Was ist VPN Passthrough und wie funktioniert es?

Stephen Mash

By Stephen Mash . 25 Februar 2024

IT Specialist

Justin Oyaro

Fact-Checked this

In diesem Leitfaden werde ich erklären, was ein VPN Passthrough ist und wie es funktioniert.

Was ist ein VPN Passthrough?
Kurzum, ein VPN Passthrough ist eine Funktion eines Routers, die es allen Geräten, die mit diesem Router verbunden sind, ermöglicht, eine ausgehende VPN-Verbindung zu etablieren. Im Gegensatz dazu stellt ein VPN-Router aktiv eine VPN-Verbindung her. Das VPN Passthrough fungiert als passiver Ermöglicher für VPN-Datenverkehr.

Lesen Sie weiter, um mehr darüber zu erfahren, wie ein VPN Passthrough funktioniert.
Verwenden Sie das Navigationsmenü rechts (Desktop) oder unten (Mobil) um schnell zu relevanten Abschnitten zu springen.

VPN Passthrough

Warum benötigen manche Router ein VPN Passthrough?

Es gibt im Wesentlichen zwei Arten von Routern: solche, die eine VPN-Verbindung nativ akzeptieren, und solche, die dies nicht tun.

Router, die eine VPN-Verbindung nativ akzeptieren, unterstützen Technologien wie IPsec (Internet Protocol Security), PPTP (Point-to-Point Tunneling Protocol) oder L2TP (Layer Two Tunneling Protocol).

Sie können diesen Router so konfigurieren, dass er als VPN-Server arbeitet oder ein Site-to-Site VPN mit einem anderen VPN-Gateway erstellt.

Einige Router sind so konzipiert, dass sie nicht als VPN-Server verwendet werden können. Sie unterstützen diese Art von Technologie nicht nativ und blockieren daher den VPN-Verkehr. Um ein VPN zu nutzen, müssen Sie diese Einschränkung umgehen.

Dies können Sie mit der VPN Passthrough-Funktion tun. Wenn aktiviert, wird der Verkehr vom VPN-Client durch das Internet geleitet und erreicht das VPN-Gateway.

Die VPN Passthrough-Funktion ist bei vielen Heimroutern verfügbar, und diejenigen, die sie haben, werden allgemein als Standard akzeptiert, weil sie sowohl PPTP als auch IPsec VPNs unterstützen.

Mit anderen Worten, diese Funktion ermöglicht es Computern in einem privaten Netzwerk, ausgehende VPNs zu erstellen. Sie beeinflusst oder behindert nicht die ordnungsgemäße Funktion von eingehenden VPN-Verbindungen.

Der Name kommt daher, dass diese Funktion den VPN-Verkehr durch den Router hindurch lässt. Sie müssen dafür keine Ports öffnen. Der Vorgang ist vollautomatisch.

Was ist der Unterschied zwischen einem VPN und einem VPN Passthrough?

Dieses Feature findet man hauptsächlich in Internet-Gateway-Geräten für kleine Unternehmen und in VPN-Routern für Verbraucher. Diese Geräte unterstützen VPN-Protokolle wie IPsec, PPTP, L2TP oder sogar die SSL (Secure Sockets Layer) VPN-Technologie.

Das bedeutet, dass sie sich ohne vorhandenen VPN-Client mit einem zentralen Server oder dem VPN-Gateway verbinden können. Dieser Clienttyp ist mit einem solchen Router nicht kompatibel und es wäre reine Zeitverschwendung, sie zusammenzubringen.

Kleinunternehmensnetzwerkgeräte, die das VPN Passthrough-Feature unterstützen, erlauben es, dass die Datenpakete des VPN-Clients mit der VPN-Technologie verschlüsselt werden und das Internet erreichen.

Warum benötigen Sie VPN Passthrough?

Die meisten Router auf dem Markt haben bereits ein eingebautes VPN Passthrough. Es ist notwendig, um ein VPN zu nutzen, das die IPsec- oder PPTP-Protokolle verwendet.

Jedoch hat der Ersatz dieser Sicherheitsprotokolle durch schnellere und sicherere Protokolle, wie OpenVPN und IKEv2/IPsec, diese Funktion überflüssig gemacht.

VPN-Protokolle sind von Natur aus nicht kompatibel mit den Technologien NAT (Network Address Translation) und PAT (Port Address Translation).

Diese Inkompatibilität ist ein Problem, wenn Sie Netzwerkgeräte verwenden, die auf diesen Technologien basieren, um dieselbe Internetverbindung zwischen mehreren Computern zu teilen.

Für dieses Szenario gibt es zwei mögliche Lösungen: ein PPTP Passthrough oder ein IPsec Passthrough.

PPTP Passthrough und wie es funktioniert

Die meisten Router verbinden sich über ein NAT-Protokoll mit dem Internet, das mit PPTP nicht kompatibel ist. Das PPTP Passthrough umgeht dieses Problem und ermöglicht es VPN-Verbindungen, das NAT zu durchlaufen. Allerdings benötigt NAT Ports, um korrekt zu funktionieren.

PPTP verwendet den TCP (Transmission Control Protocol) Kanal auf Port 1723 für die Steuerung und das GRE (Generic Routing Encapsulation) Protokoll, um die Daten zu sammeln und den VPN-Tunnel zu erstellen, und das ganz ohne Verwendung von Ports.

Das native GRE von PPTP benötigt keine Ports, um den VPN-Tunnel herzustellen. Da NAT eine gültige IP-Adresse und eine Portnummer erfordert, gibt es einen Konflikt.

Das PPTP Passthrough-Feature funktioniert, indem es die GRE-Funktion neu konfiguriert und einige ihrer Dienste erweitert. Am wichtigsten ist, dass es die Call-ID hinzufügt.

Wenn ein PPTP-Client eine Verbindung zu einem Server herstellt, erstellt er eine eindeutige Call-ID, die er in den modifizierten Header einfügt. Diese Call-ID steht dann als Ersatz für die Ports in der NAT-Übersetzung zur Verfügung.

Call-IDs werden im PPTP-Port-Mapping verwendet, um PPTP-Clients, die NAT verwenden, eindeutig zu identifizieren.

Eigentlich sollte es nur als Ersatz für PPTP-Verkehr dienen, aber es ist ein nicht standardisiertes Verfahren, das vom Router nicht automatisch erkannt wird.

Die PPTP Passthrough-Funktion ermöglicht es PPTP, den NAT-Router zu durchlaufen. Sie zwingt den Router, vom Standardport auf den durch die Anrufer-ID angegebenen Port zu wechseln, wenn er auf PPTP-Verkehr stößt.

Diese Funktion ermöglicht es VPN-Clients, ausgehende PPTP-Verbindungen herzustellen.

IPsec Passthrough und wie es funktioniert

Das IPsec Passthrough funktioniert mit einem NAT-T, dem Network Address Translator Traversal. Die Implementierung dieses Netzwerkverfahrens wird IP-Verbindungen sicher über Gateways herstellen und aufrechterhalten, die NAT benötigen.

IPsec VPNs müssen NAT-T verwenden, um korrekt mit dem NAT-Protokoll zu funktionieren. Andernfalls wird der Verkehr nicht verschlüsselt und es wird kein VPN-Tunnel erstellt.

Das NAT-T kapselt die Sicherheitslast in ein UDP (User Datagram Protocol) Paket, das von NAT erkannt wird.

Der Prozess ist viel effizienter, da die Grundlage von IPsec Protokolle sind, die vollständig aktiviert werden müssen, um Firewalls und Netzwerkadressübersetzer zu durchlaufen:

  • Internet Key Exchange (IKE) – das User Datagram Protocol (UDP) Port 500
  • IPsec NAT Traversal – UDP Port 4500, wenn das NAT Traversal funktioniert
  • Encapsulating Security Payload (ESP) – IP Protokollnummer 50
  • Authentication Header (AH) – IP Protokollnummer 51

Viele Router haben spezifische Funktionen in ihr Programm eingebettet, die als IPsec Passthrough bezeichnet werden. Alle unterstützten Versionen von Microsoft Windows haben das NAT Traversal standardmäßig aktiviert, so dass Sie keine Einstellungen ändern müssen.

Sollte ich den VPN Passthrough deaktivieren?

Du solltest den VPN Passthrough nur dann deaktivieren, wenn dies die allgemeine Sicherheit erhöht. Die Kommunikationsports durch die Firewall, die sonst offen und zugänglich sind, werden nun blockiert.

Das bedeutet jedoch, dass jeder Benutzer hinter dem Gateway nicht in der Lage sein wird, eine VPN-Verbindung herzustellen und aufrechtzuerhalten. Diese Einschränkung ergibt sich aus der Blockierung der VPN-Ports an der Firewall.

VPN-Benutzer in einem SOHO-Netzwerk (Small Office Home Office) sollten diese Ports nicht blockieren.

Schlussfolgerung

Ein VPN Passthrough ist notwendig, wenn du ein älteres VPN-Protokoll verwenden musst, das von dem Router, mit dem du dich mit deinem Netzwerk oder dem Internet verbindest, nicht unterstützt wird.

