Microsofts Alleskönner-VPN

DirectAccess mit Windows Server 2008 R2

Grundlagen

Um zu einer funktionierenden VPN-Lösung zu kommen ist es nicht unbedingt nötig, alle Technologien und Protokolle zu kennen, die sich hinter DirectAccess verbergen. Aber ist es aber von großem Nutzen, die Zutaten zu DirectAccess einmal kennengelernt zu haben, um ermessen zu können, was DirectAccess leistet und wo seine Grenzen sind.

DirectAccess basiert vollständig auf IPv6 und nutzt dessen immensen Adressraum, um jeden Client direkt adressieren zu können. Über IPSec werden Tunnels vom Client zum DirectAccess-Server aufgebaut, der seinerseits die Daten-Pakete zu den verschiedenen Rechnern im Firmennetz weiterleitet. Somit ist aus Sicht des Clients das Firmennetz ein IPv6-Netzwerk. Wäre jetzt die Welt um zwanzig Jahre weiter und das Internet wie auch alle Firmen-Netze würden bereits unter IPv6 laufen, so wäre die Geschichte hier zu Ende. Tatsächlich ist das Internet heute noch weitgehend ein reines IPv4-Netz und auch Firmennetze, dich durchgängig IPv6 sprechen, müssen mit der Lupe gesucht werden.

Es bedarf also einer Reihe von Übergangs-Protokollen, die gewährleisten, dass der DirectAccess-Client die Welt als IPv6-Netz sieht:

  • 6to4 und ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) ermöglichen die Übertragung von IPv6 Datenpaketen über IPv4.

  • Teredo (benannt nach dem Schiffsbohrwurm Teredo Navalis) ermöglicht den Zugriff auf ein IPv6 Netzwerk hinter einem NAT-Router. IPv6 Datenpakete werden mit UDP über IPv4 gekapselt. Teredo wird nur dann gebraucht, wenn Clients hinter einem NAT-Router das 6to4-Protokoll nicht nutzen können. Das Teredo-Protokoll ist auf einen Teredo-Server und ein Teredo-Relay angewiesen, die beide unterschiedliche öffentliche IP-Adressen brauchen. Teredo wird von Netzwerk-Administratoren manchmal kritisch gesehen, da es mit viel Aufwand virtuelle Löcher durch die NAT-Router bohrt und die Firmen-Firewalls den Teredo-Verkehr nicht überwachen können. Besonders vorsichtige Admins sperren daher den UDP-Port 3544, den Teredo nutzt.

  • IP-HTTPS ist die letzte Möglichkeit für den Datenaustausch via DirectAccess, wenn alle anderen Protokolle versagen. Hier wird über HTTPS (Port 443) ein IP-Tunnel zum DirectAccess-Server aufgebaut, über den die IPv6 Datenpakete transportiert werden. IP-HTTPS belastet die Server-CPU relativ stark und ist aufgrund seines Protokoll-Overheads auch nicht sehr performant.

  • NAT-PT wird schließlich im Firmennetz eingesetzt, um auch den Zugang zu Servern und Anwendungen herzustellen, die kein IPv6 sprechen. Zu diesem Zweck werden IPv6-Adressen von NAT-PT innerhalb eines DNS-Namensraums in IPv4 Adressen übersetzt.

Die eingesetzten Protokolle stellen sicher, dass der Client-Rechner (fast) immer einen Zugang zum Firmennetz bekommt, ohne dass sich der Benutzer um irgendwelche Details zu kümmern hat. Das verwendete Protokoll auf Client-Seite (6to4, Teredo oder IP-HTTPS) wird anhand der vorgefundenen Netzwerk-Topologie selbständig gewählt.