Die verschiedenen VPN-Typen verstehen: Welches ist das Richtige für Sie?
Einführung in die Arten von VPNs
Virtuelle private Netzwerke (VPNs) gibt es in verschiedenen Formen, die auf unterschiedliche Bedürfnisse zugeschnitten sind. Einige VPNs werden dadurch definiert, wie Sie sie nutzen (Verbindung einzelner Benutzer oder ganzer Netzwerke), während andere durch die Technologie oder die Protokolle, die sie unter der Haube verwenden, definiert sind. Dieser Artikel befasst sich mit den wichtigsten VPN-Typen und erklärt, was jeder einzelne ist, wie er funktioniert, welche Vor- und Nachteile er hat, welche Anwendungsfälle am besten geeignet sind und welche Beispiele es gibt. Am Ende werden Sie ein klares Bild davon haben, welcher VPN-Typ zu welchem Szenario passt.
Bevor wir ins Detail gehen, hier ein kurzer Überblick über die wichtigsten VPN-Typen, die wir behandeln werden:
- Remote Access VPN: Verbindet einzelne Benutzer (Clients) sicher mit einem privaten Netzwerk (z. B. dem internen Netzwerk eines Unternehmens).
- Site-to-Site VPN: Verbindet ganze Netze (z.B. zwei Büro-LANs) über das Internet und wird oft verwendet, um mehrere Standorte zu einem privaten Netz zusammenzufassen.
- Personal VPN: Ein kommerzieller VPN-Dienst für die individuelle Nutzung, der Ihren Internetverkehr verschlüsselt und Ihre IP-Adresse maskiert (nicht für den Zugriff auf ein privates Unternehmensnetzwerk).
- Mobiles VPN: Ein VPN, das so konzipiert ist, dass es stabil und verbunden bleibt, wenn sich das Gerät eines Benutzers in verschiedenen Netzwerken bewegt oder die Verbindungsart (Wi-Fi, Mobilfunk usw.) ändert.
- Cloud-VPN: Ein über eine Cloud-Infrastruktur bereitgestelltes VPN, das einen sicheren Zugriff auf Cloud-Ressourcen ermöglicht oder die Cloud als VPN-Backbone für Remote- und Standortverbindungen nutzt.
- Hardware-VPN: Ein dediziertes VPN-Gerät (Appliance), das die VPN-Funktionen eigenständig verwaltet und häufig von Unternehmen aus Leistungs- und Sicherheitsgründen eingesetzt wird.
- SSL-VPN: Ein VPN, das Secure Sockets Layer/Transport Layer Security (SSL/TLS)-Protokolle (in der Regel über einen Webbrowser oder einen leichtgewichtigen Client) verwendet, um die Verbindung zu sichern.
- MPLS VPN: Ein VPN, das über das MPLS-Netz (Multi-Protocol Label Switching) eines Netzbetreibers bereitgestellt wird, in der Regel für Unternehmen, die eine zuverlässige, verwaltete private Konnektivität mit hoher Dienstqualität benötigen.
- L2TP VPN: Ein VPN, das das Layer 2 Tunneling Protocol verwendet, in der Regel in Kombination mit IPsec zur Verschlüsselung, um sichere Tunnel zu bilden (wird von vielen Geräten unterstützt).
Jeder Typ hat seine eigenen Merkmale. Lassen Sie uns diese nacheinander im Detail untersuchen.
Fernzugriff VPN
Was es ist: Ein Remote Access VPN (auch Client-to-Site VPN genannt) ermöglicht es einem einzelnen Benutzer, sich von einem entfernten Standort aus mit einem privaten Netzwerk zu verbinden. Es wird in der Regel von Mitarbeitern genutzt, die außerhalb des Büros arbeiten, um sicher auf das interne Netzwerk und die Ressourcen des Unternehmens zuzugreifen. Im Wesentlichen baut das Gerät des Benutzers einen verschlüsselten Tunnel zum VPN-Server oder -Gateway des Unternehmens auf.
