Der Computer im Netzwerk kann Daten in öffentlichen oder gemeinsam genutzten Netzwerken empfangen und senden, als wäre es ein privates Netzwerk, mit allen Funktionen, Verwaltung- und Sicherheitsrichtlinien eines privaten Netzwerks. Das erfolgt durch Herstellen einer virtuellen Punkt-zu-Punkt-Verbindung durch Verwendung einer Verschlüsselung, dedizierter Verbindungen oder einer Kombination der beiden Methoden.
Häufige Beispiele sind die Möglichkeit, zwei oder mehr Niederlassungen eines Unternehmens über die Internetverbindung miteinander zu verbinden, sodass Mitglieder des technischen Supportteams von zu Hause aus eine Verbindung zum Rechenzentrum herstellen können. Oder so kann ein Benutzer von einem Computer aus auf seine Heimgeräte an einem abgelegenen Ort zugreifen. All dies geschieht über die Internetinfrastruktur.
Die VPN-Verbindung über das Internet ist technisch betrachtet eine WAN-Verbindung (Wide Area Network) zwischen den Standorten. Für den Benutzer scheint es sich allerdings um eine private Verbindung zu handeln: deswegen ist die Bezeichnung für ein virtuelles privates Netzwerk entstanden.
Beispiel von einer Anwendung von VPN
Angenommen, man hat ein Telefon, ein Tablet und einen Computer, und man surft damit im Internet. Sprich man kann Online-Banking verwenden, E-Mail machen, Webseiten aufrufen, auch Videotelefonie und Chats. Einige Sachen laufen dabei verschlüsselt ab, aber das ist kein VPN, ebenso laufen andere Dinge unverschlüsselt ab. Also soll uns erstmal nicht befassen, solange der Provider z. B. nicht auf die eigenen Daten zugreift und darauf, was man tut. Dies tut er grundsätzlich nicht, und man braucht sich daher nicht Gedanken machen. Jedoch sieht es anders z. B. in China aus. Dort kann man erfolglos versuchen, auf Facebook, Instagram oder Youtube zuzugreifen. Also greifen die Sperren, die vom Staat auf das ganze Internet dort auferlegt wurden. Noch mal was ist VPNaber ? Bei virtual private network wird man mit dem eigenen Gerät virtuelles privates Netzwerk aufbauen. Vereinfacht kann man es sich folgendermaßen vorstellen: Wenn man eine VPN-Verbindung aufgebaut, dann schließt man ein Netzwerkkabel an seinen Computer an. Über das Internet auf der anderen Seite hinweg schließe man das Ganze an den eigenen VPN-Server an oder an den eigenen Router an. Dies muss nicht zu Hause sein, es kann ebenso ein kostenpflichtiger oder kostenloser Anbieter im Netz sein. Allerdings was bringt uns VPN ? Erstmal, wenn man surft, kann jemand (man in the middle) theoretisch die Daten lesen. Besonders kann dies vorkommen, wenn man unverschlüsselt im Netz unterwegs ist. Macht man z. B. eine Internetseite auf (mit http ohne „s“), ist das Ganze dann unverschlüsselt. Gibt man dort eigene Kreditkartendaten ein und dabei ist das mini Schlösslein oben inaktiv, oder man ruft sie nicht durch https auf, könnte jemand die Daten abgreifen (ob jemand auf der anderen Seite oder dazwischen, oder eventuell im selben Netzwerk ist). Dies ist nicht gut, daher existiert https.
