0711 / 78 19 41-0 (Ortstarif, werktags Mo.-Fr., 9-18h)    vertrieb@internet-xs.de
 

Allgemeine technische Informationen zu IP-Tunnel-Zugängen

Einleitung

Wir stellen feste, öffentliche IP-Adressen über Tunnel-Verbindungen bereit. Dafür stehen folgende Protokolle zur Verfügung:

  • OpenVPN
  • PPTP
  • L2TP (mit und ohne IPSec)
  • IKEv1 IPSec mit XAuth und PSK (Netze ab /32 bis zu /24)
  • IKEv2 IPSec mit PSK (Netze ab /32 bis zu /24)
  • Wireguard (Beta) (Netze ab /32 bis zu /24)

Die Lösung ist sehr generisch / universell für die verschiedensten Anwendungszwecke einsetzbar, da sie möglichst transaprent auf TCP/IP-Ebene arbeitet. Es handelt sich nicht nur um einen Reverse-Proxy oder einen Port-Mapper. Jeder IP-basierte Dienst lässt sich anbinden. Unsere Lösung funktioniert also auch dann, wenn UDP, ESP, AH oder GRE-Pakete über die feste IP-Adresse transportiert werden sollen oder neben einer Erreichbarkeit aus dem Internet auch Daten mit der festen IP in das Internet übermittelt werden sollen (z.B. bei Mail-Servern oder IP-basierter Authentifizierung bei Kunden / Lieferanten). Die beschriebenen Anwendungszwecke dienen nur als Beispiele für die häufigsten Anwendungen und sind nicht darauf beschränkt.

Der Client befindet sich in unserem Szenario dort, wo die feste IP-Adresse anliegen soll, d.h. in Ihrem Netzwerk. Der Server befindet sich bei uns. Die Konfiguration ist vergleichbar mit einem gewöhnlichen Client-Server-VPN oder Host-zu-Host-VPN (auch als "Road-Warrior-Konfiguration" bekannt) nur mit dem Unterschied, dass der Adresspool des Servers (bei uns) aus öffentlichen IPv4-Adressen statt privaten IP-Adressen besteht. Unser Angebot ist deshalb eher mit einer PPP(oE)-Einwahl zu vergleichen als mit klassischen VPN-Anwendungen wie einem Site-to-Site-Tunnel zur Kopplung von Filailen / Zentralen. Unser Dienst stellt nur eine feste, öffentliche IPv4-Adresse bereit. Welche Dienste Sie darüber anbieten möchten (Mail-Server, Webcam-Streams, Daten von Datenloggern oder z.B. auch Site-to-Site-Tunnel oder VPN-Server) bleibt Ihnen überlassen - exakt so, wie wenn Sie von Ihrem Internet-Anbieter eine feste IP-Adresse erhalten würden.

Nach erfolgreichem Verbindungsaufbau befindet sich die Ihrem Zugang (identifiziert durch Benutzername / Passwort) zugeteilte feste, öffentliche IP-Adresse auf einer virtulellen Netzwerkschnittstelle auf dem Gerät, auf dem Sie den Zugang als Client konfiguriert haben (z.B. tun0, tap0, ppp0 etc., je nach Protokoll).

Im Rahmen des Verbindungsaufbaus wird bei der Nutzung von OpenVPN das Standardgateway das Client-Betriebssystems auf die VPN-interne Server-IP-Adresse des OpenVPN-Servers umgestellt. Jegliche Kommunikation, die über den Client abgewickelt wird, wird also automatisch über den IP-Tunnel geleitet. Falls dies nicht erwünscht ist, muss das Client-Betriebssysstem entsprechende Steuerungsmöglichkeiten bereitstellen (Policy Based Routing oder Routing Marks).

Je nach Funktionen der Client-Hardware bzw. Betriebssystems können dann Dienste, die sich direkt auf der Client-Hardware bzw. Betriebssystem befinden, direkt über die feste, öffentliche IPv4-Adresse angesprochen (z.B. Web-Oberflächen, eigene VPN-Server, bspw. Outlook Web Access (OWA) und RDP-Server eines Windows-Servers) oder per Port-Weiterleitung (DNAT) an andere Netzwerkgeräte verteilt werden (nur sinnvoll, wenn der Client auf einem linuxbasierten Betriebssystem eingerichtet wurde, da auf Windows nur TCP-Ports mittels Port-Proxy weitergeleitet werden können, was aber kein mit DNAT vergleichbares Verfahren ist).

Unterstützte Hardware und Betriebssysteme

Im Prinzip wird jede Hardware / Betriebssystem unterstützt, das über einen geeigneten VPN-Client zur Verfügung stellt:

  • OpenVPN
  • PPTP
  • L2TP (mit und ohne IPSec)
  • IKEv1 IPSec mit XAuth und PSK (Netze ab /32 bis zu /24)
  • IKEv2 IPSec mit PSK (Netze ab /32 bis zu /24)
  • Wireguard (Beta) (Netze ab /32 bis zu /24)

Jedoch varrieren die nachgelagerten Konfigurationsmöglichkeiten von Hersteller zu Hersteller drastisch. Häufig steht zwar ein VPN-Client zur Verfügung, jedoch wird vom Hersteller z.B. nicht berücksichtigt, dass Port-Weiterleitungen / DNAT auch für Traffic greifen sollen, der über eine VPN-Client-Verbindung auf dem Gerät eingegangen ist. Bitte besuchen Sie unseren Support-Bereich für eine Auflistung der unterstützten Hardware / Betriebssysteme: http://i-xs.de/kb-80489  

Bitte beachten Sie, dass wir nur für von uns selbst getestete Szenarien Support leisten können.

