Feste IP-Adressen durch einen VPN-Tunnel per OpenVPN oder PPTP nutzen

Heute gehe ich auf den Bezug von öffentlichen IP-Adressen (IPv4 / IPv6) mit Hilfe eines VPN-Tunnels ein: Warum und wofür man öffentliche feste IP-Adressen manchmal benötigt, was es mit dynamischen IP-Adressen auf sich hat und warum die Lösung durch dynamisches DNS (DnyDNS) Nachteile mit sich bringt. Es geht um den Bezug von statischen IP-Adressen per VPN-Tunnel als Lösung  sowie um die Vor- und Nachteile des OpenVPN- und PPTP-Verfahrens.

Normalerweise möchte man sein Netzwerk zu Hause oder in seiner Firma komplett von jeglichem Zugriff von außen vollständig abschotten. Dies geschieht in der Regel über eine entsprechende Firewall - das sind Softwarelösungen welche alle Daten durch Regeln anhand von Kriterien filtern und so eine undurchdringliche Feuerwand erzeugen (sehr stark vereinfacht). Firewalls sind oft in den Routern, welche das heimische Netzwerk mit dem Internet verbinden, integriert.

Vom Internetprovider erhält man dabei allerdings oft nur eine einzige IP-Adresse, welche sich bei jedem neuen Verbindungsaufbau auch noch ändert (bei DSL oft spätestens alle 24 Stunden). Man spricht von einer sogenannten dynamischen IP-Adresse. Alle internen IP-Adressen (z.B. für Computer, Server usw.) werden hinter dieser einen öffentlichen sich verändernden IP-Adresse versteckt (sogenanntes "IP Masquerading" oder auch "NAT"-Verfahren). Dies erhöht auf der einen Seite (zumindest augenscheinlich) die Sicherheit zusätzlich, da sich ein Angreifer von außen nicht auf eine statische, immer gleiche IP-Adresse "einschießen" kann und vor allem alle internen IP-Adressen gar nicht erst von außen erreichbar sind.

Auf der anderen Seite bringt genau dies Probleme mit sich, nämlich wenn man umgekehrt bestimmte Geräte, Server oder Dienste doch von außen erreichbar machen möchte:

  • Webcams: Man möchte eine oder mehrere Webcams betreiben, welche für alle immer (z.B. eingebunden in der Website) oder von bestimmten Personen auch von unterwegs abgefragt werden sollen
  • Livecams / Überwachung: Man möchte live auf Kameras oder ein Überwachungssystem (webbasierte Alarmanlage) zugreifen
  • Messen / Steuern / Regeln: Stichwort Haus-Automatisierung / -Steuerung. Es gibt heute gute und leistungsfähige Schaltzentralen um beispielsweise Licht einzuschalten, die Rolladen runter zu lassen, Temperaturen abzufragen und vieles mehr.
  • Betrieb eines Web-Servers inhouse: Anstelle den Webserver im Rechenzentrum zu betreiben möchte man diesen bei sich im heimischen Netz stehen haben - z.B. um Lagerbestände in einem Onlineshop zu synchronisieren
  • Betrieb eines Mail- oder Groupware-Server inhouse: wo man aber trotzdem auch mal von unterwegs auf Daten zugreifen möchte
  • Einwahl von außen in das heimische Netzwerk: z.B. um von Unterwegs auf interne Daten auf einem Datenserver zuzugreifen
  • Telefonie und Voice over IP: Betrieb einer TK-Anlage welche von außen auch per Voice over IP (VoIP) z.B. über das SIP-Protokoll erreichbar sein soll - oder auch der Betrieb von VoIP- / SIP-Telefonen

Mit nur einer einzigen dynamischen IP-Adresse, z.B. von einem DSL-Zugang oder sonstigen Breitband-Anschluss (Kabel, Satellit, UMTS, Wimax, LTE o.ä.), welche sich zudem noch ständig oder täglich ändert, bekommt man ein großes technisches Problem - wenn man solche Dienste bei sich zu Hause oder in der Firma aufsetzen möchte und einen Zugriff von außerhalb ermöglichen möchte. Denn um in einer Domain-Adresse (z.B. http:// webcam.meine-beispiel-firma-in-wuppertal.de) auf eine IP-Adresse zu verweisen, wird idealerweise eine statische IP-Adresse benötigt welche immer gleich ist.

