VPN steht für Virtual Private Network. Es ist eine Methode, bei der zwei Endpunkte eine einzelne, private Verbindung oder einen Tunnel aufbauen, während sie eine größere Netzwerkinfrastruktur wie das Internet oder ein Weitverkehrsnetz nutzen. Wenn ein VPN eingerichtet ist, verhält es sich wie eine direkte Verbindung zu einem privaten Netzwerk.
Das VPN selbst fungiert einfach als Netzwerkschnittstelle für den Client und ist für das Betriebssystem, die Anwendungen und die Benutzer, die auf das VPN-Netzwerk zugreifen, transparent. Daher können Anwendungen, Nachrichten und Benutzer die Verbindung ganz normal nutzen, ohne dass sie wissen müssen, wie das VPN funktioniert.
Mit benutzerdefinierten Warnmeldungen und Datenvisualisierung können Sie Probleme mit dem Zustand und der Leistung Ihres Netzwerks schnell erkennen und vermeiden.
Für ein herkömmliches VPN sind zwei Endpunkte erforderlich. Der eine ist der entfernte Endpunkt und der andere ist der lokale Endpunkt. Um die VPN-Verbindung aufzubauen, müssen beide Endpunkte so eingerichtet und konfiguriert werden, dass sie Daten über ein VPN-Protokoll senden und empfangen können. Es gibt verschiedene Möglichkeiten, die VPN-Funktionalität zu implementieren, darunter Clients von Drittanbietern, integrierte Betriebssystemfunktionen und netzwerkbasierte Implementierungen. In jedem Fall muss das VPN auf beiden Endpunkten der auf dem anderen Endpunkt verwendeten VPN-Methode entsprechen oder diese unterstützen.
Sobald beide Endpunkte eingerichtet und konfiguriert sind, stellen sie eine Verbindung her, die als VPN-Tunnel bezeichnet wird. Die Verbindung kann immer bestehen oder durch einen Benutzer oder bestimmte Ereignisse dynamisch ausgelöst werden.
Eine gängige Form von VPN ermöglicht es einem Remote-Benutzer, sei es ein Angestellter, ein Student oder ein anderer autorisierter Benutzer, über ein öffentliches Netzwerk auf ein privates lokales Netzwerk zuzugreifen. Bei dieser Art von VPN muss der Remote-Benutzer einen VPN-Client installiert und konfiguriert haben, um eine Verbindung zu einem VPN-Gateway im lokalen Netzwerk herzustellen. Beispiele hierfür sind:
Eine weitere weit verbreitete Form von VPN ermöglicht eine WAN-ähnliche Verbindung zwischen zwei verschiedenen Standorten, indem ein öffentliches Netz wie das Internet genutzt wird, anstatt eine direkte, private Verbindung zu installieren, die mit hohen Kosten und Schwierigkeiten verbunden ist. Bei dieser Art der VPN-Einrichtung müssen die Benutzer keine VPN-Clients einrichten oder konfigurieren. Stattdessen wird die Remote-Konnektivität über zwei VPN-Server geleitet. Jeder VPN-Server fungiert als Server für alle Clients und als Endpunkt für den Remote-VPN-Server. Bei dieser Art von VPN benötigt nur das VPN-Gateway eine VPN-Implementierung. Um die Verbindung zu nutzen, muss ein Endbenutzer jedoch direkt mit einem der lokalen Netzwerke verbunden sein, die mit dem VPN-Gateway verbunden sind.
Eine zunehmend verbreitete Form von VPN, bei der der Benutzer eine Verbindung zu einem VPN-Anbieter herstellt, der seinerseits mit dem Internet verbunden ist. Der Benutzer muss einen VPN-Client installiert und konfiguriert haben, um eine Verbindung zu den VPN-Servern des entfernten VPN-Anbieters herzustellen. Sobald die VPN-Verbindung hergestellt ist, wird ein sicherer virtueller Tunnel zum Anbieter aufgebaut, der dann das Paket entschlüsselt und an das Internet weiterleitet. Bei dieser Konstruktion besteht die VPN-Verbindung nur für den ersten Teil der Verbindung und nicht für den gesamten Weg zum Zielort.
Beispiele:
Benachrichtigungen in Echtzeit bedeuten eine schnellere Fehlerbehebung, so dass Sie handeln können, bevor ernstere Probleme auftreten.
Bei einem VPN wird eine sichere Punkt-zu-Punkt-Verbindung zwischen dem entfernten Client und einem mit dem Zielnetz verbundenen VPN-Server hergestellt. Sobald eine VPN-Verbindung aufgebaut ist, werden sowohl die Daten als auch der IP-Header, der für das Routing im lokalen Netzwerk hinter dem entfernten Endpunkt verwendet wird, eingekapselt und verschlüsselt. Ein IP-Header, der für die Weiterleitung über das unsichere, öffentliche Netz vorgesehen ist, wird hinzugefügt, und dann sind die Daten für den Transport bereit.