Wenn du veraltete Technologie verwendest, ist dies eine Funktion, die du möglicherweise aktivieren musst, aber die Chancen stehen gut, dass sie heutzutage nur von historischem Interesse ist.

Router, die einen VPN Passthrough unterstützen

Der zuverlässigste und effizienteste Router in diesem Fall, der zum Standard für den VPN Passthrough geworden ist, ist der Netgear WGR614 Wireless Router. Er unterstützt nicht weniger als drei gleichzeitige VPN-Verbindungen.

Als Nächstes gibt es den Netgear FWAG114 ProSafe. Obwohl er etwas teurer als der vorherige ist, unterstützt dieser auch End-to-End-VPNs, besser bekannt als Site-to-Site-VPNs.

Letztlich siehst du, dass das VPN Passthrough-Verfahren viele Vorteile und fast keine Nachteile hat. Es ermöglicht dir effizient, VPNs mit nahezu allen Routern zu verwenden, indem ihre Standardsystemeinstellungen überwunden werden.

Jetzt weißt du, was zu tun ist, wenn dein Router sich nicht mit einem VPN verbinden kann. Führe den IPSec oder den PPTP VPN Passthrough aus, je nach Router selbst, und genieße die frische Luft der Privatsphäre.

Zusammenfassung: In diesem Leitfaden gehe ich auf das Konzept des VPN Passthrough ein, ein Router-Feature, das Geräten ermöglicht, die mit dem Router verbunden sind, ausgehende VPN-Verbindungen herzustellen.
Ich diskutiere über die Gründe für die Notwendigkeit eines VPN Passthroughs, die Unterschiede zwischen einem VPN und einem VPN Passthrough und wie PPTP und IPsec Passthroughs funktionieren.

Zudem gehe ich darauf ein, wann man das VPN Passthrough-Feature deaktivieren sollte und gebe Beispiele für Router, die diese Funktionalität unterstützen.

Dieser Leitfaden ist perfekt für jeden, der verstehen möchte, wie VPN Passthrough funktioniert und wie es für ältere VPN-Protokolle nützlich sein kann.

Häufig gestellte Fragen

Einige Leute fanden Antworten auf diese Fragen hilfreich

Sollte ich den VPN Passthrough erlauben?

Wenn deine VPN-Verbindung auf alten VPN-Protokollen wie PPTP und L2TP basiert, solltest du das tun. Diese Protokolle vertragen sich nicht gut mit NAT. Router verwenden NAT, um zu wissen, wie sie Pakete auf Netzwerkgeräten zuordnen und weiterleiten. Wenn du jedoch eine moderne VPN-Verbindung verwendest, musst du den VPN Passthrough nicht aktivieren. Moderne Protokolle funktionieren mit NAT.


Wie aktiviere ich meinen VPN Passthrough?

Um zu überprüfen, ob dein VPN Passthrough aktiviert ist, musst du auf die webbasierte Einrichtungsseite deines Routers zugreifen. Bei den meisten Routern befindet sich die Einstellung für den VPN Passthrough unter dem Sicherheits- oder dem VPN-Tab. Stelle sicher, dass die folgenden Optionen eingeschaltet/aktiviert sind: IPSec Passthrough, PPTP Passthrough und L2TP Passthrough. Wenn sie erlaubt sind, solltest du in der Lage sein, eine VPN-Verbindung herzustellen.


Ist der VPN Passthrough sicher?

Die für den VPN Passthrough angebotenen Protokolle sind nicht sicher. Sie bieten die schnellsten Geschwindigkeiten auf Kosten deiner Sicherheit. Wenn dir Online-Sicherheit wichtig ist, solltest du den VPN Passthrough deaktivieren und VPN-Verbindungen mit modernen Sicherheitsprotokollen wie dem OpenVPN-Protokoll verwenden.


Haben alle Router einen VPN Passthrough?

Die meisten gängigen Router verfügen über einen eingebauten VPN Passthrough. Dies kommt Nutzern zugute, die immer noch VPN-Verbindungen verwenden, die auf den Protokollen IPSec, PPTP und L2TP basieren. Wenn du diese Protokolle nicht verwendest, ist es unnötig, diese Funktion zu aktivieren.


Sollte ich NAT ausschalten?

Nein. NAT ist hilfreich, da es Routern ermöglicht, den Internetverkehr auf deine Geräte umzuleiten. Dein Router verbindet sich normalerweise mit nur einer registrierten externen IP-Adresse mit dem Internet. Die an deinen Router angeschlossenen Geräte verwenden private IP-Adressen. Wenn du NAT ausschaltest, wirst du die Internetverbindung verlieren.


Leave a Comment