Heute gehe ich auf den Bezug von öffentlichen IP-Adressen (IPv4 / IPv6) mit Hilfe eines VPN-Tunnels ein: Warum und wofür man öffentliche feste IP-Adressen manchmal benötigt, was es mit dynamischen IP-Adressen auf sich hat und warum die Lösung durch dynamisches DNS (DnyDNS) Nachteile mit sich bringt. Es geht um den Bezug von statischen IP-Adressen per VPN-Tunnel als Lösung sowie um die Vor- und Nachteile des OpenVPN- und PPTP-Verfahrens.
Normalerweise möchte man sein Netzwerk zu Hause oder in seiner Firma komplett von jeglichem Zugriff von außen vollständig abschotten. Dies geschieht in der Regel über eine entsprechende Firewall - das sind Softwarelösungen welche alle Daten durch Regeln anhand von Kriterien filtern und so eine undurchdringliche Feuerwand erzeugen (sehr stark vereinfacht). Firewalls sind oft in den Routern, welche das heimische Netzwerk mit dem Internet verbinden, integriert.
Vom Internetprovider erhält man dabei allerdings oft nur eine einzige IP-Adresse, welche sich bei jedem neuen Verbindungsaufbau auch noch ändert (bei DSL oft spätestens alle 24 Stunden). Man spricht von einer sogenannten dynamischen IP-Adresse. Alle internen IP-Adressen (z.B. für Computer, Server usw.) werden hinter dieser einen öffentlichen sich verändernden IP-Adresse versteckt (sogenanntes "IP Masquerading" oder auch "NAT"-Verfahren). Dies erhöht auf der einen Seite (zumindest augenscheinlich) die Sicherheit zusätzlich, da sich ein Angreifer von außen nicht auf eine statische, immer gleiche IP-Adresse "einschießen" kann und vor allem alle internen IP-Adressen gar nicht erst von außen erreichbar sind.
Auf der anderen Seite bringt genau dies Probleme mit sich, nämlich wenn man umgekehrt bestimmte Geräte, Server oder Dienste doch von außen erreichbar machen möchte:
Mit nur einer einzigen dynamischen IP-Adresse, z.B. von einem DSL-Zugang oder sonstigen Breitband-Anschluss (Kabel, Satellit, UMTS, Wimax, LTE o.ä.), welche sich zudem noch ständig oder täglich ändert, bekommt man ein großes technisches Problem - wenn man solche Dienste bei sich zu Hause oder in der Firma aufsetzen möchte und einen Zugriff von außerhalb ermöglichen möchte. Denn um in einer Domain-Adresse (z.B. http:// webcam.meine-beispiel-firma-in-wuppertal.de) auf eine IP-Adresse zu verweisen, wird idealerweise eine statische IP-Adresse benötigt welche immer gleich ist.
Um trotzdem mit einer dynamischen IP-Adresse arbeiten zu können, gibt es das sogenannte DynDNS oder DDNS-Verfahren. Hierbei wird die sich ändernde IP-Adresse z.B. nach jeder DSL-Neu-Einwahl schnellstmöglich im Domainname-System (DNS) eingetragen. Hierzu gibt es kleine Scripte und einige Router haben dazu auch bereits Optionen eingebaut um die neue IP-Adresse nachführen zu können.
Allerdings sind sich ständig wechselnde Einträge im DNS-System nicht vorgesehen. Denn um Netzressourcen zu sparen, sollen DNS-Einträge möglichst lange zwischengespeichert werden (Caching), mehrere Stunden oder sogar Tage. Deshalb versucht man die diese Haltezeit dann zu reduzieren, indem man innerhalb des DNS möglichst niedrige sogenannte TTL-Werte (TTL = time to live) verwendet. Zum Beispiel statt 24 Stunden nur 360 Sekunden (5 Minuten) oder noch weniger.
Hieraus resultieren aus einem dynamisches DNS-Verfahren (DynDNS / DDNS) mehrere Probleme:
Von daher kann ein dynamisches DNS-Verfahren eine statische IP-Adresse nicht sehr gut ersetzen. Eine statische feste IP-Adresse ist in jedem Fall vorzuziehen.
Einige wenige Provider vergeben bei der Einwahl ins Internet auf Wunsch auch eine feste IP-Adresse. Beispielsweise auf einem DSL-Anschluss oder -Zugang - aber oft auch nur gegen Aufpreis oder bei teuren Business-Anschlüssen. Wir selber haben hier beispielsweise DSL-Zugänge mit statischer IP-Adresse für TDSL-Anschlüsse im Angebot - wobei die festen IP-Adressen bereits inklusive sind. Solch ein Business-DSL ist aber eher eine Ausnahme - geschweige denn davon dass man sogar mehrere feste IP-Adressen in Form eines IP-Netzes erhält. Dies ist z.B. sinnvoll um gleich mehrere Server, Webcams oder Dienste an seinem DSL- / ADSL- / VDSL-Anschluss zhu betreiben. Im Rahmen der zu erwartenen IP-Verknappung werden solche festen IP-Angebote in Zukunft auch eher noch seltener oder einfach immer teurer.
Ist man nun bei einem DSL Provider, welcher feste IP-Adressen gar nicht oder nur zu sehr teuren Konditionen anbietet, was tun ? Oder was ist, wenn man gerne doch mehrere Webcams, Server und Dienste parallel an einer DSL-Standleitung betreiben möchte und man mehrere statische IP-Adressen benötigt ? Was sind die besten DSL Angebote für solch ein Szenario ? Oder gibt es Alternativen, so dass man bei der Wahl von seinem DSL-Provider flexibel bleiben kann ?
Ja, eine solche Alternative Lösung gibt es in der Tat. Man kann seinen DSL-Anschluss von dem Bezug einer oder mehrerer festen IP-Adressen komplett entkoppeln. D.h. man kann einen nahezu beliebigen Provider suchen: Ob es nun der beste DSL-Provider sein soll, einfache ADSL-Tarife in Frage kommen, es darum geht möglichst billig DSL zu bekommen - ein DSL Anbieter-Vergleich ist also möglich. Dabei braucht keine Rücksicht auf die Art und Weise der IP-Zuweisung genommen zu werden.
Die feste IP-Adresse oder wenn mehrere feste IP-Adressen benötigt werden (ein sogenanntes IP-Netz) holt man sich per VPN-Tunnel bei einem VPN-Anbieter:
Ausführlicher haben wir dies noch in unserem Wiki-Artikel unter "Beispiel-Szenarien von VPN-Tunneln auf PPTP- und OpenVPN-Basis" beschrieben.
Um solch einen Datentunnel aufzubauen gibt es vor allem zwei Verfahren / Protokolle die sich durchgesetzt haben: Das PPTP- und das OpenVPN-Verfahren. Beide haben Vor- und Nachteile:
Vorteile PPTP-VPN:
Nachteile PPTP-VPN:
Vorteile OpenVPN:
Nachteile OpenVPN:
Mit beiden Protokollen (PPTP und OpenVPN) können IP-Adressen (IPv4 und IPv6) unter den gängigen Betriebssystemen direkt oder über entsprechende Router mit VPN-Unterstützung bezogen werden. Bei Routern ist oft das PPTP-Protokoll deutlich verbreiteter oder es läuft nur eine von beiden Varianten. Auch kann nicht jeder einfache Router später IP-Netze (mehrere feste IPs) routen. Hier ist also vor dem Kauf genaue Recherche gefragt !
Ich habe bewusst in diesem Artikel immer allgemein von IP-Adressen geschrieben - denn im Prinzip spielt es von der Technik keine Rolle, ob es um IPv4 oder IPv6-Adressen geht.
Um Server, Geräte und Dienste erreichbar zu machen, wird man in der Praxis aber sicher eher mit IPv4-Adressen im produktiven Betrieb arbeiten wollen - IPv6 ist noch zu wenig verbreitet.
Umgekehrt will man vielleicht auch mal mit IPv6 ein wenig "spielen" und IPv6 testen - und nicht jeder Internet-Service-Provider (ISP) bietet bereits IPv6 an. Dann ist ein VPN-Tunnel ebenfalls eine super Möglichkeit sich IPv6 zusätzlich ins lokale Netzwerk zu holen - man kann IPv6 durch einen Tunnel schicken welcher über IPv4 übertragen wird und umgekehrt.
Auch wenn Ihr DSL- oder Breitband-Anbieter keine fixen / feste / statische IP-Adressen bereitstellt, ist dies kein Hinderniss nicht doch Server, Geräte oder Dienste im heimischen lokalen Netzwerk nach außen öffentlich gerichtet betreiben zu können.
Dynamisches DNS (DynDNS / DDNS) ist dabei keine stabile oder gute Lösung, da es zu Verbindungsabbrüchen und Unterbrechungen durch Ausfallzeiten kommen kann und die Qualität der IP-Adressen nicht immer gewährleistet ist.
Durch einen VPN-Tunnel kann der Bezug von festen IP-Adressen vom Bezug des Internet-Zugang entkoppelt werden. Die Nachteile einer DynDNS-Lösung werden umgangen. Hierdurch kann man nahezu beliebige DSL- oder sonstige Breitband-Anbieter nach seinen Wunsch-Kriterien (Preis, Qualtität, Verfügbarkeit usw.) verwenden. Auch ist der Bezug von mehreren IP-Adressen (ganzen IP-Netzen) nach aktuellen RIPE-Richtlinien möglich - womit der paralelle und professionelle Betrieb mehrerer Server und Geräte an einer Breitband- oder DSL-Standleitung problemlos und durchgängig möglich wird.
Am Ende möchte ich noch ein wenig Eigenwerbung machen: Wir von Portunity Acess sind selber VPN-Anbieter und wir haben mehrere VPN-Tunnel mit PPTP- und OpenVPN-Protokoll im Angebot, auf welche wir an dieser Stelle gerne verweisen möchten. Wir sind Ihnen dabei gerne behilflich eine oder mehrere öffentliche IP-Adressen in ihr lokales Netzwerk zu routen - egal über welchem DSL- oder Breitband-Anbieter sie Ihre Internet-Anbindung beziehen. Meine Mitarbeiter und ich stehen Ihnen gerne für Fragen zur Realisierung zur Verfügung. IPv6-Adressen gibt es übrigens derzeit kostenfrei.
27.01.2023
Kommentare
Gerhard