In unserer zunehmend vernetzten Welt ist die Arbeit von unterwegs, aus dem Home-Office oder von entfernten Standorten zur Norm geworden. Ein VPN (Virtual Private Network) ist dabei das unverzichtbare Werkzeug, das uns eine sichere Brücke zu unserem Unternehmensnetzwerk schlägt. Es ermöglicht den Zugriff auf interne Ressourcen, als säßen wir direkt im Büro. Doch oft stellt sich eine spezielle Routing-Herausforderung, die über den bloßen Zugriff auf interne Server hinausgeht: Wie kann ein PC, der über VPN mit einem entfernten Netzwerk verbunden ist, Daten aus dem Internet *über dieses entfernte Netzwerk* abrufen, anstatt den direkten Weg über die lokale Internetverbindung zu nehmen? Dies ist eine Frage, die nicht nur technische Feinheiten berührt, sondern auch weitreichende Implikationen für Sicherheit, Compliance und Performance hat.
### Das Szenario verstehen: Warum der Umweg über das entfernte Netzwerk?
Stellen Sie sich vor, Sie arbeiten von zu Hause aus. Ihr Computer ist über Ihre private Internetverbindung mit dem Internet verbunden. Gleichzeitig stellen Sie eine VPN-Verbindung zu Ihrem Firmennetzwerk her. Standardmäßig können Sie auf alle internen Server und Dienste der Firma zugreifen. Aber wenn Sie eine Website im Internet aufrufen, wird dieser Traffic normalerweise direkt über Ihre private Internetverbindung geleitet. Das Internet sieht also Ihre private IP-Adresse.
In vielen Unternehmensszenarien ist dies jedoch nicht gewünscht oder sogar nicht erlaubt. Es gibt triftige Gründe, warum der gesamte Internetverkehr eines Remote-Mitarbeiters über das Firmennetzwerk geleitet werden sollte:
* **Erhöhte Sicherheit:** Der gesamte Internetverkehr durchläuft die zentralen Firewalls, Intrusion Detection/Prevention-Systeme und Webfilter des Unternehmens. So sind Sie auch bei der Internetnutzung von zu Hause aus durch die gleichen Sicherheitsmechanismen geschützt wie im Büro.
* **Compliance und Audit:** Für bestimmte Branchen oder Datenarten können gesetzliche oder unternehmensinterne Vorschriften vorschreiben, dass der gesamte Netzwerkverkehr überwacht und protokolliert werden muss.
* **Zugriff auf Geo-eingeschränkte Inhalte:** Manchmal müssen Mitarbeiter auf Webdienste zugreifen, die nur aus bestimmten geografischen Regionen (z.B. dem Land des Unternehmenssitzes) erreichbar sind. Durch das Routing über das Firmennetzwerk erscheint der Internetzugriff so, als käme er vom Unternehmensstandort.
* **Einheitliche IP-Adresse:** Für bestimmte Cloud-Dienste oder Partnerzugänge kann es notwendig sein, dass der Zugriff immer von einer festen, bekannten IP-Adresse erfolgt – der öffentlichen IP-Adresse des Firmennetzwerks.
Die Herausforderung besteht darin, das standardmäßige Routing-Verhalten zu ändern und den Internetverkehr gezielt durch den VPN-Tunnel zu schleusen.
### Grundlagen des Routings und VPN-Verbindungen
Um die Problematik zu verstehen, müssen wir uns die Funktionsweise von Routing und VPNs genauer ansehen. Jeder Computer verfügt über eine **Routing-Tabelle**, die ihm mitteilt, wohin Datenpakete gesendet werden sollen.
* Für Adressen im lokalen Netzwerk werden die Pakete direkt an das Zielgerät gesendet.
* Für Adressen außerhalb des lokalen Netzwerks (z.B. ins Internet) werden die Pakete an das **Standard-Gateway** gesendet. Im Home-Office ist das in der Regel Ihr WLAN-Router.
* Wenn eine VPN-Verbindung aufgebaut wird, erstellt diese einen sicheren **VPN-Tunnel** zwischen Ihrem PC und dem VPN-Server im entfernten Netzwerk. Das VPN-Protokoll (z.B. OpenVPN, IPsec, WireGuard) sorgt dafür, dass die Datenpakete verschlüsselt durch diesen Tunnel gesendet werden.
Standardmäßig wird bei einer VPN-Verbindung die Routing-Tabelle Ihres PCs so angepasst, dass nur der Datenverkehr, der für das *entfernte Netzwerk* bestimmt ist (z.B. IP-Adressen wie 192.168.10.0/24), durch den VPN-Tunnel geleitet wird. Aller andere Traffic, insbesondere der Internetverkehr (0.0.0.0/0), nimmt weiterhin den Weg über Ihr lokales Standard-Gateway. Dieses Verhalten wird als **Split Tunneling** bezeichnet.
### Split Tunneling vs. Full Tunneling: Der Kern der Sache
Hier liegt der Schlüssel zur Lösung unserer Herausforderung: die Unterscheidung zwischen Split Tunneling und Full Tunneling.
#### Split Tunneling (Der Standardfall)
Wie bereits erwähnt, ist **Split Tunneling** die Standardkonfiguration vieler VPN-Clients und -Server.
* **Definition:** Nur der Datenverkehr, der explizit für das Zielnetzwerk des VPNs bestimmt ist, wird durch den VPN-Tunnel gesendet. Der restliche Datenverkehr, insbesondere der allgemeine Internetverkehr, wird direkt über die lokale Internetverbindung des Benutzers geleitet.
* **Vorteile:**
* **Weniger Belastung:** Der VPN-Server und die Internetbandbreite des Unternehmens werden entlastet, da nicht der gesamte Internetverkehr der Remote-Mitarbeiter durch sie hindurch muss.
* **Bessere Performance:** Die Internetverbindung des Benutzers bleibt so schnell wie gewohnt, da der Traffic nicht den „Umweg” über das Unternehmensnetzwerk nehmen muss.
* **Einfachere Implementierung:** Oft als „Out-of-the-Box”-Lösung einfacher zu konfigurieren.
* **Nachteile:**
* **Geringere Sicherheit:** Der lokale Internetverkehr ist nicht durch die zentralen Firewalls und Sicherheitssysteme des Unternehmens geschützt.
* **Keine Compliance-Kontrolle:** Unternehmen haben keine Kontrolle oder Einsicht in den Internetverkehr ihrer Remote-Mitarbeiter.
* **Keine Umgehung von Geoblocking:** Die IP-Adresse des Benutzers bleibt die lokale IP, was den Zugriff auf regional beschränkte Dienste erschwert.
#### Full Tunneling (Erzwungenes Tunneling)
**Full Tunneling**, auch bekannt als **Force Tunneling**, ist die Lösung für unsere Routing-Herausforderung.
* **Definition:** *Aller* Datenverkehr des VPN-Clients, einschließlich des gesamten Internetverkehrs, wird durch den VPN-Tunnel geleitet und verlässt das Internet vom entfernten Netzwerk (d.h. dem Unternehmensstandort).
* **Vorteile:**
* **Maximale Sicherheit:** Alle Internetzugriffe werden durch die zentrale Firewall und Sicherheitslösungen des Unternehmens gefiltert und geschützt.
* **Volle Compliance:** Das Unternehmen kann den gesamten Netzwerkverkehr überwachen und protokollieren, was für Audit-Zwecke unerlässlich sein kann.
* **Nutzung der Unternehmens-IP:** Die öffentliche IP-Adresse des Unternehmens wird für alle Internetzugriffe verwendet, was Geoblocking umgeht und eine einheitliche Identität im Netz gewährleistet.
* **Nachteile:**
* **Hohe Belastung:** Der VPN-Server und die Internetbandbreite des Unternehmens werden stark belastet, da der gesamte Internetverkehr aller Remote-Benutzer über sie läuft. Dies erfordert eine entsprechend dimensionierte Infrastruktur.
* **Potenzielle Performance-Einbußen:** Die Latenz kann steigen und die Internetgeschwindigkeit für den Endbenutzer kann sinken, da der Datenverkehr einen längeren Weg zurücklegen muss.
* **Erhöhter Bandbreitenverbrauch:** Sowohl auf Seiten des Clients (doppelter Traffic über die lokale Leitung: einmal zum VPN-Server, einmal vom VPN-Server zurück) als auch auf Seiten des Unternehmens.
* **Komplexere Konfiguration:** Erfordert präzise Einstellungen auf dem VPN-Server und den zugehörigen Netzwerkkomponenten.
### Die technische Umsetzung von Full Tunneling: Serverseitige Konfiguration ist der Schlüssel
Die Entscheidung für Full Tunneling wird primär auf dem **VPN-Server** oder dem **VPN-Gateway** getroffen und konfiguriert. Der Client muss lediglich die vom Server übermittelten Anweisungen korrekt umsetzen können.
