Der DirectAccess Nachfolger: Always-On VPN

Portrait von Fabrizio Gobeli
Von Fabrizio Gobeli
Der DirectAccess Nachfolger: Always-On VPN
VPN-Lösungen sind nicht erst seit der COVID-19-Pandemie ein wichtiges und oft diskutiertes Thema in der IT-Branche. Der digitale Wandel sorgt immer mehr für Anpassungen und Neuausrichtungen der Strategien und Geschäftsprozesse. Neue Arbeitsformen bringen aber auch neue Herausforderungen an die Sicherheit und User Experience mit sich. Damit sich Mitarbeitende von überall auf der Welt sicher und transparent ins Unternehmensnetzwerk verbinden können, wird eine zukunftssichere VPN Lösung benötigt

Lange galt Microsoft DirectAccess genau als diese eine smarte Lösung. Seit einiger Zeit ist allerdings klar zu erkennen, dass Microsoft nicht mehr Zeit und Entwicklung in DirectAccess investiert. So sind z.B. seit Einführung von Windows Server 2012 im September 2012 keine neuen Funktionen zu DirectAccess hinzugefügt worden. Weiter positioniert Mirosoft Always-On VPN ganz klar als Ersatz für DirectAccess. So findet man z.B. diverse Microsoft Artikel wo Always-On VPN gegenüber DirectAccess empfohlen wird oder auch bei DirectAccess Performanceproblemen, wird auf Always-On VPN verwiesen.

Was sind die Vorteile von Always-On VPN?
Bei Always-On VPN wird automatisch im Hintergrund eine verschlüsselte und transparente Verbindung aufgebaut, sobald das Notebook eine Internetverbindung hat. Die Anwendende muss dazu weder ein Programm starten, noch sich irgendwo anmelden oder eine manuelle Verbindung aufbauen. Ist das Gerät an einem internen Netzwerk angeschlossen, wird Always-On VPN nicht benötigt und automatisch umgangen. Always-On VPN wurde speziell für Windows 10 entwickelt und optimiert. Für die Verbindung wird der Windows 10 Built-In VPN Client verwendet. VPN Client-Konfigurationen können bequem per XML/Powershell-Script verteilt werden. Es muss also kein zusätzlicher Client verteilt und installiert werden.

Weitere Vorteile von Always-ON VPN im Überblick:
1.  Verwendung aktueller Sicherheitsstandards 
1.1 Internet Key Exchange Version 2 (IKEv2)
Internet Key Exchange Version 2 ist aus einer Zusammenarbeit von Microsoft und Cisco entstanden. Ziel war es, ein sicheres und flexibles Tunneling-Protokoll zu entwickeln.
1.2 SSTP (Secure Socket Tunneling Protocol)
SSTP ist ein proprietärer Verschlüsselungsstandard von Microsoft.
2. Unterstützt beim User Tunnel alle Windows 10 Editionen (nicht nur Enterprise und Education wie bei DirectAccess)
3. Keine zusätzlichen Lizenzkosten
4. Conditional Access und Device Compliance Support mit System Health Checks
5. Windows Hello for Business und Azure Multifactor Authentication Support
6. Windows Information Protection (WIP) Integration
7. Traffic Filters um VPN Network Access zu beschränken
8. Application-Trigger VPN Connections

Unterschiede zwischen Legacy VPN Lösungen, DirectAccess und Always-On VPN
Die Nachteile der jeweiligen VPN Technologien sind in fetter Schrift hervorgehoben. Always-ON VPN unterstützt alle wichtigen VPN Features, die eine moderne VPN Lösung bieten sollte. Einziger Nachteil ist, dass bei Always-On VPN, zwingend eine PKI-Umgebung benötigt wird, da die Authentifizierung immer über ein User oder Computerzertifikat erfolgt. Falls Sie allerdings schon eine PKI-Umgebung im Einsatz haben, ist auch dies kein Handicap.

Features Legacy VPN Lösungen DirectAccess Always-On VPN
Seamless and Transparent No Yes Yes
Automatic Connection Options No Yes Yes
(Always-On)
Protocol Support IPv4 / IPv6 IPv6 IPv4 / IPv6
Traffic Filtering No No Yes
Azure AD Integration No No Yes
Support Windows Hello for Business No No Yes
Modern Management No No
(group policy only)
Yes
(Intune / SCCM)
Clients must be domain-joined? No Yes No
Requires Microsoft Server Infrastructure No Yes No
Requires a PKI Infrastructure No No Yes

Always-ON VPN Architektur
Der wichtigste Punkt, den es bei Always-On VPN zu unterscheiden gilt, ist dass Always-On VPN Verbindungen zwei Arten von Tunneln umfassen:
_ User Tunnel
Der User Tunnel stellt die Verbindung erst her, nachdem sich ein Benutzer am Gerät angemeldet hat.
_ Device Tunnel (Seit Windows 10 1709 verfügbar)
Der Device Tunnel stellt eine Verbindung zum VPN-Server her, bevor sich Benutzer am Gerät anmelden und kann zusammen mit dem User Tunnel eingesetzt werden, wenn seine Funktionalität benötigt wird.

Nachfolgend erfahren Sie wie die beiden Tunnel funktionieren und welchen Sie für Ihre IT-Infrastruktur benötigen.

