Always On: benutzerfreundliche VPN-Verbindung immer und überall - ohne Software auf dem Notebook

Bereits seit einigen Jahren nutzen wir bei R.iT die Vorzüge Microsoft-eigener VPN-Technologie. Mit DirectAccess sind wir immer und überall mit dem Unternehmensnetzwerk verbunden, wo wir unser Notebook auch aufklappen. Der Zugriff auf die internen Ressourcen klappt und "eigentlich" gibt es keinen Grund, hier etwas zu ändern.

Mh, doch:

  1. DirectAccess funktioniert nur mit ausreichend Bandbreite. Im Zug oder im mobilen Hotspot ist das Erlebnis sehr unbefriedigend. Gerade auch, weil eine halb-bestehende Verbindung für den Nutzer bedeutet, dass dann gar nichts geht. Auch nicht das, was ohne Verbindung gut funktionieren würde.
  2. DirectAccess scheint eine gewisse Anfälligkeit bei DS-Lite Anschlüssen zu haben. Gerade in der aktuellen Zeit, in der viele Kollegen und Kolleginnen von Zuhause arbeiten - und einige immer noch glauben, bei einem Kabelanbieter hätten sie einen guten Internetzugang - sehen wir, dass die Sitzungen durch das Carrier-grade NAT zerhäckselt werden und am Ende nix geht. Wie bei 1.
  3. Technologie-bezogene Einschränkungen: Wer sich mit DirectAccess mal auseinandergesetzt hat, weiß: Nur etwas, was via Name auflösbar ist, lässt sich gut ansprechen. Doof für unsere Entwickler, die oft und gerne auch mal nur auf IP-Ebene unterwegs sind. Schon ist Ende.
  4. Status des Produkts: Microsoft entwickelt es nicht mehr weiter. Es gibt einen Nachfolger. Wer die Überschrift nicht gelesen hat, darf jetzt überrascht sein: Er heißt Always On VPN.

 

Wo liegen nun die Unterschiede?

Während bei DirectAccess das Gerät selbst eine Verbindung aufbaut - und sich bei dieser Magie kaum in die Karten gucken lässt, läuft das bei Always On VPN etwas transparenter. Wir haben eine Benutzer-bezogene VPN-Verbindung. Heißt, dass ich (endlich wieder) entscheiden kann, welche Nutzer dürfen und welche nicht. Unabhängig davon, ob sie ein Gerät haben, was per VPN angebunden ist. Wir haben aber zusätzlich auch eine Geräte-bezogene VPN-Verbindung. Die darf aber nur das Gerät nutzen. Macht Sinn für alles, was vor dem Login passiert (bspw. Geräte-bezogene Gruppenrichtlinien).

Aber es gibt auch einen ganz klaren, praktischen Unterschied: Die Kommunikation läuft wieder auf IPv4-Ebene - und ich kann alle meine Adressressourcen auch wieder direkt erreichen. Damit nicht genug; auch Routing ist möglich. So kann ich bspw. einzelnen Kollegen via Tunnel auch Zugriff auf an uns angebundene Kundennetzwerke zur Verfügung stellen. Die Entwickler freuts.

Noch etwas ist schöner - und das ist vor allem für unsere Kunden interessant: Während DirectAccess noch eine Enterprise-Edition von Windows vorausgesetzt hat, reicht für Always OnVPN nun die Pro. Am Ende handelt es sich um eine schnöde IPsec/IKEv2 (oder wahlweise als Fallback auch SSTP)-Verbindung, die auch genau so administrierbar ist.  Das "Always On" ist nur ein Konfigurationsflag. Wahlweise über Powershell oder Intune zu realisieren.

Aus den Berichten unserer Pilot-Tester zeigt sich, dass damit auch alle Probleme, die es mit DirectAccess so gab, gelöst sind. Es ist wesentlich performanter, weil es direkt über IKEv2 läuft - und falls die Firewall es einmal nicht zulässt, bleibt immer noch SSTP als Fallback. Zudem haben die Kollegen auch deutlich mehr Kontrolle, da sich der Tunnel immer noch manuell An- und Abwählen lässt. Zudem gibt es nun keine Probleme an DS-Lite Anschlüssen mehr.

Insgesamt also für alle ein Gewinn. Und DirectAccess? Wird nach 5 Jahren sukzessive abgelöst und abgeschaltet.

 

Beitrag teilen: