatibel zu OpenVPN-Clients auf Android-Geräten.

Bedingung: Damit Sie die App OpenVPN GUI (Root) verwenden können, benötigen Sie Root-Rechte auf dem Telefon.

Wenn Sie spezielle Router für die Anbindung per VPN einsetzen, sollten Sie in Google Play überprüfen, ob es angepasste VPN-Clients in Form von Apps gibt. Der sehr große Nachteil dieser Apps ist aber, dass so gut wie alle Root-Rechte benötigen. Das mag bei Android-Handys von Administratoren noch in Ordnung sein, aber bei Otto Normalanwender sollten die Mobiltelefone nicht in diesem Modus agieren.

Konfiguration: ein L2TP-VPN unter Android einrichten.

Zum Beispiel stellt auch SonicWall für die meisten seiner Geräte im Market eine VPN-App zur Verfügung. Wollen Sie ein VPN mit einem Cisco-Router aufbauen, müssen Sie in jedem Fall das Smartphone rooten. Anschließend benötigen Sie die App VPNC, die die Verbindung zu Cisco-Routern ermöglicht. Für Android 4 und Android 5 sowie für Android 6 ist diese App aber nicht mehr geeignet.

Arbeiten Sie mit speziellen Geräten, wie zum Beispiel SonicWall, ist natürlich nicht immer ein gesonderter Client notwendig. Sie können in den meisten Fällen auch mit den Standardeinstellungen in Android arbeiten, wenn der VPN-Server entsprechend konfiguriert ist. Verwenden Sie zum Beispiel ein VPN mit der Einstellung L2TP/IPSec PSK-VPN auf dem Android, deaktivieren Sie die Option L2TP-Schlüssel aktivieren in den Einstellungen, wenn die Verbindung nicht funktioniert. (cvi)