Es gibt Router, die eine VPN-Verbindung (VPN Router) aufbauen. Jedes Gerät, welches mit dem Router verbunden ist, stellt automatisch eine VPN-Verbindung her. Der VPN Client bzw. die Software ist bereits im Router vorinstalliert. Der VPN-Router stellt aktiv eine VPN-Verbindung her.
Es gibt aber auch Router, die eine VPN-Verbindung nicht aufbauen können. Hier wird ein VPN Passthrough benötigt. Wie der Name “Passthrough” schon verrät, passiert der VPN-Verkehr durch diese Funktion. Man kann sagen, dass ein VPN Passthrough den Router funktionell erweitert.
Der VPN-Passthrough ist ein passiver Enabler für VPN-Verkehr. Wenn er aktiv ist, wird der empfangende Datenverkehr durch das Internet geleitet. Das VPN-Gateway wird erreicht. Der VPN Passthrough wird oft in Internet-Gateway-Geräten für kleine Unternehmen sowie in privaten VPN-Routern verwendet.
Insbesondere bei Heimnetzwerken wird diese Funktion verwendet. Die meisten Router, die es auf dem Markt gibt, besitzen einen eingebauten VPN-Passthrough.
Zusammenfassend bedeutet das: Es gibt zwei Haupttypen von Routern: solche, die eine VPN-Verbindung akzeptieren und solche, die das nicht tun.
VPN-Protokolle und Port-Nummern
Je nach Art des VPNs verwendet man unterschiedliche Protokolle und Ports, damit der VPN-Datenverkehr “fließt”:
VPN-Router unterstützen folgende Technologien:
- IPsec (Internet Protocol Security)
- PPTP (Point-to-Point Tunneling Protocol)
- L2TP (Layer Two Tunneling Protocol). Sie können diese Art von Router so konfigurieren, dass sie als VPN-Server arbeiten oder ein Site-to-Site-VPN mit einem anderen VPN-Gateway erstellen.
Ein VPN Passthrough arbeitet mit:
- PPTP
- IPsec → man verwendet UDP Port 500 für IKE und Port 4500 für NAT Traversal
- L2TP
Welche Vorteile & Nachteile bringt ein VPN Passthrough?
Der VPN Passthrough ist insbesondere im Heimnetzwerk und für kleine Unternehmen sinnvoll, die nicht über VPN Router verfügen. Er wird benötigt, wenn man einen VPN nutzen möchte, das die Protokolle IPsec oder PPTP verwendet.
Gleichzeitig möchten Unternehmen eine Verbindung via VPN innerhalb des eigenen Netzwerkes aufbauen. Normalerweise sind diese externen Zugriffe durch die Firewall geschützt. Mit dem VPN Passthrough wird die VPN-Verbindung trotz Firewall aufgebaut.
Vorteile VPN Passthrough
- Die vom VPN-Client kommenden Datenpakete gelangen verschlüsselt ins Internet.
- Im privaten Netzwerk wird automatisch eine ausgehende VPN-Verbindung aufgebaut.
- Die Verbindung kann von allen Geräten aufgebaut werden, ohne Ports zu öffnen.
- VPN-Protokolle wie PPTP, IPSec und L2TP funktionieren normalerweise nicht mit NAT. Ein VPN-Passthrough ermöglicht es dennoch, mit NAT zu arbeiten. NAT wird benötigt, damit alle die gleiche Online-Verbindung und IP-Adresse verwenden.
- PPTP Passthrough Funktion ermöglicht es PPTP durch den NAT-Router zu leiten.
- Wenn man ein älteres VPN-Protokoll verwendet, das vom Router nicht unterstützt wird, hilft der Passthrough. Dies ist bei kostenlosen VPN-Anbietern oft der Fall. Ohne VPN Passthrough gibt es keine ausreichende Verschlüsselung und Privatsphäre.