#### 1. Routenverteilung (Push der Standardroute)
Das Herzstück des Full Tunneling ist das „Pushen” einer **Standardroute** an den VPN-Client. Die Standardroute ist die Anweisung an das Betriebssystem, alle Datenpakete, für die es keine spezifischere Route gibt, an ein bestimmtes Gateway zu senden. Im Internet ist diese Route als `0.0.0.0/0` (oder `0/0`) bekannt.
* **Was der Server tut:** Der VPN-Server weist den Clients an, die Standardroute über den VPN-Tunnel zu senden. Dadurch wird die lokale Standardroute des Clients für Internetverkehr (die normalerweise auf den lokalen Router verweist) überschrieben oder priorisiert.
* **Beispiel (OpenVPN):** In der Serverkonfiguration wird häufig die Direktive `push „redirect-gateway def1″` verwendet. Diese weist den Client an, die Default-Route zu ändern und den gesamten Traffic durch den VPN-Tunnel zu leiten, während gleichzeitig die Route zum VPN-Server selbst weiterhin über die lokale Verbindung erreichbar bleibt (um den Tunnel nicht zu kappen).
* **Beispiel (IPsec):** Bei IPsec-VPNs wird die Standardroute oft über den DHCP-Server verteilt, der an das VPN-Gateway angeschlossen ist, oder direkt in der VPN-Gateway-Konfiguration festgelegt, dass für die VPN-Clients die Default-Route über das VPN geschickt werden soll.
#### 2. DNS-Server-Konfiguration
Genauso wichtig wie die Routen ist die Konfiguration der **DNS-Server**. Selbst wenn der gesamte IP-Verkehr durch den Tunnel geleitet wird, könnten DNS-Anfragen, wenn sie nicht ebenfalls durch den Tunnel gehen, ein **DNS-Leak** verursachen. Dabei würden die DNS-Anfragen weiterhin an die lokalen DNS-Server gesendet, was potenziell Ihre wahre IP-Adresse oder Ihren Standort preisgeben könnte, und zudem verhindern, dass interne Hostnamen aufgelöst werden.
* **Was der Server tut:** Der VPN-Server muss dem Client die DNS-Server-Adressen des Unternehmensnetzwerks zuweisen.
* **Beispiel (OpenVPN):** `push „dhcp-option DNS 192.168.1.10″` (wobei 192.168.1.10 die IP des internen DNS-Servers ist).
* **Beispiel (IPsec):** Die Zuweisung erfolgt oft über den gleichen Mechanismus wie die IP-Adressen für die VPN-Clients, z.B. über einen internen DHCP-Server des VPN-Gateways.
#### 3. NAT (Network Address Translation) am VPN-Gateway/Firewall
Wenn der Internetverkehr von den VPN-Clients durch den Tunnel am Firmennetzwerk ankommt, hat er die internen IP-Adressen, die den VPN-Clients zugewiesen wurden (z.B. aus einem separaten VPN-Subnetz). Diese internen IP-Adressen können nicht direkt ins Internet geleitet werden.
* **Was die Firewall/das Gateway tut:** Die Firewall oder das Gateway des Unternehmens, das den Internetzugang bereitstellt, muss **Network Address Translation (NAT)** durchführen. Genauer gesagt, Source NAT (SNAT). Das bedeutet, dass die Quell-IP-Adressen der VPN-Clients (die internen VPN-IPs) durch die öffentliche IP-Adresse des Unternehmens ersetzt werden, bevor die Pakete ins Internet gesendet werden.
* Dies ist entscheidend, damit der Internetverkehr *vom entfernten Netzwerk* zu stammen scheint.
#### 4. Firewall-Regeln
Die **Firewall** des Unternehmens muss entsprechend konfiguriert sein, um den Internetverkehr der VPN-Clients zu erlauben.
* **Was die Firewall tut:** Es müssen Regeln vorhanden sein, die den ausgehenden Internetverkehr vom IP-Adressbereich der VPN-Clients zulassen. Möglicherweise gibt es auch Regeln für einen Web-Proxy-Server, den dieser Traffic durchlaufen muss.
