FreePBX ist Opensource Telefonanlage. Sie funktioniert auf Basis des Zusammenspiels der freien Telefonanlage Asterisk und einer grafischen Web-Oberfläche. FreePBX ist also eine Telefonanlage auf Linux-Basis. Die Software hebt den „Mangel“ von Asterisk auf, dass Asterisk selbst keine Oberfläche zur Konfiguration für den IT-Administrator bereits stellt. In dem nachfolgenden Beitrag beantworten wir einige der am häufigsten gestellten Fragen zu FreePBX.

Web-Oberfläche der FreePBX Telefonanlage

Web-Oberfläche der FreePBX Telefonanlage

Auf welcher Hardware läuft FreePBX?

Der FreePBX-Installer  basiert auf der Linux Distribution Centos 7. Daher kommt jede Hardware oder virtuelle Maschine in Frage, auf der man Centos 7 installieren und betreiben kann. In aller Regel sind das PCs oder Server mit mindestens 1-2 Kernen und mindestens 2 GB Hauptspeicher.

Theoretisch kann eine FreePBX Telefonanlage auch auf sehr „schwacher“ Hardware laufen – etwa einem Raspberry PI. Wir empfehlen dennoch im Vorfeld darauf zu achten, dass die Hardware eher aktuellen Anforderungen genügt. Schließlich soll die einmal installierte Telefonanlage nach der Konfiguration in der Regel mehrere Jahre problemlos laufen.

Kann man die Telefonanlage auch virtuell betreiben?

Sofern man keine physischen Kabel wie etwa einen ISDN – Anschluss an den FreePBX Server anschließen muss, kann die FreePBX auch als virtueller Server installiert werden. Dadurch ergibt sich die Möglichkeit, die freie Telefonanlage etwa in einer privaten Cloud oder im heimischen Rechenzentrum zu betreiben.

Wie installiert man eine FreePBX Telefonanlage?

Die Installation einer FreePBX Telefonanlage erfolgt über ein fertiges ISO-Image, das man im Internet herunter laden kann. Diese Datei wird auf einen USB-Stick oder einen DVD-Rohling übertragen. Von diesem bootet man dann die physische oder virtuelle Hardware. Mit dem Image wird ein Installer mitgeliefert, der zuerst ein Centos 7 installiert und anschließend alle Komponenten der Asterisk Telefonanlage sowie die Weboberfläche von FreePBX bereit stellt.

Die eigentliche Installation dauert je nach eingesetzter Hardware zwischen 20 und 60 Minuten.

Welche Funktionen bringt die FreePBX Telefonanlage mit?

Vom Funktionsumfang her kann es die FreePBX mittlerweile mit ausgewachsenen und in der Regel sehr viel teureren Telefon-Anlagen der namhaften Hersteller von TK-Anlagen wie Mitel/Aastra, Agfeo, Auerswald, Cisco, Funkwerk oder Siemens aufnehmen. Die folgenden Funktionen sind in der Telefon-Anlage im Standard bereits enthalten.

  • Anrufe tätigen / annehmen
  • Bis zu 5.000 Nebenstellen (Telefonapparate) einrichten
  • Intercom / Direktruf
  • Fax-Anschlüsse
  • Anrufgruppen
  • Music on Hold
  • Queues / Warteschlangen
  • Voicemail/Sprachboxen (inkl. Weiterleitung an E-Mail)
  • Follow-Me Funktion
  • IVR (Interactive Voice Response, dt. Sprachansagen)
  • ACD (Automatic Call Distribution)
  • Konferenzen mit mehr als 3 Teilnehmern durch Konferenz-Räume
  • Zeitgesteuerte Abläufe und Erreichbarkeit
  • CTI über 3rd Party Anbieter

Aufgrund der IVR und ACD Funktionen kann die FreePBX auch in Call-Centern eingesetzt werden. Oder anders herum: Selbst mittelständische Firmen können mit Asterisk Funktionen wie IVR (Sprachansagen), ACD oder Queues(Warteschlangen) nutzen um etwa die Erreichbarkeit ihrer Support- oder Vertriebsteams zu verbessern.

Wie telefoniert man mit einer VoiP Telefonanlage?

Um mit einer FreePBX intern zu telefonieren, benötigen Sie entweder zwei (oder mehr) angeschlossene IP-Telefone bzw. VOIP-Telefone, die vom PC aus gestartet werden.

Da man mit von den Telefonapparaten an einer Telefonanlage in der Regel auch nach extern telefonieren möchte, benötigen Sie für die FreePBX wie für jede andere Telefonanlage auch eine so genannte Amtsleitung. Das kann sowohl ein bestehender ISDN-Anschluss oder ein so genannter SIP-Trunk sein.

Hinweis: Ein SIP-Trunk ist eine Amtsleitung, die Ihnen ein Telefon-Anbieter über das Internet bereitstellt. Es entfällt dabei das früher notwendige Kabel zur Telefonanlage. Stattdessen wird ihr bestehender Internet-Anschluss genutzt.

Tipp: Da die Telekom sowie die anderen etablierten Anbieter von Telefonleitungen bis 2021 ISDN abschalten werden, sollten Sie bei der Umstellung auf eine Asterisk Telefonanlage ebenfalls den Umstieg auf eine SIP-Amtsleitung mit in Angriff nehmen. Der eigentliche Wechsel eines Telefon-Anbieters ist mittlerweile in Deutschland relativ einfach möglich.

Welche Telefone funktionieren an einer FreePBX?

An der FreePBX Telefonanlage können Sie prinzipiell jedes SIP-fähige Telefon betreiben. Wichtig dabei ist, daß es sich um ein Voice-Over-IP Telefonapparat handelt.

Bei unseren Tests haben wir unterschiedliche Anbieter wie Aastra, Snom, Grandstream und Yealink an der Asterisk Telefonanlage getestet. Nach unseren Erfahrungen funktionieren die Telefonapparate von Yealink am besten um Zusammenspiel mit der FreePBX.

Hinweis: Die Biteno GmbH setzt selbst eine FreePBX als Telefonanlage ein und verwendet dabei Telefone von Yealink. Daneben setzen wir für Kollegen im Home-Office die Soft-Clients (PC-Telefone) Bria5 von Counterpath ein.

Wer steckt hinter dem Projekt?

FreePBX ist ein so genanntes OpenSource Projekt. Dabei entwickeln unterschiedliche Software-Programmierer an einer Software. Auf diese Weise ist etwa die Asterisk Telefonanlage für Linux entstanden. Seit 2004 steht die US-amerikanische Firma Sangoma als Sponsor hinter dem Projekt.

Das Unternehmen Sangoma produziert in erster Linie Telefonapparate und stellt außerdem Hardware für Telefonanlage wie FreePBX her. Von Sangoma kann man bei Bedarf Support zu FreePBX einkaufen und natürlich auch die entsprechende Hardware erwerben.

Darüber hinaus bietet Sangoma kostenpflichtige Module für die Telefonanlage an. Diese können Betreiber einer FreePBX bei Bedarf kostenpflichtig erwerben. Beispiele für kostenpflichtige Erweiterungen sind etwa der „Endpoint Manager“ oder die grafische Bearbeitung von IVR.

Ist die FreePBX wirklich kostenlos?

