Foto: B. Neisemann/Fotolia
VPNs erzeugen ein virtuelles Netzwerk zwischen zwei Knoten. Bei diesen Knoten kann es sich prinzipiell um beliebige Rechnersysteme an unterschiedlichen Standorten handeln. Eine Variante des Virtual Private Networks ist die Verknüpfung von zwei Standorten eines Unternehmens über das Internet. Ein weiterer Einsatzzweck ist der Zugriff der mobil arbeitenden Firmenmitarbeiter auf die zentralen Anwendungen und Daten der Unternehmens-IT. Auch Servicemitarbeiter erhalten durch VPNs einen sicheren Zugang zu weit entfernten Maschinen oder Systemen, die sie über das Netzwerk komfortabel warten und verwalten können. Diese virtuellen Netze sind im Home-Office, aber auch vom Hotelzimmer aus gleichermaßen nutzbar. Es müssen aber nicht immer die eigenen Mitarbeiter sein, die per VPN den Zugriff auf das Firmennetzwerk erhalten. Das Prinzip gilt für alle User und für Gastnutzer gleichermaßen.
Eine zentrale Anforderung bei der Kommunikation über ein öffentliches Netzwerk ist immer die Sicherheit. Diese erreichen VPNs durch Verschlüsselung des Kommunikationskanals. Dabei fungiert das VPN wie ein privates Netzwerk. Da dieses aber nicht "physisch" arbeitet, sondern nur nachgebildet wird, spricht man auch vom Virtual Private Network (VPN). VPNs lösen die vorher oftmals verwendeten Standleitungen oder RAS-Systeme (Remote Access Services) ab. Bei diesen Zugangswegen handelte es sich immer um direkte Punkt-zu-Punkt-Verbindungen zwischen den beiden Netzwerkknoten.
In diesem Workshop des TecChannel zeigen wir den Aufbau eines VPNs mit einfachen Mitteln. Wir verwenden dazu die VPN-Software von Comodo EasyVPN. Der Name ist Programm: Die Software ist schnell einzurichten und für den privaten Gebrauch gratis zu beziehen. Am Ende des Workshops wissen Sie, wie Sie mit EasyVPN eine einfache und schnelle VPN-Verbindung zwischen zwei Rechnern aufbauen.
Netzwerksicherheit: IPSec-VPNs gelten als sicher
Derzeit haben sich zwei führende Sicherheitsverfahren für VPNs etabliert: Die SSL-basierten VPNs und die IPSec-VPNs. Beide Verfahren haben jeweils Vorzüge und Nachteile. Aus diesen Vorzügen beziehungsweise Nachteilen ergeben sich unterschiedliche Einsatzzwecke.
Bei IPSec (Internet Protocol Security) handelt es sich im Kern um ein Sicherheitsprotokoll zum Aufbau virtueller privater Netzwerke. Das Protokoll setzt direkt auf der Vermittlungsschicht (OSI Layer 3) des TCP/IP-Protokollstapels auf. Um zwei Rechner über IPSec zu verbinden, müssen daher beide Geräte vorbereitet sein. Denn beim Verbindungsaufbau werden entsprechende Zugriffsschlüssel ausgetauscht. Diese müssen vorher konfiguriert sein. Dabei kommen entweder manuelle konfigurierte Schlüssel oder automatische Schlüsselkonfigurationen zum Zuge.
IPsec arbeitet mit verschiedenen symmetrischen wie asymmetrischen Schlüsseln. Darüber hinaus verlangen IPSec-VPNs eine Änderung an der Konfiguration des Rechners. Dabei wird die Implementierung des IP-Stacks angepasst. Diese Änderungen erfordern aber in der Regel den Einsatz des Administrators.
Handhabung: SSL-basierte VPNs
VPNs auf der Grundlage von SSL (Secure Socket Layer) sind einfacher in der Verwaltung und erfordern nur wenig an Vorbereitungen. Sie begnügen sich mit einem SSL-fähigen Browser. SSL-VPNs setzen auf der Applikationsschicht auf; sie sind also bedeutend höher angesiedelt.
Um ein SSL-VPN aufzubauen, ist nur ein SSL-fähiger Webserver erforderlich. Auf der Client-Seite ist lediglich ein Browser notwendig, der SSL-fähig ist. Im Gegensatz zu den IPSec-VPNs verlangen SSL-VPNs keine spezielle Client-Software. Ein SSL-VPN ermöglicht einen einfachen und sicheren Zugriff auf Webanwendungen. SSL-VPNs sind damit nicht so universell einsetzbar wie IPSec-VPNs.