Eigenständige VPN-Clients erfordern die Installation von Software auf einem oder beiden Endpunkten. Die Software wird so konfiguriert, dass sie den Anforderungen des anderen Endpunkts entspricht. Um eine VPN-Verbindung aufzubauen, muss der Endpunkt den VPN-Client ausführen und sich mit dem anderen Endpunkt verbinden.
Eigenständige VPN-Clients sind bei öffentlichen VPN-Diensten üblich. In der Regel lädt der Benutzer den Client des VPN-Dienstes herunter, um sich mit dem öffentlichen VPN zu verbinden.
Einer der bekanntesten Open-Source-Clients, OpenVPN, läuft auf macOS, Windows und Linux sowie auf Android und iOS. Darüber hinaus ist er auch mit großen Cloud-Anbietern wie AWS oder Azure kompatibel. Viele öffentliche Site-to-Provider-VPN-Anbieter nutzen OpenVPN in ihren Clients, einschließlich Private Internet Access, sowie den OpenVPN-Client und andere Clients wie NordVPN.
Die meisten modernen Betriebssysteme, darunter Windows, iOS, macOS, Android und Linux, ermöglichen die Verbindung zu einem entfernten VPN-Server, sofern der entfernte Endpunkt das gleiche VPN-Protokoll und die gleichen Konfigurationen unterstützt. Diese Clients sind für technisch nicht versierte Benutzer oft nicht einfach zu konfigurieren. Sie werden daher meist in einer Unternehmensumgebung eingesetzt, in der IT-Fachleute die Installation der Clients sowie die VPN-Server, mit denen sich die Clients auf der anderen Seite verbinden, einrichten, konfigurieren und warten können.
Der entfernte Endpunkt stellt eine Verbindung zu einem VPN-Server her, der den VPN-Client und die Konfiguration auf dem entfernten System unterstützt. In der Regel fungiert der VPN-Server wie ein Gateway und Router am Rande des lokalen Netzwerks, auf das zugegriffen werden soll, oder, im Falle einer Client-to-Provider-Einrichtung, am Rande des Internets.
Der Server ist dafür verantwortlich, die Pakete zu entpacken und sie für die Verteilung im lokalen Netz oder im Internet neu zu verpacken. Alle Antworten oder Verbindungen, die an den entfernten Endpunkt zurückgehen, werden vom lokalen Netz oder Internet an den VPN-Server gesendet, der dann den Prozess umkehrt, die Pakete einkapselt und sie zurück an den Endpunkt sendet.
Um eine Verbindung innerhalb eines öffentlichen Netzes herzustellen, muss ein VPN eine normale, nicht-VPN-Verbindung innerhalb dieses Netzes aufbauen und verwenden. Dies wird mit Hilfe eines Tunneling-Protokolls bewerkstelligt. Ein Tunneling-Protokoll umhüllt jedes übertragene Paket so, dass es über das nicht-private Netz gelesen und übertragen werden kann. Dieser Vorgang wird als Einkapselung bezeichnet.
Der Endpunkt erstellt ein Paket, das über das private Netz hinter seinem entsprechenden Endpunkt übertragen wird. Dieses Paket enthält die Kopfzeilen und andere Daten, um das Ziel zu erreichen. Diese Daten werden jedoch durch das Tunneling-Protokoll eingekapselt, wodurch alle Kopfzeilen und Metadaten des lokalen Netzes zu einem Teil der Daten-Nutzlast werden. Bei der Übertragung des Pakets liest das öffentliche Netz nur den Wrapper, um festzustellen, wie das Paket zu übertragen ist, und leitet es wie jeden anderen Verkehr über das öffentliche Netz. Wenn das Paket den anderen Endpunkt erreicht, entfernt das Tunneling-Protokoll an diesem Endpunkt den Wrapper und verpackt das Paket unter Verwendung der ursprünglichen Übertragungsdaten und Header neu, so dass es wie jeder andere lokale Netzwerkverkehr über das lokale Netzwerk übertragen werden kann. Für den zurückkehrenden Datenverkehr wird der Vorgang in umgekehrter Reihenfolge durchgeführt.
So würde beispielsweise ein Endpunkt, der Teil eines VPN ist, das von einem entfernten Büro zu einem anderen Büro über das Internet aufgebaut wird, ein Paket für die Übertragung im entfernten, lokalen Netzwerk erstellen, das eine lokale IP-Adresse enthält. Der VPN-Client würde dann dieses Paket einkapseln, indem er die Übertragungskopfzeilen zu einem Teil der Nutzdaten des Pakets macht. Das so entstandene Paket wird in ein Standard-Internet-TCP/IP-Paket verpackt. Für die Geräte und Knoten im öffentlichen Netz sehen die VPN-Übertragungen wie typische TCP/IP-Pakete aus und werden auch so übertragen. Am Endpunkt angekommen, entfernt der VPN-Client die öffentlichen TCP/IP-Header, entnimmt die ursprünglichen Übertragungsinformationen aus der Nutzlast des Pakets und erstellt ein Paket mit diesen lokalen Übertragungsinformationen, das er an das lokale Netz sendet.