FreePBX kann man genauso wie Asterisk kostenfrei nutzen – es werden also keine Lizenzgebühren fällig. Selbstverständlich muss die TK-Anlage auf einer Hardware oder einem virtuellen Server laufen. Für diese Geräte fallend in Regel Kosten an. Ebenso muss die Telefonanlage einmalig eingerichtet, regelmäßig gewartet und administriert werden. Diese Arbeiten erfordern in der Regel Zeit oder einen IT-Dienstleister, der diese Aufgaben übernimmt

Hinweis: Die Biteno GmbH vertreibt und installiert für Kunden die FreePBX Telefonanlage. Wenn Sie dazu ein verbindliches Angebot erhalten möchten, dann nehmen Sie bitte mit uns Kontakt auf. Wie beraten Sie gerne.

Weitere Fragen und Antworten zu FreePBX

FreePBX bzw. Asterisk basiert auf Voice Over IP

FreePBX bzw. Asterisk basiert auf Voice Over IP

Im folgenden Abschnitt haben wir die Fragen zusammen getragen, die uns von Interessenten und Kunden immer wieder zum Thema Asterisk und Voice-Over-IP Telefonie gestellt werden:

SIP oder ISDN – was funktioniert besser an der FreePBX?

Sowohl ISDN-Karten als auch SIP-Trunks funktionieren mit Asterisk. Da die gesamte Telefonanlage auf Voice-Over-IP ausgelegt ist, empfehlen wir die Verwendung eines SIP-Anbieters bzw. eine SIP-Trunks.

Mit welchem SIP-Anbieter funktioniert die FreePBX?

Um einen SIP-Trunk an der Asterisk anzuschließen, benötigen Sie den Benutzernamen, das Passwort und die Server-Adresse (in der Regel eine IP-Adresse) des SIP-Anbieters. Insofern können Sie praktisch jeden deutschen SIP-Anbieter auf der FreePBX nutzen.

Kann ich auch ausländische SIP-Anbieter nutzen?

Technisch gesehen, können Sie jeden SIP-Anbieter der Welt, dessen Zugangsdaten Sie haben, auf ihrer FreePBX eintragen und nutzen.

Hinweis: Bitte beachten Sie, daß es ggf. rechtliche Einschränkungen gibt, ob Sie einen ausländischen SIP-Provider nutzen dürfen. Deutsche SIP-Anbieter müssen in der Regel vor der Bereitstellung eines Zugangs samt Rufnummer ihre Adresse verifizieren, damit Sie die für Ihre Vorwahl passenden Rufnummern bzw. einen Rufnummernblock in ihrem Ortsnetz erhalten.

Bitte bedenken Sie dabei auch, dass nur ein SIP-Anbieter aus Deutschland die Notfallrufnummern 110 und 112 an das deutsche Telefonnetz korrekt weiter leitet.

Kann man mehrere SIP-Anschlüsse bzw. Leitungen an der FreePBX einrichten?

Ja. Sie können mehr als einen SIP-Trunk an der Telefonanlage anschließen.

Gibt es für FreePBX eine App?

Vom Hersteller bzw. seitens des OpenSource Projekts selbst gibt es keine eigene App. Sie können aber auf ihrem Handy jede andere SIP-App nutzen um sich auf ihre Asterisk Telefonanlage zu verbinden.

Wie kann ich mein Handy mit der FreePBX nutzen

Um Ihr Handy mit ihrer FreePBX zu nutzen benötigen Sie ein SIP-App auf ihrem Handy. Auf den meisten Android-Smartphones ist eine SIP-Anwendung bereits vorinstalliert. Um sie zu nutzen müssen Sie dort ihre Zugangsdaten der Telefonanlage eintragen. Außerdem muss ihre TK-Anlage dazu im Internet erreichbar sein.

Wie viele Endgeräte / Telefone kann man maximal an die TK-Anlage anschließen

Die FreePBX ist für bis zu 5.000 Endgeräte ausgelegt, sofern die eingesetzte Hardware der Telefonanlage entsprechend stark dimensioniert ist.

Nach unseren Erfahrungen wird die Asterisk Telefonanlage am meisten bei kleineren und mittelständischen Kunden bis 500 Telefonapparaten eingesetzt.

Hat die FreePBX eine API?

Ja die FreePBX bringt von Haus aus eine Restful API mit. Mehr dazu hier: https://wiki.freepbx.org/display/FPG/API

Wie kann ich CTI-Funktionen mit der FreePBX nutzen?

Um etwa Rufnummern vom PC an Ihr Telefon zu übertragen, benötigen Sie in der Regel eine Software. Diese nennt sich CTI (Computer Telephony Integration). FreePBX bringt selbst keine CTI-Software mit. Diese muss über Dritt-Anbieter erworben werden.

Hinweis: Da wir selbst auch nur ungern Telefonnummern abtippen, nutzen die Mitarbeiter der Biteno GmbH von Anfang an eine externe CTI zusammen mit der FreePBX. Wir beraten Sie gerne dazu, wie das funktioniert.

Kann ich meine bestehenden ISDN-Telefonnummern zu einem SIP-Anbieter mitnehmen?

Ja. In Deutschland gibt es 2002 einen gesetzlichen Anspruch auf die Mitnahme ihrer Telefonnummern sofern Sie im selben Ortsnetz bleiben.

Kann man die FreePBX auch ohne kostenpflichtige Module betreiben?

Ja natürlich. Die FreePBX ist nach der Erst-Konfiguration auch ohne Erweiterungen einsetzbar. Wir empfehlen dennoch die Lizenzierung des „Endpoint Managers“, da man mit diesem Zusatzmodul sehr viel leichter unterschiedliche Telefone verwalten kann

Kann man FreePBX auch auf Debian, SuSE, Ubuntu installieren?

Der Standard-Installer von FreePBX basiert auf Centos 7. Wer also möglichst schnell zu einer FreePBX Anlage kommen möchte, der tut sich mit der autoamtischen Installation von Centos 7 und FreePBX am leichtesten.

In der Hilfe-Sektion von FreePBX sind weitere Anleitungen enthalten wie man die FreePBX Software auch auf anderen Linux Distributionen wie Ubuntu oder Debian installieren kann.

Wo und wie kann ich die FreePBX kaufen?

Die FreePBX an sich brauchen Sie nicht zu kaufen – die Software selbst ist Lizenzfrei da sie OpenSource ist. Es empfiehlt sich aber die FreePBX zusammen mit einer passenden Hardware für die Telefonanlage von einem Dienstleister zu erwerben, der in der Regel auch die Einrichtung und Konfiguration der Anlage übernimmt.

Woher bekommt man Support zu FreePBX?

Neben dem Wiki von FreePBX gibt es eine große Community von mehr als 2 Millionen FreePBX Anwendern. Hier kann man kostenfrei Fragen stellen, die meistens innerhalb von 2-3 Tagen beantwortet werden.

Kommerziellen und in der Regel schnelleren Support erhält man über die freien Anbieter bzw. Integratoren oder über den „Hersteller“ Sangoma.

Woher wissen Sie all das ?

Wir beherzigen die Devise, dass wir nur empfehlen was wie selbst getestet haben und idealerweise selbst einsetzen.

Wir – die Biteno GmbH – nutzen die FreePBX selbst und haben die Telefonanlage auf Herz und Nieren geprüft. Seit der Umstellung von unserer alten Aastra/Mitel Anlage hin zu ASterisk  telefonieren mehr als 30 Mitarbeiter täglich mit der Telefonanlage.

