Tunnelbau

Router und Smartphones im VPN-Zusammenspiel

Wissen | Know-how

Den sicheren Zugang zum heimischen Netz eröffnet ein VPN-Router, auch für Smartphones. Doch nicht alle Router verstehen sich mit den Hemdtaschenbewohnern.

Ein VPN-Router eröffnet einen sicheren Zugang zum LAN von unterwegs, sodass man Server aus der Ferne warten oder auch TV-Receiver mal eben von der Urlaubsinsel aus programmieren kann. Für solche Noteinsätze erscheinen Smartphones prädestiniert, denn als Hemdtaschenbewohner reisen sie mühelos mit. Eine Handvoll Router muss im Test beweisen, wie gut sie sich mit den Smartphones versteht.

Router mit eingebautem VPN-Server kosten nicht die Welt und ermöglichen den gesicherten Zugang zum Firmennetz oder dem heimischen LAN über das ungesicherte öffentliche Internet. So kann man unterwegs einen PC per Wake-on-LAN-Technik für den Faxempfang aus dem Stromsparschlaf wecken, Server warten, Verwandten bei der Mausführung über die Schultern schauen oder auch den mobilen Musik- oder Fotovorrat auffrischen. Das geht sehr bequem per Laptop, aber zunehmend setzt man dafür Smartphones als Fernsteuergerät ein, denn sie sind nicht nur handlicher und ab Werk schon mit passender Software ausgerüstet, sondern haben mit WLAN und Mobilfunkmodem gleich zwei Zugangsmöglichkeiten zum Internet schon an Bord.

Für den Aufbau von Virtual Private Networks kommt als Server auch ein PC mit zusätzlicher Software in Betracht, aber weil Router ohnehin schon für die Internet-Verbindung eingeschaltet sein müssen, liegt es generell nahe, sie mit Anwendungen aufzurüsten, die nach der Grundeinrichtung unbeaufsichtigt laufen können – sei es das Filesharing, der Print-Service oder eben der VPN-Dienst. Zudem sind sie leichter als PCs zu warten und in puncto Stromaufnahme genügsamer.

Gegenwärtig sind bei Routern die Verfahren IPsec, L2TP und PPTP verbreitet, seltener kommen SSL-VPN und OpenVPN vor. Letzteres lässt sich immerhin mit einigem Router-Tuning in eine Vielzahl von Routern nachträglich einbauen, wenn sie sich mit einer Spielart der frei erhältlichen WRT-Firmware ausrüsten lassen.

Für den Einsatz mit Smartphones empfiehlt sich aber am ehesten das von Ascend, Microsoft, 3Com und anderen entwickelte Point-to-Point Tunneling Protocol (PPTP), weil es auch auf Smartphones verbreitet ist und nur geringe Anforderungen stellt. Auf dem Router muss man lediglich den Service einschalten und mindestens ein Zugangsprofil mit Benutzername und Passwort definieren – fertig. Auf dem Smartphone trägt man neben diesen Credentials nur noch den DNS-Namen des Routers ein und kann dann schon Verbindungen aufbauen.

Die sechs zum Test gelieferten Modelle stammen von AirLive, D-Link, DrayTek, LevelOne und Trendnet und sie kosten zwischen 60 und 100 Euro. Die Router AirLive IP-2000VPN, LevelOne FBR-1430 und Trendnet TW100-BRV204 sind mit identischen Platinen ausgestattet. Die Betriebssysteme der Geräte unterscheiden sich allerdings, besonders in puncto Funktionsumfang. So sind alle drei zwar mit einem Switch für einen WAN- und vier LAN-Ports ausgestattet, aber nur die beiden von AirLive und Trendnet bieten auf einem der LAN-Ports eine DMZ-Funktion (Demilitarized Zone, sämtlicher Verkehr zwischen einem DMZ- und den übrigen LAN-Ports muss den Paketfilter des Routers passieren). Deshalb, und auch weil sie in Prüfungen unterschiedlich abgeschnitten haben, handeln wir sie im Weiteren separat ab.

