Remote-Anbindungen von kleinen Niederlassungen und Home Office Arbeitsplätzen müssen sich immer häufiger den geänderten Rahmenbedingungen der Zugänge zum Internet anpassen. Oft sind die Internet Anschlüsse in den Standorten per LTE oder DS-lite Anschlüssen ausgeführt. Häufig, weil es keine andere Form der Anbindung gibt. Zudem wird der Netzzugang von einem Router des Providers gestellt, die nicht gerade von Funktionen strotzt.
Genau diese neuen Rahmenbedingungen stellen die IT Abteilungen vor Probleme, da ein Dialup VPN per Software-Client nicht immer die Lösung ist. Was im Home Office noch gerade so funktioniert, ist bei kleinen Remote Standorten keine Option mehr. Es lassen sich nicht alle Geräte per VPN Client mit der Zentrale verbinden. Ein zusätzlicher VPN Router oder kleine Firewall hinter dem Provider Router mit IPsec und NAT Traversal stolpert des öfteren über mangelnde Fähigkeiten des IPsec Passthrough vom Provider Router oder auch am CGN von DS-lite Anschlüssen. Einiger Hersteller bieten zwar bei bestimmten VPN Router die Option den Tunnel auch über eine TCP Verbindung und hier dann häufig per https aufzubauen an. Jedoch ist diese Variante auch nicht frei von Problemen. Zum einen möchte man kein zweites VPN Gateway am zentralen Standort, was je nach dessen Fähigkeiten bei Routing-Protokollen oder eben keine, wieder zusätzliche Handarbeit bedeutet. Zum anderen gibt es mit Zwangsproxys des einen oder anderen Providern ebenfalls Probleme, denn so plain https ist die Verbindung dann doch nicht. Dies gilt auch für SSL VPN Verbindung mit Software Clients. Schlechte Performance des Tunnels ist oft ein Beleg für Probleme der Zwangsproxy.
Es wird also Zeit die Anbindung der kleinen Remote Standorte oder Home Offices neu zu überdenken und hier auf Basis der zur Verfügung stehenden Technologien sich den geänderten Gegebenheiten anzupassen. Da, wo der Software VPN Client funktioniert gibt es auf den ersten Blick wahrscheinlich wenig Handlungsbedarf. Aber auch hier sollte die Verbindung hinterfragt werden. Der klassische SSL VPN Client ist nach wie vor erste Wahl um Clients anzubinden und er erfüllt auch seinen Zweck. Jedoch ist das TCP Protokoll unter dem TLS nicht gerade performant, wenn die Latenz hoch ist und die Bandbreiten weniger üppig. Clients die auf DTLS setzen, „fühlen“ sich für den Benutzer in den meisten Fällen flüssiger an. Dies hat mehrere Gründe. Der eine Grund ist dem UDP Protokoll geschuldet, was ja nicht auf das Bestätigungspaket wie beim TCP warten muss, bevor das nächste Paket auf die Reise geht. Kein Vorteil ohne Nachteil, aber TCP/IP Grundlagen sind nicht Thema des Artikels. Ein weitere Grund, warum sich DTLS Verbindungen flüssiger anfühlen sind oft die darunter liegenden Kompressionsverfahren. Diese kosten zwar CPU Ressourcen, aber davon haben heutige Clients ja mehr als genug. Hier gibt es dann eher Probleme beim VPN Gateway, wenn es um eine hohe Anzahl gleichzeitiger Verbindungen geht.
Das Thema VPN Anbindung ist also nicht ganz einfach und je nach Art der Verbindung ergeben sich Vor- und Nachteile des jeweiligen Verfahrens. Das ganze Thema wird dann noch komplexer, wenn Software Clients nicht mehr ausreichend sind. Müssen Multifunktionsgeräte oder IP Telefone angebunden werden, stellen die oben beschrieben Anschlussarten die IT Abteilung vor Probleme. Die Probleme sind hinter einem Provider Router gleich doppelt vorhanden. Einmal ist es die Verbindung selbst und zum anderen ist die Verwaltung des Geräts am Remote Standort. Auch wenn man häufige Konfigurationsänderungen ausschließt müssen doch Updates installiert werden. Das dies sehr zeitnah geschehen muss zeigen nicht zuletzt die Probleme mit OpenSSL. Bei diesem Problem mussten gleich Gateway und Clients aktualisiert werden. Was wiederum zeigt, dass zentrale Verwaltung sehr wohl eines der wichtigsten Themen ist. Wie löst man nun die ganzen Probleme die bei VPN Verbindungen auftreten können?
Im Bereich Software VPN-Client ist ein guter Ansatz alternative Wege anzubieten. Sollte aus irgendwelchen Gründen eine Verbindungsart nicht funktionieren, steht dem Anwender eine Alternative zur Verfügung. Denn sein wichtigstes Anliegen ist nun mal der Zugriff auf die Ressourcen der Zentrale. Ohne diese kann er nicht arbeiten. Eine weitere Lösung für VPN Probleme sind Remote Access Points mit Ethernet Ports die mittels CAPWAP Protokoll an die Zentrale angebunden werden. Dazu kommen weitere VPN Router die mittels DTLS Verbindung den Zugang realisieren. Je nach vorhandener Infrastruktur ist CAPWAP ein sehr guter Ansatz das Problem zu lösen. Dies gilt sowohl für den Punkt Anbindung als auch für den Punkt Verwaltung.
Ursprünglich ist CAPWAP ein Protokoll für Access Points, was sich aber auch sehr gut zur Anbindung von Remote Standorten eignet. Es ist einfach in der Anwendung und es erfordert vom Benutzer nicht viel an Interaktion. Stromversorgung und zwei drei Kabel einstecken und es funktioniert. Der Aufwand auf der administrativen Seite hält sich ebenfalls in Grenzen.
Über die Remote Anbindung von ADM’s, HomeOffice und kleinen Standorten noch mal neu nachzudenken ist nicht die schlechteste Idee für die Spielpausen der WM oder wann man auch immer Zeit findet.