Der IKE-Config-Mode als weitere Protokollerweiterung ermöglicht die dynamische Zuteilung einer virtuellen IP-Adresse aus dem internen Adressbereich (private IP) eines Unternehmens an den Client. Darüber hinaus können dem Client auch Domain- und Serverdaten für DNS und WINS (Windows Internet Name Server) gesichert zugewiesen werden.

Probleme beim Remote Access treten dann auf, wenn ein PC über Netzwerkkomponenten mit Adressumsetzung (Network Address Translation, NAT) Datenverbindungen aufbauen möchte. Nach der IKE-Aushandlung überfordern die verschlüsselten und signierten Datenpakete der Encryption Security Payload (ESP) jedes zwischengeschaltete NAT-System, weil diese keine Ports benutzen. Etliche Netzwerkkomponenten mit NAT haben daher eine "IPsec Passthru"-Option, die aber nur ein festgelegtes Endgerät hinter der NAT-Linie mit den durchgereichten ESP-Frames versorgen kann. Die Protokollerweiterung NAT Traversal (NAT-T) im VPN-Client und VPN-Gateway sorgt hier für Abhilfe.

Zusammen mit dem Protokoll Dead Peer Detection (DPD) lässt sich jede Netzwerktopologie überlagern - eine wichtige Voraussetzung im Umfeld von Remote-Access- und Site-to-Site-VPN. Die DPD-Funktion optimiert das Ressourcen-Management der Tunnel in einem zentralen Gateway. Sie gewährleistet einen kontinuierlichen Verbindungs-Check zur Gegenstelle und leistet einen automatischen Wiederaufbau bei ungewolltem Verbindungsabbruch.

Sicherheitsanforderungen an den VPN-Client

IPsec-Tunnel schützen die VPN-Verbindung auf dem Weg durch unsichere Netze. Um neben der Daten- auch Zugangssicherheit zu garantieren, gilt es den von außen zugreifenden PC und letztlich das Firmennetz gegen jedwede Attacken abzuschotten. Gefahr droht immer dann, wenn ein mobiler Teleworker neben der VPN-Verbindung zur Firmenzentrale gleichzeitig eine direkte ungeschützte Verbindung zum Internet oder eine zweite VPN-Verbindung zu einem alternativen VPN-Gateway unterhält (so genanntes Split-Tunnelling). In derartigen Fällen gilt es zu verhindern, dass sich ein Angreifer über den Umweg des Endgeräts durch den VPN-Tunnel Zugriff auf das Firmennetz verschafft.