Netzwerke, Fachartikel

Grenzenloses Virtual Private Network / VPN

Grenzenloses Virtual Private Network / VPN

Im Test: Mobility XE 8.5 von Netmotion Wireless - Mit Mobility XE bietet Netmotion Wireless eine VPN-Lösung für Unternehmen an, die dazu in der Lage ist, bestehende Applikationssitzungen auch beim Wechsel der Netzwerkanbindung sowie bei Verbindungsabbrüchen jeder Art und Dauer aufrecht zu erhalten.

 

Die VPN-Benutzer haben damit die Möglichkeit, ihre Clients frei zu bewegen und ihren Netzwerkzugang je nach Situation beliebig über kabelgebundene LANs, WLANs oder HSDPA/UMTS- beziehungsweise GPRS-Verbindungen herzustellen, ohne dass dabei ihre einmal begonnenen SSH-, Multimedia-, VoIP-, SAP-, ERP- oder sonstigen Verbindungen (zum Beispiel Web-Anwendungen) abbrechen. Die Lösung ist sogar dazu in der Lage, beim Vorhandensein mehrerer Netzwerkverbindungen automatisch immer die schnellste zu nehmen. IAIT hat sich angesehen, wie sich das Produkt in der Praxis verhält.
Mobility XE - im Test kam bei uns die Version 8.5.8649 zum Einsatz - verwendet das so genannte Internet Mobility Protocol (IMP), um Anwendungssitzungen auch dann am Leben zu erhalten, wenn der dazugehörige Client vorübergehend nicht erreichbar ist, etwa weil er zu einer schnelleren Netzwerkverbindung wechselt oder sich in einem Funkloch befindet. Der Einsatz dieser Technologie ergibt unter anderem für Anwender Sinn, die oft mit dem Zug auf einer Streck wie der zwischen Köln und Frankfurt unterwegs sind. Hier durchfährt der Zug etwa alle drei Minuten einen Tunnel, was immer wieder zu kurzfristigen Verbindungsabbrüchen führt. Da diese sehr häufig auftreten, bringen traditionelle Remote-Access-Lösungen an dieser Stelle keinen Nutzen, da die Anwender mit ihnen die meiste Zeit damit beschäftigt wären, sich immer wieder neu einzuloggen. Da IMP die Verbindungen aufrecht erhält, sind Nutzer der Netmotion-Wireless-Lösung sofort nach dem Verlassen des Tunnels dazu in der Lage, an der gleichen Stelle weiterzuarbeiten, an der sie kurz zuvor aufhören mussten. Mobility XE bringt hier also einen echten Mehrwert und macht in manchen Umgebungen ein produktives Arbeiten erst möglich.

IMP setzt auf RPC-Calls auf und das VPN-Gateway arbeitet als Proxy für die Applikationen. Sind der Client und der Anwendungsserver gleichermaßen erreichbar, so leitet das VPN-Gateway die Datenpakete weiter. Fällt der Client aus, so fährt das VPN-Gateway damit fort, dem Applikationsserver Pakete zu schicken. Diese Pakete teilen der Anwendung mit, dass die Netzwerkverbindung zur Zeit extrem schlecht sei, und dass der Server zunächst keine weiteren Daten senden solle. Damit verhindert Mobility XE, dass die Anwendung ihre Verbindung wegen eines Timeouts abbricht und ermöglicht es dem Client - wenn er wieder online ist - nahtlos mit der Applikation weiterzuarbeiten. Da IMP auf TCP-Ebene arbeitet (die Kommunikation erfolgt über Port 5008 UDP, darin wird IMP auf TCP-Ebene in sich verschlüsselt getunnelt), funktioniert es mit praktisch allen Anwendungen, egal ob es sich um VoIP-Gespräche, Datenbank- und Multimedia-Sitzungen, Telnet- beziehungsweise SSH-Sessions oder Vergleichbares handelt. Interessant ist auch noch die spezifische Eigenschaft von IMP, dass das Protokoll Server- und Client-seitig nur dann mit einem Lebenszeichen auf Anfragen reagiert, wenn als anfragendes Protokoll ebenfalls IMP zum Einsatz kommt. Portscanner laufen damit ins Leere und ein "telnet {Zieladresse} 5008" bringt ebenfalls keine Erkenntnisse.