Einige zuvor schon getestete VPN-fähige Router [1] sind nicht berücksichtigt, weil sie über dem Preisrahmen von 100 Euro liegen. Die Fritz!Box-Modelle sind mangels PPTP-Funktion nicht dabei. Der ebenfalls bereits getestete AirLive WN-300ARM-VPN wird zwar noch immer mit einer älteren Firmware ohne PPTP ausgeliefert, aber immerhin ist seit einigen Monaten ein Update inklusive PPTP-Funktion und Fehlerbereinigungen erhältlich.

Alle Testkandidaten mussten die für Router üblichen Testdisziplinen durchlaufen, wobei wir Bedienung, Sicherheit und Funktionsumfang gewertet haben. Zusätzlich mussten die Teilnehmer PPTP-Verbindungen gegen drei gängige Smartphones aufbauen, nämlich Apple iPhone, T-Mobile G1 (Android 1.6) und HTC HD2 mit Windows Mobile 6.5. Als Gegenprobe für die Smartphones haben wir die Router zusätzlichen Kopplungstests mit Windows-7- sowie Mac-OS-X-Clients unterzogen.

Auf Seiten der Smartphones klappte freilich nicht alles auf Anhieb. Beispielsweise können Windows-Mobile-Geräte trotz korrektem Verbindungsaufbau ohne besondere Vorkehrungen keine Gegenstelle im VPN erreichen – sie benötigen im VPN-LAN einen Name-Server und der Router muss dessen Adresse beim VPN-Verbindungsaufbau dem VPN-Client mitteilen. Diesen Aspekten widmen wir uns in einem kommenden Artikel.

PPTP genießt unter VPN-Profis nicht den allerbesten Ruf. Das liegt vor allem daran, dass die Kennwort-basierte Authentifizierungstechnik bei unvorsichtiger Handhabe leicht auszuhebeln ist und somit Böswillige leichtes Spiel haben, sich Zugang zu einem VPN zu verschaffen. Es sind zwar auch Authentifizierungen per RSA-SecurID, individuellen Zertifikaten und CryptoCard-Technik möglich, aber in Geräten der Einstiegsklasse nicht gebräuchlich.

Immerhin ist man auch mit PPTP auf der sicheren Seite, wenn man für die Verschlüsselung 128 Bit lange Schlüssel verwendet und bei der Kennwort-basierten Authentifizierung mindestens 14 Zeichen lange Zeichenketten sowie die Authentifizierungsmethode MS-CHAPv2 verwendet. Die älteren Verfahren gemäß PAP, CHAP und MSCHAP bieten die im Test vertretenen Router zwar ebenfalls, aber man sollte sie sicherheitshalber abschalten.

PPTP baut über den TCP-Port 1723 zwischen den Gegenstellen zunächst einen Steuerkanal auf und dann über einen separaten Kanal einen Tunnel, um in PPP-Paketen gekapselte IP-Pakete zu übertragen. Den Tunnel erzeugt es mittels des Protokolls Generic Routing Encapsulation (GRE, Protokollnummer 47). Beide Kanäle sind also erforderlich, damit sich ein Client mit dem PPTP-Server verbindet.

Über den Steuerkanal werden regelmäßig auch Prüfpakete übertragen, um sicherzustellen, dass die Gegenseite erreichbar ist. Wird ein Prüfpaket nicht bestätigt, wird der Tunnel abgebaut – und das ist die Ursache dafür, dass bei schlechten Mobilfunkverbindungen der Kontakt zum PPTP-Server häufig abreißt.

Wenn eine PPTP-Verbindung gar nicht erst zustande kommt, dann liegt das in der Regel daran, dass mindestens ein weiterer Router mit eingeschalteter Network Address Translation (NAT) auf der Strecke zwischen den Gegenstellen steht und das GRE-Protokoll diese NAT-Grenze nicht passieren kann. Das kommt bei älteren Routern vor. Obwohl Mobilnetzbetreiber PPTP in ihren Netzen nicht blockieren, sondern sogar ausdrücklich unterstützen, kann ein ähnliches Symptom auch in Mobilnetzen auftreten, wenn man einen Privatkundentarif nutzt.