Das im Rahmen dieses Workshops verwendete EasyVPN geht allerdings einen eigenen Weg. Es verlangt lediglich die Installation von Softwaremodulen auf den beteiligten Rechnern. Dies geht sehr einfach vonstatten und ist sicher auch für den Benutzer ohne besondere Kenntnisse von VPNs durchführbar. Es ist damit schnell und problemlos in Betrieb zu nehmen. In den folgenden Schritten zeigen wir die Installation der VPN-Software und deren Konfiguration. Gehen Sie dabei wie beschrieben vor:
32 oder 64 Bit?
Starten Sie auf Ihrem Rechner den Browser Ihrer Wahl und wechseln Sie zur Website des Herstellers.
Laden Sie sich die Software EasyVPN vom Download-Bereich von Comodo. Zum Zeitpunkt der Erstellung dieses Workshops war hierzu ein Vermerk "Download EasyVPN" direkt auf der Homepagevon Comode Software eingeblendet. Bedenken Sie aber auch, dass die Hersteller ihre Webseiten öfter umgestalten, das heißt, es ist durchaus möglich, dass sich der Download-Link an einer anderen Stelle befindet.
Der Hersteller bietet die Software in einer 32-Bit-Version und einer 64-Bit-Variante an. Man sollte sich vom Namen der geladenen Module (CEVPNSetup_XPVista_x32 und CEVPNSetup_XPVista_x64) nicht irritieren lassen. Auch wenn im Namen explizit XP und Vista angegeben sind: Die Software funktioniert auch mit Windows 7. Im Test haben wir die 64-Bit-Version unter Windows 7 eingesetzt. Unter Windows XP kam die 32-Bit-Variante zum Einsatz. Der Umfang der Module ist klein: Circa 8 MByte benötigt die 32-Bit-Version. Die 64-Bit-Variante verlangt mit rund 10 MByte ein wenig mehr.
EasyVPN verlangt nur wenig an Systemressourcen. Auf seiner Website spricht der Hersteller von jeweils 128 MByte Arbeitsspeicher - dies erscheint uns aber doch zu gering. Und auch Windows 7 dürfte kaum auf einem Rechner mit nur 128 MByte ausführbar sein. Der Plattenplatz wird mit 10 MByte angeben. Damit passt die Software selbst auf einen der betagteren USB-Sticks.
Als Testumgebung für EasyVPN benötigen Sie zwei Geräte: ein System, von dem der Zugriff erfolgt, und ein zweites, auf das über das VPN zugegriffen wird. In unserem Testszenario verwendeten wir einen Windows-7-Rechner und einen zweiten PC mit Windows XP. Der Windows-7-Rechner stellt unser Zielsystem dar, auf das wir über den VPN-Kanal zugreifen wollen. Der Zugriff erfolgt durch den Windows-XP-Rechner. Dieser wurde in einer virtuellen Maschine ausgeführt.
Für den Zugriff müssen beide Systeme vorbereitet werden. Im ersten Schritt installieren wir das Zielsystem, auf das wir durch den VPN-Tunnel zugreifen wollen. Kopieren Sie daher die geladenen Module je nach Bitbreite - 32- oder 64-Bit - auf die verwendeten Rechner und starten das Programm "CEVPNSetup_XPVist_x32" beziehungsweise. "CEVPNSetup_XPVist_x64". Ein Assistent führt durch die einzelnen Schritte.
Bestätigen Sie die nun erscheinenden Lizenzvereinbarungen und wählen das Verzeichnis für die Ablage der Programmdateien aus. Im nächsten Dialog erscheint die Frage nach einer Mail-Adresse. Wenn Sie beim Setup Ihre E-Mail-Adresse angeben, sendet Ihnen der Hersteller den Zugriffsschlüssel für die Nutzung des Produkts an diese E-Mail-Adresse. Ferner werden Sie auf diesem Weg auch über weitere Produkte informiert.
Die Software integriert sich beim Setup als "Comodo Netzwerkadapter". Sie müssen daher der Installation zustimmen. Dies ist eine Besonderheit des Produktes.
Am Ende des Setups fragt das System nach dem Lizenzschlüssel. Dieser wird aber nur beim Unternehmenseinsatz benötigt, bei einem privaten Gebrauch ist die Lizenzierung nicht notwendig. Die Software funktioniert auch ohne Lizenzschlüssel. Damit ist der Setup abgeschlossen.
