Wie man zwei Niederlassungen vernetzt


Thomas Wölfer
Thomas Wölfer

21. Dezember 2005


D.I.E. Software ist auf mehrere Niederlassungen verteilt. Neben der Hauptstelle in Oberhausen gibt es unter anderem auch eine Niederlassung in München. Seit einiger Zeit wird der Quellcode unserer Statikprogramme zentral in München verwaltet. Damit man auch von Oberhausen darauf zugreifen kann, war es notwendig, das die beiden Niederlassungen vernetzt wurden. Nichts einfacher als das - dachte ich.

Das Netz sollte als VPN (virtuelles privates Netzwerk) angelegt werden. Dabei verbindet man zwei LANs über das Internet, wobei der Datenverkehr der über die öffentlichen Leitungen geht, verschlüsselt wird. Von Haus aus ist das eigentlich kein Problem: In München setzen wir unter anderem einen Windows 2003 Server ein, und der kann von sich aus als VPN-Server fungieren. Auf der anderen Seite - in Oberhausen - kommen Windows XP Pro Systeme zum Einsatz, und die können von sich aus auch VPN Verbindungen zu VPN Server aufbauen. Man sollte annehmen, das der Vernetzung im Prinzip nichts im Wege steht.

Es verhält sich aber, wie das immer so, leider ein bisschen anders. Das Münchner Büro verfügt über eine feste Internetanbindung mit fester IP-Adresse. Der Windows 2003 Server ist auch über diese Adresse erreichbar. Das Oberhausener Büro ist hingegen per DSL von Arcor ans Internet angeschlossen und hat daher keine feste IP-Adresse.

An den jeweiligen Ausgängen von den LANs ins Internet findet NAT (Network Adress Translation) statt: Das ist notwendig, damit alle Rechner in den LANs, die ja kein "öffentliche" IP-Adresse haben, am Internet teilnehmen können. NAT funktioniert so, das die Rechner hinter dem NAT-Rechner (oder Router) stehen aus Sicht des Internet nur ein einzelner Rechner sind.

Das bedeutet aber auch, das eine Netzwerkverbindung von Oberhausen nach München sich eben auch für den Server in München so darstellt, als gäbe es in Oberhausen nur einen Rechner. Das Ergebnis davon: Man kann auch nur mit einem Rechner gleichzeitig eine VPN-Verbindung herstellen.

Was es also braucht sind zwei Geräte die unter sich eine VPN Verbindung aufbauen, und in Richtung ihrer jeweiligen LANs diese Verbindung zur Verfügung stellen: Dann können alle Rechner die VPN-Verbindung benutzen.

Das würde auch mit dem Windows 2003 Server gehen: Man braucht dann aber eben auf beiden Seiten einen solchen Server. Die Konfiguration wollte wir aber nicht wählen - Oberhausen sollte nicht noch einen weiteren Server zu verwalten haben.

"Kein Problem" war der nächste Gedanke: Dann beschaffen wir eben einen VPN-Router und ersetzen damit den in Oberhausen vorhandenen. Der baut dann die Verbindung mit dem VPN Server auf - und alle Rechner hinter dem Router könnten diese dann nutzen.

Gesagt, getan, fehlgeschlagen: Es ist nämlich so, das das Wort "VPN Server" oder "VPN Router" nicht viel zu sagen hat: Im wesentlichen funktionieren nur Geräte gleicher Hersteller untereinander. Man kann also nicht einfach irgend einen VPN Router kaufen und den dann mit dem VPN Server von Windows 2003 verbinden. (Es _gibt_ Geräte mit denen das geht, nur sind die Beschreibungen der verfügbaren Geräte derart mangelhaft, das ihre tatsächliche Funktion daraus schlicht nicht zu entnehmen ist.

Es kam also zum nächsten Versuch - und ob der wirklich klappt werden wir erst nächste Woche wissen: Dabei haben wir nun einen VPN-Server und einen VPN-Router in Hardware, beide von der Firma Bintec. Die Geräte machten auch einen ganz guten Eindruck - aber nur zunächst: Die eingebauten "Wizards" zur Installation klappen überhaupt gar nicht, und die mitgelieferte Dokumentation ist eher ein Witz. Auf der Bintec Webseite gibts zwar jede Menge FAQs, aber die die man bräuchte, haben zumindest wir nicht gefunden.

Es gibt aber auch einen Lichtblick: Der Support von Bintec ist nämlich hervorragend. Nachdem alle Versuche die Geräte mit Hilfe der mitgelieferten Software und Dokumentation in den Betrieb zu nehmen fehlgeschlagen waren, haben wir da angerufen.

Und siehe da: Nach etwa 20 Minuten lief alles perfekt - daher ein großes Lob an den Support bei Bintec. Allerdings nur in der "Testumgebung" in München. Die sieht aber so aus, das der Router per ISDN ans Internet angeschlossen ist - und nicht per DSL. Wie gut das dann funktioniert, wird sich wie gesagt in der nächsten Woche zeigen - notfalls gibts eben einen weitere Anruf beim Support.