Tschüss IPsec IKEv1 – Was ist aber die Alternative?

Wie im ersten Teil dieser Erfahrungsserie berichtet, führte mich ein Windows 11 Upgrade zu der Erkenntnis, dass sich der Shrew Soft VPN-Client augenscheinlich nicht mit dem Betriebssystem verträgt. Ich recherchierte in den einschlägigen IT-Foren und Hersteller-Websites zu diesem Thema. Der FRITZ!Box-Hersteller AVM empfiehlt als VPN-Lösung für Windows 7 bis Windows 10 primär die Verwendung des eigenen Clients FRITZ!Fernzugang. Bei der Nutzung der Suchfunktion auf der Seite von AVM findet man weiterhin einen Hinweis auf den VPN-Client von Shrew Soft, der jedoch nur bis Windows 8 empfohlen wird. Offiziell wird Windows 10 nicht mehr unterstützt, nach Einschätzung von AVM und meiner eigenen Erfahrung war er aber durchaus nutzbar. Ein Blick auf die Internetseite des VPN-Client Vendors Shrew Soft war ernüchternd. Der letzte Versionsstand der Software trägt als Datum das Jahr 2013. Auch wenn für den besagten Client keine Schwachstellen bekannt sind, so hat man dennoch ein ungutes Gefühl, eine Sicherheitssoftware zu verwenden, die vom Hersteller seit einem Jahrzehnt nicht mehr gepflegt wurde.

Da jedoch das verwendete Protokoll IPsec mit IKEv1 weiterhin als sicher gilt, steht der Nutzung des Clients aus rein objektiver Betrachtung nichts entgegen – vorausgesetzt, er ist mit dem Betriebssystem kompatibel. Ich deinstallierte den Client komplett und stieß eine Neuinstallation an, um zu prüfen, ob er grundsätzlich in Windows 11 nicht funktioniert oder nur der Betriebssystem-Upgrade für die Fehlfunktion verantwortlich war. Das Ergebnis war eindeutig. Die Neuinstallation verlief zunächst reibungslos. Ich trug im VPN-Client die bekannten Profildaten aus Hostname, Nutzerkennung, Passwort und geteiltem Krypto-Schlüssel ein und initiierte einen Verbindungsaufbau – Fehlanzeige. Es kam nicht nur keine VPN-Verbindung zustande, sondern auch die Verbindung zum lokalen Netzwerk war wieder unterbrochen. Die NIC erhielt keine IP-Adresse vom DHCP-Server (wie im ersten Teil der Blogserie beschrieben).

Meine Schlussfolgerung: Das aktuelle Betriebssystem von Microsoft verträgt sich nicht mit dem Shrew Soft VPN-Client.

Was nun? Über Bordmittel bietet Windows 11 keine Möglichkeit, das in der FRITZ!Box konfigurierte IPsec-VPN zu nutzen, da Microsoft beim Schlüsselaustausch auf den aktuellen Standard IKEv2 setzt und AVM bei seiner IPsec-Implementierung IKEv1 weiterhin treu geblieben ist. Während es für Linux, macOS, iOS und Android weiterhin möglich ist, über die vorhandene Konfiguration eine gesicherte Verbindung zur heimischen FRITZ!Box aufzubauen, mussten für Windows 11 Lösungsalternativen ausgelotet werden. Die Einbindung eines abgesetzten Systems als Server hinter dem Internetrouter, das dediziert als neuer VPN-Endpunkt agiert, kam für mich nicht in Frage, da diese Konstellation mit Aufwand in Anschaffung, Konfiguration und Betrieb verbunden wäre. Eine gangbare Option stellt die Nutzung des Shrew Soft VPN-Clients in einer virtualisierten Umgebung unter Windows 10 auf dem Windows 11 Host dar. Doch auch hier sind einige Punkte kritisch zu betrachten. Zum einen ist der Ressourcenbedarf des Hypervisors zu bedenken, der je nach Konfiguration für eine entsprechende Grundauslastung der CPU und des Arbeitsspeichers auf dem Host-System sorgt. Auf der anderen Seite nähert sich Windows 10 in Bezug auf bereitgestellte Sicherheitspatches (voraussichtlich bis Oktober 2025) seinem Supportende. Selbstverständlich ließe sich Linux ebenfalls als virtuelle Maschine auf dem Laptop betreiben, jedoch ist auch hier eine Leistungsminderung am Host ein entscheidender Nachteil.

Der Router-Hersteller AVM wirbt für seine Geräte ab FRITZ!OS 7.50, WireGuard als unterstütztes VPN-Protokoll. Doch wie unterscheidet sich WireGuard von IPsec und wie aufwendig ist die Konfiguration für meinen Internetrouter?

Diesen Fragen werde ich im letzten Teil der Blogserie nachgehen.