 

IP-Änderung dynamisch nachführen ?

Um trotzdem mit einer dynamischen IP-Adresse arbeiten zu können, gibt es das sogenannte DynDNS oder DDNS-Verfahren. Hierbei wird die sich ändernde IP-Adresse z.B. nach jeder DSL-Neu-Einwahl schnellstmöglich im Domainname-System (DNS) eingetragen. Hierzu gibt es kleine Scripte und einige Router haben dazu auch bereits Optionen eingebaut um die neue IP-Adresse nachführen zu können.

Allerdings sind sich ständig wechselnde Einträge im DNS-System nicht vorgesehen. Denn um Netzressourcen zu sparen, sollen DNS-Einträge möglichst lange zwischengespeichert werden (Caching), mehrere Stunden oder sogar Tage. Deshalb versucht man die diese Haltezeit dann zu reduzieren, indem man innerhalb des DNS möglichst niedrige sogenannte TTL-Werte (TTL = time to live) verwendet. Zum Beispiel statt 24 Stunden nur 360 Sekunden (5 Minuten) oder noch weniger.

DynDNS ist überhaupt keine gute Lösung und hat erhebliche Nachteile

Hieraus resultieren aus einem dynamisches DNS-Verfahren (DynDNS / DDNS) mehrere Probleme:

  • Für einige Zeit gar nicht erreichbar: Dies führt dann dazu, dass bei einem IP-Wechsel die Server, Webcams oder sonstigen Dienste die man ja eigentlich erreichbar machen möchte, für einige Sekunden oder Minuten gar nicht mehr erreichbar sind. Dies mag in einem privaten Szenario noch verkraftbar sein (auf die Webcam vom Ferienhaus kann man ja auch mal kurz warten) - wenn der Webserver, der die internen Lagerbestände kennt - für den Onlineshop nicht mehr erreichbar ist, können im schlimmsten Fall ganze Kundenbestellungen verlustig gehen (Abbruch der Bestellung o.ä.). Oder es ist schlicht nervig, wenn man unterwegs eine eMail abrufen möchte und der Mailserver ist gerade für einige Minuten nicht mehr erreichbar.
  • Verbindungsunterbrechung: Zum anderen werden aufgebaute Verbindungen durch den IP-Wechsel unterbrochen. Lädt man sich zum Beispiel von außen gerade eine größere Datei vom heimischen Server über eine VPN-Verbindung runter, muss die Dateiübertragung dann nochmal neu gestartet werden.
  • Man erhält eine "dreckige IP-Adresse": Eine andere Gefahr ist, dass man beim IP-Wechsel vom Einwahlprovider eine neue dynamische IP-Adresse zugewiesen bekommt, die vorher auf einer schwarzen Liste (auch Blacklists genannt) stand. Dies kann der Fall sein, weil der vorherige Nutzer der IP-Adresse / Kunde des Providers Spam-Mails versendet hat, von Viren infiziert ist o.ä. Oft stehen außerdem von großen Providern ganze IP-Bereiche, die zur Einwahl vergeben werden, bereits standardmässig oder zur Vorsicht auf solchen schwarzen Listen. Schlecht wenn man einen Inhouse-Mailserver betreiben möchte.

Von daher kann ein dynamisches DNS-Verfahren eine statische IP-Adresse nicht sehr gut ersetzen. Eine statische feste IP-Adresse ist in jedem Fall vorzuziehen.

Fixe IP-Adresse - Woher bekommen und wie einrichten ?