Funktionsweise: Der Benutzer führt auf seinem Gerät eine VPN-Client-Software (oder ein im Betriebssystem integriertes VPN) aus, die über das Internet eine Verbindung zu einem VPN-Gateway-Server im Netzwerk des Unternehmens herstellt. Das Gateway authentifiziert die Anmeldedaten des Benutzers und gewährt bei entsprechender Berechtigung den Zugriff auf interne Netzwerkressourcen. Sobald die Verbindung hergestellt ist, verschlüsselt der VPN-Client alle Daten und sendet sie durch den sicheren Tunnel an das Gateway. Auf der Unternehmensseite entschlüsselt das VPN-Gateway die Daten und leitet sie an das Intranet weiter, als ob der Benutzer im lokalen Netzwerk wäre. Gängige Protokolle für Fernzugriffs-VPNs sind IPsec (auf der Netzwerkebene) oder SSL/TLS (auf der Anwendungsebene), um die Verbindung zu sichern. Zur Erhöhung der Sicherheit wird häufig eine mehrstufige Authentifizierung verwendet (z. B. wird zusätzlich zum Passwort ein Einmalcode oder ein Zertifikat verlangt).
Vorteile:
- Sichere Telearbeit: Eine starke Verschlüsselung sorgt dafür, dass Ihre Verbindung ins Büro auch bei öffentlichem WLAN privat bleibt. Dies verhindert das Abhören von sensiblen Unternehmensdaten.
- Zugriff von überall: Benutzer können zu Hause, auf Reisen oder in einem Café sein und trotzdem auf Dateiserver, Datenbanken oder interne Anwendungen zugreifen, als ob sie vor Ort wären.
- Granulare Kontrolle: Netzwerkadministratoren können Zugriffskontrollen durchsetzen – zum Beispiel nur bestimmte Netzwerksegmente oder Anwendungen für eine bestimmte Benutzerrolle zulassen. Es ist auch möglich, VPN-Sitzungen zu protokollieren und zu überwachen, um die Sicherheit zu überprüfen.
- Kein Bedarf an dedizierten Verbindungen: Nutzt das öffentliche Internet, statt teure Standleitungen für jeden Benutzer zu benötigen.
Nachteile:
- Die Leistung hängt vom Internet des Nutzers ab: Bei Fernnutzern kann es zu Latenzzeiten oder langsamen Geschwindigkeiten kommen, wenn ihr lokales Internet schlecht ist, da der gesamte Datenverkehr über das VPN abgewickelt wird. Außerdem gibt es einen zusätzlichen Verschlüsselungs-/Entschlüsselungs-Overhead.
- Einrichtung und Verwaltung: Jedes Gerät benötigt eine VPN-Client-Konfiguration. Die Unterstützung einer Vielzahl von Benutzergeräten (Laptops, Telefone usw.) und die Fehlerbehebung bei Verbindungen kann sehr aufwändig sein.
- Sicherheitserwägungen: Wenn das Gerät eines Benutzers durch Malware kompromittiert wird, kann ein Fernzugriffs-VPN zu einem Infektionspfad für das Unternehmensnetzwerk werden. Starke Endpunktsicherheit und Authentifizierung sind entscheidend.
Beste Anwendungsfälle: Remote Access VPNs sind ideal für Unternehmen mit Telearbeitern, reisenden Mitarbeitern oder anderen Szenarien, in denen sich Personen von außerhalb des Büros in ein sicheres Netzwerk einloggen müssen. Ein Softwareentwickler, der von zu Hause aus arbeitet, nutzt beispielsweise ein Remote Access VPN, um auf das Quellcode-Repository des Unternehmens und interne Tools zuzugreifen. Es ist auch für externe Auftragnehmer nützlich, die vorübergehend Zugang zum Firmennetzwerk benötigen. Außerhalb von Unternehmen können technisch versierte Privatanwender ein Fernzugriffs-VPN einrichten, um ihr Heimnetzwerk zu erreichen (z. B. um von unterwegs sicher auf einen Heim-Medienserver zuzugreifen).
Beispiele: Viele Unternehmen nutzen Lösungen wie Cisco AnyConnect, Palo Alto GlobalProtect oder OpenVPN Access Server für Remote Access VPNs. Der VPN-Client von Cisco, der auf dem Laptop eines Mitarbeiters installiert ist, stellt beispielsweise eine Verbindung zu einem Cisco Firewall/VPN-Gateway im Büro her. Open-Source-Optionen wie OpenVPN oder WireGuard werden ebenfalls häufig auf VPN-Servern des Unternehmens für den Fernzugriff eingesetzt. Ein Beispielszenario ist ein IT-Administrator, der ein VPN verwendet, um von zu Hause aus sicher auf einen Büro-PC zuzugreifen (RDP, Remote Desktop). In allen Fällen handelt es sich bei dem Fernzugriffs-VPN um eine Benutzer-zu-Netz-Verbindung. (Bemerkenswert ist, dass NordLayer – der Geschäftszweig von NordVPN – und ähnliche Dienste auch Cloud-verwaltete Remote Access VPNs für Unternehmen anbieten).