Vorteile von VPN
Einerseits hat man dadurch Sicherheit. Weil alles über die verschlüsselte Internetleitung geleitet wird, egal welche Dinge man online tut, und auf welchen Seiten man unterwegs ist, dabei hebt man Ländergrenzen auf. Sprich kann man z. B. Netflix und alles Mögliche weltweit machen, falls man eine VPN Verbindung aufgebaut hatte. Ein anderer Vorteil, der jedoch eben für Firmen ziemlich gut ist, ist: Die Firmen können Mitarbeiter in ihr privates Netzwerk transportieren. Da, wenn der eigene Router oder der VPN Server z. B. diesen Service anbietet und man über das Netz eine VPN Verbindung aufbaut, dann befindet man sich in dem Netzwerk. Wenn es (mit einem VPN Server) auf diese Weise konfiguriert ist, kann man auch auf Devices hinter dem Router (und hinter dem VPN Server) so zugreifen. Sei es jetzt ein Drucker, sei es jetzt Fileserver, seien es jetzt andere Geräte. Also kann man so z. B. für seine Mitarbeiter Heim- oder Fernarbeitsplätze schaffen. So können die Mitarbeiter gewissermaßen von zu Hause aus produktiv im Firmennetz arbeiten. Dies alles ist erneut verschlüsselt, der gesamte Datenverkehr verläuft zwar über Internet, jedoch ebenso über eine eigene VPNLeitung, somit über einen eigenen verschlüsselten VPN Tunnel. Deswegen wird VPN benötigt, und somit haben wir ziemlich vereinfacht VPN erklärt.
Nehmen wir jetzt die Situation mit China erneut als Beispiel. Man will sich mit Facebook verbinden, man will sich mit Instagram verbinden, oder man will z. B. in Spanien im Sommer auf den eigenen Sky mit dem eigenen iPad Zugriff haben und will die Bundesliga schauen. Dies wird dann alles nicht funktionieren, denn man hat eine spanische IP-Adresse. Ebenso hilft uns hier VPN weiter. Weil man baut in den beiden Fällen verschlüsselte Verbindung (also VPN Tunnel) vom eigenen Gerät zu z. B. dem eigenen Router zu Hause aufbaut. Und die gesamten Daten, egal welche, werden über die Leitung transportiert. Dies bedeutet allerdings im Umkehrschluss: Man ist in China oder in Spanien, man baut die VPN Leitung auf und surft dann über eine deutsche IP. Dies hat beispielsweise einen Vorteil. Nun ist man offiziell für alles, was man ansurft (beispielsweise Sky oder ebenso jede Webseite) in Deutschland. Da man ja eigene deutsche IP hat. Dadurch funktioniert nun Sky, man kann auch die Bundesliga in Italien oder überall weltweit sehen. Das gleich gilt apropos für Amazon prime Video oder Netflix. Nun steht uns das eigene Angebot erneut zur Verfügung. Dies ist der erste Vorteil. Dann ist der zweite Vorteil: Alles, was man tut, wie z. B. man gibt seine Kreditkartennummer ein, man surft auf einer beliebigen Webseite, man ruft (in China) eine gesperrte Webseite auf, dann geht alles über die eigene Leitung vonstatten. Und man bekommt ebenso das Facebook (also Webseite, die man will) sowie die Kreditkartennummer wird über eigene VPN Leitung abgewickelt (mithin über einen VPN Tunnel). Also derjenige, der uns angreifen möchte, oder der schnüffelt, z. B. also die chinesische Regierung, die sehen will, was jemand da ansurft, wird bloß erkennen, dass man gegebenenfalls bloß eine VPN Leitung aufgebaut hat. Allerdings was man macht, welche Webseite man ansurft, was man da genau tut, das erkennt niemand. Denn man surft nämlich über eine VPN Verbindung verschlüsselt. Aber Vorsicht! Auf der anderen Seite, um erneut auf das Thema Kreditkartennummer zurückzukommen, falls man diese Nummer auf unverschlüsselten Webseiten eingibt, dann könnte noch immer zwischen dem eigenen VPNAnbieter, dem eigenen Router oder dem eigenen VPN Server, der gerade den Service verfügbar macht, und der Internetseite (die bem Anbieter gehostet ist, bei dem gerade die Nummer transferiert wird), folglich exakt auf diesem Weg kann man unsere Daten noch immer abfangen.