Dabei erhalten die Mobilgeräte, also auch Smartphones, nur IP-Adressen aus dem privaten Bereich, die dann per Network Address Translation auf einige gemeinsame öffentliche IP-Adressen abgebildet werden – öffentliche IP-Adressen im IPv4-Adressraum sind eben ein kostbares Gut. Die Gesamtmenge an gleichzeitig ins Internet eingebuchten Mobilgeräten wird also in IP-Pools aufgeteilt, wobei jeder Pool über eine einzige öffentliche IP-Adresse mit dem öffentlichen Internet spricht.

Üblicherweise setzen Mobilnetzbetreiber PPTP-Helper auf der Firewall ein, um PPTP-Daten von einem Mobilgerät ins öffentliche Internet durchzureichen und umgekehrt. Das klappt aber nicht für beliebig viele Teilnehmer, weil sich über jede öffentliche IP-Adresse nur eine einzige GRE-Verbindung durchreichen lässt. Das bedeutet, dass der erste Teilnehmer eines Pools eine PPTP-Verbindung bekommt und die Nachfolgenden leer ausgehen, bis der erste seine Verbindung beendet hat. Erst mit der nächsten freien Pool-IP lässt sich ein weiterer PPTP-Tunnel aufbauen – bis alle Pool-IPs aufgebraucht sind.

Geschäftskunden kennen dieses Problem nicht. Im Rahmen ihrer weitaus teureren Verträge erhält jeder Teilnehmer eine eigene öffentliche IP-Adresse, sodass keine NAT-Probleme auftreten. Dafür buchen sich Geschäftskunden über einen eigenen Access Point Name (APN) ins Internet ein.

Wir haben die Smartphones mit Privatkundentarifen von O2, T-Mobile und Vodafone getestet und sind auf die Beschränkungen nur gelegentlich gestoßen. Aus Sicherheitsgründen sind dennoch alle Kopplungstests zwischen den Smartphones und den Routern über WLAN-Verbindungen eines separaten DSL-Routers ermittelt worden.

Der AirLive IP-2000VPN ist ein Breitband-Router ohne eigenes Modem. Die Elektronik hat der Hersteller in einer kompakten, nüchtern gehaltenen Metallbox untergebracht, die geschickt über eine einzige Schraube zusammengehalten wird.

Das User-Interface hat viele Ähnlichkeiten mit dem des FBR-1430 von LevelOne. Manche Eingabemasken mitsamt Unteroptionen unterscheiden sich nur hinsichtlich der grafischen Verzierungen. Die Grundeinrichtung gelingt ohne Weiteres. Darüber hinaus braucht man aber einige Vorkenntnisse, zumal die Bedienungsanleitung nur englisch ist.

Ein Funktionsmonster ist der AirLive-Router nicht gerade. Beispielsweise lässt sich für LAN-Stationen keine separate DNS-Einstellung über den eingebauten DHCP-Server einrichten. Immerhin kann man in der Internet-Konfiguration den DNS auch per Hand festlegen und so auf einen eigenen Server im LAN verweisen.

Es irritiert, dass das Gerät über seine VPN-Aktivitäten in zwei Log-Bereichen Buch führt. Ein mickriges Log-Fenster direkt im PPTP-Bereich blendet ohne ersichtlichen Zusammenhang zu VPN-Aktivitäten immer mal wieder kryptische Einträge ohne Uhrzeit ein; das dürfte allenfalls den Entwicklern bei der Fehlersuche helfen.

Die sollten sich auch dringend an die Arbeit machen, denn im Test kamen VPN-Verbindungen nur mit Windows-7-Clients zustande. Dass es mit derselben Hardware auch etwas besser geht, zeigt das baugleiche Gerät von Trendnet. Unschön fanden wir, dass der IP-2000VPN mit MAC-Adressen versehen ist, die die IEEE noch keinem Hersteller zugeordnet hat (00:4f:74:xx:xx:xx). Das kann ein Patzer sein, aber letztlich bleibt so der eigentliche Hersteller der Hardware im Dunkeln.

Details zu Fehlverbindungen sollte eigentlich ein zweites, deutlich ausführlicheres Log-Fenster auflisten, das man nach einigen Mausklicks im Bereich Security findet. Aber im Test erschien darin nicht ein einziger Buchstabe. Ebenso wortkarg hinsichtlich des PPTP-Verkehrs gab sich der IP-2000VPN gegenüber einem eigens eingerichteten Syslog-Server, obschon er beispielsweise über den üblichen IP-Verkehr erwartet umfangreich berichtete.

Mit dem WN-300ARM-VPN hat AirLive auch einen Router mit WLAN-Funk gemäß der IEEE-Norm 802.11n und ADSL2+-Modem im Programm. Das Testmuster wurde mit der veralteten Firmware-Version 1.00.04 geliefert. Ein Update auf die aktuelle Version 1.00.07 brachte die erwünschte PPTP-Funktion, kostete uns aber alle vorher gemachten Einstellungen – danach war das Gerät wieder in Werkskonfiguration. Den Versuch, die ursprüngliche Konfiguration aus zuvor angelegter Datei wiederherzustellen, kann man sich sparen, denn die Firmware 1.00.07 akzeptiert die mit 1.00.04 erzeugten Konfigurationsdateien nicht.

Gestört hat uns auch, dass die manuelle Konfiguration nach wie vor unpassende Werte für die PPPoE-Konfiguration vorschlägt: Es sind VPI 8 und VCI 35 sowie VC-Based voreingestellt, während hierzulande die Werte 1 und 32 sowie LLC-Based üblich sind. Störend fanden wir weiterhin, dass man Internet-Einstellungen auch nachträglich nur über den „Setup Wizard“ ändern kann.

Positiv schlägt aber zu Buche, dass man PPTP mit wenigen Mausklicks einrichten kann und dann auch in einem leicht zu erreichenden Fenster über den VPN-Status informiert wird. Im „VPN Server Status“ sind dann nicht nur aktuelle Verbindungen inklusive User-Name und IP-Adresse der Gegenstelle zu sehen, sondern man kann dort auch Verbindungen per Mausklick trennen.

Insgesamt hinterließ das Gerät als VPN-Router einen durchwachsenen Eindruck. Es baute nur zu einer von drei Smartphone-Gegenstellen VPN-Verbindungen auf und ließ manchen Netzwerkerwunsch offen; zum Beispiel lässt sich die Adresse des DNS nicht per DHCP an Clients übermitteln.

In einem metallisch aussehenden Kunststoffgehäuse hat D-Link seinen DI-804HV untergebracht, einen Breitbandrouter ohne eigenes Modem. Am Gehäuseboden sind wie beim AirLive WN-300ARM-VPN und dem DrayTek Aussparungen für die Wandmontage angebracht und auf der Rückseite findet sich neben einem Fünf-Port-Switch für einen WAN- und vier LAN-Ports eine in der Computer-Welt kaum noch gebräuchliche RS-232-Schnittstelle, über die sich ein externes Modem für Telefonanschlüsse ansteuern lässt. Wenn etwa DSL ausgefallen ist, kann der DI-804HV also wie zu Anbeginn der Web-Zeiten über eine Wählleitung dennoch Internet-Verbindungen aufbauen.

Die Grundkonfiguration gelingt ohne Weiteres, dem User-Interface haften nur kleine Makel an. Für jede einzelne Einstellung muss man den Router neu starten, der DNS lässt sich in der Internet-Konfiguration nicht manuell eintragen, wenn man als Verbindungsart PPPoE mit dynamischer IP-Adressvergabe verwendet. Über zwei Setup-Wizards lassen sich Internet-Zugang, Zeitzone und auch VPN-Konten schnell einrichten, aber ein übergeordneter Einschaltknopf für VPN verbleibt danach dennoch in der Ausgeschaltet-Stellung.