Standort-zu-Standort-VPN
Was es ist: Ein Site-to-Site-VPN verbindet ganze Netzwerke miteinander, im Gegensatz zur Verbindung einzelner Clients. Es wird oft als Router-zu-Router-VPN bezeichnet. Unternehmen mit mehreren Niederlassungen verwenden Site-to-Site-VPNs, um ihre LANs (Local Area Networks) über das öffentliche Internet zu verbinden, so dass alle Standorte als ein einheitliches Netzwerk funktionieren. Es gibt in der Regel zwei Arten von Site-to-Site-VPNs: Intranet-VPNs (die Büros desselben Unternehmens miteinander verbinden) und Extranet-VPNs (die das Netzwerk eines Unternehmens mit dem eines Partners, Kunden oder Lieferanten verbinden und den Zugriff auf beiden Seiten beschränken).
Funktionsweise: Bei einem Site-to-Site-VPN übernimmt ein VPN-Gateway-Gerät (z. B. eine Firewall oder ein Router) an jedem Standort die VPN-Verbindung. Im Gegensatz zum Fernzugriff führen die Endbenutzergeräte an diesen Standorten in der Regel keine individuellen VPN-Clients aus – das Gateway an jedem Standort verschlüsselt und entschlüsselt den Datenverkehr für das gesamte lokale Netzwerk. Ein Gateway initiiert einen verschlüsselten Tunnel zum Gateway am anderen Standort und authentifiziert sich mit gemeinsamen Schlüsseln oder digitalen Zertifikaten. Nach dem Aufbau des Tunnels kann jeder Computer am Standort A mit jedem Computer am Standort B über das VPN kommunizieren, wobei die Router sicherstellen, dass nur autorisierter Datenverkehr durchgelassen wird. Site-to-Site-VPNs verwenden in der Regel IPsec im Tunnelmodus zur Authentifizierung und Verschlüsselung von Paketen auf der Netzwerkebene. Einige Unternehmen verwenden auch spezielle Verbindungen oder MPLS für Site-to-Site (mehr zu MPLS später). Im Wesentlichen handelt es sich dabei um eine virtuelle “Standleitung” zwischen Büros, die jedoch über das Internet läuft.
Bei Intranet-VPNs befinden sich alle teilnehmenden Standorte unter der Kontrolle einer Organisation und bilden ein erweitertes privates WAN (Wide Area Network). Extranet-VPNs werden zwischen verschiedenen Organisationen eingerichtet, um eine begrenzte Vernetzung zu ermöglichen (z. B. ein Unternehmen und ein externer Logistikanbieter, die Netze für gemeinsame Anwendungen miteinander verbinden). In Extranet-Fällen ist die Zugriffskontrolle strenger – jede Seite gibt nur das Nötigste an die andere Seite weiter.
Vorteile:
- Verbindet verteilte Netzwerke: Eine kostengünstige Möglichkeit, Büros weltweit zu verbinden, ohne Standleitungen zu mieten. Jeder Standort benötigt lediglich einen Internetzugang und ein VPN-Gerät.
- Ständig aktive Verbindung: Site-to-Site-Tunnel sind in der Regel “immer aktiv” und ermöglichen eine nahtlose Kommunikation. Die Benutzer müssen nichts initiieren; es ist für sie transparent – das Netz ist einfach verbunden.
- Keine Client-Software pro Gerät: Da das VPN von Gateway zu Gateway arbeitet, müssen einzelne PCs, Drucker usw. nicht speziell eingerichtet werden. Dies vereinfacht die Verwaltung, wenn viele Geräte vorhanden sind.
- Sicheres gemeinsames Intranet: Alle Daten zwischen den Standorten werden verschlüsselt durch den Tunnel übertragen, so dass die Kommunikation zwischen den Büros nicht abgehört werden kann. Es wird effektiv ein großes privates Netzwerk geschaffen.
- Intranet- und Extranet-Flexibilität: Kann je nach Bedarf intern (Zusammenlegung von Zweigstellen) oder extern (vertrauenswürdige B2B-Konnektivität) genutzt werden.
Nachteile:
- Komplexe Ersteinrichtung: Netzwerkadministratoren müssen auf beiden Seiten kompatible Einstellungen konfigurieren (Verschlüsselungsprotokolle, Schlüsselaustausch, Routingregeln). Bei Verwendung unterschiedlicher Hardware-Marken muss die Interoperabilität getestet werden.
