aus dem Netzwerk Insider Februar 2023
Viele Unternehmen und Behörden haben ihren Mitarbeitern im Rahmen der Pandemie das Arbeiten im Homeoffice ermöglicht und gleichzeitig auch den Ausbau der VPN-Infrastruktur vorangetrieben, um einen sicheren Zugang zum internen Netzwerk zu ermöglichen.
Auch wenn VPN, z. B. auf Basis von IPSec, eine längst etablierte und stabile Grundlage dafür ist, hat sich in der Praxis gezeigt, dass es insbesondere mit dem Protokoll IPv6 zu Problemen kommen kann.
Dieser Artikel greift diese Problematik auf, stellt die technischen Hintergründe dafür dar und zeigt anhand eines Beispiels mögliche Lösungsansätze auf.
Bedingt durch die Pandemie in den letzten Jahren haben viele Unternehmen den Ort der Tätigkeit ihrer Mitarbeiter weitestgehend, wenn nicht sogar vollständig, in das Homeoffice verlagert, wo immer es möglich war. Damit ging in vielen Fällen auch ein Wandel in der Unternehmensphilosophie einher, um diese Arbeitsmethode zu ermöglichen.
Eine Herausforderung ist die Technik, die einen verschlüsselten und damit gesicherten Fernzugriff über öffentliche Netze wie das Internet auf das Unternehmensnetzwerk ermöglicht – Stichwort VPN.
VPN, z. B. mittels IPSec auf Basis der Protokollversion IPv4, ist eine seit vielen Jahren etablierte und zuverlässige Technologie, doch mit der Einführung von IPv6 seitens der Internet Service Provider kann es zu technischen Schwierigkeiten hinsichtlich Performance, Verbindungsabbrüchen oder gar der Unmöglichkeit des Aufbaus einer VPN-Verbindung kommen.
Doch der Reihe nach:
In den meisten Fällen stellen Unternehmen ihren Mitarbeitern keinen dedizierten Internetanschluss zur Verfügung, sodass diese ihren eigenen, privat beauftragten Internetzugang für den Aufbau eines gesicherten VPNs zum Unternehmensnetzwerk nutzen müssen.
Man kann dies quasi als Beistellungsleistung der Mitarbeiter werten, woraus sich aus Sicht des Arbeitgebers ein Kostenvorteil ableiten lässt, weil dieser keine Unmenge dislozierter Internetanschlüsse auf eigene Kosten bereitstellen muss. Abgesehen von dem administrativen Aufwand, der damit einherginge.
Auf der anderen Seite müssen die IT- und insbesondere Netzwerk-Abteilungen auf die Kompatibilität zu den Gateways der jeweils eigenen VPN-Infrastruktur achten, um stabile, zuverlässige und performante VPN-Verbindungen sicherstellen zu können.
Und genau darin können gewisse Herausforderungen liegen.
Man kann davon ausgehen, dass die Homeoffice-Anwender für ihren privaten Internetzugang einen Internet Service Provider ihrer Wahl beauftragen, der einen interessanten Tarif mit entsprechender Bandbreite zu günstigen Konditionen anbietet, wobei technische Rahmenparameter aus Sicht des Kunden – wenn überhaupt – uninteressant sind. „Hauptsache wir können zu Hause surfen“, heißt es da nicht selten. Selbstverständlich spielen dabei auch die jeweils technischen Anschlussmöglichkeiten eine entscheidende Rolle.
Schaut man etwas genauer unter die Haube, muss man feststellen, dass sich die Internet Service Provider hinsichtlich der Übertragungsprotokolle und Bereitstellung von WAN-seitigen IP-Adressen durchaus unterscheiden und das insbesondere im Kontext von IPv6.
Eine Reihe von Internet-Service-Providern, und das sind insbesondere die Betreiber von Kabelnetzen, die darüber breitbandige Internetzugänge anbieten, weisen ihren Kunden üblicherweise auf der WAN-Seite des Routers zwar eine öffentliche IPv6-Adresse, jedoch mangels Adressvorrat eine nicht öffentliche IPv4-Adresse gemäß RfC1918 zu.
