VPN-Nutzung verbessern

Auf dieser Seite finden Sie Richtlinien für Netzwerkbetreiber, damit VPN-Apps (Virtual Private Network) für Verbraucher und Unternehmen in ihren Netzwerken eine gute Nutzerfreundlichkeit bieten. Android bietet die Klasse VpnManager für Entwickler, um VPN-Lösungen zu erstellen, mit denen Nutzer und Unternehmen ihre Kommunikation verschlüsseln oder an verschiedene Netzwerke weiterleiten können.

Wir empfehlen Netzwerkbetreibern, die folgenden Richtlinien zu beachten:

  • Unterstützen Sie IPv6-ESP-Protokoll- (Encapsulating Security Payload, Next Header 50)-Pakete in Ihrem Netzwerk, damit dieser Traffic eine vergleichbare Leistung wie UDP- (User Datagram Protocol) oder TCP-Verbindungen (Transmission Control Protocol) hat. ESP-Sitzungen sollten eingehend an Geräte zugelassen oder auf sehr lange Zeitüberschreitungen eingestellt und mit der Leitungsrate weitergeleitet werden.
  • Legen Sie Zeitüberschreitungen für die Netzwerkadressübersetzung (NAT) und die zustandsabhängige Firewall fest, die für UDP-Verbindungen auf Port 4500 mindestens 600 Sekunden betragen, damit VPN-Lösungen eine zuverlässige Verbindung aufrechterhalten können, ohne dass übermäßige Stromkosten anfallen.

Unterstützung von IPv6-ESP-Protokollpaketen (Next Header 50)

Encapsulating Security Payload (ESP) ist das Paketformat, das als Teil der IPsec-Protokolle (Internet Protocol Security) zum Verschlüsseln und Authentifizieren von Paketen in einer VPN-Lösung definiert ist. Das Android-Betriebssystem implementiert dieses Standardsicherheitsprotokoll in seiner integrierten VPN-Lösung.

In IPv6-fähigen Netzwerken werden ESP-Pakete direkt in IPv6-Paketen mit einem Next Header-Feld von 50 übertragen. Wenn ein Netzwerk diese Pakettypen nicht richtig unterstützt, kann dies zu einer fehlenden Verbindung für VPN-Lösungen führen, die dieses Protokoll ohne weitere Kapselung der Pakete verwenden sollen. Diese Pakete werden möglicherweise aufgrund der Firewallkonfiguration vom Netzwerk verworfen. ESP-Pakete können auch auf langsame Pfade im Netzwerk treffen, was im Vergleich zu TCP- oder UDP-Verbindungen zu einer deutlichen Leistungsminderung des Durchsatzes führt.

Die Internet Engineering Task Force (IETF) empfiehlt, IPsec durch Firewalls zuzulassen, die von Internetzugangsdiensten für Verbraucher verwendet werden. Weitere Informationen finden Sie beispielsweise unter RFC 6092, Abschnitt 3.2.4. ESP-Pakete können in beide Richtungen sicher durch Firewalls zugelassen werden, da ein Gerät, das ein ESP-Paket empfängt, das nicht Teil einer bestehenden Sicherheitsverknüpfung ist, das Paket verwirft. Das Gerät muss daher keine keepalive-Pakete senden, um die VPN-Verbindung aufrechtzuerhalten, was die Akkulaufzeit verlängert. Wir empfehlen, dass Netzwerke entweder ESP-Pakete zu Geräten jederzeit zulassen oder ESP-Sitzungen erst nach längerer Inaktivität (z. B. 30 Minuten) pausieren.

Wir empfehlen Netzwerkbetreibern, ESP-Protokollpakete (IPv6-Pakete mit einem nächsten Header von 50) in ihren Netzwerken zu unterstützen und diese Pakete in Hardware mit der Leitungsrate weiterzuleiten. So wird sichergestellt, dass bei VPN-Lösungen keine Verbindungsprobleme auftreten und die Leistung mit UDP- oder TCP-Verbindungen vergleichbar ist.

Ausreichende Zeitüberschreitungen für NAT und zustandsabhängige Firewalls festlegen

Um die Zuverlässigkeit der Verbindung aufrechtzuerhalten, muss eine VPN-Lösung eine langlebige Verbindung zum VPN-Server aufrechterhalten, die eine ausgehende und eingehende Konnektivität bietet (z. B. zum Empfang eingehender Push-Benachrichtigungen, Chatnachrichten und Audio- oder Videoanrufe). Die meisten IPsec-VPN-Apps verwenden ESP, das in IPv4-UDP-Paketen mit dem Zielport 4500 gekapselt ist, wie in RFC 3948 beschrieben.

Um diese Verbindung aufrechtzuerhalten, muss das Gerät regelmäßig Pakete an den Server senden. Diese Pakete müssen mit einer höheren Frequenz als die vom Netzwerkanbieter festgelegten NAT- und Firewall-Zeitüberschreitungen gesendet werden. Häufige keepalives sind auf der Clientseite energieintensiv und haben einen großen Einfluss auf die Akkulaufzeit. Außerdem erzeugen sie erheblichen Signalverkehr im Netzwerk, auch wenn das Gerät ansonsten inaktiv ist.

Wir empfehlen Betreibern, die Zeitüberschreitungen für NAT und zustandsabhängige Firewalls so hoch zu setzen, dass sich der Akku nicht unnötig stark entlädt. Das empfohlene Zeitlimit für die IPsec-UDP-Kapselung (Port 4500) beträgt mindestens 600 Sekunden.

In Mobilfunknetzen werden UDP-NAT-Zeitüberschreitungen oft niedrig gehalten, da die Knappheit von IPv4-Adressen hohe Portwiederverwendungsfaktoren erfordert. Wenn jedoch ein VPN eingerichtet ist, muss das Gerätenetzwerk keine lang anhaltenden TCP-Verbindungen unterstützen, z. B. solche, die für den Empfang eingehender Benachrichtigungen verwendet werden. Die Anzahl der Verbindungen mit langer Lebensdauer, die das Netzwerk unterstützen muss, ist also gleich oder niedriger, wenn ein VPN aktiv ist, als wenn kein VPN aktiv ist.