IPSEC-Abschaltung in China
Viele deutsche Unternehmen unterhalten VPNs nach China, um ihre dortigen Standorte an das Unternehmensnetz anzubinden. Die chinesische Cyber-Security-Behörde möchte die Internet-Nutzung in China kontrollieren und v.a. auch internationale Websites blocken. Dies erfolgt durch die “Great Firewall of China“. Durch diese muss jeder Internetverkehr hindurch und dort gezielt gefiltert zu werden. In der Vergangenheit konnten Internetnutzer in China jene Firewall mittels internationaler IP-Sec VPN-Tunnel-Services umgehen. Für einen monatlichen Beitrag konnte man bei einem Online-Serviceprovider einen nicht regulierten, offenen Internetzugang nutzen. Ein riesiger Graumarkt bildete sich. Dieser wurde vor ca. einem Jahr, mittels des neuen Cyber-Security Gesetzes, konsequent eliminiert und Zuwiderhandlungen mit empfindlichen Freiheitsstrafen belegt. Auch deutsche Unternehmen sind hiervon betroffen, da sie ihren Mitarbeitern meist einen Zugang zum internationalen Internet und auch den eigenen Servern/Diensten im Ausland gewähren. Technisch wird dies mittels IP-Sec Tunneln oder MPLS-VPN realisiert.
Die offizielle Chinese Government Policy hierzu lautet wie folgt:
- Any business entity and individual who setup or rent lines (including VPN services) for the purpose of crossborder transaction or activities, is strictly prohibited without authorization from Chinese Telecom Management Authority (….)
- The Cloud Service Provider who owns service infrastructure in China and requires connection to foreign country networks, the connection shall be established through authorized international internet access service providers by the Ministry of industry and Information Technology (MiiT). Leased lines, vpn and any unstated self-invented network communication channels are strictly prohibited.
- CDN and SD-WAN operation including the requirement of cross-border data transmission, shall comply to above stated rules for future management.
In der Praxis bedeutet dies, das seitens der chinesischen Behörden die Ports 80, 443, 8080, IPsec/S2S VPN geblockt werden. IPSec nutzt aus technischer Sicht die Ports: 50, 51, 500, 4500 etc. und es gibt kein offizielles Dokument, welches gezielt diese Ports anspricht. JEDOCH werden nach und nach alle Cross-Country IPSEC-Ports geblockt. Nur reine China domestic IPSEC-Connections sind nicht betroffen. Welche Alternativen haben Unternehmen dann, um ihre chinesischen Standorte an ihre internationalen Niederlassungen bzw. ausländische Server anzubinden? Unbetroffen von den Abschaltungen sind Carrier-MPLS-Verbindungen. Sie unterliegen einer anderen Regulierung. Da sie so teuer sind, wird seitens der chinesischen Behörden nicht befürchtet, dass jene Leitungen massenhaft zum Surfen im unregulierten Internet eingesetzt würden. Vielen Unternehmen ist eine MPLS-Verbindung nach China jedoch zu teuer. Daher bietet China-Telecom nun eine regulierte und verlässliche, günstigere Alternative zu MPLS.
Die China Telecom SD-WAN Plattform
Hier wird über eine bestehende Internetverbindung vor Ort mittels einer vorkonfigurierten China Telecom-SD-WAN Box eine Verbindung über den Business-User-Backbone von China Telecom geschalten, der sich außerhalb der Great Chinese Firewall befindet und auch weit performanter ist. Über SD-WAN-POPs in Bejing, Shenzhen und Guangzhou wird der Verkehr in das low-latency CTG DCI-Net weiter geführt, um dann über ein Gateway in Hongkong international weitergeleitet zu werden. Der Traffic kann dann z. B. in Frankfurtper Internet übergeben werden. Savecall hat eine solche Lösung gemeinsam mit der China Telecom designed und bereits für viele deutsche Unternehmen in Betrieb genommen. Ab 10 Mbit bieten wir Verbindungen an, die innert ca. 14 Tagen betriebsbereit übergeben werden. Eine verlässliche Lösung, welche weit günstiger ist, als ein MPLS-VPN. Sprechen Sie uns an. Gerne beraten wir Sie kostenlos und unverbindlich.
Ich freue mich auf Ihre Fragen!
Frank Frommknecht
Key Account Consultant