Bereitstellung ohne neue Hardware

Ihr Gerät / Betriebssystem verfügt über einen kompatiblen OpenVPN, PPTP oder IPSec-Client: Eine kostenlose Client-Software wird auf Ihrem Betriebssystem installiert und konfiguriert bzw. eine vorhandene, kompatible Client-Software wird konfiguriert.

  • Für Windows & Linux-Server: Einrichtung direkt auf dem Betriebssystem (virtueller Netzwerkadapter TAP)
  • Raspberry Pi, Banana Pi, Orange Pi...
  • QNAP QTS, Synology DSM
  • Teltonika RUT950, RUT955, RUT230, RUT240
  • Android (PPTP, L2TP mit IPSec), iOS (L2TP mit IPSec)
  • Auf Windows & Mac OS X zur IP-basierten Authentifizierung bei Kunden / Lieferanten EDV-Systemen / Servern mit 1 Gerät gleichzeitig
  • Vorhandener, DD-WRT oder OpenWRT-fähiger Router
  • Sophos UTM 9 (mind. /30-Netz, IKEv1-IPSec), LANCOM (nur PPTP), ASUS RT-AC55U (nur PPTP), OPNSense (nur OpenVPN), pfSense (nur OpenVPN), DrayTek (nur PPTP)

Bitte besuchen Sie unseren Support-Bereich für eine Auflistung der unterstützten Hardware / Betriebssysteme: http://i-xs.de/kb-80489  

Bereitstellung mit neuer Hardware

Zur Anbindung jedes netzwerkfähigen Geräts (IP-Kameras, Webcams, Anlagen, Datenlogger, Smart-Home-Zentralen...): Die Client-Software wird auf einem geeigneten Gerät konfiguriert ("IP-Gateway" oder "IP-Router LTE") und leitet die Daten an das eigentliche Ziel-Gerät weiter (Port-Weiterleitung / DNAT).

  • Fernzugriff auf IP-Kameras, Webcams und Alarmanlagen
  • Kommunikation mit Anlagen / Datenloggern (Photovoltaik, Wind, SPS...)
  • Zusätzliche Sicherheit bei der Anbindung von Windows-Servern
  • Auf Windows & Mac OS X zur IP-basierten Authentifizierung bei Kunden / Lieferanten EDV-Systemen / Servern mit mehreren Geräten an einem Standort gleichzeitig
  • Anbindung von beliebigen Hardware-Firewalls mittels DMZ-Konfiguration (Watchguard, Cisco ASA, FortiGate, Netgear, TP-Link...), auch mit mehreren IP-Zugängen (bis zu 10 feste, öffentliche IPv4-Adressen mit IP-Gateway LAN Advanced)

Verschlüsselung

Häufig wird mit VPN eine Art Verschlüsselung oder Sicherheit assoziiert. Das ist jedoch nicht zwingend der Fall. VPN ist eine Technik, um zwei Netze (oder auch einzelne Endpunkte) über ein drittes Netz zu koppeln. Die Daten, die durch unsere IP-Tunnel geleitet werden, werden ausdrücklich nicht zusätzlich verschlüsselt. Wir transportieren Daten von A nach B (d.h. aus Ihrem Netzwerk ins Internet und vom Internet in Ihr Netzwerk), möglichst ohne sie zu verändern, genau so wie Ihr Internet-​Provider. In diesem Anwendungszenario von VPN ist die Verschlüsselung also sogar unerwünscht. 

Die Daten im IP-​Tunnel werden nicht zusätzlich verschlüsselt, da dies keinen Mehrwert bieten und zu einer höheren Last und damit zu einer geringeren Bandbreite führen würde. Der IP-​Tunnel existiert außerdem nur zwischen Ihrem Netzwerk und unserem Einwahlserver, nicht jedoch für Verbindungen zwischen dem Internet und dem Einwahlsever, da sonst kein transparenter Betrieb möglich wäre, der z.B. zum Betrieb eines Web- oder Mail-​Servers notwendig ist. Der IP-Tunnel deckt also nur ein kleines Teilstück der gesamten Internet-Verbindung ab. Deshalb ist eine Ende-zu-Ende-Verschlüsselung gar nicht möglich, was eine etwaig eingestellte Verschlüsselung sowieso unbrauchbar machen und im schlimmsten Fall eine falsch verstandene Sicherheit erwecken würde. Traffic, der über eine öffentlich erreichbare IP-Adresse aus dem Internet ins lokale Netzwerk gelangt, ist im ersten Moment immer als unsicher zu betrachten.

Eine richtige Verschlüsselung kann nur so erreicht werden:

  • Sie stellen Ihre Dienste nur mittels TLS-Verbindungen, also z.B. HTTPS (z.B. mit Let's Encrypt-Zertifikaten), FTPS, SSH, SFTP usw., bereit.
  • Sie betreiben einen eigenen VPN-Server, der mit der von uns - ebenfalls über VPN - berietgestellten festen IP aus dem Internet erreichbar gemacht wird und in den Sie sich Einwählen, um auf Ihr LAN zuzugreifen (sozusagen ein Tunnel im Tunnel - dies ist auch möglich, wenn Sie zur Bereitstellung der festen IP OpenVPN verwenden uns als privates Tunnel-Protokoll IPSec).
  • Alternativ kann auf dem IP-​Gateway LAN Advanced ein persönlicher VPN-​Server für den verschlüsselten Zugriff von uns vorkonfiguriert werden. Dann wird der Zugriff in Ihr Netzwerk / LAN vom zugreifenden Gerät (z.B. Smartphone mit App) bis zum Zielgerät (z.B. Webcam) hochgradig verschlüsselt - Ende-​zu-Ende.