PRTG ist eine umfassende Monitoring-Software für Netzwerke und überwacht Ihre gesamte IT-Infrastruktur.
Eine VPN-Verbindung bietet mehrere Vorteile, darunter Datenschutz und Sicherheit.
VPN-Verbindungen sind verschlüsselt. Wenn Daten abgefangen werden, sollten sie für jeden Angreifer unlesbar sein. Während die Daten verschlüsselt sind, werden auch die IP-Header innerhalb der Pakete verschlüsselt, so dass ein Angreifer nicht einmal die Möglichkeit hat, typische Netzwerkdaten zu nutzen, um weitere Angriffsvektoren zu finden.
Viele VPN-Verbindungen dienen nicht nur der Sicherheit, sondern auch dem Schutz der Privatsphäre einer Verbindung. Jüngste FCC-Entscheidungen erlauben es amerikanischen ISPs, die Kommunikation ihrer Kunden zu protokollieren und zu verfolgen. Die Verwendungszwecke für diese Informationen reichen von lästigen Dingen wie Werbung und Marketing bis hin zu rechtlich problematischen Dingen wie der Übermittlung einer Liste aller besuchten Websites an Regierungsbehörden oder prozessführende Gruppen wie Musik- und Filmfirmen.
Eine VPN-Verbindung verbirgt nicht nur die übertragenen Daten, sondern auch das endgültige Ziel der Verbindungen. Für eine entfernte Website erscheint die IP-Adresse des Endkunden stattdessen als die IP-Adresse des VPN, was eine Verfolgung des Benutzers verhindert. Für den Internetdienstanbieter (ISP) des Benutzers erscheint die Ziel-IP-Adresse ebenfalls als die IP-Adresse des VPN, so dass nicht nachvollzogen werden kann, wohin sich der Benutzer verbindet, während er die Verbindung des ISP nutzt. Durch das Verbergen der tatsächlichen IP-Adresse des Benutzers wird auch verhindert, dass der physische Standort des Benutzers ermittelt werden kann.
Einige Dienste und Anwendungen sind nur für Nutzer in bestimmten geografischen Regionen verfügbar. Manchmal sind diese Sperren auf rechtliche Fragen wie Urheberrecht und Datenschutz zurückzuführen. Eine VPN-Verbindung kann in einigen Fällen die Umgehung dieser Sperren ermöglichen. Wenn eine Verbindung zu einem VPN-Dienst an einem anderen Ort hergestellt wird, geht der Zieldienst davon aus, dass die Verbindung vom Standort des VPN-Anbieters und nicht vom Standort des ursprünglichen Nutzers kommt, und erlaubt den Zugriff. Aus diesem Grund sind VPN-Dienste in einigen Ländern illegal.
Eine VPN-Verbindung ist im Grunde eine zusätzliche Station auf dem Weg, den alle Daten nehmen müssen. Außerdem benötigt die Verschlüsselung zur Sicherung der Daten zusätzliche Zeit. Dadurch wird jede VPN-Verbindung zumindest geringfügig langsamer.
Die Geschwindigkeit einer VPN-Verbindung hängt von der Geschwindigkeit der Verbindung beider Endpunkte ab. Ein Benutzer, der beispielsweise über ein VPN auf ein Unternehmensnetz zugreift, ist auf die langsamste Verbindung vom Benutzer zum Internet, die Verbindung des Internets zum VPN-Server und die Verbindung des VPN-Servers zu den zugegriffenen Ressourcen beschränkt.
Ebenso kann ein Benutzer, der ein VPN für den Client-zu-Internet-Zugang nutzt, eine Gigabit-Verbindung direkt zu seinem ISP haben, aber wenn die VPN-Verbindung zum Internet diesem Benutzer nicht die gleiche Gigabit-Verbindung bietet, dann wäre die Gesamtverbindung höchstens so schnell wie die Verbindung zwischen dem VPN und dem Internet.
Ein langsamer VPN-Anbieter kann zu einer erheblichen Verringerung der Bandbreite führen. Die meisten kostenpflichtigen VPN-Dienste garantieren in ihren SLAs eine bestimmte Bandbreite.
Bei einem VPN handelt es sich von vornherein um eine Punkt-zu-Punkt-Verbindung. Daher ist jede Art von Broadcast oder Multicast für den Endpunkt des VPNs nicht nutzbar. Zwar haben sich die meisten Anwendungen und Betriebssysteme von dieser Art der Vernetzung entfernt, doch gibt es insbesondere in Unternehmensumgebungen immer noch ältere Anwendungen, die darauf angewiesen sind und nicht über ein VPN genutzt werden können.