- Erfordert statische oder zuverlässige IPs: Häufig benötigen VPN-Endpunkte an einem Standort statische IP-Adressen (oder dynamische DNS), um sich gegenseitig im Internet zu finden. Wenn sich die IP-Adresse eines Büros unerwartet ändert, kann das VPN unterbrochen werden, sofern es nicht dynamisch verwaltet wird.
- Die Leistung hängt von der Internetverbindung ab: Das VPN ist nur so schnell/zuverlässig wie die zugrunde liegenden Internetverbindungen. Hohe Latenzzeiten oder Überlastungen an einem der beiden Enden wirken sich auf die gesamte Verbindung aus. Im Gegensatz zu privaten MPLS-Leitungen kann das öffentliche Internet keine konstante Leistung garantieren.
- Begrenzt auf den Netzwerkbereich: Da es Netzwerke miteinander verbindet, ist ein Site-to-Site-VPN nicht für Roaming-Benutzer geeignet. Es ist nicht flexibel genug, um zufällige Einzelgeräte sicher zu verbinden (dafür sind Remote Access VPNs gedacht). In der Tat setzen viele Unternehmen mit Site-to-Site-VPNs auch Fernzugriffslösungen für Telearbeiter ein.
- Sicherheit und Vertrauen: Wenn eine Seite kompromittiert wird (z. B. durch einen Hacker oder Malware), könnte das VPN zu einem Kanal für Angriffe auf die andere Seite werden. Beide Seiten müssen eine strenge Sicherheitshygiene aufrechterhalten, da die Netze überbrückt werden.
Beste Anwendungsfälle: Site-to-Site-VPNs eignen sich am besten für Unternehmen mit zwei oder mehr festen Standorten, die kontinuierlich Daten und Ressourcen gemeinsam nutzen müssen. Ein Unternehmen mit einem Hauptsitz und mehreren Niederlassungen nutzt beispielsweise ein Site-to-Site-VPN, damit alle Standorte sicher auf interne Dateiserver oder ERP-Systeme zugreifen können. Ein anderer Fall ist eine Universität, die ihre Standorte über ein VPN miteinander verbindet, oder eine Behörde, die dasselbe tut. Anwendungsfall Intranet-VPN: Eine Einzelhandelskette verbindet die Netzwerke der einzelnen Filialen mit dem zentralen Rechenzentrum. Anwendungsfall Extranet-VPN: Ein Hersteller richtet ein VPN mit einem Teilelieferanten ein, damit ihre Bestandssysteme sicher miteinander verbunden werden können, schränkt aber den Zugriff des Lieferanten nur auf bestimmte Datenbanken ein.
Beispiele: Viele Unternehmensnetzwerkgeräte unterstützen Site-to-Site-VPNs. Cisco- und Juniper-Router können beispielsweise IPsec-Tunnel zwischen Büros einrichten. Ein klassisches Beispiel ist die Verwendung von zwei Cisco ASA-Firewalls, um das New Yorker Büro eines Unternehmens über ein IPsec-VPN mit dem Londoner Büro zu verbinden. Ein weiteres Beispiel ist AWS Site-to-Site VPN, mit dem ein Unternehmen sein lokales Netzwerk über einen IPsec-Tunnel mit seiner Amazon Cloud VPC (Virtual Private Cloud) verbinden kann. Dadurch wird das Intranet des Unternehmens effektiv auf seine AWS-Cloud-Ressourcen ausgedehnt. Auch Azure und Google Cloud bieten ähnliche VPN-Gateway-Services für hybride Cloud-Konnektivität. Was die Konfiguration angeht, können Site-to-Site-VPNs Pre-Shared Keys oder Zertifikate für die Authentifizierung verwenden und so eingerichtet werden, dass sie bei einem Abbruch automatisch wiederhergestellt werden.
Site-to-Site-VPNs können auch fortschrittlicher sein: DMVPN (Dynamic Multipoint VPN) von Cisco beispielsweise ermöglicht Mesh-Konnektivität zwischen mehreren Standorten, ohne dass der gesamte Datenverkehr über einen zentralen Knotenpunkt läuft, und OpenVPN im Site-to-Site-Modus kann Büros mit SSL/TLS anstelle von IPsec verbinden. Im Kern dienen jedoch alle Site-to-Site-VPNs demselben Zweck – der sicheren Verbindung zweier Netzwerke über das Internet.