Weitere Informationen und Quellen

Hier finden Sie weiterführende Informationen zur FreePBX Telefonanlage

 

In dieser Einführung zu IPv6 erklären wir daher nicht nur den Unterscheid zwischen IPv4 und IPv6 sondern zeigen außerdem wie IT-Administratoren die neuen IPv6 Adressen sinnvoll nutzen können.

Jeder Server, jedes Smartphone das mit dem Internet verbunden ist, benötigt zur Kommunikation eine IP (Internet Protokoll) Adresse. Dabei sind die TCP/IP-Adressen für Computer-Netzwerke das, was Nummernschilder für ein Auto sind. Sie identifizieren einen Host-Computer eindeutig und ermöglichen es erst, dass die Datenkommunikation zwischen den richtigen Partner stattfinden kann.

Das Problem mit IPv4-Adressen im Internet

Seit der Einführung des Internets Anfang der 1990er Jahre wurden an Firmen, Internet-Provider und z.T. an Privathaushalte IPv4-Adressen vorgegeben. Diese Nummern im Format 123.231.123.254 werden aus Ziffer (0 bis 9) gebildet und bilden einen so genannten Adressraum vom maximal 2^32 Adressen.

2^32 Adressen sind ca. 4,3 Milliarden, wovon ca. 3,7 Milliarden tatsächlich genutzt werden können. Das hört sich nach viel an – ist es aber letztlich nicht. Wenn man bedenkt, dass heute 8-9 Milliarden Menschen auf der Erde leben und in den Industrieländern viele Menschen deutlich mehr als ein Gerät besitzen, mit dem Sie im Internet sind, dann relativiert sich die Zahl von 4,3 Mrd. IPv4-Adressen recht schnell. Die Anzahl von IPv4 Adressen ist schlicht zu wenig um noch alle Geräte der Welt mit IP-Adressen zu versorgen.

Dieser Umstand wurde bereits 1999 von der IETF (Internet Engineering Task Force) erkannt und man veröffentlichte die Erweiterung des IP-Adressraums für das Internet auf die nächste Generation von IP-Adressen: IPv6 war geboren

Warum IPv6

Der Hauptgrund von IPv4 auf IPv6 zu wechseln ist der massiv vergrößerte Adressraum, den IPv6 Adressen abbilden können. Bereits im Jahr 1999 wurde von der IETF ein maximaler Adressraum von 2^128 Bit vorgesehen. Statt 2^32 IPv4-Adressen können mit IPv6 nun 2^128 Adressen abgebildet werden.

Das sind 340,282,366,920,938,463,463,374,607,431,768,211,456 Adressen (Sextillionen = 3,4·1038)

Damit könnte theoretisch jedes Sandkorn auf der Erde eine eigene, eindeutige IPv6-Adresse erhalten.

Wie ist eine IPv6 Adresse aufgebaut?

Eine IPv6 Adresse wird nicht mehr in der dezimalen Schreibweise von IPv4 ausgedrückt, sondern hexadezimal. Eine IPv6 Adresse kann also aus den Ziffern 0 bis 9 und den Buchstaben A bis F bestehen. Dabei besteht eine IPv6 Adresse aus 8 Blöcken zu je 4 Hexadezimalen-Zahlen.

Eine Beispiel-Adresse sieht demnach so aus:

2001:0db8:1234:5678:90ab:cdef:1111:ffff

Schreibweisen von IPv6 Adressen

IPv6 Adressen sind aufgrund des größeren Adressraums deutlich länger als ihre Vorgänger IPv4. Daher gibt es für die Schreibweise von IPv6 Adressen die Möglichkeit diese verkürzt darzustellen.

  • Führende Nullen eines Blocks (Die Bereiche zwischen zwei „:“ Zeichen) können immer weg gelassen
  • Zwei oder mehr aufeinander folgende 0er-Bereiche können als zwei Doppelpunkte „::“ dargestellt werden. Dies ist innerhalb einer IPv6 Adresse aber nur einmal erlaubt, da die Adresse sonst nicht mehr eindeutig wäre.
  • Die Buchstaben A bis F sollen klein geschrieben werden (also a,b,c,d,e,f).

Die Beispiel-Adresse 2001:0db8:0000:0000:0123:0000:0000:0adf kann demnach wie folgt gekürzt werden:

  • 2001:db8::123:0:0:adf

Die führenden Nullen entfallen in allen Blöcken und der dritte und vierte Block mit jeweils :000: werden als „::“ dargestellt. Der sechste und siebte Block werden jeweils als :0: dargestellt.

Ebenso wäre richtig:

  • 2001:db8:0:0:123::adf

Hier würde im Gegensatz zum ersten Beispiel der „::“ Block die letzten beiden :000: Blöcke ersetzen.

Nicht richtig wäre folgende Darstellung:

  • 2001:db8::123::adf

Diese Darstellung ist falsch, da die IPv6 Adresse nicht mehr eindeutig ermittelt werden kann. Die Notation „::“ darf daher in einer IP-Adresse nur einmal vorkommen.

Subnetze im IPv6 Adressbereich

Unter IPv4 wurden Subnetze meist in der Regel in der Form 192.168.0.0/24 dargestellt. Die Subnetzmaske (hier /24) definierte dabei die maximal Anzahl von Hosts (=Computern) in einem Subnetz. Daran hat sich bei IPv6 an sich nichts geändert – lediglich die Subnetze werden größer.

Die Empfehlung bzw. Vorgabe der Vergabestellen für IP-Adressen im Internet sind so genannte Prefixe von /64. Das bedeutet, daß der kleinste an eine Endanwenderfirma vergebene IP-Adressbereich bereits 9,223,372,036,854,775,807 Adressen umfasst.

Als Beispiel: 2001:db8:1234:abcd:: /64

Die nutzende Firma hätte dann die Adressen von 2001:db8:1234:abcd:0000:0000:0000:0001 bis 2001:db8:1234:abcd:ffff: ffff: ffff: ffff zur Verfügung.

Eine einzelne IPv6-Adresse kann mit dem Anhang „/128“ als einzelne Adresse dargestellt werden.

Bsp.: 2001:db8::123:0:0:adf /128

Diese Darstellung entspricht der Notation von 192.168.1.1/32 im IPv4 Schema.

Besonderheiten von IPv6

Mit der Einführung und Nutzung von IPv6 ergeben sich gleichzeitig einige Änderungen gegenüber IPv4.

Kein NAT mehr unter IPv6

Network Adress-Translation (NAT) wird unter IPv4 dazu verwendet, bestimmte Netzwerk-Subnetze wie 192.168.0.0/16 oder 10.0.0.0/8 als private Netze zu definieren, die nicht im Internet geroutet werden. Die Firewalls und Router der betroffenen Firmen mussten also den IPv4 Datenverkehr zwischen dem internen Netz und dem Internet übersetzen.

Damit war es möglich den Adressbereich von IPv4 länger zu nutzen. Im Umkehrschluss wurde damit aber die Ende-zu-Ende Kommunikation von zwei Knoten im Internet praktisch unmöglich.

Technisch ist NAT mit IPv6 Adressen zwar immer noch möglich. Es sollte aber unbedingt vermieden werden, schließlich gibt es ja keinen Mangel mehr an individuellen IPv6-Adressen.

ICMP muss möglich sein – auch aus dem Internet

Damit die Ende-zu-Ende-Kommunikation zwischen allen Endgeräten im Internet funktioniert, muss das ICMP (Internet Control Message Protocol), etwa ein „ping“,  von allen IPv6-Adressen aus möglich sein. Kurz gesagt: IPv6 basiert darauf, dass auch interne IPv6-Adressen von extern aus pingbar sind.

