IPsec VPNs verwenden ein anderes Protokoll (ESP) für die Datenübertragung als für den Verbindungsaufbau (IKE). Da das ESP Protokoll keine Netzwerkports kennt, kann es sein das NAT (Network Address Translation) Router damit nicht korrekt umgehen können. Nur NAT Router, die "IPSec Passthrough" beherrschen (manchmal auch "VPN Passthrough" oder "ESP Passthrough" genannt) und bei denen diese Option auch aktiviert ist, können ESP Packet korrekt verarbeiten.
Um dieses Problem zu umgehen existieren zwei alternative Tunnelmechanismen:
- NAT-Traversal (alte, RFC Draft Version)
- NAT-Traversal (neue, RFC Standard Version)
Welche dieser Methoden möglich ist, hängt von zwei Bedingungen ab:
- Welche dieser Methoden es ermöglicht überhaupt Daten über den lokalen Router hinaus in's Internet zu senden.
- Welche dieser Methoden der VPN Gateway auf der anderen Seite unterstützt.
Um die erste Bedingung zu testen baut VPN Tracker automatisch drei VPN Verbindungen zu einem VPN Gateway in der Client, sobald er einen Router erkennt, der bisher noch nicht getestet wurde. Eine Verbindung nutzt dabei nur normales ESP, die anderen beiden je einen der oben erwähnten Tunnelmechanismen. Der Grund warum der Test mit einem unserer VPN Gateways erfolgen muss ist einfach der, dass ein Gateway benötigt wird, der alle drei Methoden beherrscht, dessen korrekte Konfiguration VPN Tracker bekannt ist und der einen einfache Weg bietet, mit dem man prüfen kann, ob Datenverkehr dort am Ziel auch wirklich angekommen ist.
Die zweite Bedingungen wird nicht vorab geprüft, sondern diese Information erhält VPN Tracker automatisch beim Verbindungsaufbau mit einer Gegenstellen. VPN Tracker vergleicht dann die unterstützten Methoden mit den Testergebnissen. Sofern es eine Übereinstimmung gibt, also eine Method, die sowohl im Test funktioniert als auch von der Gegenstelle unterstützt wird, so wird diese verwendet. Falls es keine Übereinstimmung gibt, bricht VPN Tracker den Verbindungsaufbau sofort ab und zeigt eine entsprechende Fehlermeldung mit Erklärung im Log.
Falls Sie der Meinung sind, die Testergebnisse können so nicht stimmen bzw. sind vielleicht veraltet, können Sie diesen Test jederzeit erneut durchführen lassen:
‣ Stellen Sie NAT-Traversal (Reiter Erweitert) auf Automatisch
‣ Gehen Sie im Menü zu "Werkzeuge" > "Test der VPN-Verfügbarkeit"
‣ Klicken Sie "Erneut Testen"
‣ Warten Sie bis der Test fertig ist und verbinden Sie dann Ihr VPN
Der Testdialog erlaubt es auch VPN Tracker mitzuteilen, dass die aktuell Netzwerkumgebung nicht getestet werden soll bzw. bereits vorhandene Testresultate einfach zu ignorieren sind. Das ist selten notwendig und grundsätzlich nicht empfehlenswert, aber es gibt Situationen, wo ein Test nicht möglich ist, da z.B. unser VPN Gateway nicht erreichbar ist (ggf. wird dieser von einer Firewall blockiert) und somit die Testresultate nicht wirklich die Fähigkeiten des lokalen Routers widerspiegeln.