### Clientseitige Aspekte und Überprüfung
Die meisten modernen VPN-Clients sind darauf ausgelegt, die vom Server gepushten Routen und DNS-Einstellungen automatisch zu übernehmen. Nach dem Aufbau einer Full-Tunneling-VPN-Verbindung können Sie die Funktionalität überprüfen:
1. **Routing-Tabelle überprüfen:**
* **Windows:** Öffnen Sie die Eingabeaufforderung als Administrator und geben Sie `route print` ein. Suchen Sie nach einer Zeile wie `0.0.0.0 0.0.0.0` (die Standardroute), die auf das Gateway des VPN-Tunnels verweist.
* **Linux/macOS:** Öffnen Sie ein Terminal und geben Sie `netstat -rn` oder `ip route` ein. Suchen Sie nach einer `default`-Route, die auf die IP-Adresse des VPN-Gateways verweist.
2. **DNS-Server überprüfen:**
* **Windows:** Öffnen Sie die Eingabeaufforderung und geben Sie `ipconfig /all` ein. Prüfen Sie die DNS-Server für den VPN-Adapter.
* **Linux/macOS:** Die Datei `/etc/resolv.conf` listet die verwendeten DNS-Server auf.
3. **Öffentliche IP-Adresse überprüfen:** Besuchen Sie eine Website wie `wieistmeineip.de` oder `whatismyip.com`. Die angezeigte IP-Adresse sollte die öffentliche IP-Adresse Ihres Unternehmensstandorts sein und nicht Ihre private lokale IP-Adresse. Dies ist der ultimative Test dafür, ob der Internetverkehr tatsächlich über das entfernte Netzwerk geleitet wird.
### Herausforderungen und Optimierung
Die Implementierung von Full Tunneling ist keine triviale Angelegenheit und bringt verschiedene Herausforderungen mit sich:
* **Performance-Einbußen:** Die größte Herausforderung ist oft die reduzierte Geschwindigkeit und erhöhte Latenz.
* **Optimierung:** Eine leistungsstarke Internetanbindung am Unternehmensstandort, ein robuster VPN-Server mit ausreichender CPU-Leistung und Speicher, sowie eine schnelle Internetverbindung beim Client sind essenziell. Quality of Service (QoS) auf den Firewalls kann helfen, kritischem Verkehr Priorität einzuräumen.
* **Bandbreitenverbrauch:** Der gesamte Internetverkehr fließt doppelt (vom Client zum VPN-Server und vom VPN-Server ins Internet).
* **Optimierung:** Regelmäßiges Monitoring des Bandbreitenverbrauchs ist wichtig. Unternehmen sollten abwägen, ob Full Tunneling wirklich für alle Mitarbeiter und Anwendungen notwendig ist.
* **Sicherheitsaspekte:** Während Full Tunneling die Sicherheit erhöht, muss die Unternehmensfirewall die erhöhte Last bewältigen können. Auch der Datenschutz muss bedacht werden, da der Arbeitgeber nun den gesamten Internetverkehr der Mitarbeiter einsehen kann. Klare Richtlinien und Transparenz sind hierbei entscheidend.
* **Komplexität der Konfiguration:** Die korrekte Einrichtung von Routen, NAT und Firewall-Regeln erfordert fundiertes Wissen über Netzwerkarchitekturen und VPN-Technologien. Fehler können zu Unterbrechungen oder Sicherheitslücken führen.
### Fazit: Eine strategische Entscheidung
Die Lösung der VPN-Routing-Herausforderung, bei der Internetzugriff vom PC über ein entferntes Netzwerk erfolgt, ist durch die Implementierung von **Full Tunneling** möglich. Dies ist eine mächtige Funktion, die erhebliche Vorteile in Bezug auf Sicherheit, Compliance und den Zugriff auf spezifische Ressourcen bietet.
Es ist jedoch eine strategische Entscheidung, die sorgfältig abgewogen werden muss. Die Vorteile müssen gegen die potenziellen Nachteile in Bezug auf Performance, Bandbreitenverbrauch und die Komplexität der Implementierung abgewogen werden. Für Unternehmen, die höchste Sicherheitsstandards und strikte Compliance-Anforderungen erfüllen müssen, ist Full Tunneling oft der einzige gangbare Weg. Für andere Szenarien könnte Split Tunneling, trotz seiner Einschränkungen, die praktikablere Option sein. Letztendlich erfordert die erfolgreiche Implementierung eine gründliche Planung, eine robuste Infrastruktur und ein tiefes Verständnis der zugrunde liegenden Netzwerktechnologien.