Für Firewall-Administratoren ergeben sich daraus ganz neue Anforderungen. Waren Sie in der Vergangenheit gewohnt, ihre Firewall von der WAN-Seite (WAN=Wide Area Network, i.d.R. das Internet) abzuschotten, so sollten Sie unter IPv6 ihre Firewall zumindest für ICMP-Pakete öffnen.

DHCPv6 und Router Advertisments (RA)

Wie auch bei IPv4 so ist es auch beim Nachfolger IPv6 möglich Endgeräten dynamisch IP-Adressen über den Dienst DHCP zuzuweisen. Im Gegensatz zu DHCP unter IPv4 fehlt dem DHCPv6 aber (absichtlich) der Default-Gateway. Diese unter IPv4 obligatorische Pflichtangabe des Ausgangs aus dem eigenen Subnetz übernimmt unter IPv6 der Dienst Router Advertisments (RA).

Sobald auf einer Firewall (z.B. opnsense oder pfsense) oder einem Host ein Netzwerk-Interface IPv6 „spricht, so muss dann neben dem DHCPv6 Dienst der RA-Dienst aktiviert werden, damit Clients, die ihre IPv6-Adresse über DHCP erhalten, über welchen Weg sie den Rest des eigenen Netzwerks oder des Internets erreichen

Neighbor Discovery Protokoll (NDP) statt ARP

Unter IPv4 diente das „Adress Resolution Protocoll“ (ARP) dazu eine IP-Adresse eindeutig einer MAC-Adresse (der physischen Hardware Adresse eines PCs) zuzuordnen.

Bei IPv6 übernimmt diese Rolle das Neighbor Discovery Protocoll (NDP). Dieser Dienst ist bei den allermeisten Geräten die IPv6 unterstützen aktiv, sobald eine IPv6 Adresse eingetragen oder über DHCPv6 bezogen wurde.

AAAA Records im DNS

Damit die Kommunikation für Endanwender im Internet beherrschbar ist, arbeiten Browser und andere Software-Produkt in der Regel nicht mit IP-Adressen sondern mit besser verständlichen Namen. Der Dienst hinter diesem Namensregister lautet Domain Name System, kurz DNS. Hier werden Namen zu IP-Adressen gespeichert.

Bei der Kommunikation im Web wird dann aus www.wikipedia.de die IPv4 Adresse 134.119.24.29 . Dies ist ein so genannter A-Record.

Damit nun auch IPv6 Adressen im DNS gespeichert werden können, wurde mit IPv6 der AAAA-Record (gesprochen: tripple „Ä“) im DNS eingeführt. Damit können einem Namen im DNS neben dem bestehenden A-Record für seine IPv4-Adresse zusätzlich eine IPv6-Adresse mit gegeben werden.

Wer also mit nslookup die Adresse www.google.de abfragt, der erhält sowohl die Ipv4 als auch die IPv6 IP-Adresse als Antwort:

Name:    www.google.de

Addresses:    2a00:1450:4016:80a::2003

172.217.21.99

Besondere IPv6 Adressen

So wie es bei IPv4 besondere Netze für die private Nutzung oder Localhost-Adressen gibt, so gibt es auch bei IPv6 einige spezielle (Sub-)Netze, die gesondert behandelt werden:

Die Localhost Adresse in Ipv6:

Die klassische Localhost-Adresse lautet für IPv6 ::1/128. Oder ausführlich: 0000:0000:0000:0000:0000:0000:0000:0001 /128 .

Die IPv6 Adresse „::1 /128“ ist das Equivalent zu 127.0.0.1 in IPv4.

Reservierte Netze

Einige Netze oder Prefixe werden seitens der IANA gar nicht vergeben. So ist etwa 2000:: /3 für den Global Unicast reserviert. Daneben sind noch weitere /3 Prefixe (also Subnetze) global reserviert.

Ebenfalls nicht produktiv nutzbar ist das Netz 2001:0db8:: /32. Adressen die mit 2001:db8: beginnen werden in der Regel nur zu Dokumentations- und Demonstrations-Zwecken verwendet (siehe dazu auch rfc3849 der IETF).

URL-Notation von IPv6-Adressen

Wer eine über IPv6 erreichbare URL im Browser über die IP-Adresse aufrufen möchte, muss sich eine neue Notation für den Aufruf der URL einprägen. Damit der Browser die IPv6 von einer IPv4 Adresse unterscheiden kann, lautet der Aufruf:

http://[IPv6:Port]/

Die IPv6-Adresse wird also in eckige Klammern gesetzt. Die Verwendung eines Ports ist optional. Mit einer kompletten IPv6-Adresse sieht das dann z.B. so aus:

http://[2001:db8::123:0:0:adf :7344]/

Parallelbetrieb von IPv4 und IPv6

Wer nun in seinem Netzwerk IPv6 IP-Adressen einführen möchte, der muss nicht sofort alle IPv4 Adressen löschen. Ganz im Gegenteil.

Praktisch alle Betriebssysteme von PCs, Servern und Smartphones bieten seit geraumer Zeit die Möglichkeit sowohl eine IPv4 als auch eine IPv6 Adresse pro einzelnem Gerät zu vergeben. Das bildet den Grundstein für den parallelen Betrieb von IPv4 und IPv6 nebeneinander.

So haben etwa Windows-Server seit der Version 2003 und PCs seit Windows XP die Möglichkeit sowohl eine Ipv4 als auch eine IPv6 Adresse zu vergeben. Auch die meisten Hersteller von Switches und Routern haben IPv6 schon vor langer Zeit in ihre Geräte integriert.

Wer also ein aktuelles Betriebssystem hat und aktuelle Netzwerk-Hardware nutzt, der kann in der Regel IPv6-Adressen eingeben und verwalten.

Migration von IPv4 zu IPv6

Um nun schrittweise die eigene Infrastruktur für IPv6 fit zu machen, sollten IT-Administratoren sich zunächst um die Zuweisung eines statischen /64 Präfixes kümmern. Diesen erhalten Sie in der Regel von ihrem ISP (Internet Service Provider).

Hinweis: Kunden des IT-Dienstleisters Biteno GmbH erhalten im für Services im Rechenzentrum der Biteno einen /64 Präfix aus unserem Netzabschnitt 2a06:fbc0:: /29 der uns von der europäischen Vergabe-Agentur RIPE zugewiesen wurde.

Im zweiten Schritt gilt es dann – wie auch schon bei IPv4 – allen Servern und statischen Geräten eine feste IPv6 Adresse zu vergeben.

Endgeräte, die von Anwendern genutzt werden, erhalten dann ihre IPv6 Adresse über DHCPv6 in Kombination mit dem weiter oben beschriebenen Router Advertisments.

Da Umstellungen bzw. Einführungen von IPv6 im Unternehmen nicht einmal nebenbei erfolgen können, empfiehlt es sich, zunächst die Hilfe eines erfahrenen Consultants eines IT-Dienstleisters in Anspruch zu nehmen.