Umfassende Reports informieren den Administrator nicht nur über die Zahl der Applikationsaufrufe auf den Clients Bildupload

Zu den weiteren Funktionen von Mobility XE gehören eine FIPS-konforme Verschlüsselung, Zwei-Faktor-Authentifizierung, diverse Beschleunigungsfunktionen für die Datenübertragung (Komprimierung, Web-Acceleration, etc.), die Unterstützung von Zertifikaten und ein umfassendes Regelwerk, dass Zugriffsrechte auf die Netzwerke, den Datendurchsatz, die Behandlung bestimmter Applikationen und ähnliches festlegt. Konkret sieht es so aus, dass die Richtlinien, die sich mit Hilfe von Mobility XE erstellen lassen, die Zugriffrechte auf das Remote-Netz auf Protokoll- und Anwendungsebene steuern. Die optional erhältliche Network-Access-Control-Funktion (NAC) schreibt bei Bedarf zusätzlich detailliert die Konditionen vor, die auf dem zugreifenden Client herrschen müssen, damit dieser überhaupt auf das Netz zugreifen darf (beispielsweise aktivierte und aktualisierte Antivirus-Lösung, aktive Firewall und ähnliches). Dazu später mehr. Umfangreiche Reporting-Funktionen runden den Leistungsumfang der VPN-Lösung ab.

Über die Netzwerk-Interface-Groups lassen sich unterschiedliche Netzwerkschnittstellen zusammenfassen  Bildupload

Voraussetzungen

Mobility XE besteht aus insgesamt vier Komponenten, nämlich dem Mobility Server, dem Mobility Warehouse, dem Mobility Reporting Server und der Datenbank, die auf Basis der Express Edition des Microsoft SQL-Servers 2005 realisiert wurde. In den meisten Umgebungen wird es sinnvoll sein, diese vier Bestandteile auf mehrere unterschiedliche Hardware-Systeme zu verteilen, in kleinen Umgebungen mit bis zu 100 Clients sind die zuständigen Mitarbeiter aber dazu in der Lage, alle Komponenten auf einem Server einzuspielen. Die Systemanforderungen lauten in diesem Fall folgendermaßen: Als Betriebssystem Windows Server 2003 oder Windows Server 2003 R2 jeweils mit Service Pack 2 und als Prozessor mindestens ein Pentium 4 mit 2 GHz Taktfrequenz. Dazu kommen noch zwei GByte RAM und 4 GByte Speicherplatz auf der Festplatte. Abgesehen davon müssen auf dem betroffenen Rechner mindestens der Internet Explorer 6 oder 7 beziehungsweise der Firefox 2 oder 3 laufen. Client-seitig unterstützt Mobility XE Windows XP in der Tablet-PC-Edition, Windows XP mit Service Pack 2 sowie Windows Vista (Business, Enterprise und Ultimate). Der Client auf diesen Systemen nimmt etwa zehn MByte RAM in Anspruch. Darüber hinaus existieren auch noch Clients für Handheld-Devices auf Basis von Windows Mobile. Diese benötigen mindestens eine Strong-ARM-1100- oder SH4-CPU und Windows Mobile 5.0 sowie drei MByte Speicherplatz (bei Smartphones sieben MByte).

Der Mobility-Client zeigt auf Wunsch auch Verbindungsdetails an

 

<next>

Installation

Im Test setzten wir alle Komponenten des Mobility-XE-Systems auf einem System mit Windows Server 2003 R2 mit Service Pack 2 auf, das in einer virtual Machine unter dem Vmware Server 2.0.1 lief. Diese virtuelle Maschine (VM) verfügte über eine Intel-Core-2-Quad-CPU (Q6600) mit 2,4 GHz Taktfrequenz, die innerhalb der VM als Dual-Prozessor-System konfiguriert war, zwei GByte RAM und 80 GByte Festplattenplatz.