Die VPN-Voreinstellungen des VPN-Wizards sollte man allerdings nicht übernehmen, denn er stellt zur Authentifizierung nur das veraltete MSCHAP ein, obwohl der auch das bessere MSCHAPv2 beherrscht. Das muss man dann per Hand im Bereich „Home, VPN, PPTP Server“ einschalten.

Im Fehlerfalle kann man sich anhand der diversen Protokolle im Statusbereich schnell ein Bild machen; neben einer detaillierten Seite zum Geräte- und Verbindungsstatus führt der DI-804HV auch vorbildlich über PPPoE- und VPN-Aktivitäten Buch. Der Administrator kann dort ebenso VPN-Verbindungen per Hand trennen. Automatisches Auffrischen des Fensterinhalts fehlt, aus dem Statusfenster kann man mit einem Klick zur Konfiguration verzweigen.

Der PPTP-Server spielte mit Windows-Mobile- und Windows-7-Gegenstellen nicht zusammen, Verbindungsversuche kamen nicht über den Authentifizierungsschritt hinaus („Benutzername und Kennwort werden überprüft“).

Im LevelOne FBR-1430 steckt dieselbe Platine wie beim AirLive IP-2000VPN, jedoch mit einer schmaler ausgestatteten Firmware. Immerhin sind aber unter dem Menü „Advanced“ einige fortgeschrittene Funktionen zu finden, darunter Fernkonfiguration, Alarmbenachrichtigung per E-Mail, statische Routen oder auch ein Scheduler, über den sich URL- und Firewall-Filter zeitabhängig ein- und ausschalten lassen.

Bei der Einrichtung hilft eine im Router eingebaute Hilfe-Funktion. PPTP nennen die Entwickler etwas irreführend „Microsoft VPN“ und zusätzlich zu der zuverlässigen Authentifizierung MSCHAPv2 schalten sie ab Werk auch die veralteten Verfahren PAP, CHAP und MS-CHAP ein. Immerhin kann man diese einfach per Mausklick ausschalten.

In den Kompatibilitätsprüfungen schnitt es enttäuschend ab, PPTP-Verbindungen gelangen dem Gerät lediglich mit Windows-7-Gegenstellen. Bei der Fehlersuche hilft es ebenso wenig wie das AirLive-Gegenstück – aus gleichen Gründen.

Der Trendnet TW100-BRV204 steckt wie der AirLive IP-2000VPN in einem kleinen Metallkästchen. Konzepte und einzelne Elemente des User-Interface sind ebenfalls ähnlich, aber beim Trendnet nicht nur optisch gefälliger, sondern auch besser sortiert. Portweiterleitungen oder auch Firewall-Filter lassen sich nur umständlich anhand einer gesondert zu pflegenden Service-Liste einrichten. Einmal angelegte Services lassen sich nicht nachträglich editieren, man muss sie für Änderungen löschen und neu eintragen.

Als PPTP-Server hinterließ der Trendnet-Router einen schwachen Eindruck, auch wegen einer nur mickrigen Protokollfunktion. Auf Wunsch kann man eine Abwehrfunktion für unerwünschte PPTP-Verbindungen einschalten; eine Attack Detection zählt die Anzahl der Fehlversuche und kann dann PPTP-Antworten ab einem Schwellwert für eine vorgegebene Zeit einstellen. Im Test gelangen keine Verbindungen mit Android- und Windows-Mobile-Smartphones. Immerhin kamen sie reibungslos mit dem iPhone sowie Mac- und Windows-7-Gegenstellen zustande.