IPv6 testen

Wer heute einmal probehalber testen möchte, ob sein Endgerät schon mit IPv6 kommuniziert, kann das auf den folgenden Seiten testen:

Auf dem eigenen PC/Notebook kann man die eigene IPv6 Adresse mit dem Befehlt “ipconfig /all” ermitteln. Das Ergebnis sieht dann z.B. so aus:

IPv6 Konfiguration auf dem eigenen PC/Notebook

IPv6 Konfiguration auf dem eigenen PC/Notebook

Fazit zu IPv6

Bei IPv6 müssen IT-Administratoren einige wichtige Besonderheiten wie den Wegfall von NAT oder die besondere Schreibweise von IPv6-Adressen “lernen” und verstehen. Sobald diese Neuigkeiten verdaut sind, steht dem produktiven Betrieb der eigenen IT-Infrastruktur mit IPv6 aber nichts mehr im Wege.

Software Deployment (dt. Softwareverteilung) bezeichnet eine meist halbautomatisch oder automatisch ablaufende Installation oder Aktualisierung von Betriebssystemen und Anwendungssoftware auf PCs und Servern. Insbesondere in größeren Organisationen und Unternehmen setzt man auf eine professionelle und zentralisierte Softwareverteilung, oft mittels eigener Softwarelösungen über so genannte Deployment-Skripte. Für die Installation ist meist keine weitere Interaktion mit dem Nutzer erforderlich. In kleineren Unternehmen gibt es auch die Möglichkeit, dass ein geschulter Mitarbeiter (Administrator) die Installationen durchführt.

Welchen Sinn macht Software Deployment?

In Organisationen und Unternehmern fehlt bei nicht geschulten Mitarbeitern oft das nötige Know-how oder die Berechtigung zur Installation und Aktualisierung von Betriebssystemen und Softwareanwendungen. Für ein effizientes IT-Management lässt man diese Prozesse daher automatisch ablaufen. In Unternehmen mit vielen Mitarbeitern existieren viele Endgeräte, die mit ähnlicher Software ausgerüstet werden müssen. Auch Sicherheitsupdates sollten möglichst in kurzer Zeit auf zahlreichen Endgeräten installiert werden. Um die Arbeitsabläufe zu standardisieren sowie Zeit und Kosten zu sparen ist es daher sinnvoll, Software Deployment als zentralen Dienst im Unternehmen einzusetzen.

Woher weiß der Rechner, wann Software aktualisiert oder installiert werden muss?

Voraussetzung für Software Deployment sind Setups, die auch ohne Benutzereingabe funktionieren (Unattended Installation). Damit das Betriebssystem erkennen kann, ob neue Software zur Installation verfügbar ist, laufen auf den PCs so genannte Dienste (kleine Software-Programme), die regelmäßig Anfragen an den zentralen Server stellen. Falls neue Software auf dem Rechner zu installieren ist, erledigt das der jeweilige Dienst automatisch. Dabei übernimmt der Dienst auch häufig die Aktualisierung von Patches, d.h. die Auslieferung einer Nachbesserung für Software.

Störungen und Ausfälle durch Software Deployment

Wenn bei der automatischen Aktualisierung von Betriebssystemen und Anwendungssoftware (z.B. Antivirensoftware, E-Mail-Programme) Fehler passieren oder Schadsoftware eingeschleust wird, kann dies zu unvorhergesehenen Störungen und Ausfällen führen und in größeren Unternehmen erhebliche Beeinträchtigungen des Arbeitsablaufs nach sich ziehen. Wichtig ist daher eine gründliche Planung und Dokumentation der Softwareverteilungsprozesse. Achten Sie auf die Einhaltung von Standards und etablierten Systemen.

Die einzelnen Schritte der Softwareverteilung

Die folgenden Teilschritte folgen aufeinander:

– Die zu installierende Software wird je nach Art und Konfiguration der verwalteten Endgeräte zusammengestellt (Orchestrierung)
Download der zu installierenden Software
– Zusammenstellen der zu installierenden Software und dazugehörigen Anweisungen und Konfigurationen in Pakten (Paketieren)
Testen der Installation der Pakete vor der Auslieferung (Testphase)
Verteilung der Softwarepakete auf die Endgeräte
Installation der Softwarepakete auf den Endgeräten.

Jeder einzelne Teilschritt beinhaltet eine Fehleranalyse. Falls Fehler auftreten, wird die Softwareverteilung beendet.

Übrigens: Wussten Sie, daß es Software-Deployment-Software auch als Opensource-Variante gibt? Im Blog von Biteno.com haben wir anhand von OPSI die Installation einer solchen Software ausführlich beschrieben.

Push- oder Pull-Verfahren bei der automatisierten Verteilung – was ist besser?

Ist es besser, wenn Softwareverteilungs-Server aktiv für die Softwareinstallation auf Endgeräten sorgen (Push-Verfahren) oder sollten sich Endgeräte aktiv um das Herunterladen von Software von einem Softwareverteilungs-Server kümmern (Pull-Verfahren)? Die automatisierte Software-Verteilung erfolgt durch Push- oder Pull-Verfahren:

– Das Push-Verfahren verteilt die zu installierende Software aktiv an die Endgeräte. Hier hat der Administrator die volle Kontrolle darüber, was wann auf welchem Endgerät installiert wird. Für dieses Verfahren müssen die Endgeräte jedoch immer erreichbar sein und der Softwareverteilungs-Server muss Informationen über alle Endgeräte vorhalten.

– Das Pull-Verfahren wird dagegen durch die Endgeräte gestartet. Über eine auf dem Endgerät installierte Client-Anwendung wird die Software vom Softwareverteilungs-Server heruntergeladen und auf dem Endgerät installiert. Die Endgeräte müssen dabei nicht immer erreichbar sein. Andererseits hat der Administrator beim Pull-Verfahren keine Kontrolle darüber, was wann auf einem bestimmten Endgerät installiert wird. Dies kann zu Performance-Problemen führen, wenn alle Endgeräte gleichzeitig Software beim Server anfordern.

Verwaltung und automatische Installation von Patches und Updates

Software Deployment geht meist mit dem Patch Management einher. Damit ist die Verwaltung und automatische Installation von Software Patches (dt. Flicken) und Updates gemeint. Bei den Patches handelt es sich meist um Updates für das Betriebssystem. Patches gibt es jedoch auch für Anwendungsprogramme. Das Patch Management leistet bei den folgenden Fragen Hilfestellung: Welche Patches sind bereits auf dem PC installiert? Welche Patches sollen aktuell installiert werden? Darüber hinaus unterstützt das Patch Management den Administrator bei der Installation von Patches. Das Patch Management unterstützt auch häufig den Windows Update Server.

Für die Betriebssysteme von Microsoft erscheinen jeden Monat mehrere neue Patches. In größeren Unternehmen entscheiden Sicherheitsbeauftragte darüber, welche Patches installiert werden und welche nicht. Dabei wird unter anderem berücksichtigt, ob es durch den Patch Probleme mit bereits installierter Software geben könnte und ob die Installation des Patches für bestimmte PCs ausgeschlossen ist. Die Bewertung von Patches ist daher ein wichtiger Schritt, um potentielle Schäden durch Installationen abzuwenden. Der Bewertung von Patches folgen noch drei weitere Schritte: Test des Verhaltens und der Funktion von Patches auf einem Test-PC, Freigabe der Patches für die Verteilung sowie anschließender Rollout der Patches.

Microsoft bezeichnet seine Patches oft mit „Aktualisierung“ oder „Service Pack“. Diese Patches sind erforderlich, um Fehler der Software zu korrigieren oder Sicherheitslücken zu schließen.