Der Benutzer, der Mobility XE auf dem Server installieren möchte, benötigt auf dem betroffenen System Administratorrechte. Abgesehen davon muss der Server, auf dem das System laufen soll, über einen Fully Qualified Domain Name verfügen, in unserer Testumgebung war das bereits der Fall, da er Mitglied einer Domäne war. Nach dem Aufruf der Installationsdatei startet ein Wizard, der es dem Anwender ermöglicht, entweder einzelne Komponenten des VPN-Systems einzuspielen, oder den so genannten Small Deployment Server einzurichten, der alle Bestandteile enthält. Im Test entschieden wir uns für die zweite Option. Daraufhin präsentierte der Assistent uns die Lizenzinformationen, fragte uns nach einem Passwort für den Administrationszugriff und bot uns als Base-DN für das Mobility Warehouse unsere Domäneninformationen an, die wir ungeändert übernehmen konnten. Danach wollte der Wizard nur noch die Ports zur Kommunikation zwischen Server und Warehouse (auch hier übernahmen wir die Standardeinstellungen) sowie den Installationspfad wissen, anschließend lief das Setup durch und wurde durch einen Neustart abgeschlossen.

Mobility XE unterstützt auch die Arbeit mit Zertifikaten

Nach dem Abschluss des Reboot-Vorgangs erscheint ein Konfigurationsassistent, der den Port zum Zugriff auf den Konsolenserver mit dem zentralen Konfigurationsinterface erfragt und wissen möchte, ob das System die Administrationsverbindungen dorthin verschlüsseln soll oder nicht (standardmäßig laufen die Zugriffe unverschlüsselt über Port 8080 ab). Der gleiche Wizard benötigt auch noch die Namen der zugriffsberechtigten Gruppen und Clients (nur lokal, aus dem LAN oder alle). Im nächsten Schritt fragt das System nach der IP-Adresse des Warehouse-Servers mit dem Administrationslogon und initialisiert die Datenbank. Anschließend geht es darum, dem System mitzuteilen, auf welche IP-Adressen es hören soll. Bei VPN-Gateways, die hinter NAT-Devices stehen, ist es an dieser Stelle unbedingt erforderlich, neben der lokalen IP-Adresse auch noch die externe Adresse des NAT-Geräts einzutragen, weil sonst keine Verbindungen von außerhalb zu Stande kommen können. Zum Schluss möchte der Konfigurationsassistent noch die virtuellen IP-Adressen wissen, die die Clients erhalten, um problemlos auf die lokalen Netzwerkressourcen zuzugreifen (vordefinierter Adresspool oder Zuordnung über einen DHCP-Server) und fragt nach der Methode, mit der sich die Clients beim VPN-Gateway authentifizieren (NTLM, Radius oder RSA Secu-ID). Im Test entschieden wir uns für NTLM und gaben auch gleich die Benutzer an, die sich via VPN verbinden durften. Damit war die Serverinstallation abgeschlossen.

Über die Client-Übersicht können sich Administratoren per Drill-Down sogar anzeigen lassen, welche Anwendung wie viel Verkehr verursacht Bildupload

Anbindung der Clients

Nachdem wir den Server am Laufen hatten, spielten wir zunächst die Client-Software auf einem Windows-XP-Service-Pack-2-System ein, das sich bei uns im LAN befand, um die Verbindung zu testen. Hier genügte es, die Setup-Datei aufzurufen, die Lizenzinformationen zu bestätigen, den Installationspfad festzulegen und die IP-Adresse des Servers anzugeben, danach lief die Installation durch und wurde durch einen Neustart abgeschlossen. Nach dem Reboot verband sich der Client gleich mit dem VPN-Server und wickelte seine Datenverbindungen über ihn ab. Der VPN-Login wurde nahtlos in den XP-Logon-Prozess integriert, so dass wir von Anfang an mit einer Single-Sign-On-Lösung arbeiteten. Ein separater VPN-Login-Screen erscheint nur dann, wenn die Windows-Credentials nicht mir den VPN-Login-Daten übereinstimmen, was in Produktivumgebungen nur selten der Fall sein dürfte. Mobility XE bleibt für den Anwender also größtenteils transparent. Insgesamt haben wir für die Installation des Servers und den Verbindungsaufbau mit dem ersten Client nicht einmal eine Stunde benötigt, das VPN-Setup mit Mobility XE gestaltet sich folglich sehr einfach und problemlos.

