Bevor es losgeht lassen Sie uns einen Blick hinter die Kulissen werfen. Denn die Verwendung eines VPN-Tunnels kann nicht nur Sinn beim Zugriff auf das Internet über ein öffentliches WLAN-Netzwerk machen. Auch Ihr Heimnetzwerk können Sie dadurch besser schützen, sollten Sie einen externen Zugang benötigen.

Nachteile von Port-Forwarding

Sollten Sie beispielsweise ein NAS-Gerät mit einem integriertem Webserver nutzen - diese Funktionalität bieten unter anderem bestimmte Geräte der Hersteller QNap, Synology und Thecus - so müssen Sie Ihren Internet-Router so konfigurieren, dass alle eingehenden Anfragen, die an den Zielport 80 gerichtet sind (dies ist der Standard-Port für Webserver), an Ihr NAS-Gerät weitergeleitet werden. Diesen Vorgang nennt man Port-Forwarding. Demzufolge müssen Sie jeden einzelnen Port, der in Ihrem Heimnetzwerk erreichbar sein soll, in Ihrem Router "freischalten" und auf die dementsprechende IP-Adresse in Ihrem Netzwerk umleiten. Dies können zum Beispiel Port 3389 (Remote Desktop Verbindung) oder Port 5000 sein (Web-Konfigurationsoberfläche von Synology NAS-Geräten). Eine komplette Übersicht ist aufgrund der Vielfalt jedoch schwierig.

Es ergibt sich allerdings folgende Problematik: Erstens sind alle Ports direkt aus dem Internet erreichbar, was es potenziellen Angreifern unter Ausnutzung von Sicherheitslücken in den angebotenen Diensten erleichtern kann, in Ihr Heimnetzwerk einzudringen. Zweitens kann unter Verwendung von NAT (Network Address Translation) immer nur jeweils ein Port an eine Ziel-IP-Adresse weitergeleitet werden.

So ist es nicht möglich, in einem Heimnetzwerk zwei Windows-Computer zu betreiben, auf die aus dem Internet per Remote Desktop zugegriffen werden soll, ohne bei einem Computer die Port-Nummer in der Windows-Registry (im Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp)zu ändern. Darüber hinaus sollte man sich auch die Frage stellen, welche Dienste einen Direktzugriff aus dem Internet tatsächlich erfordern. Der Zugriff auf den Standard-Port 80 fällt sicherlich in diese Kategorie; der Weltöffentlichkeit aber die Möglichkeit zu geben, per Remote Desktop den eigenen Computer zu steuern oder die Administrationsoberfläche des NAS-Geräts zu erreichen hingegen kaum.

Administrationszugang per VPN

Per so genanntem VPN-Tunnel können Sie die genannten Klippen umschiffen und sich einen exklusiven Administrationszugang in Ihr Netzwerk einrichten. Denn durch die VPN-Technologie haben Sie die Möglichkeit, auch über geographisch getrennte Standorte hinweg per Internet auf Geräte in Ihrem Heimnetzwerk so zuzugreifen, als seien Sie zuhause. Die gesamte Kommunikation mit Ihrem Netzwerk wird dabei verschlüsselt und über den VPN-Tunnel über das Internet übertragen. Um an dieser Stelle auf unser Eingangsbeispiel mit gesperrten Ports in öffentlichen WLAN-Netzen zurückzukommen: Sie haben bei dementsprechender Konfiguration auch vollen Zugriff auf das Internet unter Nutzung Ihres Internet-Zugangs zuhause.

Funktionsweise

Vereinfacht ausgedrückt baut die VPN Client-Software auf Ihrem Notebook über das Internet eine verschlüsselte Verbindung mit Ihrem VPN-Server auf und macht Sie zu einem Teil des Heimnetzwerks. Haben Sie in Ihrem Heimnetzwerk ein NAS-Gerät, welches die IP-Adresse 192.168.0.2 besitzt und eine Web-Konfigurationsoberfläche auf Port 5000 anbietet, so können Sie bei einer bestehenden VPN-Verbindung auf dieses Gerät durch die Eingabe der URL http://192.168.0.2:5000 in Ihrem Browser zugreifen. Das erwähnte Port-Forwarding ist dadurch nicht mehr notwendig und die Web-Konfigurationsoberfläche des NAS-Geräts ist vor der Außenwelt geschützt. Ein Port-Forwarding für den Zugriff auf weitere Dienste wie den Remote-Desktop Dienst ist selbstverständlich ebenfalls nicht mehr notwendig.

Kompletten Datenverkehr über VPN leiten

Je nach Konfiguration der VPN-Verbindung können Sie nicht nur Anfragen in Ihr Heimnetzwerk über den VPN-Tunnel leiten, sondern auch Anfragen, die an einen Server im Internet gehen. Die Anfragen landen hierbei dann zuerst auf Ihrem Router, der diese wiederum an den Server im Internet weiterleitet. Auf dem umgekehrten Wege nimmt ihr Router die Antworten des Servers dann ebenfalls entgegen und schickt Sie über den VPN-Tunnel auf ihr Notebook. So lassen sich auch die eingangs erwähnten Portsperren umgehen und doch noch E-Mails abrufen.