Switch

Mit der Spielekonsole des Japanischen Spielkonsolenherstellers hat dieser Switch nichts zu tun: Was ist ein Switch und was ist beim Kauf wichtig?

Für den Aufbau großer Computernetzwerke bietet ein Switch die beste Lösung. Da aufgrund moderner WLAN Technik Heimnetzwerke meist mit direkten Verbindungen bewerkstelligt werden, bietet sich die Verwendung von Switches entweder für Privatnutzer mit vielen Desktoprechnern und dem Bedürfnis, schnell Daten im Verbund auszutauschen oder für gewerbliche Nutzer mit dem Bedarf an unfangreichen und sicheren Netzwerken von Desktoprechnern mit LAN-Kabeln.

Was ist ein Switch?

SwitchEin Switch ist das verbindende Element für verschiedene Netzwerkrechner zueinander und zu einem Server. Die einzelnen Rechner müssen über eine Netzwerkkarte verfügen, an der ein LAN-Kabel/ Netzwerkkabel angeschlossen wird und dann die einzelnen Rechner mit den Ports der Switches verbindet.

Die Anzahl der Ports, also der freien Steckplätze, entscheidet darüber, wie viele Rechner Teil des Netzwerks sein können. Ein Switch verfügt in der Regel auch über eine Möglichkeit, mit dem DSL Modem Router verbunden zu werden.

Funktion im Vergleich zum Hub

Der bedeutendste Unterschied zu einem Hub liegt in der Möglichkeit Daten zu filtern und die einzelnen Netzwerkrechner anhand ihrer Netzwerkkennung zu unterscheiden: Das bedeutet im Detail, dass Datenpakete nicht mehr an alle Teilnehmer des Netzwerkes gesendet werden und die Empfänger sich die Daten herausfiltern, die für Sie bestimmt sind, wie es bei Verbindungen mit dem Hub der Fall ist. Das Netzwerk wird so effektiver und kann schneller größere Datenmengen bewerkstelligen.

Worauf sollte beim Kauf geachtet werden?

Für Netzwerkanfänger bieten einige Leistungskennziffern die Möglichkeit, das für Sie passende Gerät zu finden.

Anzahl Ports

Die Anzahl der Ports determiniert, wie viele Computer mit einem Gerät verbunden werden können. Während kleine Geräte Platz für bis zu 24 Einzelcomputer bieten, finden sich im Handel so genannte Rackmount Switches, die bis zu 96 freie Ports für Rechner und entsprechende Leistungsmerkmale bieten.

Rack oder Desktop?

Desktop Lösungen bieten sich für kleinere Netzwerke an, während Rack-Lösungen dafür vorgesehen sind, in Server-Racks eingebaut zu werden. Der Einbau in Server-Racks ist oft nur notwendig, wenn mehrere Geräte kombiniert werden sollen und Netzwerke sehr viele verschiedene Teilnehmer haben.

Um die Leistungen effektiv zu vergleichen, sollten die Ausgangswerte genommen und durch die Anzahl der Ports dividiert werden. So erhält man einen einfachen Vergleich für den ersten Überblick ähnlicher Geräte.

Leistung

Die Leistung der Switches wird anhand mehrerer Kennziffern gemessen. Man unterscheidet zwischen Switch-Kapazität, Paket-Weiterleitungsrate, Frame-Größe und MAC-Adressen.

Switch-Kapazität

Diese Kennziffer gibt an, welche Datenmengen pro Sekunde bewältigt werden können und wird in Gb/s gemessen. Während kleine Netzwerke in Büros meist mit Leistungen bis zu 10 Gb/s arbeiten können, um einfache Daten auszutauschen, erfordern Grafikanwendungen und Games Switch-Kapazitäten von bis zu 56 Gb/s und 176 Gb/s für gute Rack-Mount Lösungen.

Paket-Weiterleitungsrate

Die Weiterleitungsrate gemessen in Mpps gibt an, wie viele Millionen Datenpakete pro Sekunde vom Gerät verarbeitet werden können. Auch hier variieren die Größen von etwa 7,5 Mpps bei den günstigsten Geräten für Netzwerke mit bis zu 5 Rechnern und geringen Anforderungen, z.B. beim Austausch von Textdateien und kleinen Bildern, bis hin zu 112 Mpps bei Geräten für den größeren Bedarf.

Framesgröße

Der Jumbo-Frames Size gibt an, wie groß Datenpakete geschnürt werden können. Erforderlich wird dies bei Servern, bei denen große Mengen Daten z.B. bei der Sicherung aufkommen. Umso größer der Wert in Bytes, umso effektiver der Datenaustausch und umso geringer die Auslastung der einzelnen Komponenten im Netzwerk.

MAC-Adressen

MAC-Adressen sind die Kennungen einzelner Komponente im Netzwerk. Umso größer das Netzwerk sein soll, umso größer ist das Aufkommen verschiedener MAC-Adressen, die der Switch für die Zuordnung speichern muss. Die Mögliche Anzahl von MAC-Adressen ist in der Regel so abgestimmt, dass es nicht zu Engpässen kommen kann: Ein Einstiegsgerät hat bereits Platz für 4 k MAC-Adressen.

PoE

Power-over-Ethernet bedeutet, dass der Switch die Elektrizität über das Ethernetkabel bezieht. Das hat den Vorteil, dass kein bedarf an einem Steckdosenplatz anfällt und spielt bei der Planung größerer Switch-Verbände eine Rolle.

Verwaltbar

Bei einem verwaltbaren Gerät lassen sich verschiedene Einstellungen manuell vornehmen. Während für die private Anwendung oder bei der Verwendung in kleinen Netzwerken nicht verwaltbare Lösungen für Anfänger anbieten, sind bei größeren Racks und aufwändigen Lösungen Faktoren der Verwaltbarkeit von Bedeutung.

Ein Switch bietet die Möglichkeit der Vernetzung größerer Netzwerkstrukturen mit optimalen Leistungsmerkmalen und maximaler Einflussnahme. Für die Pflege großer Netzwerke ist ein Fachmann bereits bei der Planung notwendig und kommt zum Einsatz, um z.B. Fehler im Netzwerk zu beheben. Für private Anwender genügen kleine Lösungen vom Gerät mit bis zu acht Ports oder einem WLAN Switch.

Diese Adresse ist wichtig. Aber weswegen eigentlich? Wofür braucht man sie und wie finden Sie die richtige MAC-Adresse? Die Antworten finden Sie hier.

Was ist eine MAC-Adresse?

Grundsätzlich ist die MAC-Adresse eine Abfolge aus Ziffern und Buchstaben. Insgesamt verfügt diese Adresse somit über zwölf Zeichen in der Hexadezimal-Schreibweise. Eine solche Adresse könnte also beispielsweise so aussehen: 8D-F6-D1-E4-89-G5.

Der Unterschied zu einer IP-Adresse ist, dass eine IP-Adresse nur aus Zahlen und Punkten besteht. Mit einer MAC-Adresse kann jedes Gerät, egal ob Computer oder Smartphone zweifelsfrei und individuell zugeordnet werden. Es gleicht dabei einer Fahrgestellnummer eines Autos, die ja bekanntlich ebenfalls einzigartig und nicht verwechselbar ist.

Wichtig dabei ist: Es handelt sich dabei nicht um Apple-Mac Geräte, sondern um die Media-Access-Control-Adresse. Das ist ein gewichtiger Unterschied und keinesfalls zu verwechseln. Auch nicht Apple-Geräte können diese Adresse haben.

