Feste IP-Adressen durch einen VPN-Tunnel per OpenVPN oder PPTP nutzen

IP-Änderung dynamisch nachführen ?

Um trotzdem mit einer dynamischen IP-Adresse arbeiten zu können, gibt es das sogenannte DynDNS oder DDNS-Verfahren. Hierbei wird die sich ändernde IP-Adresse z.B. nach jeder DSL-Neu-Einwahl schnellstmöglich im Domainname-System (DNS) eingetragen. Hierzu gibt es kleine Scripte und einige Router haben dazu auch bereits Optionen eingebaut um die neue IP-Adresse nachführen zu können.

Allerdings sind sich ständig wechselnde Einträge im DNS-System nicht vorgesehen. Denn um Netzressourcen zu sparen, sollen DNS-Einträge möglichst lange zwischengespeichert werden (Caching), mehrere Stunden oder sogar Tage. Deshalb versucht man die diese Haltezeit dann zu reduzieren, indem man innerhalb des DNS möglichst niedrige sogenannte TTL-Werte (TTL = time to live) verwendet. Zum Beispiel statt 24 Stunden nur 360 Sekunden (5 Minuten) oder noch weniger.

DynDNS ist überhaupt keine gute Lösung und hat erhebliche Nachteile

Hieraus resultieren aus einem dynamisches DNS-Verfahren (DynDNS / DDNS) mehrere Probleme:

• Für einige Zeit gar nicht erreichbar: Dies führt dann dazu, dass bei einem IP-Wechsel die Server, Webcams oder sonstigen Dienste die man ja eigentlich erreichbar machen möchte, für einige Sekunden oder Minuten gar nicht mehr erreichbar sind. Dies mag in einem privaten Szenario noch verkraftbar sein (auf die Webcam vom Ferienhaus kann man ja auch mal kurz warten) - wenn der Webserver, der die internen Lagerbestände kennt - für den Onlineshop nicht mehr erreichbar ist, können im schlimmsten Fall ganze Kundenbestellungen verlustig gehen (Abbruch der Bestellung o.ä.). Oder es ist schlicht nervig, wenn man unterwegs eine eMail abrufen möchte und der Mailserver ist gerade für einige Minuten nicht mehr erreichbar.
• Verbindungsunterbrechung: Zum anderen werden aufgebaute Verbindungen durch den IP-Wechsel unterbrochen. Lädt man sich zum Beispiel von außen gerade eine größere Datei vom heimischen Server über eine VPN-Verbindung runter, muss die Dateiübertragung dann nochmal neu gestartet werden.
• Man erhält eine "dreckige IP-Adresse": Eine andere Gefahr ist, dass man beim IP-Wechsel vom Einwahlprovider eine neue dynamische IP-Adresse zugewiesen bekommt, die vorher auf einer schwarzen Liste (auch Blacklists genannt) stand. Dies kann der Fall sein, weil der vorherige Nutzer der IP-Adresse / Kunde des Providers Spam-Mails versendet hat, von Viren infiziert ist o.ä. Oft stehen außerdem von großen Providern ganze IP-Bereiche, die zur Einwahl vergeben werden, bereits standardmässig oder zur Vorsicht auf solchen schwarzen Listen. Schlecht wenn man einen Inhouse-Mailserver betreiben möchte.

Von daher kann ein dynamisches DNS-Verfahren eine statische IP-Adresse nicht sehr gut ersetzen. Eine statische feste IP-Adresse ist in jedem Fall vorzuziehen.

Fixe IP-Adresse - Woher bekommen und wie einrichten ?

Einige wenige Provider vergeben bei der Einwahl ins Internet auf Wunsch auch eine feste IP-Adresse. Beispielsweise auf einem DSL-Anschluss oder -Zugang - aber oft auch nur gegen Aufpreis oder bei teuren Business-Anschlüssen. Wir selber haben hier beispielsweise DSL-Zugänge mit statischer IP-Adresse für TDSL-Anschlüsse im Angebot - wobei die festen IP-Adressen bereits inklusive sind. Solch ein Business-DSL ist aber eher eine Ausnahme - geschweige denn davon dass man sogar mehrere feste IP-Adressen in Form eines IP-Netzes erhält. Dies ist z.B. sinnvoll um gleich mehrere Server, Webcams oder Dienste an seinem DSL- / ADSL- / VDSL-Anschluss zhu betreiben. Im Rahmen der zu erwartenen IP-Verknappung werden solche festen IP-Angebote in Zukunft auch eher noch seltener oder einfach immer teurer.

