VPN

„virtuelles privates Netzwerk“

Netzwerktunnel / Overlay-Netzwerk

Die unteren Schichten des OSI-Modells werden als „Transportnetz“ verwendet um darüber andere Protokolle zu sprechen. In VPNs (Tunneln und allgemein in Overlay-Netzwerken) ist es üblich, dass Protokolle aus normalerweise niedrigeren Layern über Protokolle höherer Layer transportiert werden.

flowchart LR
 A<-->B

 subgraph A[Host 1]
 a7[7]-.-a6
 a6[6]-.-a5
 a5[5]-.-a4
 a4[4]-.-a3
 a3[3]-.-a2[2]
 end
 subgraph a2[TAP]
 at4[4]-.-at3
 at3[3]-.-at2
 at2[2]-.-at1[1]
 end

 subgraph B[Host 2]
 b7[7]-.-b6
 b6[6]-.-b5
 b5[5]-.-b4
 b4[4]-.-b3
 b3[3]-.-b2[2]
 end
 subgraph b2[TAP]
 bt4[4]-.-bt3
 bt3[3]-.-bt2
 bt2[2]-.-bt1[1]
 end

VPNs laufen häufig auf den Layern 3, 4 oder 5 des Transportnetzes und können dementsprechend zur Datenübertragung auf dem Layer 2, 3 oder 4 des Transportnetzes aufbauen. Nutzdaten werden beispielsweise mittels Ethernet-Frames, IP-Packet oder UDP-Datagram/TCP-Segment transportiert.

TUN/TAP (bzw. Virtual Tunnel Interface)

Für die Nutzung von VPNs wird als Schnittstelle für andere Anwendungen häufig eine virtuelle Netzwerkschnittstelle bereitgestellt.

Diese arbeiten üblicherweise auf Layer 3 (TUN-Device) oder Layer 2 (TAP-Device). In der Cisco-Welt wird statt dessen von „Virtual Tunnel Interface“ (VTI) gesprochen.

Manche VPN-Protokolle (z.B. IPSec) sind so tief im Betriebssystem eingebaut, dass sie Routing ohne zusätzliche virtuelle Netzwerkschnittstellen erlauben.

VPN Protokolle

WireGuard

• Performance

OpenVPN

• Verbreitet
• Flexibel, Einfach

SSH

• Minimallösung

• tun-devices (Layer-3-Tunnel)
• Socket-Weiterleitung
• X11-Weiterleitung

Virtual eXtensible LAN (VXLAN)

• Layer-2
  • Alternative zu L2TP
• Unverschlüsselt!
  • Verwendung häufig in Kombination mit IPSec

Sonstige

• Tinc
• fastd

Layer 2 Tunneling Protocol (L2TP)

• Unverschlüsselt!
• PPTP + L2F

Point-to-Point Tunneling Protocol (PPTP)

• Unsicher!

Layer 2 Forwarding (L2F)

• Unverschlüsselt!

IPSec

• Layer-3
• verbreitung im Umfeld von Cisco + Windows
• benötigt 2 Public IPs (bzw. Erweiterung für NAT)
• Komplexität
• sehr viele RFCs

Verbindungsaufbau

Security Association (SA)

• Austausch von Sicherheitsparametern
  • IKE-Version
  • ESP oder AH

Internet-Key-Exchange-Protokoll (IKE)

• verwendet Diffie-Hellman-Schlüsselaustausch
• IKEv1 oder IKEv2 (Verfügbarkeit herstellerabhängig)

Authentication Header (AH) und Encapsulating Security Payload (ESP)

• können einzeln oder gemeinsam genutzt werden
• AH: Authentizität, Integrität; aber nicht Vertraulichkeit
• ESP: Vertraulichkeit, (optional) Authentizität und Integrität
• ESP heute deutlich verbreiteter

Transport- und Tunnelmodus

• Andere VPN-Protokolle unterscheiden nicht zwischen Point-to-Point / Point-to-Site / Site-to-Site
  • VPN-Endpunkte können auch Router und damit Sites sein
  • Viele VPN-Server sind Multipoint-fähig (akzeptieren Verbindung von mehreren Clients)