Erste Schritte
Starten Sie nun das eingerichtete Programm. Sie erhalten einen Bildschirm, der Sie zur Eingabe eines Benutzernamens und eines Passworts auffordert. Mit diesen Daten erfolgt eine Anmeldung beim Hersteller Comodo. EasyVPN will nun eine Verbindung mit dem zentralen Server aufbauen. Beim ersten Aufruf des Programms besteht noch kein Account. Daher müssen Sie sich jetzt registrieren.
Dies geschieht entweder über das Menü unter dem Eintrag "File" oder den Knopf "Register a new account" im unteren Bereich des Fensters.
Führen Sie nun eine Registrierung für Ihren Account durch. Sie müssen an dieser Stelle eine E-Mail-Adresse angeben. An diese sendet Ihnen der Hersteller eine Bestätigungs-Mail, um Ihren Account zu aktivieren. Füllen Sie nun die weiteren Felder in dem Dialog "Register an new account" aus. Tragen Sie auch ein Passwort ein, das hinreichend sicher ist - zum Testen genügt natürlich ein einfaches Passwort.
Bereits nach wenigen Sekunden erhalten Sie die Bestätigungs-Mail des Herstellers an Ihre hinterlegte E-Mail-Adresse. In der Mail ist ein Link enthalten. Diese müssen sie bestätigen, um damit den VPN-Account freizuschalten. Nach der Aktivierung des Links sind Sie wieder auf der Website des Herstellers. Diese Seite teilt Ihnen mit, dass der Account nun aktiviert wurde.
Gegenstelle installieren
EasyVPN ist eine Software, die einen VPN-Kanal über das Internet aufbaut. Dies setzt nur wenig voraus, etwa den Account beim Hersteller. EasyVPN verlangt aber, dass die Software auf beiden Systeme vorher einmal eingerichtet wurde. Daher müssen Sie nun das von der Website bezogene Softwaremodul auch auf dem zweiten Rechner installieren.
Starten Sie daher das Setup von EasyVPN auch auf dem zweiten Rechner. Anschließend müssen Sie sich auch hier registrieren. Dies läuft analog wie oben beschrieben. Richten Sie zu Testzwecken am besten einen weiteren EasyVPN-Account an. Melden Sie sich dann an EasyVPN an. Dies müssen Sie je nach Konfiguration aber nur einmal machen.
Nun wird die Verbindung zum zentralen Server aufgebaut. Dabei erfolgt auch eine Prüfung der Berechtigungen. Wenn alles korrekt eingerichtet wurde und die Berechtigungen passen, sind Sie in wenigen Sekunden an EasyVPN angemeldet.
Netzwerk konfigurieren
Die Vorarbeiten für den Aufbau den VPN-Kanals sind damit abgeschlossen. Die Verbindung zu Comodo/EasyVPN ist damit aufgebaut. Im nächsten Schritt muss ein Netzwerk zur Kommunikation eingerichtet werden. Dies dient gewissermaßen als Vermittlungsknoten zwischen den beteiligten Partner im VPN-Netzwerk. Um das Netzwerk einzurichten, wählen Sie im Menü die Option "Create a Network".
Geben Sie dem Network einen Namen und ein Passwort. Den Netzwerknamen und das Passwort müssen Sie dann Ihrem Partner mitteilen. Über diese Netzwerknamen tauschen die Partner später die Informationen aus. Ihr Partner muss in seiner Maske die Option "Join a Network" im Menü "Networks" wählen. Eingerichtet wurde das Netzwerk ja vorher von der Gegenseite. Der Partner wird dann zur Eingabe des Netzwerknamens und des von Ihnen gewählten Passworts aufgefordert.
Prinzipiell ist es möglich, mehrere Netzwerke und Tunnel einzurichten. Sie werden in einer Liste angezeigt. Wählen Sie nun Ihr eingerichtetes Netzwerk aus, das den Tunnel definiert.
Nach der Selektion des Netzwerks durch den Partner steht der VPN-Tunnel zwischen den beiden Geräten. Nun können Sie beginnen, die Kommunikationsmöglichkeiten von EasyVPN zu nutzen.