Ist man nun bei einem DSL Provider, welcher feste IP-Adressen gar nicht oder nur zu sehr teuren Konditionen anbietet, was tun ? Oder was ist, wenn man gerne doch mehrere Webcams, Server und Dienste parallel an einer DSL-Standleitung betreiben möchte und man mehrere statische IP-Adressen benötigt ? Was sind die besten DSL Angebote für solch ein Szenario ? Oder gibt es Alternativen, so dass man bei der Wahl von seinem DSL-Provider flexibel bleiben kann ?

VPN-Tunnel per PPTP- oder OpenVPN-Protokoll - die Lösung !

Ja, eine solche Alternative Lösung gibt es in der Tat. Man kann seinen DSL-Anschluss von dem Bezug einer oder mehrerer festen IP-Adressen komplett entkoppeln. D.h. man kann einen nahezu beliebigen Provider suchen: Ob es nun der beste DSL-Provider sein soll, einfache ADSL-Tarife in Frage kommen, es darum geht möglichst billig DSL zu bekommen - ein DSL Anbieter-Vergleich ist also möglich. Dabei braucht keine Rücksicht auf die Art und Weise der IP-Zuweisung genommen zu werden.

Die feste IP-Adresse oder wenn mehrere feste IP-Adressen benötigt werden (ein sogenanntes IP-Netz) holt man sich per VPN-Tunnel bei einem VPN-Anbieter:

• Die Einwahl ins Internet geschieht einfach wie gehabt per DSL-Modem (1) und DSL-Router (2).
• Dahinter stellt man einen zweiten Router (4) für die VPN-Verbindung. Dieser VPN-Router baut dann (von innnen nach außen durch die Firewall auf dem Zugangsrouter) eine ständige Daten-Verbindung zum VPN-Provider auf. Dies geschieht im inneren mit internen IP-Adressen über den DSL-Router mit einer dynamischen IP-Adresse.
• Hierbei spricht man von einem sogenannten Daten-Tunnel (rot im Schaubild).
• Die feste IP-Adresse oder ein ganzes Bündel von IP-Adressen (ein IP-Netz / IP-Subnetz) wird dabei durch das Tunnelprotokoll dem VPN-Router zur Verfügug gestellt und ist durch den Tunnel auch von außen erreichbar (4).
• Hinter dem VPN-Router können dann die gewünschen Server,Geräte (z.B. VoIP-Telefone) und Dienste betrieben werden.
• Auf Wunsch und zur Sicherheit sinnvollerweise auch schön getrennt vom restlichen lokalen Heim-Netzwerk (3).

Ausführlicher haben wir dies noch in unserem Wiki-Artikel unter "Beispiel-Szenarien von VPN-Tunneln auf PPTP- und OpenVPN-Basis" beschrieben.

OpenVPN vs PPTP - zwei Protokolle mit Vor- und Nachteilen

Um solch einen Datentunnel aufzubauen gibt es vor allem zwei Verfahren / Protokolle die sich durchgesetzt haben: Das PPTP- und das OpenVPN-Verfahren. Beide haben Vor- und Nachteile:

Vorteile PPTP-VPN:

• schon sehr lange Verfügbar: stabil und ausgereift
• gute Verbreitung und in nahezu jedem Betriebssystem von Haus integriert - inklusive alten Windowsversionen (keine weiteren Treiber oder Software-Pakete benötigt !)
• basiert auf offiziellen Standards (unter anderem von Microsoft entwickelt)
• IPv6-Unterstützung Out-of-Box

Nachteile PPTP-VPN:

• schwache Verschlüsslung (wenn es nur um den Bezug von IP-Adressen geht, aber eigentlich egal)
• wegen den eingesetzten GRE-Paketen manchmal Probleme mit Firewalls und Netzbetreibern (GRE wird insbesondere von Mobilfunkanbietern manchmal nicht zugelassen, wenn z.B. anstelle von DSL ein Mobilfunkanbieter via UMTS, LTE o.ä. zum Einsatz kommen soll ist dies relevant)

