VPN-Probleme beim Glasfaseranschluss?

25. Juni 2015

Einleitung

Dieser Artikel ist extrem technischer Natur. Sollten Sie nicht wirklich technisch bewandert oder interessiert sein, so würde Sie der Artikel wahrscheinlich eher verwirren. Bitte verlassen Sie in diesem Fall diese Seite. 😉

Für die anderen geht’s hier weiter:

Zur Sache

Uns haben mehrfach besorgte Interessenten angesprochen die von angeblichen „Problemen mit VPN beim Deutsche Glasfaser-Setup“ gehört hatten.

(Update 2016-06-07: Konkret geht es hier um Benutzung eines VPN-Clients zu Hause, wobei sich das VPN-Gateway „im Internet“ befindet.)

Wir haben daraufhin selbst recherchiert und keine grundsätzlichen Probleme erkennen können, die auf Grund des Designs des DG-Setups zu erwarten sind.

Es handelt sich dabei um ein NAT444-Setup: Private IPv4-Adresse im Heimnetz (LAN), private IPv4-Adresse zwischen CPE (Router) und CGN sowie öffentliche IPv4-Adresse zwischen CGN und IPv4-Internet-Host. Es handelt sich nicht um Dual Stack-lite, da keine private IPv4-Adresse im LAN über IPv6 durch das CPE zum CGN getunnelt wird! (Update 2016-06-07: Das CPE besitzt bei Dual Stack-lite netzseitig nur noch eine IPv6-Adresse, keine IPv4-Adresse mehr!)

Solange „die IPv6-Migration“ nicht beendet ist — sprich: Jeder Client weltweit kann IPv6 nutzen und jeder Host bietet seine Dienste ebenfalls per IPv6 an — sind Transitions-Techniken wie NAT444 von globaler Bedeutung. Daher gibt es einen eigenen RFC zu dem Thema „Einfluss von CGN auf Netzwerk-Anwendungen“: RFC-7021. Dieser RFC gibt keinerlei Hinweise dass es ein grundsätzliches Problem mit gängigen VPN-Anwendungen (NAT444-Szenario, Client im LAN, VPN-Gateway ausschließlich erreichbar über IPv4, aufgestellt in der DMZ) geben könnte.

Wenn man (per Google) nach NAT444 sucht stößt man an prominenter Stelle auf diese Seite (die vor mehr als 4 Jahren erstellt wurde, also mittlerweile völlig veraltet ist!). Schon nach damaligem Stand ist die Seite als „dubios“ zu bezeichnen. Nach Aussage des Autors macht NAT444 „VPN“ und „SSL“ kaputt oder beeinträchtigt diese zumindest. In dieser Pauschalität ist diese Aussage nicht sehr fundiert. Zum einen ist VPN nicht gleich VPN, es gibt diverse unterschiedliche Verfahren, die mit Sicherheit — wenn überhaupt — nicht alle gleichermaßen betroffen sind. Zum anderen ist SSL einfach nur eine Encryption Layer, die im Prinzip auf beliebige TCP-Ströme angewendet werden kann. Wieso diese durch NAT444 beeinträchtigt werden soll erschließt sich mir nicht. Der Autor widerspricht sich mit seiner Aussage übigens selbst da er angibt, dass „Web“ und „Mail“ ohne Beeinträchtigung über NAT444 funktionieren sollen. Da aber auch bei Web-Anwendungen (HTTPS) und Mail-Anwendungen (SSMTP und POP3S/IMAPS) SSL zum Einsatz kommt stellt sich die Frage wie das zusammen passt…

Um die Frage abschließend zu beleuchten werden wir die „Deutsche Glasfaser“ besuchen, um vor Ort die beiden verbreiteten VPN-Protokolle „IPSec“ (Cisco VPN Client mit XAuth) und SSL-VPN (Cisco AnyConnect) zu testen. Dieser Artikel wird dann in den nächsten Tagen entsprechend ergänzt werden.

Update 26.06.2015: Wir sind heute bei der „Deutsche Glasfaser“ gewesen. Erwartungsgemäß konnten wir keinerlei Probleme mit den beiden o. g. VPN-Protokollen bei Verwendung von IPv4 feststellen (bei IPv6 sind ohnehin keine Probleme zu erwarten, da von Seiten der „Deutsche Glasfaser“ eine echte Ende-zu-Ende IPv6-Konnektivität mit öffentlichen IP-Adressen zur Verfügung gestellt wird). Siehe auch diesen Artikel für weitere Infos über unseren Besuch.

Update 30.06.2015: Der bei uns nachgefragte Juniper „Junos Pulse VPN-Client“ dürfte auch ohne Probleme zu benutzen sein, da es sich bei diesem ebenfalls um einen SSL-VPN-Client handelt. Ein solcher wurde von uns erfolgreich getestet in Form des Cisco AnyConnect-Clients…

Tags: , ,