Diese Seite enthält Richtlinien für Netzwerkbetreiber, die dafür sorgen, dass VPN-Anwendungen (Virtual Private Network) für Verbraucher und Unternehmen eine gute Endnutzererfahrung in ihren Netzwerken bieten. Android bietet die Klasse VpnManager für Entwickler, um VPN-Lösungen zu erstellen, mit denen Nutzer und Unternehmen ihre Kommunikation verschlüsseln oder an verschiedene Netzwerke weiterleiten können.
Wir empfehlen Netzwerkbetreibern, die folgenden Richtlinien zu beachten:
- Unterstützen Sie IPv6-ESP-Protokoll- (Next Header 50) Pakete in Ihrem Netzwerk, damit dieser Traffic eine vergleichbare Leistung wie UDP- (User Datagram Protocol) oder TCP-Verbindungen (Transmission Control Protocol) hat. ESP-Sitzungen sollten eingehend an Geräte zugelassen oder auf sehr lange Zeitüberschreitungen eingestellt und mit der Leitungsrate weitergeleitet werden.
- Legen Sie Zeitüberschreitungen für die Netzwerkadressübersetzung (NAT) und die zustandsabhängige Firewall fest, die für UDP-Verbindungen auf Port 4500 mindestens 600 Sekunden betragen, damit VPN-Lösungen eine zuverlässige Verbindung aufrechterhalten können, ohne dass übermäßige Stromkosten anfallen.
Unterstützung von IPv6-ESP-Protokollpaketen (Next Header 50)
Encapsulating Security Payload (ESP) ist das Paketformat, das als Teil des IPSec-Protokollsatzes (Internet Protocol Security) definiert ist, um Pakete in einer VPN-Lösung zu verschlüsseln und zu authentifizieren. Das Android-Betriebssystem implementiert dieses Standardsicherheitsprotokoll in seiner integrierten VPN-Lösung.
In IPv6-fähigen Netzwerken werden ESP-Pakete direkt in IPv6-Paketen mit dem Wert „50“ für das Next Header-Feld übertragen. Wenn ein Netzwerk diese Pakettypen nicht richtig unterstützt, kann dies zu einer fehlenden Verbindung für VPN-Lösungen führen, die dieses Protokoll ohne weitere Kapselung der Pakete verwenden sollen. Diese Pakete werden möglicherweise aufgrund der Firewallkonfiguration vom Netzwerk verworfen. Oder ESP-Pakete können langsame Pfade im Netzwerk erreichen, was im Vergleich zu TCP- oder UDP-Verbindungen eine stark verschlechterte Durchsatzleistung zur Folge hat.
Die Internet Engineering Task Force (IETF) empfiehlt, IPsec über Firewalls zu erlauben, die von privaten Internetzugriffsdiensten verwendet werden. Weitere Informationen finden Sie beispielsweise unter RFC 6092, Abschnitt 3.2.4. ESP-Pakete können in beide Richtungen sicher durch Firewalls zugelassen werden, da ein Gerät, das ein ESP-Paket empfängt, das nicht Teil einer bestehenden Sicherheitsverknüpfung ist, das Paket verwirft. Daher muss das Gerät keine Keepalive-Pakete senden, um die VPN-Verbindung aufrechtzuerhalten und so den Akku zu schonen. Wir empfehlen, dass Netzwerke entweder ESP-Pakete zu Geräten jederzeit zulassen oder ESP-Sitzungen erst nach längerer Inaktivität (z. B. 30 Minuten) pausieren.
Wir empfehlen Netzwerkbetreibern, ESP-Protokollpakete (IPv6-Pakete mit einem Next-Header von 50) in ihren Netzwerken zu unterstützen und diese Pakete in der Hardware mit einer Zeilenrate weiterzuleiten. Dadurch wird sichergestellt, dass bei VPN-Lösungen keine Verbindungsprobleme auftreten und die Leistung mit der von UDP- oder TCP-Verbindungen vergleichbar ist.
Ausreichende Zeitüberschreitungen für NAT und zustandsabhängige Firewalls festlegen
Um die Zuverlässigkeit der Verbindung aufrechtzuerhalten, muss eine VPN-Lösung eine langlebige Verbindung zum VPN-Server aufrechterhalten, die ausgehende und eingehende Verbindungen bereitstellt (z. B. um eingehende Push-Benachrichtigungen, Chatnachrichten und Audio- oder Videoanrufe zu empfangen). Die meisten IPsec-VPN-Apps verwenden ESP, das in IPv4-UDP-Paketen mit dem Zielport 4500 gekapselt ist, wie in RFC 3948 beschrieben.
Um diese Verbindung aufrechtzuerhalten, muss das Gerät regelmäßig Pakete an den Server senden. Diese Pakete müssen mit einer höheren Frequenz gesendet werden als die vom Netzwerkanbieter festgelegten NAT- und Firewall-Zeitüberschreitungen. Häufige keepalives sind auf der Clientseite energieintensiv und haben einen großen Einfluss auf die Akkulaufzeit. Sie erzeugen außerdem erheblichen Signalisierungstraffic im Netzwerk, selbst wenn das Gerät ansonsten inaktiv ist.
Wir empfehlen, dass Operatoren NAT und zustandsorientierte Firewall-Zeitlimits hoch genug erhöhen, um Auswirkungen auf den Akku zu vermeiden. Das empfohlene Zeitlimit für die IPsec-UDP-Kapselung (Port 4500) beträgt mindestens 600 Sekunden.
In Mobilfunknetzen werden UDP-NAT-Zeitüberschreitungen oft niedrig gehalten, da die Knappheit von IPv4-Adressen hohe Portwiederverwendungsfaktoren erfordert. Wenn jedoch ein VPN eingerichtet wird, muss das Gerätenetzwerk keine langlebigen TCP-Verbindungen unterstützen, z. B. solche, die zum Senden eingehender Benachrichtigungen verwendet werden. Die Anzahl der Verbindungen mit langer Lebensdauer, die das Netzwerk unterstützen muss, ist also gleich oder niedriger, wenn ein VPN aktiv ist, als wenn kein VPN aktiv ist.