Weitere Clients einbinden

Als nächstes versuchten wir, mit Hilfe des Mobility-XE-Clients für Windows Mobile, VPN-Verbindungen über UMTS zu unserem LAN herzustellen. Dazu gaben wir zunächst in unserer Firewall Port 5008 frei und leiteten ihn auch gleich an den VPN-Gateway weiter. Anschließend riefen wir auf den Handheld-Geräten (zum Einsatz kamen ein T-Mobile MDA Vario II mit Windows Mobile 6.0 Professional und ein HTC Touch 3G mit Windows Mobile 6.1 Professional) die Installationsroutine des VPN-Clients auf. Diese fragt lediglich nach dem Ort, an dem sie die Software einspielen soll, präsentiert Lizenzinformationen und möchte zum Abschluss noch die IP-Adresse des VPN-Servers wissen - in diesem Fall die externe IP-Adresse unseres Internet-Routers, von dem wir ja den Port 5008 zum Mobility-XE-Server weitergeleitet hatten. Nach diesen Angaben läuft das Setup durch und wird durch einen Soft-Reset abgeschlossen. Die anschließende Verbindungsaufnahme über HSDPA klappte auf Anhieb. Zum Schluss integrierten wir noch ein Notebook unter Windows Vista Ultimate in unsere Testumgebung. Hier bauten wir zunächst die VPN-Verbindung via WLAN auf, auch dabei kam es zu keinen Problemen.

Die Network-Access-Rules legen die Bedingungen fest, unter denen ein Client auf das Netz zugreifen darf  Bildupload

Konfiguration im laufenden Betrieb

Wie bereits erwähnt, lässt sich Mobility XE über ein Web-Interface verwalten, dass standardmäßig über die URL {IP-Adresse des VPN-Servers}:8080 erreichbar ist. Nach dem Login landet der Administrator auf einer Statusseite, die ihn über den Zustand einzelner Komponenten des VPN-Systems unterrichtet. Dazu gehören auf Seiten des Servers die Zahl der Verbindungen, die CPU- und Netzauslastung, die Uptime und ähnliches. Client-seitig führt das System die vorhandenen Client-Systeme mit ihrem Zustand (reachable, unreachable), dem Ladeniveau ihrer Batterien und ihrem Zugriffsstatus auf das Netz auf (einschließlich Benutzern und Geräten, die sich wegen der Verletzung von Netzwerkzugriffsregeln in Quarantäne befinden). An dieser Stelle können Administratoren sogar einen Drill-Down auf einzelne Systeme durchführen und einsehen, welche Applikationen wie viel Bandbreite benötigen. Übersichten über das Warehouse (mit maximaler Datenbankgröße, Cache Hit Ratio, etc.) und den Reporting-Server mit Purge Age und Purge Time, also Einstellungen zum automatischen Löschen alter Einträge, runden den Leistungsumfang der Statusübersicht ab.

Zugriff von außen auf ein Mobility-XE-VPN

Unter "Analytics" erzeugen die zuständigen Mitarbeiter Reports. Hier stehen eine große Zahl unterschiedlicher, vordefinierter Einträge zur Verfügung, die praktisch alle für den Betrieb eines VPNs erforderlichen Punkte abdecken und von denen wir hier nur exemplarisch einige nennen können, um einen Eindruck über die Leistungsfähigkeit der Anwendung zu vermitteln. So gibt es unter anderem folgende Berichte: "Application Launch Count", "Application Version Usage Detail", "Battery Status", "Connection Status", "Connection Terminations", "Network Errors and Duplicates", "Network Roaming", "Network SSID Distribution", "Network Usage by Application" (da das System dazu in der Lage ist, einzelne Anwendungen genau zu überwachen, entsteht hier ein genauer Überblick über die Aktivitäten im VPN), "Network Usage by Device", "Network Usage by NIC Group" (Network Interface Groups, also NIC Gruppen, fassen mehrere Netzwerkinterfaces zu Gruppen zusammen), "Network Usage by User", "Notifications Summary", "Quarantined Connections Detail" und "Server Status". Alle Reports bestehen aus grafischen Darstellungen und lassen sich durch Filterfunktionen und Zeiträume auf bestimmte Systeme und Zeitpunkte beschränken. Damit bleiben im Reporting-Bereich praktisch keine Wünsche offen und die Verantwortlichen sind jederzeit ohne großen Aufwand dazu in der Lage, sich einen Überblick über den Zustand ihres VPNs zu verschaffen. Es ist sogar möglich, Abfragen zu sichern.