Wofür benötigen Sie eine MAC-Adresse?

Diese Adresse ist für das Versenden von Daten und Informationen wichtig. In einem Netzwerk, in dem verschiedene Geräte und Rechner miteinander verbunden sind, identifiziert diese individuelle Adresse den richtigen Rechner.

Möchte also der Server oder ein anderer Computer eine Information an Ihr Gerät senden, so sucht er zuerst nach dem Gerätenamen. Meistens ist dieser vorhanden, doch es kann dazu kommen, dass Ihr Gerät nicht zugeordnet werden kann.

In diesem Fall hilft die Adresse dem Server oder Computer dabei, das richtige Endgerät zu finden. So ist die Media-Access-Control-Adresse für Switches und Router im Netz wichtig, da sie über diese Merkmale den jeweiligen PC oder Server eindeutig identifizieren können.

Wie ist eine Media-Access-Control-Adresse aufgebaut?

Sie besteht aus zwölf Buchstaben und Zahlen, die in einer willkürlichen Reihenfolge angeordnet sind. Dabei besteht die Adresse insgesamt aus 48 Bits und ist immer individuell. Es gibt keine zweite Adresse auf der ganzen Welt, die mit der Ihres Gerätes übereinstimmt.

Zudem kann die Adresse ebenfalls dem richtigen Hersteller zugeordnet werden. So vergibt der Produzent die letzten Zahlen und Buchstaben der Adresse selbst. Dabei achtet er darauf, dass die Adresse individuell bleibt.

Wie finden Sie Ihre Adresse heraus?

Es kann mal dazu kommen, dass Sie Ihre MAC-Adresse herausfinden müssen. Aber die hat man nicht einfach immer so parat. Deswegen gibt es eine Anleitung, für das Finden Ihrer individuellen Adresse.

Dabei kommt es darauf an, mit welchem Betriebssystem Ihr Computer oder Smartphone läuft. Grundsätzlich gibt es da die iOS Geräte von Apple, die Computer mit Windows und das freie Betriebssystem Linux.

Adresse mit Windows

Um auf einem Windows Gerät die richtige Adresse zu finden, gehen Sie im Startmenü auf den Punkt „Ausführen“ und geben den Begriff „CMD“ ein. Nun öffnet sich ein schwarzes Fenster mit weißem Code. Hier geben Sie den Befehl „ipconfig /all“ ein und bestätigen mit der Enter Taste.

Nun suchen Sie in diesem schwarzen Fenster nach der Zeile „physikalischer Eintrag. An diesem Ort steht nun Ihre individuelle Adresse, die Sie an den Server, einen anderen Computer oder IT-Mitarbeiter schicken können.

Adresse mit MAC und Linux

MAC AdresseBei den Computern von Apple, die Mac genannt werden und mit iOS laufen, sowie mit dem freien Betriebssystem Linux ist das Ganze etwas einfacher und schneller erledigt.

Bei Mac öffnen Sie einfach das Terminal und geben den Befehl „ifconfig en0 | grep ether“ ein. Schon erscheint Ihre Adresse, die Sie nutzen und weitergeben können.

Bei Linux funktioniert es ähnlich. Auch hier öffnen Sie das Terminal, doch jetzt geben Sie einen anderen Befehl ein. Mit „netstat“ und Enter erhalten Sie ebenfalls Ihre Adresse.

Adresse mit iOS und Android

Nun geht es noch um die Smartphones. Denn auch diese verfügen über ihre individuelle MAC-Adresse und lassen sich somit zweifelsfrei zuordnen. Da es zunehmend mehr Smartphone gibt und diese viel häufiger als stationäre Computer benutzt werden, ist auch hier die richtige Adresse wichtig.

Und diese finden Sie wie folgt: Unter dem Betriebssystem iOS müssen Sie lediglich in die Einstellungen des Geräts gehen. Unter den Punkten „allgemein“ und „Info“ finden Sie ziemlich weit unten die richtige Adresse.

Auch unter dem Betriebssystem Android finden Sie die Adresse in den Einstellungen. Hier heißen die Menüpunkte meistens „Über das Telefon“ oder „Info zu Gerät“. Das ist je nach Hersteller verschieden, doch die Adresse ist hier zu finden.

Können Sie die Adresse ändern?

Ja, grundsätzlich ist es möglich, Ihre individuelle MAC-Adresse zu ändern. Allerdings ist das nicht vom Hersteller vorgesehen, weil er ja teilweise selbst diese Zahlen und Buchstaben vergibt.

Mit einigen Tools lässt sich jedoch eine Änderung durchführen. Ob das wirklich sinnvoll ist, steht nicht zweifelsfrei fest. Wenn Sie Ihre Adresse nur selten brauchen, weil es ein Verbindungsproblem gibt, so sollten Sie sie nicht ändern und einfach wie erklärt benutzen.

VPN ist die Abkürzung für Virtual Private Network. Ein virtuelles privates Netzwerk erweitert ein privates Netzwerk auf ein öffentliches Netzwerk und ermöglicht es Benutzern, Daten über gemeinsam genutzte oder öffentliche Netzwerke zu senden und zu empfangen.

Anwendungen, die über ein VPN ausgeführt werden, können von der Funktionalität, Sicherheit und Verwaltung des privaten Netzwerks profitieren.

Funktionsweise virtueller privater Netzwerke

VPN

Zugriff von unterwegs oder zuhause

Frühe Datennetze ermöglichten VPN-Verbindungen zu Remote-Standorten über ein Wählmodem oder über eine Standleitung unter Verwendung von virtuellen Frame Relay– und ATM-Verbindungen (Asynchronous Transfer Mode). Diese Verbindungen wurden über die Netzwerke von Telekommunikationsdienstleistern bereitgestellt. Diese Netzwerke werden im Rückblick nicht als echte VPNs betrachtet, da sie die übertragenen Daten durch die Erzeugung logischer Datenströme nur passiv sichern.

Standleitungen und Wählmodem wurden mittlerweile durch VPNs auf der Basis von IP- und IP / Multi-Protocol-Label-Switching-Netzwerken (MPLS-Netzwerken) ersetzt. Diese Netzwerke ermöglichen eine erhebliche Kosteneinsparungen und erhöhte Bandbreite durch neue Technologien wie DSL (Digital Subscriber Line) und Glasfasernetze.

Wozu dient die VPN-Technologie?

Die Technologie der Virtual Private Networks wurde entwickelt, um Remote-Benutzern und Zweigstellen von Unternehmen den Zugriff auf Unternehmensanwendungen und –ressourcen zu ermöglichen. Um die Sicherheit zu gewährleisten, wird die private Netzwerkverbindung mithilfe eines verschlüsselten Tunnelprotokolls aufgebaut.

VPN-Benutzer müssen sich mit einem Kennwort und einem Zertifikat authentifizieren, um auf das Virtual Private Network zuzugreifen. In anderen Anwendungen können Internetbenutzer ihre Transaktionen mit einem VPN sichern.

VPNs können genutzt werden, um Geoeinschränkungen und Zensur zu umgehen oder sich mit Proxy-Servern zu verbinden, um die persönliche Identität und den Ort des Internetzugangs zu verbergen. VPNs ermöglichen so das anonyme Surfen im Internet. Einige Internetseiten blockieren jedoch den Zugriff über VPNs, um die Umgehung ihrer geografischen Beschränkungen zu verhindern.