VPN Erklärung und Trivia
Es gibt VPNs, die man rein theoretisch auf Schicht 3 des OSI-Modells zuordnen, und es gibt VPNs, die man auf Schicht des OSI Modells konfigurieren. Aber sehr weit verbreitet sind heute Layer 3 VPNs, also passiert die ganze Verschlüsselung dadurch auf Schicht 3. Möglichkeiten sind also die Protokolle wie MPLS (Multiprotocol Label Switching), GRE (Generic Routing Encapsulation) und IPsec (Internet Protocol Security).
Viele Router beherrschen VPN. Z. B. können Sie durch Ihre Fritz!Box und ein Endgerät Teil Ihres Heimnetzes werden. Wenn Sie z. B. von unterwegs von Ihrem Handy gerne auf Ihre Fotos zuhause oder auf Ihre Musik zugreifen wollen, dann können Sie das rein theoretisch so machen, dass Sie sich per VPN mit dem Handy bei Ihnen zuhause einwählen. Ihr Handy wird dann Teil des Heimnetzes und kann dann eben auf diese Daten zugreifen. Das können Sie natürlich auch z. B. über Ihr Notebook machen etc. Ansonsten gibt auch Open VPN und andere Lösungen.
Zwei grundlegende VPN Verbindungsarten
Der erste VPNV.Typ ist Site-to-Site. Site im Englischen steht für einen Standort. Und wenn man also 2 Standorte hat, z. B. ein Hauptsitz und eine Zweigstelle einer Firma, dann kann man also die Netze dieser beiden Standorte über das Internet mit Hilfe sogenannter VPN-Gateways (man sagt VPN-Terminating Devices) zusammenführen. Was passiert dabei? Ein Endgerät schickt also ein Datenpaket an die Hauptstelle. Der Router nimmt alle Pakete, die für die Hauptstelle gedacht sind, verschlüsselt sie, authentifiziert sie in irgendeiner Form, sendet sie über das Internet. Der andere Router packt das ganze wieder aus und leitet es entsprechend an einen Server oder an irgendeine Form von einem Endgerät weiter. Man kann diese Endgeräte als „dumm“ bezeichnen, denn sie benötigen keine Art Intelligenz in Bezug auf VPN. Das Gateway sorgt für alles, es sorgt für die Verschlüsselung, für die Authentifizierung usw. Und das andere Gateway sorgt dafür, dass das alles wieder entfällt. D. h. also für das Endgerät ist das VPN transparent und braucht keinerlei Wissen darüber, dass es dabei gerade über eine VPN Verbindung kommuniziert. Das ist natürlich sehr schön, denn man muss jetzt nicht alle Endgeräte in irgendeiner Form konfigurieren, sondern man konfiguriert an einer Stelle. Und für die Endgeräte „fühlt“ es sich an wie immer. Und hiermit kann man also zwei Netze zusammenführen. Und für so ein VPN Gateway ist es übrigens kein Problem, dass noch mit einem weiteren Standort und einem weiteren VPN zu machen. D. h. also dieses VPN Konzept skaliert schön, egal wie viel Standorte man hat, solange dieser Router nicht zu schwach ist, um die ganzen Verschlüsselungssachen zu machen. So kann man relativ einfach sein Netzwerk um weitere Standorte erweitern.