Einige wenige Provider vergeben bei der Einwahl ins Internet auf Wunsch auch eine feste IP-Adresse. Beispielsweise auf einem DSL-Anschluss oder -Zugang - aber oft auch nur gegen Aufpreis oder bei teuren Business-Anschlüssen. Wir selber haben hier beispielsweise DSL-Zugänge mit statischer IP-Adresse für TDSL-Anschlüsse im Angebot - wobei die festen IP-Adressen bereits inklusive sind. Solch ein Business-DSL ist aber eher eine Ausnahme - geschweige denn davon dass man sogar mehrere feste IP-Adressen in Form eines IP-Netzes erhält. Dies ist z.B. sinnvoll um gleich mehrere Server, Webcams oder Dienste an seinem DSL- / ADSL- / VDSL-Anschluss zhu betreiben. Im Rahmen der zu erwartenen IP-Verknappung werden solche festen IP-Angebote in Zukunft auch eher noch seltener oder einfach immer teurer.

Ist man nun bei einem DSL Provider, welcher feste IP-Adressen gar nicht oder nur zu sehr teuren Konditionen anbietet, was tun ? Oder was ist, wenn man gerne doch mehrere Webcams, Server und Dienste parallel an einer DSL-Standleitung betreiben möchte und man mehrere statische IP-Adressen benötigt ? Was sind die besten DSL Angebote für solch ein Szenario ? Oder gibt es Alternativen, so dass man bei der Wahl von seinem DSL-Provider flexibel bleiben kann ?

VPN-Tunnel per PPTP- oder OpenVPN-Protokoll - die Lösung !

Ja, eine solche Alternative Lösung gibt es in der Tat. Man kann seinen DSL-Anschluss von dem Bezug einer oder mehrerer festen IP-Adressen komplett entkoppeln. D.h. man kann einen nahezu beliebigen Provider suchen: Ob es nun der beste DSL-Provider sein soll, einfache ADSL-Tarife in Frage kommen, es darum geht möglichst billig DSL zu bekommen - ein DSL Anbieter-Vergleich ist also möglich. Dabei braucht keine Rücksicht auf die Art und Weise der IP-Zuweisung genommen zu werden.

Die feste IP-Adresse oder wenn mehrere feste IP-Adressen benötigt werden (ein sogenanntes IP-Netz) holt man sich per VPN-Tunnel bei einem VPN-Anbieter:

  • Die Einwahl ins Internet geschieht einfach wie gehabt per DSL-Modem (1) und DSL-Router (2).
  • Dahinter stellt man einen zweiten Router (4) für die VPN-Verbindung. Dieser VPN-Router baut dann (von innnen nach außen durch die Firewall auf dem Zugangsrouter) eine ständige Daten-Verbindung zum VPN-Provider auf. Dies geschieht im inneren mit internen IP-Adressen über den DSL-Router mit einer dynamischen IP-Adresse.
  • Hierbei spricht man von einem sogenannten Daten-Tunnel (rot im Schaubild).
  • Die feste IP-Adresse oder ein ganzes Bündel von IP-Adressen (ein IP-Netz / IP-Subnetz) wird dabei durch das Tunnelprotokoll dem VPN-Router zur Verfügug gestellt und ist durch den Tunnel auch von außen erreichbar (4).
  • Hinter dem VPN-Router können dann die gewünschen Server,Geräte (z.B. VoIP-Telefone) und Dienste betrieben werden.
  • Auf Wunsch und zur Sicherheit sinnvollerweise auch schön getrennt vom restlichen lokalen Heim-Netzwerk (3).

Ausführlicher haben wir dies noch in unserem Wiki-Artikel unter "Beispiel-Szenarien von VPN-Tunneln auf PPTP- und OpenVPN-Basis" beschrieben.

OpenVPN vs PPTP - zwei Protokolle mit Vor- und Nachteilen

Um solch einen Datentunnel aufzubauen gibt es vor allem zwei Verfahren / Protokolle die sich durchgesetzt haben: Das PPTP- und das OpenVPN-Verfahren. Beide haben Vor- und Nachteile:

Vorteile PPTP-VPN:

  • schon sehr lange Verfügbar: stabil und ausgereift
  • gute Verbreitung und in nahezu jedem Betriebssystem von Haus integriert - inklusive alten Windowsversionen (keine weiteren Treiber oder Software-Pakete benötigt !)
  • basiert auf offiziellen Standards (unter anderem von Microsoft entwickelt)
  • IPv6-Unterstützung Out-of-Box

Nachteile PPTP-VPN:

  • schwache Verschlüsslung (wenn es nur um den Bezug von IP-Adressen geht, aber eigentlich egal)
  • wegen den eingesetzten GRE-Paketen manchmal Probleme mit Firewalls und Netzbetreibern (GRE wird insbesondere von Mobilfunkanbietern manchmal nicht zugelassen, wenn z.B. anstelle von DSL ein Mobilfunkanbieter via UMTS, LTE o.ä. zum Einsatz kommen soll ist dies relevant)

Vorteile OpenVPN:

  • VPN Protokoll auf Open-Source Basis (quelloffen)
  • basiert auf verbindungslosem Protokoll, dadurch weniger Probleme mit Firewalls und Verbindungstrennungen
  • gute Integration in Linux und Mac OSX
  • bessere Verschlüsselung

Nachteile OpenVPN:

  • bessere Verschlüsslung kostet möglicherweise Performance
  • weniger standarisiert
  • benötigt Administratorrechte unter Windows
  • IPv6 war lange Zeit gar nicht möglich, zwischenzeitlich aber halbwegs gelöst !

Mit beiden Protokollen (PPTP und OpenVPN) können IP-Adressen (IPv4 und IPv6) unter den gängigen Betriebssystemen direkt oder über entsprechende Router mit VPN-Unterstützung bezogen werden. Bei Routern ist oft das PPTP-Protokoll deutlich verbreiteter oder es läuft nur eine von beiden Varianten. Auch kann nicht jeder einfache Router später IP-Netze (mehrere feste IPs) routen. Hier ist also vor dem Kauf genaue Recherche gefragt !

IPv4 oder IPv6 ?

Ich habe bewusst in diesem Artikel immer allgemein von IP-Adressen geschrieben - denn im Prinzip spielt es von der Technik keine Rolle, ob es um IPv4 oder IPv6-Adressen geht.

Um Server, Geräte und Dienste erreichbar zu machen, wird man in der Praxis aber sicher eher mit IPv4-Adressen im produktiven Betrieb arbeiten wollen - IPv6 ist noch zu wenig verbreitet. 

Umgekehrt will man vielleicht auch mal mit IPv6 ein wenig "spielen" und IPv6 testen - und nicht jeder Internet-Service-Provider (ISP) bietet bereits IPv6 an. Dann ist ein VPN-Tunnel ebenfalls eine super Möglichkeit sich IPv6 zusätzlich ins lokale Netzwerk zu holen - man kann IPv6 durch einen Tunnel schicken welcher über IPv4 übertragen wird und umgekehrt.

Feste IP-Adresse einrichten - Summary

Auch wenn Ihr DSL- oder Breitband-Anbieter keine fixen / feste / statische IP-Adressen bereitstellt, ist dies kein Hinderniss nicht doch Server, Geräte oder Dienste im heimischen lokalen Netzwerk nach außen öffentlich gerichtet betreiben zu können.

Dynamisches DNS (DynDNS / DDNS) ist dabei keine stabile oder gute Lösung, da es zu Verbindungsabbrüchen und Unterbrechungen durch Ausfallzeiten kommen kann und die Qualität der IP-Adressen nicht immer gewährleistet ist.

Durch einen VPN-Tunnel kann der Bezug von festen IP-Adressen vom Bezug des Internet-Zugang entkoppelt werden. Die Nachteile einer DynDNS-Lösung werden umgangen. Hierdurch kann man nahezu beliebige DSL- oder sonstige Breitband-Anbieter nach seinen Wunsch-Kriterien (Preis, Qualtität, Verfügbarkeit usw.) verwenden. Auch ist der Bezug von mehreren IP-Adressen (ganzen IP-Netzen) nach aktuellen RIPE-Richtlinien möglich - womit der paralelle und professionelle Betrieb mehrerer Server und Geräte an einer Breitband- oder DSL-Standleitung problemlos und durchgängig möglich wird.