<next>



Mit Hilfe der Rubrik "Einstellungen" nehmen die IT-Mitarbeiter Änderungen an der Konfiguration des VPN-Systems vor. Für den Server unterscheidet die Lösung zwischen globalen Settings, serverspezifischen Einstellungen und den Settings für den Reporting-Server. Die für den VPN-Server relevanten Einstellungen umfassen die Load-Balacing-Methode, die externen Server-IP-Adressen, auf die der Mobility-XE-Gateway reagieren soll, die Angaben zum virtuellen Adresspool und ähnliches, während die Report-Settings unter anderem Grenzwerte für Benachrichtigungen (zum Beispiel beim Erreichen niedriger Akkuladezustände oder hoher Prozessorlasten) und die Einstellungen für verschiedene Benachrichtigungsmechanismen wie SMTP, SMNP und Syslog enthalten.

Die Clienteinstellungen lassen sich ebenfalls global oder gerätebezogen vornehmen. Sie umfassen unter anderem das Einschalten der Kompression, die Logon-Wartezeit, den Verschlüsselungstyp (AES 128-Bit, AES 192-Bit oder AES 256-Bit) und die Settings zur Web-Beschleunigung, wobei die Administratoren letztere besser dynamisch über Policies regeln, da sie nur dann die Schnelligkeit des Netzes berücksichtigen, in dem sich der Client gerade befindet.

Abgesehen von den bereits genannten Funktionen stellt das Web-Interface auch noch eine Reihe von Werkzeugen zur Verfügung. Das wichtigste davon befasst sich mit dem Management der eben erwähnten Policies. Hier hat der Hersteller bereits eine große Zahl an Regeln vordefiniert, die sich entweder aktivieren oder als Vorlage für eigene Policies nutzen lassen. Auf diese Weise arbeitet die Regeldefinition fast selbsterklärend. Zu den vordefinierten Einträgen gehören Policies wie "Disconnect NetBIOS", "Hide the WWAN-Network from the Server", "Play Sound when Unreachable", "Set Web-Acceleration slowest on LAN" (so dass im LAN die wenigsten Beschleunigsungsfunktionen aktiv werden) und so weiter. Die zuständigen Mitarbeiter können sämtliche Regeln jederzeit zu Rule-Sets zusammenfassen, was die Übersichtlichkeit deutlich erhöht. Auch bei den Rule-Sets existieren viele vordefinierte Beispiele wie "Allow Network Traffic for Windows System Applications", "Block an Application over a slow Interface", "Restrict Web Browsing to spezific Sites" oder auch "Set Web Acceleration Levels (Fastest on WWAN, fast on WLAN and slowest on LAN)". Alle Regeln lassen sich dann bestimmten Gruppen, Rechnern und Benutzern zuweisen. Da Mobility XE - wie bereits erwähnt - einzelne Anwendungen überwachen kann, haben die IT-Verantwortlichen mit der Lösung beispielsweise die Option, unterschiedliche Web-Zugriffs-Policies für unterschiedliche Browser zu definieren, oder die Datenübertragungen bandbreitenhungriger Multimedia-Anwendungen über GPRS-Verbindungen ganz zu untersagen. Im Test waren die Policies schnell eingerichtet und brachten sofort die erwünschten Ergebnisse.

Neben der zuvor angesprochenen Web-Acceleration, die sich im Wesentlichen mit dem Komprimieren oder Unterdrücken von Bildern in Websites befasst, unterstützt Mobility XE auch noch eine Vielzahl anderer Optimierungsmethoden wie Reduced and synchronized Transmissions, Datenkomprimierung, Fragmentation Optimization und Error Reduction. Administratoren haben damit alle Werkzeuge in der Hand, die sie brauchen, um geschäftskritische Applikationen auch bei widrigen Bedingungen verfügbar zu halten.

