Die Idee, die hinter Microsoft Direct Access steckt hört sich erst mal gut an: Windows 7 Clients (Ultimate bzw. Enterprise Edition) soll durch Microsoft Direct Access der Zugriff auf interne Ressourcen auf einfache Art und Weise ermöglicht werden. Dabei geschieht der Verbindungsaufbau quasi wie von selbst, sobald der Client eine Internetverbindung hat. Also keine VPN/PPTP-Verbindung mehr, keine Third-Party-Software, um eine Verbindung herzustellen. Nach allem was ich hörte, und was bei Microsoft zu lesen war, stand für mich fest “Haben will”.
Technisch geshen werden bei Direct Access, soweit ich das verstanden habe, IPV6-Pakete über eine IPV4-Verbindung getunnelt (bitte korrigiert mich, wenn ich hier falsch liege).
Nun, bei den Vorbereitungen, Direct Access für mein eigenes Netzwerk zu verwirklichen, bin ich auf den häßlichen Pferdefuß gestoßen. Dieser ist in den Voraussetzungen für die Installation des Direct Access Servers enthalten:
On the Internet interface, configure at least two consecutive, static, public IPv4 addresses that are resolvable and reachable on the Internet. Addresses within the address ranges 10.0.0.0/8, 172.16.0.0/12, or 192.168.0.0/16 are not public IPv4 addresses.
Quelle: Microsoft Technet
Bravo Microsoft! Glücklicherweise haben wir eine unbegrenzte Anzahl öffentliche IPV4-Adressen zur Verfügung, so dass auch noch die kleinste Firma sich einen Happen abschneiden kann, um 2 aufeinanderfolgende IP-Adressen für die Umsetzung von Direct Access zur Verfügung zu haben. Dafür werden nämlich in Summe 4 öffentliche IP-Adressen benötigt: 1 Netzwerkadresse, 1 Broadcastadresse und 2 verwendbare Adressen.
lädt ...
Die IPv4 Adressen werden für Teredo benötigt. Man kann sich nicht darüber beschweren, daß man IPv4 benutzen muß, weil man kein IPv6 hat. Selbstverständlich braucht man nicht zwingend die Tunneldienste selbst anbieten, sondern kann sich IPv6 normal besorgen.
Ich halte gerade einen Vortrag über IPv6 als VPN Ersatz bei der Heise Security Tour 2010.