Am Ende möchte ich noch ein wenig Eigenwerbung machen: Wir von Portunity Acess sind selber VPN-Anbieter und wir haben mehrere VPN-Tunnel mit PPTP- und OpenVPN-Protokoll im Angebot, auf welche wir an dieser Stelle gerne verweisen möchten. Wir sind Ihnen dabei gerne behilflich eine oder mehrere öffentliche IP-Adressen in ihr lokales Netzwerk zu routen - egal über welchem DSL- oder Breitband-Anbieter sie Ihre Internet-Anbindung beziehen. Meine Mitarbeiter und ich stehen Ihnen gerne für Fragen zur Realisierung zur Verfügung. IPv6-Adressen gibt es übrigens derzeit kostenfrei.

Seite 1 Seite 2 Seite 3 Seite 4 Seite 5

Diesen Artikel...


... auf weiteren sozialen Netzwerken posten:

Tags

Ein Tag ist ein Schlagwort, welches zu einem Produkt oder einer Seite passt. >> MEHR
feste ip (2)
ipv4 (1)
ipv6 (1)
pptp (1)
dyndns (1)
openvpn (1)
, um selber Tags hinzuzügen und Ihr persönliches Schlagwort-Register aufzubauen.

Noch kein Konto bei portunity.de? Jetzt kostenlos registrieren!

Trackbacks

Bisher gab es noch keine Links von externen Seiten. Trackback-URL

Kommentare

Ein Kommentar bisher
Kommentar schreiben Kommentar via Facebook
G.D. SP
#1 G.D. SP | 28.06.2012 um 14:59 Uhr
Super gut. Wenn ich also einen VPN-Tunnel hinter meiner Fritz aufbau,benutze ich die 2te Fritz mit dem gekoppelten PC fuer die VPN-Einwahl und kann dann noch die Playstation und Xbox in den Tunnel schicken? Lieg ich richtig?
Gerhard

Über den Autor

Björn Rücker
Portunity GmbH
Founder of Portunity & Entrepreneur

Hi. I'm one of the founders of Portunity - where I work with some of the coolest people on earth on projects with and for the internet.

Hallo. Ich bin einer der Gründer von Portunity - wo ich mit einigen der coolsten Menschen dieser Erde an Projekten im und für das Internet arbeite.

23.06.2017
21.07.2016
24.02.2016
26.05.2015
12.04.2015
  • nisabalal

    nisabalal hat sich angemeldet


    am 09.11.2017
  • nisabalal

    nisabalal hat sich angemeldet


    am 09.11.2017
  • nalimidi

    nalimidi hat sich angemeldet


    am 06.11.2017
  • Knipfer_M

    Knipfer_M hat sich angemeldet


    am 05.11.2017
  • Hoppeschliff

    Hoppeschliff hat sich angemeldet


    am 16.10.2017
  • javahey

    javahey hat sich angemeldet


    am 13.10.2017
  • thecha0z

    thecha0z hat sich angemeldet


    am 11.10.2017
  • thecha0z

    thecha0z hat sich angemeldet


    am 11.10.2017
  • SirPipsy

    SirPipsy hat sich angemeldet


    am 11.10.2017
  • SirPipsy

    SirPipsy hat sich angemeldet


    am 11.10.2017
Konferenzen.eu
Jetzt eine Telefonkonferenz starten? Schnell, keine Anmeldung erforderlich, kostenlos, normale Festnetznummer und sofort einsatzbereit: www.konferenzen.eu
Telefonkette für Ihr Business
Mit Telefonkette.de können Sie Telefonketten verwaltet und automatisch die aufgenommenen Sprachnachrichten an die Mitglieder via echten Telefonanruf übermitteln.
MusikAnsagen.de
Individuelle musikalische Ansagen für Anrufbeantworter, Warteschleifen, Sprachmenüs und sonstige Telefonie-Anwendungen.
faxnummer.de
Mit dem kostenlosen Faxnummern - Service von Portunity erhalten Sie eine echte Ortnetz-Rufnummer und können sich so Ihre Faxe bequem per eMail zustellen lassen.
Telefonvalidierung
Mit unserer Webservice-API Telefonvalidierung können Telefonnummern in eigenen Projekten überprüft werden (z.B. in Onlineshops, Communities, ...).
BankdatenCheck.de
Mit dem Webservice von BankdatenCheck.de können aus eigenen Applikationen aus dem Shop- und eCommerce-Umfeld Eingaben von Bankdaten auf Plausibilität überprüft werden.