Multi-VPN: Tunnel im Tunnel

IPsec hat sich als Industriestandard für hochsichere Verbindungen über WAN-Strecken durchgesetzt. Professionelle Router mit VPN-Gateway bieten verschiedene Möglichkeiten, sich sicher zu authentifizieren und Daten stark verschlüsselt zu übertragen. Bei der Authentifizierung auf Basis von Zertifikaten kann sich kein fremdes Gerät als vermeintliche Gegenstelle ausgeben und eine Verbindung zum zentralen VPN-Gateway aufbauen. Mit AES verschlüsselt, können die übertragenen Informationen zudem von niemandem eingesehen werden. Somit eignet sich ein IPsec-VPN als sichere Methode, den Übertragungsweg zwischen Standorten über das Internet zu virtualisieren.

Der Nachteil von IPsec ist jedoch, dass die Übertragung auf die TCP/IP-Ebene (Layer 3 im OSI-Referenzmodell) beschränkt und im Bezug auf die Netzdefinition starr ist, so sind keine zwei separaten Netze mit überschneidendem IP-Adresskreis möglich. Speziell die Netze sollten aber bei der Virtualisierung flexibel den jeweiligen Erfordernissen angepasst werden können. Damit echte Ende-zu-Ende-Netzvirtualisierung möglich wird, müssen zwischen den Gateways Tunnel innerhalb eines IPsec-Tunnels etabliert werden, die völlig unabhängig vom IP-Adressraum der zu verbindenden Netze sind. Mit dem Point-to-Point Tunneling Protocol (PPTP) bietet sich eine Technik an, die schon lange für verschiedene Internet-Einwahl-Anschlüsse verwendet wird. Ähnlich wie bei VLANs im LAN wird pro virtuelles Netz ein PPTP-Tunnel aufgebaut, der die korrespondierenden VLANs der Standorte durch IPsec hindurch zu einem einheitlichen Netz verbindet.

Mit diesem neuartigen Tunnelkonzept können sogar Protokolle zur dynamischen Steuerung des IP-Routings innerhalb eines virtuellen Netzes, etwa das Routing Information Protocol (RIP), sicher zwischen Standorten übertragen werden. Ein weiterer Vorteil dieses Konzepts gegenüber separaten Tunneln liegt darin, dass Authentifizierung und Verschlüsselung nicht pro Netz erforderlich sind, sondern auf einen umhüllenden IPsec-Tunnel beschränkt werden können. Bei gleicher Sicherheit wie mit separaten IPsec-Tunneln werden rechenintensive Authentifizierungs- und Rekeying-Prozesse (zyklischer Wechsel der zur Verschlüsselung verwendeten Schlüssel) eingespart.

Somit werden hinsichtlich Transparenz und Routing ähnliche Eigenschaften wie bei MPLS-VPNs erzielt, jedoch mit höherer Sicherheit und dem Vorteil, dass das VPN nicht in der Hand des Internet-Providers, sondern in der des Anwenderunternehmens liegt. Der Verwendung verschiedenster Übertragungstechniken wie ADSL, SHDSL, Glasfaser oder UMTS auch als Backup-Verbindung für denselben Standort steht nichts im Wege. Durch die Unabhängigkeit vom Anschlussbetreiber besteht die Möglichkeit, Netze über Ländergrenzen hinweg mit verschiedensten Zugängen zu virtualisieren.