Jedes mit dem Internet verbundene Gerät, sei es der Computer, das Smartphone, der PWK oder in Zukunft der Kühlschrank, benötigt eine eigene IP-Adresse, um für andere Geräte identifizierbar zu sein und den Austausch von Informationen zu ermöglichen. Es findet bereits eine Datenübertragung statt, wenn beispielsweise eine Website aufgerufen oder per VOIP telefoniert wird.
Die Verknappung von IP-Adressen im IPv4 Adressraum bereitet Probleme. Abhilfe schafft das Internetprotokoll IPv6, in dem deutlich mehr Adressen vorhanden sind. Und dennoch ist die Entwicklung von IPv6 noch nicht vollständig abgeschlossen. Ein Grund ist unter anderem die fehlende Kompatibilität von IPv6 und IPv4, Geräte müssen zwangsläufig beide Protokolle verwenden.
Die Adressknappheit von IPv4 wird durch die eindeutige Abgrenzung privater und öffentlicher Adressräume ausgeglichen. Die Verbindung zwischen öffentlichem und privatem Adressbereich ist der Router. Hier kommt die Network-Address-Translation, kurz NAT, ins Spiel.
Was ist NAT?
Private IPs sind nicht routbar, daher müssen Datenpakete, die ein Computer (Client) im LAN an einen Server im Netz versendet, vom Router mit einer öffentlichen IP versehen werden. Das Network Address Translation (NAT) erlaubt es, Ziel- oder Quell-IP-Adressen beim Routing zu einem IP-Datenpaket zu bündeln und durch eine andere, öffentliche Adresse zu ersetzen. Private IP-Adressen können durch NAT mit dem Internet kommunizieren. Die Tarnung hinter einer öffentlichen IP-Adresse ist zudem vorteilhaft für die Sicherheit der Internetkommunikation.
Die Sicherheit durch das Network Address Translation ist vergleichbar mit dem Schutz durch eine behelfsmäßige Firewall. Die mit NAT verbundenen Systeme sich nicht aus dem Internet erreichbar. Ein Verbindungsaufbau ist nur vom Endgerät aus gangbar. Network Address Translation kann allerdings weder Firewall nach Paketfilter ersetzen.
Was ist NAT-Traversal?
Network Address Translation Traversal (NAT-T) ist eine Technik zur Herstellung und Aufrechterhaltung von Internetprotokoll-Verbindungen über Gateways, die Network Address Translation (NAT) implementieren. Konkret ermöglicht IPsec mit NAT-Traversal den Aufbau einer IPsec-Verbindung über einen NAT-Router. Die Methode erfasst, ob NAT beim Verbindungsaufbau zum Einsatz kommt und ob die Standorte NAT-Traversal unterstützen. In diesem Fall verpackt NAT-Traversal den ESP-Verkehr in UDP-Pakete und versieht diese mit einem UDP-Port, der per NAT übersetzbar ist. In der Regel findet der UDP Port 4500 Verwendung. Auf der sicheren Seite ist man mit den Ports UDP 500, UDP 4500 und TCP 10.000 und wenn das IP-Protokoll ESP zwischen den VPN Partnern offen ist.
NAT Traversal und VPN Passthrough (NAT vs. IPsec) streben die gleiche Problemlösung an. IPsec-Passthrough funktioniert aber nur in einem überschaubaren Rahmen. Im Vergleich zu NAT-T muss die Passthrough-Methode in den NAT-Routern implementiert sein.
Kann ich einen VPN mit meinem NAT-Router nutzen?
Grundsätzlich kann jeder über ein NAT-Gerät einen VPN-Tunnel aufbauen. Man muss den WLAN Router nur entsprechend konfigurieren. Das aktuelle Windows Betriebssystem ermöglicht native Netzwerkadressübersetzung für ein virtuelles Netzwerk. Mac OS benötigt ebenfalls eine spezielle Konfiguration.
IPsec Client
Im VPN Client aktiviert man in den Einstellungen die Option Enable Transparent Tunneling. Wählt dort entweder IPSec over UDP (NAT/PAT) oder, falls dies nicht geht, IPSec over TCP mit TCP Port 10.000.
Achtung: Hinter einem NAT-Router kann gewöhnlich immer nur ein Nutzer gleichzeitig das VPN Tunneling aufbauen, da die lokale Adresse über NAT auf die IP-Adresse des Internetzugangs ausgeführt wird. Zwei VPN-User können mit einem Router über IPSec over TCP mit TCP Port 10000 laufen, sofern es zwei unterschiedliche Logins gibt.
AnyConnect Client
Der AnyConnect Client verwendet die Protokolle TCP und UDP, beide Port 443 für die VPN-Verbindung. Sowohl TCP als auch UDP können von NAT-Routern verarbeitet werden.
Was ist der Unterschied zwischen Route und NAT-Modus in der VPN-Konfiguration?
Bei der Konfiguration für ein Site to Site VPN (LAN to LAN) zwischen zwei Standorten gibt es die Auswahl zwischen den Modi Route oder NAT.
Route Mode vs NAT Mode
Der Unterschied zwischen dem Route-Mode und dem NAT Mode liegt in den Zugriffsmöglichkeiten: Im Route-Modus sind die Clients beider Endpunkte in der Lage, sich gegenseitig zu erreichen. Mit dem Dial-In Router als Remote-Gateway können in diesem Fall beide Computer auf das Internet zugreifen.
Im NAT-Modus ist das nicht möglich: Nur Clients auf der Dial-Out Seite können auf das Netzwerk auf der Dial-In Seite zugreifen. Der NAT Mode verhindert den Zugriff eines anderen Clients auf das eigene Netzwerk. Er findet Anwendung beim Verbindungsaufbau mit einem VPN-Service.