Dann gibt es eben noch das End-to-Site VPN. Dieses Szenario nennt man auch Remote Access. Remote Access bedeutet also Fernzugriff. Das bedeutet, man hat ein Endgerät mit einem installierten VPN-Client, d. h. es ist darauf eine Software installiert, mit der man quasi eine „Einwahl“ durch das Internet zu dem eigenen VPN-Terminating Device durchführt. D. h. dabei wird dieses Endgerät ein Teil von dem Netzwerk, also es wird zum Netzwerk zugefügt. Natürlich passiert das nur virtuell, daher kommt auch der Name virtual private network. Dieses Endgerät, nachdem die Einwahl und die Konfiguration vom VPN abgeschlossen ist, wird also Teil des Netzwerks. Und das bedeutet eben, dass dieses Endgerät alle lokalen Dienste und Angebote also nutzen kann. Also wenn z. B. ein Drucker Teil vom lokalen Netz ist, dann kann der VPN-Client auf diesem lokalen Drucker drucken. Das ist ein tolles Szenario, wenn Sie z. B. irgendwelche Telearbeiter haben, also z. B. Vertriebsleute, die über Tag bei ihren Kunden vorbeifahren und dort Bestellungen aufnehmen usw. Und sie setzen sich abends irgendwo an ihren Internetanschluss und werden mit VPN Teil des Netzes und übertragen dann die Aufträge auf einen Server. Von diesem Server werden dann diese Bestellungen gesammelt und daraus werden letztendlich Rechnungen fakturiert usw. D. h. man sieht jetzt die Logik: Auf dem Endgerät muss der VPN-Client installiert werden. Hier ist es so, dass dieses Endgerät nicht mehr ein „dummes“ Endgerät ist, sondern ein gewisses Wissen über VPN mitbringen muss, damit es sich eben in dem anderen Netz bewegen kann.
Was ist ein VPN Tunnel?
Tunnel gibt es in allen möglichen Formen, wir schauen uns hier Tunnel im VPN Kontext an. Es ist ein ganz beliebtes Konzept. Tunnel bedeutet erstmal einfach nur jetzt im Bezug auf die Netzwerke und die Übertragungstechnik, dass man Daten innerhalb von bestimmten Daten oder eines bestimmten Protokolls transportiert. D. h. also, wenn man einen ICMP-Tunnel hat, dann heißt es nichts anderes, dass man in den Datenanteil eines ICMP auf einmal Daten von einem anderen Protokoll oder bestimmte Daten einfach darin schreibt, die nicht reingehören. D. h. also, man hat ein außen liegendes Protokoll, mit dem man dann andere Daten innenliegend (sog. Passenger Protocol oder Passenger Daten) überträgt. Und jetzt wollen wir zeigen, was das in Bezug auf VPN bedeutet. Nehmen wir als Beispiel eine Firma mit einer Haupt- und einer Zweigstelle. Sie sind durch einen WAN-Anschluss oder über das Internet verbunden. Jetzt wollen wir also Daten von der Haupt- und die Zweigstelle übertragen. Wir haben 2 Router: Haupt- und Zweigrouter, und sie werden nun in diesem Beispiel einen Tunnel aufbauen. Was bedeutet das ? Die Idee eines Tunnels ist, das man im IP-Paket ein zusätzliches IP-Paket als payload überträgt. D. h. also, dass der Host (Rechner) auf der einen Seite mit dem Host auf der rechten Seite erstmal grundsätzlich kommunizieren möchte. Was wird der Host also machen? Er wird jetzt ein Paket seiner IP-Adresse an die IP-Adresse seines Gegenübers senden, und in diesem Paket liegen dann die eigentlichen Daten, die übertragen werden (TCP- oder UDP-Segment). Die Nachricht (das IP-Paket) wird nun zu dem Router rübergeschickt, und dieser Router baut jetzt den Tunnel auf. Warum baut man diesen Tunnel auf? Man möchte die Kommunikation zwischen den beiden Hosts vor dem Rest der Welt (vor dem WAN) verbergen. Also man möchte nicht, dass Leute im Internet mit lauschen können, was übertragen wird und wer überhaupt mit wem dabei kommuniziert. Also man will überhaupt verbergen, dass diese 2 Rechner miteinander kommunizieren. Das lässt sich mit dem IP-Paket sehr schwer verbergen, weil man drin die Daten rein theoretisch verschlüsseln (das wäre VPN ohne Tunnel), aber dann sieht man immer noch, dass die beiden Rechner miteinander kommunizieren. Man kann auch die IP-Adressen verschlüsseln, dann wissen die Router im Internet nicht mehr, wie und wohin ist es mit dem Paket zu verfahren. Wie kann man das jetzt ändern und was kann man dagegen noch großartig tun ? Die Idee ist es, ein IP-Paket in ein anderes IP-Paket zu versenken.