Und genau hier liegt die Krux. Um dem Anwender dennoch den Zugang zum Internet zu ermöglichen, nutzen diese Provider oftmals die Technik, die unter dem Begriff „Dual Stack Lite“, oder kurz „DS-Lite“, bekannt ist.
DS-Lite sorgt dafür, dass IPv4-Pakete aus dem Heimnetzwerk durch das IPv6-Netz des Providers getunnelt werden und am anderen Ende in das IPv4-Netz gelangen können.
Die Funktionsweise dieser Technik soll Abbildung 1 veranschaulichen.
Aus den Erfahrungen von Projekten der ComConsult GmbH ist festzustellen, dass genau diese Extraktion einer IPv4-Adresse aus einem IPv6-Paket am Router, der zwar über eine IPv6-Adresse verfügt, nicht immer zuverlässig funktioniert, um dann einen IPv4-basierten Tunnel zum VPN-Gateway aufzubauen.
Somit sind Verbindungsabbrüche regelrecht vorprogrammiert, sofern Verbindungen überhaupt hergestellt werden können.
In vielen Fällen liegt es daran, dass der Internet-Router der Firma auf der WAN-Seite gar keine IPv6-Adresse zugewiesen bekam, oder die Software des Routers die Extraktion der IPv4-Adresse nur eingeschränkt unterstützt. In jedem Fall bedeutet diese Adressumsetzung eine zusätzliche Belastung der CPUs auf der sendenden und empfangenden Seite, wodurch sich wiederum Performanceeinbußen erklären lassen.
Zwischenfazit
VPN z. B. mittels IPSec auf Basis von IPv4 ist grundsätzlich eine längst etablierte und zuverlässige Technologie für den Fernzugriff auf Unternehmensnetzwerke und hat im Rahmen der Pandemie eine noch stärkere Bedeutung erlangt.
Unabhängig davon haben die Internet Service Provider die Einführung von IPv6 in ihren Netzen in den letzten Jahren massiv vorangetrieben, ohne dass die „normalen“ Anwender etwas davon bemerkt haben.
Einige Unternehmen haben IPv6 im Perimeter eingeführt, um über diese Protokollversion zumindest ihre Web-Auftritte anbieten zu können. Weiterführende Maßnahmen, wie z. B. die Ertüchtigung der VPN-Gateways, DNS-Server und dergleichen mehr, wurden oftmals in der Priorität weiter nach unten angesiedelt. Warum auch, wenn doch alles andere weiterhin zuverlässig funktioniert?
Jedoch zeigt sich im Zuge der Pandemie und der damit verbundenen verstärkten Nutzung von Homeoffice und Fernzugriff per VPN für viele Unternehmen, dass es im Kontext von VPN zu teilweise massiven Problemen kommen kann und damit entsprechender Handlungsbedarf besteht.
Lösungsansätze
Nachdem die auf den ersten Blick vielleicht nicht ganz offensichtlichen Zusammenhänge zwischen VPN für einen sicheren Zugang zum Firmennetz vom Homeoffice aus und IPv6 dargelegt wurden, soll nun ein möglicher Ansatz zur Lösung der Herausforderung aufgezeigt werden.
Doch die schlechte Nachricht vorab: Zur Lösung dieser Herausforderung gibt es nicht DIE Patentlösung. Stattdessen muss die Problematik individuell untersucht und analysiert werden.
Die gute Nachricht jedoch ist, dass es für die unterschiedlichen Problemstellungen jeweils einen Lösungsansatz gibt. Im konkreten Fall kann es auch sein, dass diese Lösungsansätze in Kombination anzuwenden sind.
Nachfolgend wird exemplarisch ein solcher Lösungsansatz unter Annahme einer typischen Ausgangssituation skizziert.