Den größten Funktionsumfang im Test bringt der DrayTek Vigor2110 mit. Unter anderem findet man VLAN-, QoS- und ausführliche Einstellungen für die Bandbreitenzuteilung, DNS-Einstellungen lassen sich an Clients per DHCP übermitteln. Neben PPTP hat das Gerät wie der D-Link-Router auch IPSec und L2TP an Bord. Die VPN-Funktionen sind ab Werk betriebsbereit, man muss nur noch einen Benutzernamen und ein Kennwort eintragen, um VPN-Tunnel aufbauen zu können. Der Vigor2110 baut als einziger Router auf Wunsch auch ausgehende VPN-Verbindungen auf (VPN-Client).

Als einziger Kandidat akzeptierte er PPTP-Verbindungen von allen Testgegenstellen. Von Haus aus teilt er den VPN-Clients IP-Adressen über seinen DHCP-Server zu. Man kann aber auch jedem VPN-Client eine feste IP-Adresse zuordnen. Der Inhalt des Statusfensters wird turnusmäßig aktualisiert, einzelne Clients kann man per Mausklick rauswerfen, NetBIOS leitet der Router bei Bedarf zu den VPN-Clients durch. Zu wünschen bleibt dennoch das eine oder andere übrig. Beispielsweise kann das Gerät kommerzielle Zertifikate verwenden und auch selbst Certificate Requests erzeugen – aber eine Funktion zum Erzeugen eines selbstsignierten Zertifikats sucht man vergeblich.

Die Gruppe der PPTP-Entwickler scheint ein Graben zu trennen: Die einen legen das Protokoll anscheinend im Sinne von Microsoft für die diversen Windows-Varianten aus, die anderen richten ihre PPTP-Server an den Clients der Unix-Welt aus. Unter den Testkandidaten verstand sich nur ein Router mit Vertretern beider Welten, der DrayTek Vigor2110. Auch in den übrigen Testkriterien führt er das Testfeld an.

Dahinter sortieren sich die Geräte von D-Link, die beiden AirLive-Geräte WN-300ARM-VPN und IP-2000VPN sowie Trendnet TW100-BRV204 und LevelOne FBR-1430 ein. Besonders auf die Firmeware-Fortschritte der drei Letzteren darf man gespannt sein, denn die Hakeleien mit PPTP-Gegenstellen außerhalb des Microsoft-Dorfs sollten eigentlich leicht zu beheben sein. (dz)

  1. Dusan Zivadinovic, Nach Hause tunneln, Router mit VPN-Service im Test, c’t 21/09, S. 128
VPN-Router (Teil 1)
Modell IP-2000 WN-300ARM-VPN DI-804HV
Hersteller/Anbieter AirLive/21byte AirLive/21byte D-Link
Bauart Breitband-Router WLAN-DSL-Router Breitband-Router
getestete Firmware-Version 1.0R5 1.00.07 1.51b07
Ports 1 x FE1 WAN, 4 x FE LAN 1 x DSL, 4 x FE LAN 1 x FE WAN, 4 x FE LAN, RS232
Kopplungstest
Apple iPhone - - +
Windows Mobile (HTC HD2) - + -
Android (T-Mobile G1) - - +
PC-Gegenstellen
Mac OS X - - +
Windows 7 + + -
Preis 79 € 100 € 89 €
1 Fast Ethernet
VPN-Router (Teil 2)
Bezeichnung Vigor2110 FBR-1430 TW100-BRV204
Hersteller/Anbieter DrayTek LevelOne Trendnet
Bauart Breitband-Router Breitband-Router Breitband-Router
getestete Firmware-Version 3.3.1 1.0R14 2.0R10
Ports 1 x FE1 WAN, 4 x FE LAN, USB 1 x FE WAN, 4 x FE LAN 1 x FE WAN, 4 x FE LAN
Kopplungstest
Apple iPhone + - +
Windows Mobile (HTC HD2) + - -
Android (T-Mobile G1) + - -
PC-Gegenstellen
Mac OS X + - +
Windows 7 + + +
Preis 95 € 65 € 63 €
1 Fast Ethernet
Anzeige