Die einzelnen Funktionen
Die VPN-Software bietet verschiedene Optionen, die Ihnen nun zur Verfügung stehen. Am oberen Rand des Arbeitsfensters sehen Sie sechs Reiter. Dahinter verbergen sich die folgenden Funktionen:
Send: Zum Austauschen von Informationen und Dateien zwischen den beiden Partnern.
Info: Damit können Sie Informationen über die EasyVPN-Partner einholen.
Clear: Löscht das Fenster mit den Statusmeldungen im oberen Bereiche der Bildschirmmaske.
Sound Off: Schaltet den Lautsprecher des Rechners ab.
Remote: Fernsteuerung des anderen Gerätes über den VPN-Kanal.
Invite: Hiermit können Sie Partner für eine EasyVPN-Sitzung einladen
Unmittelbar darunter finden Sie ein Fenster mit Statusmeldungen. Es wird beispielsweise für die aktuellen Meldungen des Systems, aber auch zum Austausch von Nachrichten verwendet. Im unteren Fenster finden Sie ferner einen reservierten Bereich für den Chat-Dialog von EasyVPN. Damit können Sie mit der Gegenstelle Nachrichten austauschen.
Tippen Sie nun im untersten Feld eine Nachricht ein, so muss diese auf der Gegenseite erscheinen. Ihr Partner wird einen vergleichbaren Aufbau vorfinden und kann Ihnen auf diesem Weg auch antworten.
Remote Control per VPN
EasyVPN umfasst auch die Funktionen zur Fernsteuerung des fremden Gerätes. Dies hilft bei der Fehlersuche oder Support-Diensten. Wenn Sie beispielweise das andere Gerät fernsteuern wollen, so klicken Sie nun auf den Knopf "Remote" in der oberen Icon-Leiste. Die Fernsteuerung auf das entfernte Gerät muss von dem Benutzer auf der Gegenseite allerdings vorher zugelassen werden. Dazu wird ihm in seinem Statusfenster eine Nachricht eingeblendet.
Die gesendete Nachricht wird von der Gegenstelle empfangen. Sie kann nun den Wunsch nach einer Fernsteuerung annehmen oder auch ablehnen. Nur wenn die Gegenstelle die Fernsteuerung zulässt, erhält der entfernte Benutzer Zugang zu dem System und kann es dann per Remote-Zugriff fernsteuern.
Drücken Sie nun den Send-Knopf. Damit ist es möglich, Dateien zwischen den beteiligten Systemen auszutauschen. Anschließend öffnet sich ein Dialogfeld, in dem Sie die Datei auswählen können.
Nach der Auswahl der Datei bestätigen Sie den Sendeprozess. EasyVPN fragt nun wieder bei der Gegenstelle nach, ob diese auch bereit ist, die Datei anzunehmen. Nun wenn diese die Annahme akzeptiert, können Sie die Datei senden.
Wenn Sie mehrere Minuten keine Eingabe machen und die Kommunikation zwischen den Partnern unterbrochen ist, so teilt Ihnen die Software dies mit.
EasyVPN klinkt sich nach dem Setup als Netzwerktreiber in das System ein. Über diesen Netzwerkkanal, im Bild als "LAN-Verbindung 3" bezeichnet, erfolgen dann die Kommunikation der beteiligten Partner und der Aufbau des VPN-Tunnels. Die IP-Adress-Vergabe geschieht durch EasyVPN. Hier müssen Sie keine Eingriffe vornehmen.
Fazit
EasyVPN ist ein einfaches Werkzeug, um einen VPN-Tunnel zwischen zwei Systemen aufzubauen. Es ist klein, handlich und schnell installiert und erlaubt einen Zugriff auf entfernte Rechner ohne große Vorbereitungen. Damit eignet es sich beispielsweise für den Zugriff vom Home-Office auf den eigenen Arbeitsplatz. Auch wer von unterwegs mit seinem Notebook auf seinen Arbeitsplatz im Büro zugreifen möchte, kann dies mit EasyVPN ganz leicht machen.
Das Zugriffs-Tool umfasst ein vordefiniertes Set an Funktionen, wie etwa Übertragung von Dateien, Fernsteuerung oder Chat mit dem Partner. Neben der hier gezeigten Arbeitsweise kennt das Tool aber auch weitere Einstellungen und Betriebsmodi.
Das Tool ist für den Privatanwender frei zugänglich. Für einen einfachen und kostengünstigen Zugang reichen die Funktionen sicherlich aus. Der Einsatz der Software im Unternehmen ist kostenpflichtig. (hal)