Das zweite wichtige Tool befasst sich mit der optional erhältlichen Netzwerkzugriffssteuerung. Hier lassen sich Regeln erstellen, die den Zugriff von Clients über das VPN vom Einspielen von Updates für die Antivirus-Lösung und das Betriebssystem, sowie vom Zustand der Firewall (ein/aus) und ähnlichen Faktoren abhängig machen. So ist es beispielsweise möglich, ein System automatisch in die Quarantäne zu verschieben, wenn auf ihm bestimmte Windows-Updates nicht vorhanden sind. Es besteht auch die Option, die Regeln von definierten Konditionen abhängig zu machen. So sind die IT-Verantwortlichen beispielsweise dazu in der Lage, durch das Einbinden einer externen Applikation, die den jeweiligen Aufenthaltsort als Wert an das VPN-System übergibt, dafür zu sorgen, dass für Benutzer, die sich in der Außenstelle in Bochum befinden, andere Rahmenbedingungen gelten als für Anwender, die sich in einem Hotel in Niederbayern aufhalten. Auch bei der Netzwerkzugriffskontrolle arbeitet Mobility XE wieder mit Rules, Rule Sets und Subscribers, also Benutzern, Gruppen und Geräten. Zu den Rule Sets gehören dann auch die durchzuführenden Aktionen, wie zum Beispiel das Ausgeben einer Warnung oder das Verschieben eines Systems in Quarantäne.

Generell macht das Administrationswerkzeug einen übersichtlichen und leicht bedienbaren Eindruck. Wo Unklarheiten bestehen, hilft die umfangreiche englische Online-Hilfe schnell weiter.

Die Client-Software

Auch auf den Clients stehen den Anwendern diverse Optionen zur Verfügung, mit denen er das Verhalten von Mobility XE beeinflussen kann (wenn der Administrator das zulässt). So gibt es zunächst die Möglichkeit, die VPN-Verbindung komplett zu umgehen, und auf "normalem" Weg auf das Netz zuzugreifen, was beispielsweise bei einem Ausfall der VPN-Infrastruktur im Unternehmen Sinn ergibt. Außerdem liefert die Client-Software umfassende Informationen zum Verbindungsstatus mit den verwendeten realen und virtuellen IP-Adressen, der Serveradresse und den empfangenen sowie gesendeten Bytes. Bei der Fehlersuche helfen unterschiedliche Diagnosewerkzeuge, die beispielsweise einen Verbindungstest enthalten. Die allgemeine Konfiguration legt im Gegensatz dazu fest, ob das System ein Verbindungs-Icon in der Taskleiste anzeigt, ob es Warnungen ausgibt, ob es den Client gemeinsam mit Windows startet und ob es die Serveradresse manuell oder über DHCP bezieht. Eine Verwaltungsfunktion für Server- und Client-Zertifikate und eine Detailübersicht über die Verbindung mit Verschlüsselung, Kompression, Web-Beschleunigung, Zugriffssteuerung und ähnlichem runden den Leistungsumfang der Client-Software ab.

Der Test

Im Test richteten wir zunächst das VPN so ein, wie wir es im praktischen Betrieb nutzen wollten, also mit allen Beschleunigungs- und Zugriffsregeln und griffen dann mit verschiedenen Clients über unterschiedliche Netze auf den Mobility-XE-Server zu. Dabei stellten wir fest, dass die Regeln zum Beschleunigen, zur Kompression und zur Zugriffssteuerung stets so funktionierten, wie erwartet. Die Datenkompression funktioniert besonders gut mit Textdateien, wie ein Versuch mit dem textbasierten Leistungstest unter performance.toast.net ergab. Bei einer Drahtlosverbindung über das O2-Netzwerk luden wir die dort angebotene Benchmark-Text-Datei mit einer Größe von 341 Kilobyte einmal über die "normale" Leitung und einmal über das optimierte VPN herunter (jeweils von Server von 1&1). Über die Standardleitung erreichten wir einen Durchsatz von 71 Kilobyte pro Sekunde, über das VPN waren es 6282 Kilobyte pro Sekunde. Bei Binärdateien ist der Effekt nicht ganz so deutlich, aber immer noch messbar. Beim so genannten Shuttle-Benchmark des gleichen Anbieters, bei dem es darum geht, eine JPG-Datei mit dem Bild eines Space-Shuttles herunterzuladen, erreichten wir ohne VPN einen Durchsatz von 588 Kilobyte pro Sekunde, mit VPN waren es 9804 Kilobyte pro Sekunde.