Exemplarischer Lösungsansatz
- Angenommene Ausgangssituation:
- Unternehmen/Behörde mit rund 1000 Mitarbeitern (wobei die Anzahl der Mitarbeiter bzw. Nutzer der Plattform zum Fernzugriff aus Sicht dieser Betrachtung eine eher untergeordnete Rolle spielt und lediglich die Dimensionierung des VPN-Gateways beeinflusst)
- VPN-Gateway auf Unternehmensseite lediglich für IPv4 konfiguriert
- Vorhandener Internetanschluss aufseiten des Unternehmens
- Internetanschluss auf Anwenderseite mit DS-Lite
Eine Möglichkeit zur Lösung der in dieser Konstellation zu erwartenden Probleme in Zusammenhang mit VPN besteht auf Anwenderseite darin, „echten“ Dual Stack anstatt DS-Lite zu nutzen. Dies setzt jedoch voraus, dass der jeweilige Internet Service Provider auch eine öffentliche IPv4-Adresse am Router des Anwenders zur Verfügung stellt. Sofern dies durch den Provider überhaupt möglich ist, ist auf Anwenderseite typischerweise ein deutlich teurer Business-Tarif erforderlich.
Eine andere Lösungsmöglichkeit ist, das zentrale VPN-Gateway auf IPv6 zu ertüchtigen. Dies setzt selbstverständlich voraus, dass der Provider des Unternehmens am zentralen Internetzugang auch IPv6 zur Verfügung stellt (was typischerweise der Fall ist) und das VPN-Gateway zur Entgegennahme einer VPN-Verbindung auf Basis von IPv6 entsprechend konfiguriert ist.
Es ist ferner festzuhalten, dass insbesondere die Kabelnetzbetreiber oftmals durch ein entsprechendes Traffic Shaping den VPN-Verkehr hinsichtlich der Bandbreite drosseln und damit die Performance „ausbremsen“.
Der Grund dafür liegt in der Natur der Kabel-Netze selbst, denn bei dieser Infrastruktur handelt es sich um ein geteiltes Medium, das in erster Linie für die Übertragung von TV-Programmen, Radiosendern und Telefonie ausgelegt ist.
Die Kabelanbieter legen deshalb großen Wert darauf, ihren Kunden in diesem Zusammenhang hochwertige Dienste wie z. B. HDTV zuverlässig bereitstellen zu können. Und jetzt kommt auch noch Internet und darauf basierendes VPN hinzu?
Um eine hochwertige Qualität der – nennen wir es – Primärdienste eines Kabelnetzes sicherzustellen, ist deshalb eine Priorisierung der unterschiedlichen Dienste erforderlich. Und das führt letztendlich zu einer „Drosselung“ der Bandbreite von VPN-Services, auch wenn einer der führenden Anbieter von Kabel-Internet eine Bandbreite von bis zu 1 Gbit/s verspricht.
Die Übertragung von Daten über ein Kabel-TV-Netz erfolgt nach dem sog. DOCSIS-Standard. DOCSIS steht für „Data Over Cable Service Interface Specification”.
Ein DOCSIS-basiertes Netzwerk kann schematisch wie folgt dargestellt werden. Aus der Skizze geht auch der Charakter des geteilten Mediums hervor.
Fazit
VPN, das in den meisten Fällen vermutlich auf IPSec oder vergleichbaren Verschlüsselungstechniken basieren dürfte, ist eine seit vielen Jahren stabile und etablierte Standardtechnologie. Doch in Zusammenhang mit der fortschreitenden Einführung von IPv6 durch die Internet Service Provider kann es zu erheblichen Einschränkungen oder gar massiven Störungen in diesem Zusammenhang kommen. Dadurch kann der Fernzugriff auf das eigene Netzwerk durch Anwender im Homeoffice erschwert oder verhindert werden.
Auch wenn es keine allgemeingültige und für alle Anwendungsfälle geltende Erklärung oder Lösung gibt, liegt die Problematik in den meisten Fällen in der Nutzung von DS-Lite durch die Internet Service Provider.
Dieser Artikel hat versucht, mögliche Problematiken in diesem Kontext zu skizzieren und anhand eines zugegebenermaßen konstruierten, doch in der Praxis sehr denkbaren Falles passende Lösungsansätze aufzuzeigen.
