Fixe IP-Adressen oder Portal-Zugang?

Die Mobilfunktechnik hat keine sichtbaren IP-Adressen, da hierfür der Adressvorrat von „IPv4“ nicht ausreichen würde. Statt dessen wird mit temporären, sogenannten privaten IP-Adressen, gearbeitet. Demnach ist es technisch nicht möglich, Geräte im Mobilfunknetz über das Internet direkt abzufragen und in Prozesse zu integrieren. Aus diesem Grund sind zum Überwachen von Anlagen oder zum Steuern von Produktionsprozessen zusätzliche Hürden zu überwinden. Mobile Endgeräte sind aus dem Internet nicht erreichbar, da sie in abgeschlossene private IP-Netze eingebunden sind und die Betreiber der Mobilfunknetze in der Regel den Zugang beschränken. Zudem sind den Geräten dynamische IP-Adressen zugewiesen, die sich stetig ändern.
Um dieses Manko zu umgehen, bieten Mobilfunk-Provider spezielle Verträge mit festen IP-Adressen an. Sie sind jedoch oft im Datenvolumen limitiert und mit zusätzlichen monatlichen Kosten verbunden. Einen anderen Lösungsansatz stellen die sogenannten Portale dar, die eine feste IP-Adresse im Internet haben und auf die sich alle Mobilfunk-Router verbinden. Dieses Verfahren basiert auf einer Client-Server-Architektur, bei der der Portalrechner als Server fungiert und sich alle Mobilfunk-Router als Clients darauf verbinden (Bild 2). Da ein Portal immer auf einem ausgelagerten Rechner mit einer festen Netzwerkadresse installiert ist, fallen beim Betrieb eines solchen Servers laufende Kosten an, zum Beispiel für den Portal-Dienstleister oder für den Betrieb und die Wartung eines eigenen Servers.

Das Client-Server-Prinzip weitergedacht, ist es bei kleinen bis mittelgroßen Systemen möglich, ohne ein gesondertes Portal auszukommen. Bei Systemen, die von einer zentralen Stelle aus mehrere außerhalb liegende Stationen ansprechen sollen, kann der zentrale Router gleichzeitig die Rolle des VPN-Servers übernehmen, um somit ein Portal zu ersetzen. Damit das gelingt, wird der zentrale Router über einen vorhandenen DSL-Anschluss mit fester IP-Adresse mit dem Internet verbunden. Diese Adresse wird bei allen außen liegenden Client-Routern als Zieladresse eingetragen. Diese verbinden sich dann automatisch als Clients auf „ihren“ VPN-Server.
Existiert bereits ein Netzwerk mit Internetanschluss, wird der VPN-Server auch in das vorhandene Netzwerk integriert. Er verbindet sich über den vorhandenen Internet-Router mit dem Internet. Falls der Internetzugang über ein bereits vorhandenes Netzwerk realisiert werden soll, wird der Net-Net-Router CR-220 (Bild 1) an einen Switch in dem vorhandenen Netzwerk oder einen freien Anschluss beim vorhandenen Internet-Router angeschlossen. Jeder DSL-Anschluss hat eine „Public-IP“, das heißt eine im Internet sichtbare IP-Adresse, die meist als WAN-IP bezeichnet wird. Je nach Internet-Provider besteht die Möglichkeit, eine solche WAN-IP als fixe Adresse zu erhalten. Das bedeutet, dass diese Adresse immer gleich bleibt und von überall aus dem Internet angesprochen werden kann. Wird dieser Service nicht vom Internet-Provider angeboten, kann die öffentliche Public-IP-Adresse des DSL-Anschlusses genutzt werden, die sich in der Regel alle 24 h ändert.

Eindeutige Namen per DNS-Dienst

Da man diese IP-Adresse nicht kennt und von außen über das Internet trotzdem immer den VPN-Server ansprechen möchte, muss in diesem Fall eine Namenszuweisung für den DSL-Anschluss über einen DNS-Dienst eingerichtet werden. Mit diesem Dienst wird einem DSL-Anschluss mit dem dynamischen DNS-Verfahren ein eindeutiger Name zugeordnet, der unabhängig von der aktuellen IP-Adresse immer gleichbleibt und von allen DNS-Servern im Internet auf die momentane IP-Adresse dieses DSL-Anschlusses geleitet wird (Bild 3). Einer der bekanntesten Dienstanbieter hierfür ist Dyn-DNS. Er realisiert gegen eine relativ geringe Jahresgebühr die Zuordnung im Internet. Falls keine hohen Ansprüche an eine ständige Verfügbarkeit gestellt werden, kann auch mit einer kostenlosen Dyn-DNS-Anwendung gearbeitet werden.

Die Einrichtung eines Dyn-DNS gestaltet sich relativ einfach und ist komplett online über das Internet durchführbar. Hier kann ein individueller Name für den DSL-Anschluss des VPN-Servers vergeben und ein Account angelegt werden, dessen Zugangsdaten in den VPN-Server eingetragen werden. Anschließend trägt man bei jedem Client den gewählten Name für den VPN-Server ein, damit ein VPN-Tunnel zum Server aufgebaut wird.
Der Vorteil des eigenen zentralen VPN-Servers besteht darin, dass nur die laufenden Kosten für die DNS-Namenszuweisung des einzelnen zentralen Servers anfallen. Dem steht die Tatsache gegenüber, dass eine portalbasierte Lösung komfortabler bei der Inbetriebnahme ist und spätere Änderungen leichter durchführbar sind. Um hier den Aufwand zu begrenzen, wurde ein Komplettpaket mit vorkonfigurierten Routern entwickelt, das aus dem fertig eingerichteten VPN-Server und einem mitgelieferten Schlüsselsatz für acht Client-Router besteht.