Always-ON VPN Architektur - User Tunnel

Der User Tunnel ist der Standard Always-On VPN Tunnel und unterstützt alle Windows 10 Versionen. Das Windows 10 Gerät muss nicht zwingend «domain-joined» sein.
Use-Case: Zugriff auf On-Premises Ressourcen wie z.B. Fileserver und Legacy Applications.
/uploads/news/SmartIT-Blogbeitrag-Always-On-VPN-Grafik-User-Tunnel.jpg
Legende:
1   Der Windows 10 VPN-Client führt über den öffentlichen DNS-Server eine Namensauflösungsabfrage nach der IP-Adresse des VPN-Gateways durch. Mit der vom DNS zurückgegebenen IP-Adresse sendet der VPN-Client eine Verbindungsanfrage an das VPN-Gateway.
2 Die Authentifizierung an das VPN-Gateway erfolgt über ein User-Zertifikat, welches von der internen Certification Authority (PKI) ausgestellt wurde.
3 Die Verbindung wird entweder über IKEv2 oder SSTP aufgebaut. Es werden beide Protokolle unterstützt.
4 Als VPN-Gateway kann entweder ein Windows Server oder eine Third-Party VPN Appliance eingesetzt werden.
Variante 1: Windows Server (2016/2019) mit Routing and Remote Access Service (RRAS) Rolle in DMZ (non domain joined)
Variante 2: Third-party VPN Appliance. Jede Firewall kann für Always On VPN verwendet werden, solange das Internet Key Exchange Version 2 (IKEv2) VPN-Protokoll supported wird.
5 Das VPN-Gateway sendet die Verbindungsanforderung an den NPS-Server des Unternehmens zur Verarbeitung der Verbindungsanforderung. Der NPS-Server verarbeitet die Verbindungsanfrage, einschliesslich der Durchführung von Autorisierung und Authentifizierung, und entscheidet, ob er die Verbindungsanfrage zulässt oder ablehnt.

Always-ON VPN Architektur - Device Tunnel
Der Device Tunnel ist per Standard nicht aktiviert und muss manuell aktiviert werden. Es werden nur «domain-joined» Geräte mit Windows 10 Enterprise oder Education unterstützt.
Use-Case: Eine Verbindung vor der Anmeldung ist erforderlich, um eine Remote Anmeldung ohne zwischengespeicherte Anmeldeinformationen zu unterstützen. Beispiele:
_ Autopilot Hybrid Domain Join Deployment: Falls die initale Windows-Anmeldung auch ausserhalb des Firmenstandorts funktionieren soll.
_ Falls man Clients aus der Ferne verwalten möchte, ohne dass ein Benutzer zu diesem Zeitpunkt angemeldet sein muss.
_ Passwort-Reset bei Remote Workers muss unterstützt sein.

/uploads/news/SmartIT-Blogbeitrag-Always-On-VPN-Grafik-Device-Tunnel.jpg
Legende:
1   Der Windows 10 VPN-Client (Enterprise oder Education) führt über den öffentlichen DNS-Server eine Namensauflösungsabfrage nach der IP-Adresse des VPN-Gateways durch. Mit der vom DNS zurückgegebenen IP-Adresse sendet der VPN-Client eine Verbindungsanfrage an das VPN-Gateway.
2 Die Authentifizierung an das VPN-Gateway erfolgt über ein Computer-Zertifikat, welches von der internen Certification Authority (PKI) ausgestellt wurde.
3 Die Verbindung erfolgt über das IKEv2 Protokoll. SSTP wird nicht unterstützt.
4 Als VPN-Gateway wird nur Windows Server supported. Es wird keine Third-Party VPN Appliance unterstützt:
Windows Server (2016/2019) mit Routing and Remote Access Service (RRAS) Rolle in DMZ (non domain joined)
Der Device Tunnel wird nur mit dem Computer-Zertifikat authentifiziert. Diese Zertifikatsprüfung wird direkt auf dem Windows Server Routing and Remote Access Service (RRAS)-VPN-Server durchgeführt, sodass kein NPS (Radius) für die Authentifizierung bereitgestellt werden muss.

Fazit
DirectAccess setzte 2012 neue Standards für den Fernzugriff und bot eine einfache, transparente und stets aktive VPN-Lösung, die wesentlich einfacher zu bedienen war als die traditionellen clientbasierten VPNs von früher. Always-On VPN ist nun die weiterentwickelte Version und bringt die gleiche benutzerfreundliche User Experience in die moderne und Cloud-basierte Welt, mit einer besseren Unterstützung für die Cloud-Integration mit Azure Active Directory und SCCM/Intune. Ausserdem bietet es IT-Administratoren viel mehr Sicherheitsfunktionen als DirectAccess. Wichtig zu erwähnen ist allerdings, dass Microsoft noch keine formelle End-of-Life-Ankündigung für DirectAccess gemacht hat. D.h. DirectAccess wird während des gesamten Lebenszyklus von Windows Server 2019 immer noch vollständig unterstützt werden. Gerne stehen wir Ihnen für weitere Fragen zur Verfügung oder übernehmen für Sie auch die komplette Planung und Migration von einer Always-On VPN Lösung.