Nachteile VPN Passthrough
- Es gibt bereits schnellere und sicherere Protokolle, die den VPN Passthrough weitestgehend überflüssig machen.
- Gute VPN-Anbieter bieten Kunden immer Zugang zu den neuesten Netzwerkprotokollen.
- Wenn man vergisst, das VPN-Protokoll zu wechseln, bevor man sich mit dem Server verbindet, ist die Verbindung nicht korrekt verschlüsselt. Die PPTP-Verbindung läuft dann versehentlich durch den Router. Wenn man ganz sicher sein möchte, ist es besser PPTP Passthrough zu deaktivieren. Ihr stellt so sicher, dass die Verbindungen richtig verschlüsselt sind.
Was ist IPsec-Passthrough?
IPsec-Passthrough ist eine Funktion, um IPsec-Verbindungen über NAT-Grenzen hinweg aufzubauen – ähnlich zu NAT-Traversal. Es wurde entwickelt, da es Probleme bei der gesicherten Datenübertragung von IPv4 Adressen über IPsec gab.
Leider tauscht NAT die IP-Adressen und TCP- oder UDP-Ports der IP-Pakete aus. Daraus resultieren veränderte Informationen im IP-Header. Die Kompatibilität der Daten ist nicht mehr gegeben und es kommt zu ungültigen Paketen. Es musste also eine Lösung gefunden werden!
Die beteiligten NAT-Router reichen mit dem IPsec Passthrough bestimmte IPsec-Pakete (Internet Protocol Security Pakete) einfach und problemlos durch.
Was ist ein Remote Access VPN?
Ein Secure Remote Access VPN ist eine entfernte VPN-Verbindung zu einem lokalen Netzwerk. Externe Mitarbeiter (z.B. auf Dienstreise oder Kundengesprächen) können über Secure Remote Access-VPN eine sichere Verbindung ins Firmennetzwerk herstellen. Es werden einzelne Verbindungen von verschiedenen Endgeräten in ein zentrales VPN-Gateway aufgebaut.
Was ist ein Site-to-Site VPN?
Beim Site-to-Site-VPN wird IPsec verwendet, um einen verschlüsselten Tunnel von einem Kundennetzwerk zum entfernten Standort des Kunden aufzubauen. Es ist ähnlich zum Remote Access VPN. Allerdings funktioniert es nur mit einem Benutzer. In Remote Access VPN sind vergleichsweise mehrere Benutzer erlaubt.
VPN Passthrough aktivieren
- Melden Sie sich bei Ihrem Router-Programm an bzw. der Bedienoberfläche Ihres Hosters wie Fritzbox. Wählt VPN > VPN Passthrough.
- Abspeichern nicht vergessen!
Passen Sie anschließend optional und individuell das Protokoll, welches Sie verwenden möchten an:
- IPSec Passthrough: Aktiviert im Bereich “VPN Passthrough” den Haken bei IPSec Passthrough
- PPTP-Passthrough: Aktiviert den Haken für PPTP-Passthrough, damit PPTP-Tunnel den Router passieren können.
- L2TP-Passthrough: Aktiviert den Haken für L2TP-Passthrough, damit L2TP-Tunnel den Router passieren können.
Fazit zum VPN Passthrough
Ein VPN Passthrough hilft, die VPN-Protokolle der Vergangenheit zu unterstützen. Ebenso hilft es Protokolle, mit NAT kompatibel zu machen. ABER!
Man muss klar sagen, dass heute Protokolle wie PP2P und L2TP kein Standard mehr sind. Man sollte sich schlichtweg nicht an veralteten Protokollen orientieren. Aus diesen Gründen ist es nicht mehr notwendig, einen VPN Passthrough zu verwenden.
Heutzutage gibt es zuverlässige VPN-Anbieter, die moderne Protokolle anbieten. Sie funktionieren nahtlos mit NAT. Außerdem bieten sie einen besseren Schutz und eine höhere Geschwindigkeit.