PPTP - Point-to-Point Tunneling Protocol

PPTP ist ein VPN-Verfahren für Remote Access. Es baut auf den Remote Access Server für Microsoft Windows NT inklusive der Authentifizierung auf. Wegen der weiten Verbreitung von Windows-Betriebssystemen spielt PPTP beim Aufbau von VPNs in reinen Microsoft-Netzwerken immer noch eine Rolle.
PPTP ist dadurch gekennzeichnet, dass es ausschließlich für den Transfer von IP, IPX und NetBEUI über IP geeignet ist. Die Verschlüsselung von PPTP gilt als nicht sicher genug. Deshalb kam PPTP nicht für jeden Einsatzfall in Frage.
Microsoft hat sich aus diesem und anderen Gründen von PPTP verabschiedet. Seit Windows 2000 werden verschiedene Tunneling-Protokolle angeboten, für eine sichere Installation L2TP/IPsec empfohlen. L2TP weißt gewissen Ähnlichkeiten zu PPTP auf.

Das PPTP wurde 1996 von mehreren Unternehmen entwickelt, die sich zum PPTP-Forum zusammengeschlossen haben. Unter anderem war auch Microsoft an der Entwicklung von PPTP beteiligt. PPTP kommt hauptsächlich in Microsoft-Betriebssystemen zum Einsatz. Daher auch die häufige Nennung im Zusammenhang mit Microsoft. Ein PPTP-Client ist nicht nur in Windows, sondern auch in Linux und MacOS integriert.

PPTP-Architektur

Die PPTP-Architektur teilt sich in zwei logische Systeme. Den PPTP Access Concentrator (PAC) und den PPTP Network Server (PNS). Der PAC ist üblicherweise in den Client integriert, verwaltet die Verbindungen und stellt sie zum PNS her. Der PNS ist für das Routing und die Kontrolle der vom PNS empfangenen Pakete zuständig.

PPTP-Verbindungsaufbau

PPTP baut auf eine zweigeteilte Kommunikation. Zuerst eröffnet der Client die Kontrollverbindung zum Server über den TCP-Port 1723. Über diesen Port laufen alle Kontrolldaten der PPTP-Verbindung. Dieser Port muss bei der Nutzung von PPTP von innen geöffnet sein (z. B. mit PPTP-Passthrough oder Port-Forwarding), damit ein PPTP-Client die ausgehenden bzw. eingehenden Verbindungen nutzen kann. Als Quell-Port der Kontrollverbindung benutzt PPTP einen beliebig freien Port.

Der zweite Teil der Kommunikation ist die Verbindung mit GRE (Generic Routing Encapsulation). Darüber werden die PPP-Pakete getunnelt. Das bedeutet, PPTP kapselt die PPP-Pakete mit GRE in IP-Pakete.
Die Benutzerauthentifizierung erfolgt mit MS-CHAPv1 oder MS-CHAPv2. Nach der Authentifizierung und Autorisierung wird dem Client eine IP-Adresse aus dem LAN zugewiesen. Danach erfolgt die Datenkommunikation.
Eine Verschlüsselung findet nicht statt. Die muss mit PPP ausgehandelt werden. Z. B. mit RC4, was Microsoft auch als Microsoft Point-to-Point-Encryption (MPPE) bezeichnet.

Probleme mit NAT

GRE (Generic Routing Encapsulation) ist ein IP-Protokoll ohne die Zuordnung von Portnummern. Bei NAT-Routern besteht das Problem mit der Zuordnung der GRE-Pakete zu den Clients. NAT ordnet eingehende Datenpakete anhand der Portnummer einer Station zu. Ohne Portnummer, wie bei GRE, keine Zuordnung. Ein Verbindungsaufbau kann nicht stattfinden.
Lösung: Ein Vorteil von PPTP ist, dass es die Call-ID, eine Art Tunnelnummer, unverschlüsselt überträgt. NAT-Router, die PPTP-Passthrough bzw. PPTP mit NAT beherrschen, führen eine Liste mit den Stationen und der verwendeten Call-ID. So ist eine Zuordnung von GRE-Paket und Station doch möglich.

Übersicht: VPN-Technik und - Protokolle

• VPN - Virtual Private Network
• L2TP - Layer-2-Tunneling-Protocol
• IPsec - Security Architecture for IP
• L2TP over IPsec
• SSL-VPN

Weitere verwandte Themen:

• RAS - Remote Access Service
• PPP - Point-to-Point-Protocol
• Tunneling-Protokolle
• AAA - Authentication Authorization Accounting

Bookmark