Andrea Danti - Fotolia

Tipps zur Verwaltung von zwei parallelen VPN-Verbindungen

Für Remote-Mitarbeiter gibt es die Option, zwei gleichzeitige VPN-Verbindungen auf ihrem Gerät einzurichten. Aber das funktioniert nicht immer oder ist nicht sicher.

Wegen der Coronapandemie arbeitet ein Großteil der Mitarbeiter in Unternehmen vom Home-Office aus. Daher hat der Fernzugriff auf geschäftliche Informationssysteme und Services extrem zugenommen. Die Netzwerkadministratoren müssen daher verschiedene Optionen prüfen, um den Remote-Mitarbeitern die optimalen Ressourcen zur Verfügung zu stellen, die sie für produktives Arbeiten benötigen.

Dieser Artikel diskutiert die Vor- und Nachteile der gleichzeitigen Einrichtung von zwei VPN-Verbindungen von einem Remote-Gerät aus.

Hier ist ein mögliches Szenario: Ein entferntes Notebook nutzt das Internet als Übertragungsmedium und stellt normalerweise über ein VPN eine Verbindung zu hostbasierten Systemen her. Das VPN-Gerät bietet Zugriffskontrolle, Sicherheit und andere Mechanismen, um eine sichere Verbindung zu gewährleisten.

Angenommen, der Remote-Benutzer möchte gleichzeitig eine Verbindung zu einem anderen System oder einer entsprechenden Ressource seines Unternehmens herstellen. Kann dieser Benutzer diese Verbindung über denselben VPN-Tunnel aufbauen? In den meisten Fällen lautet die Antwort Nein, da die VPN-Software in der Regel nur jeweils eine Verbindung unterstützt.

Die Installation eines zweiten Images der VPN-Software und einer zusätzlichen Netzwerkkarte wird wahrscheinlich nicht funktionieren, da sich die VPN-Clients überlappen und sich gegenseitig stören können. Abbildung 1 zeigt, wie das in der Praxis funktionieren könnte.

Abbildung 1: VPN Split Tunneling
Abbildung 1: VPN Split Tunneling

Mobile Mitarbeiter oder Kollegen im Home-Office greifen normalerweise über einen VPN-Tunnel auf ihre primären Arbeitssysteme und Ressourcen zu. Für den Zugriff auf zusätzliche webbasierte Dienste ist jedoch eine Nicht-VPN-Verbindung zum Remote-Host notwendig.

Sicherheit und Verfügbarkeit sind die wichtigsten Faktoren für die VPN-Nutzung. Daher müssen Netzwerkadministratoren beispielsweise den Datenverkehr über Nicht-VPN-Verbindungen verschlüsseln oder andere Vorkehrungen treffen, um sicherzustellen, dass die nachgefragten Informationen sicher, ihre Vertraulichkeit und Integrität geschützt und ihre Verfügbarkeit gewährleistet sind.

Eine mögliche Lösung ist Split Tunneling. Darunter versteht man die Konfiguration eines einzelnen VPN-Clients mit einer Richtlinie, die es dem Client erlaubt, mehr als ein Ziel zu erreichen. Ein Beispiel: Die VPN-Richtlinie könnte besagen, dass der gesamte an 192.168.0.0/24 gesendete Datenverkehr über einen VPN-Tunnel zur zentralen Geschäftsstelle geht. Anderer Datenverkehr geht ohne VPN über das Internet zu den entfernten Standorten.

Fragen, die bei Planung von VPN-Verbindungen zu stellen sind

Netzwerkadministratoren sollten sich folgende sieben Fragen stellen und beantworten, wenn sie gleichzeitige VPN-Verbindungen und Split Tunneling in Betracht ziehen:

  • Können wir eine VPN-Richtlinie definieren und entsprechend programmieren, die die gewünschte Leistung erbringt?
  • Kommen sich die IP-Adressen der beiden angedachten VPN-Ziele ins Gehege, weil sie sich überlappen, oder sind sie statisch? Wenn der Remote-Host eine dynamische Adresse aufweist, kann die Konfiguration einer Richtlinie schwierig sein.
  • Erlaubt das VPN-Gerät Split Tunneling?
  • Welche Vorkehrungen müssen wir im Voraus treffen, bevor wir Split Tunneling verwenden können?
  • Verfügt das für Split Tunneling zuständige Gerät über eine Sicherheitsfunktion, die verhindert, dass eine Hintertür geöffnet wird, durch die Datenverkehr, der über die Nicht-VPN-Verbindungen läuft, durch den VPN-Tunnel auf den Rechner gelangen könnte?
  • Ermöglicht das VPN-Gerät eine detaillierte Definition und Konfiguration von VPN-Richtlinien?
  • Erlaubt das VPN-Gerät unserem Client-Server-Protokoll, eingehende Verbindungen zum Notebook zu akzeptieren?

Gedanken zur Planung gleichzeitiger VPN-Verbindungen

Wenn der VPN-Client Split Tunneling nicht unterstützt, können Mitarbeiter möglicherweise nicht gleichzeitig auf lokale und internationale Internetdienste zugreifen. Es besteht die Gefahr, dass sie einen Großteil der Netzwerkbandbreite ineffizient nutzen sowie möglicherweise nicht auf mit dem LAN verbundene Geräte zugreifen können, während sie sich im VPN befinden.

Wenn das VPN-Gerät Split Tunneling unterstützt, sollte der Administrator prüfen, ob es sowohl auf entfernte Systeme sowie lokale IP-Adressen zugreifen kann, und ob sichere Downloads möglich sind, ohne den Durchsatz zu anderen Webaktivitäten zu beeinträchtigen. Zudem gilt es zu überprüfen, ob andere lokale Geräte wie Drucker während des Zugriffs auf Internetressourcen noch funktionieren.

Datenverkehr, der nicht über ein sicheres VPN läuft, kann von anderen Personen eingesehen werden, beispielsweise von einem Internet Service Provider oder natürlich von Hackern und anderen Cyberkriminellen.

Firmen sollten daher immer die geschäftlichen Anforderungen von Mitarbeitern an entfernten Standorten genau prüfen, bevor Sie alternative VPN-Umgebungen untersuchen. Um optimale Antwortzeiten, Sicherheit und Leistung des VPN zu gewährleisten, müssen Netzwerktechniker diese Punkte sorgfältig analysieren:

  • auf welche Ressourcen greifen die Mitarbeiter aus der Ferne zu;
  • welche Art der Aktivitäten (zum Beispiel Sessions) werden die Remote-Benutzer durchführen;
  • die verfügbare Bandbreite; und
  • Netzwerkzugriff sowie Sicherheitsvorrichtungen.

Netzwerktechniker können diese bewährten Verfahren nutzen, um zusätzliche Effizienz für Remote-Benutzer zu ermöglichen, die VPNs für den Zugriff auf die Informationsdienste des Unternehmens verwenden. Die IT-Teams müssen die notwendigen Anforderungen allerdings sorgfältig prüfen, bevor sie spezifische Änderungen an der Konfiguration von Geräten und Netzwerk ins Auge fassen.

Fortsetzung des Inhalts unten

Erfahren Sie mehr über LAN-Design und Netzwerkbetrieb

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close