Vorteile OpenVPN:

• VPN Protokoll auf Open-Source Basis (quelloffen)
• basiert auf verbindungslosem Protokoll, dadurch weniger Probleme mit Firewalls und Verbindungstrennungen
• gute Integration in Linux und Mac OSX
• bessere Verschlüsselung

Nachteile OpenVPN:

• bessere Verschlüsslung kostet möglicherweise Performance
• weniger standarisiert
• benötigt Administratorrechte unter Windows
• IPv6 war lange Zeit gar nicht möglich, zwischenzeitlich aber halbwegs gelöst !

Mit beiden Protokollen (PPTP und OpenVPN) können IP-Adressen (IPv4 und IPv6) unter den gängigen Betriebssystemen direkt oder über entsprechende Router mit VPN-Unterstützung bezogen werden. Bei Routern ist oft das PPTP-Protokoll deutlich verbreiteter oder es läuft nur eine von beiden Varianten. Auch kann nicht jeder einfache Router später IP-Netze (mehrere feste IPs) routen. Hier ist also vor dem Kauf genaue Recherche gefragt !

IPv4 oder IPv6 ?

Ich habe bewusst in diesem Artikel immer allgemein von IP-Adressen geschrieben - denn im Prinzip spielt es von der Technik keine Rolle, ob es um IPv4 oder IPv6-Adressen geht.

Um Server, Geräte und Dienste erreichbar zu machen, wird man in der Praxis aber sicher eher mit IPv4-Adressen im produktiven Betrieb arbeiten wollen - IPv6 ist noch zu wenig verbreitet. 

Umgekehrt will man vielleicht auch mal mit IPv6 ein wenig "spielen" und IPv6 testen - und nicht jeder Internet-Service-Provider (ISP) bietet bereits IPv6 an. Dann ist ein VPN-Tunnel ebenfalls eine super Möglichkeit sich IPv6 zusätzlich ins lokale Netzwerk zu holen - man kann IPv6 durch einen Tunnel schicken welcher über IPv4 übertragen wird und umgekehrt.

Feste IP-Adresse einrichten - Summary

Auch wenn Ihr DSL- oder Breitband-Anbieter keine fixen / feste / statische IP-Adressen bereitstellt, ist dies kein Hinderniss nicht doch Server, Geräte oder Dienste im heimischen lokalen Netzwerk nach außen öffentlich gerichtet betreiben zu können.

Dynamisches DNS (DynDNS / DDNS) ist dabei keine stabile oder gute Lösung, da es zu Verbindungsabbrüchen und Unterbrechungen durch Ausfallzeiten kommen kann und die Qualität der IP-Adressen nicht immer gewährleistet ist.

Durch einen VPN-Tunnel kann der Bezug von festen IP-Adressen vom Bezug des Internet-Zugang entkoppelt werden. Die Nachteile einer DynDNS-Lösung werden umgangen. Hierdurch kann man nahezu beliebige DSL- oder sonstige Breitband-Anbieter nach seinen Wunsch-Kriterien (Preis, Qualtität, Verfügbarkeit usw.) verwenden. Auch ist der Bezug von mehreren IP-Adressen (ganzen IP-Netzen) nach aktuellen RIPE-Richtlinien möglich - womit der paralelle und professionelle Betrieb mehrerer Server und Geräte an einer Breitband- oder DSL-Standleitung problemlos und durchgängig möglich wird.

Am Ende möchte ich noch ein wenig Eigenwerbung machen: Wir von Portunity Acess sind selber VPN-Anbieter und wir haben mehrere VPN-Tunnel mit PPTP- und OpenVPN-Protokoll im Angebot, auf welche wir an dieser Stelle gerne verweisen möchten. Wir sind Ihnen dabei gerne behilflich eine oder mehrere öffentliche IP-Adressen in ihr lokales Netzwerk zu routen - egal über welchem DSL- oder Breitband-Anbieter sie Ihre Internet-Anbindung beziehen. Meine Mitarbeiter und ich stehen Ihnen gerne für Fragen zur Realisierung zur Verfügung. IPv6-Adressen gibt es übrigens derzeit kostenfrei.