Ein VPN wird erstellt, indem eine virtuelle, dedizierte Punkt-zu-Punkt-Verbindung, ein virtuelles Tunnelprotokoll oder Datenverkehrsverschlüsselung verwendet werden. Ein aus dem öffentlichen Internet verfügbares Virtual Private Network kann ähnliche Vorteile wie ein WAN (Wide Area Network) bieten.

Remote und Site-to-Site Virtual Private Networks

VPNs können entweder ein Remote-Zugriff, das heißt die Verbindung eines Computers mit einem Netzwerk oder die als Site-to-Site bezeichnet Verbindung zweier Netzwerke sein. In einer Unternehmensumgebung ermöglichen Remote-Access-VPNsden Mitarbeitern den Zugriff auf das Intranet ihres Unternehmens von zu Hause oder unterwegs.

Site-to-site oder Standort-zu-StandortVPNs ermöglichen es Mitarbeitern in geografisch getrennten Büros und Niederlassungen eines Unternehmens, ein zusammenhängendes virtuelles Netzwerk gemeinsam zu nutzen. Ein VPN kann darüber hinaus dazu verwendet werden, um zwei Netzwerke über ein anderes mittleres Netzwerk miteinander zu verbinden. Zum Beispiel zwei IPv6-Netzwerke über ein Ipv4-Netzwerk.

Virtual Private Network Systeme können klassifiziert werden nach:

  • Tunnelprotokoll, das zum Tunneln des Datenverkehrs verwendet wird
  • Ort des Endpunkts des Tunnels
  • Art der Topologie von Verbindungen (Standort-zu-Standort oder Netzwerk-zu-Netzwerk)
  • die Sicherheitsstufen
  • die Anzahl der gleichzeitigen Verbindungen

VPNs in mobilen Umgebungen

Benutzer verwenden mobile virtuelle private Netzwerke in Umgebungen, in denen ein Endpunkt des Virtual Private Network nicht auf eine einzige IP-Adresse festgelegt ist, sondern über verschiedene Netzwerke wie die Datennetze von Mobilfunkbetreibern oder zwischen mehreren WLAN-Zugangspunkten geleitet wird. Mobile Menschen, die zuverlässige Verbindungen benötigen, setzen zunehmend spezielle mobile VPN Software ein.

Sie benötigen eine Technik, die für nahtloses Roaming in Netzwerken und innerhalb und außerhalb von Funkabdeckungsbereichen verwendet werden kann, ohne Anwendungssitzungen zu verlieren oder die sichere VPN-Sitzung zu beenden. Ein herkömmliches Virtual Private Network kann solchen Ereignissen nicht standhalten, da der Netzwerktunnel unterbrochen wird, wodurch Anwendungen getrennt werden oder Zeitüberschreitungen auftreten.

So funktioniert die mobile VPN-Software

Anstatt den Endpunkt des Netzwerktunnels logisch mit der physischen IP-Adresse zu verknüpfen, ist jeder Tunnel bei mobilen VPNs an eine fest zugeordnete IP-Adresse des Gerätes gebunden. Die mobile VPN-Software wickelt die erforderliche Netzwerkauthentifizierung ab und verwaltet die Netzwerksitzungen auf eine für die Anwendung und den Benutzer transparente Weise.

Das Host Identity Protocol (HIP), das von der Internet Engineering Task Force entwickelt wird, soll die Mobilität von Hosts unterstützen, indem die Rolle von IP-Adressen für die Hostidentifizierung von ihrer Locator-Funktionalitätin einem IP-Netzwerk getrennt wird. Mit HIP behält ein mobiler Host seine logischen Verbindungen bei, die über die Hostidentitätskennung hergestellt werden, während er sich beim Roaming zwischen Zugangsnetzwerken verschiedenen IP-Adressen zuordnet.

Sicherheit in VPNs

VPNs können keine Online-Verbindungen vollständig anonym herstellen, sie können jedoch in der Regel den Datenschutz und die Sicherheit erhöhen. Um die Offenlegung sensibler Informationen zu verhindern, erlauben VPNs in der Regel nur einen authentifizierten Fernzugriff unter Verwendung von Tunnelprotokollen und Verschlüsselungstechniken.

Die Tunnelendpunkte müssen authentifiziert werden, bevor sichere Virtual Private Network-Tunnel eingerichtet werden können. Von Benutzern erstellte Remote-Access-VPNs können Passwörter, biometrische Daten, Zwei-Faktor-Authentifizierungoder andere kryptografische Methoden verwenden.

Netzwerk-zu-Netzwerk-Tunnel verwenden häufig Passwörter oder digitale Zertifikate. Sie speichern den Schlüssel dauerhaft, damit der Tunnel automatisch eingerichtet werden kann, ohne dass der Administrator eingreifen muss.

Tunneling-Protokolle können in einer Punkt-zu-Punkt-Netzwerktopologie arbeiten, die theoretisch nicht als VPN betrachtet werden würde, da von einem VPN erwartet wird, dass er willkürliche und sich ändernde Gruppen von Netzwerkknoten unterstützt.

Da die meisten Routerimplementierungen eine softwaredefinierte Tunnelschnittstelle unterstützen, handelt es sich bei diesen VPNs oft um einfach definierte Tunnel, die herkömmliche Routingprotokolle verwenden.

Das grundlegende VPN-Sicherheitsmodell

Das VPN-Sicherheitsmodell bietet Unternehmen und privaten Nutzern Vertraulichkeit, sodass ein Angreifer selbst dann, wenn der Netzwerkverkehr auf Paketebene erfasst wird, nur verschlüsselte Daten sieht. Hinzu kommt eine Absenderauthentifizierung, um zu verhindern, dass nicht autorisierte Benutzer auf das VPN zugreifen und eine Überprüfung der Nachrichtenintegrität zur Erkennung von Manipulationen an übertragenen Nachrichten.

Sichere VPNs nutzen Internet Protocol Security (IPsec) zur Authentifizierung, Sicherung der Datenintegrität und VertraulichkeitIPsec verwendet einer Verschlüsselung, um ein IP-Paket in einem IPsec-Paket zu kapseln. Die Entkapselung erfolgt am Ende des Tunnels, wo das ursprüngliche IP-Paket entschlüsselt und an das vorgesehene Ziel weitergeleitet wird. Sichere VPN-Protokolle umfassen zudem Transport Layer Security (SSL / TLS) die den gesamten Netzwerkverkehr tunnelt oder eine einzelne Verbindung sichert.

Zugriff über SSL

Eine Reihe von Anbietern ermöglicht VPN-Fernzugriffsfunktionen über SSL. Ein SSL-VPN kann eine Verbindung von Orten herstellen, an denen IPsec aufgrund von Network Address Translation und Firewall-Regeln nicht möglich ist.

Microsoft Point-to-Point-Verschlüsselung (MPPE) arbeitet mit dem Point-to-Point-Tunneling-Protokoll und in verschiedenen kompatiblen Implementierungen auf anderen Plattformen. Secure Shell (SSH) VPN – OpenSSH bietet VPN-Tunneling, um Remote-Verbindungen zu einem Netzwerk oder zu Netzwerkverbindungen zu sichern. Der OpenSSH-Server bietet eine begrenzte Anzahl gleichzeitiger Tunnel. Die Virtual Private Network Funktion selbst unterstützt dabei jedoch keine persönliche Authentifizierung.