Um IMP zu testen, starteten wir auf einem unserer Notebooks eine SSH-Verbindung zu einem Linux-Server im LAN und telefonierten parallel dazu via Skype über den gleichen Rechner. Dann wechselten wir ohne Unterbrechungen und nennenswerte Verzögerungen die Netzwerkverbindung von LAN auf WLAN und zurück. Danach unterbrachen wir die Verbindung durch das Ziehen des Netzwerkkabels und aktivierten etwas später eine WWAN-Verbindung über einen USB-Stick. Sofort nach dem Aufbau der neuen Verbindung konnten wie verzögerungsfrei mit unserer ssh-Konsole weiterarbeiten. Auch das Skype-Gespräch stand wieder zur Verfügung. Irgendwelche Authentifizierungsvorgänge waren nach dem ursprünglichen Login beim System trotz der ganzen Verbindungswechsel nicht nötig. Zu guter Letzt versetzten wir das Notebook mit aktiver ssh-Verbindung in den Suspend-Modus und fuhren es am nächsten Tag wieder hoch. Die ssh-Konsole blieb davon unbeeindruckt und stand sofort nach dem Start des Rechners wieder zur Verfügung.

Sonderfall dynamische IP-Adressen

Obwohl Mobility XE normalerweise mit fest eingestellten IP-Adressen arbeitet, lässt das System sich auch in Umgebungen mit dynamischen IP-Adressen einsetzen. Dazu ist es zunächst erforderlich, im Konfigurationsinterface die "Advanced Settings" zu aktivieren. Dazu riefen wir die "Client-Settings"-Seite auf und hängten an die im Browser angezeigte URL "http://{IP-Adresse des VPN-Servers}:8080/client_settings.jsp" den String "?advanced=1" an. Daraufhin erschien am unteren Rand des Fensters eine Box "Show advanced Settings". Nachdem wir diese aktiviert hatten, bot uns das Interface unter anderem die neue Option "Server Address - Clients can use any Server Address" an. Nach der Selektion dieses Punktes war es möglich, auf den Clients anstelle der IP-Adresse auch einen Hostnamen anzugeben.

Fazit

Im Test konnte Mobility XE voll überzeugen. Die Installation und Konfiguration der Lösung ging schnell und einfach von der Hand, was besonders positiv auffällt, wenn man bedenkt, was für ein Konfigurationsaufwand für manche IPSec- und SSL-VPNs erforderlich ist. Auch im Betrieb gab es nichts zu beanstanden. Die Web-Beschleunigungsfunktionen ermöglichen es auch Usern, die über eine GPRS-Verbindung angebunden wurden, mit vernünftiger Geschwindigkeit im Internet zu surfen, die Reporting-Funktionen überzeugen und die Systeme zur Zugriffssteuerung arbeiten wie erwartet. Der eigentliche Hit des Produkts ist aber die Aufrechterhaltung sämtlicher Anwendungsverbindungen dank des IMP. Diese Fähigkeit stellt momentan ein echtes Alleinstellungsmerkmal dar und ist im Betrieb unglaublich nützlich. Zusätzlich zu den im Test bereits genannten Anwendungsgebieten sind auch noch viele andere Einsatzbereiche für ein VPN ohne Verbindungsabbrüche denkbar. So lassen sich damit zum Beispiel auch Mainframe-Applikationen effizient aus der Ferne nutzen. Abschließend betrachtet, können wir Mobility XE als äußerst empfehlenswert einstufen.

 

Testbericht: Quelle - IAIT, Dr. Götz Güttich