Persönliches VPN (Verbraucher-VPN)
Was es ist: Ein Personal VPN (auch bekannt als Consumer VPN oder kommerzieller VPN-Dienst) ist die Art von VPN, die oft für einzelne Benutzer beworben wird. Dienste wie ExpressVPN, NordVPN oder ProtonVPN fallen in diese Kategorie. Im Gegensatz zu Unternehmens-VPNs verbindet ein persönliches VPN Sie nicht mit einem privaten Intranet, sondern verbindet Ihr Gerät mit dem Server eines VPN-Anbieters und von dort aus mit dem öffentlichen Internet. Das Ziel ist in der Regel, Ihren persönlichen Internetverkehr zu verschlüsseln und Ihre IP-Adresse bzw. Ihren Standort zu verschleiern, indem der VPN-Server als Vermittler eingesetzt wird. Bei persönlichen VPNs geht es um Privatsphäre, Sicherheit und Freiheit im Internet für den Endnutzer.
So funktioniert es: Sie melden sich bei einem VPN-Dienst an und installieren dessen VPN-Client-App (auf Ihrem Computer, Telefon usw.). Wenn Sie eine Verbindung herstellen, baut die App einen verschlüsselten Tunnel von Ihrem Gerät zu einem der VPN-Server des Anbieters auf (Sie können in der Regel einen Server in einem Land Ihrer Wahl wählen). Ihr gesamter Internetverkehr wird dann zunächst durch diesen Tunnel zum VPN-Server geleitet. Der VPN-Server wiederum entschlüsselt Ihren Datenverkehr und leitet ihn an die Ziel-Website oder den Ziel-Dienst im Internet weiter. Für die Außenwelt sieht es so aus, als käme der Datenverkehr vom VPN-Server und nicht von Ihrem echten Gerät/IP. Wenn Sie beispielsweise eine Verbindung zu einem VPN-Server in Kanada herstellen, denken Websites, dass Sie von Kanada aus zu Besuch sind, auch wenn Sie sich physisch in Spanien befinden. Persönliche VPNs verwenden oft Protokolle wie OpenVPN, IKEv2 oder WireGuard, die sich gut für schnelle Verbindungen und starke Verschlüsselung eignen. Der VPN-Anbieter betreibt in der Regel viele Server in verschiedenen Regionen, und Ihre Client-App ermöglicht Ihnen eine Auswahl oder eine automatische Auswahl auf der Grundlage der Geschwindigkeit.
Vorteile:
- Datenschutz und Anonymität: Ein persönliches VPN verbirgt Ihre echte IP-Adresse vor den Websites, die Sie besuchen, und sogar vor Ihrem Internetdienstanbieter (ISP). Alle Ihre Daten werden während der Übertragung verschlüsselt, so dass Schnüffler im Netzwerk (z. B. über öffentliches WLAN oder Ihren ISP) nicht sehen können, was Sie online tun. Dies ist großartig für datenschutzbewusste Nutzer.
- Umgehen Sie geografische Beschränkungen und Zensur: Da Sie den Anschein erwecken können, sich in einem anderen Land zu befinden, werden persönliche VPNs häufig für den Zugriff auf regional gesperrte Inhalte verwendet. Sie können zum Beispiel ein VPN verwenden, um Streaming-Inhalte anzusehen, die in Ihrem Land nicht verfügbar sind, oder um Dienste zu nutzen, die lokal zensiert werden. Es ist auch ein Werkzeug für Menschen in restriktiven Regimen, um das offene Internet zu erreichen.
- Sicherheit in nicht vertrauenswürdigen Netzwerken: Auf Reisen oder bei der Nutzung des WLANs in Cafés verschlüsselt Ihr persönliches VPN Ihren Webverkehr (Websites, E-Mails, Chats), sodass Angreifer selbst bei einer Störung des WLANs nur verschlüsselte Daten sehen. Dies ist ein zusätzlicher Schutz für das tägliche Surfen (allerdings schützt es Sie nicht vor Malware auf Ihrem Gerät).
- Benutzerfreundlich: Kommerzielle VPN-Anwendungen sind in der Regel Ein-Klick-Lösungen – sie verwalten Schlüssel, Protokolle und Server automatisch. Es ist kein tiefes technisches Wissen erforderlich. Sie verfügen oft über zusätzliche Funktionen wie Kill-Switches (die Ihr Internet unterbrechen, wenn das VPN abbricht, um Lecks zu vermeiden) und Werbeblocker.
- Keine Unternehmenseinrichtung erforderlich: Jeder kann sich anmelden und ein persönliches VPN nutzen; Sie müssen nicht Teil einer Organisation sein oder eine spezielle Netzwerkkonfiguration haben.
Nachteile:
- Vertrauen in den Anbieter: Wenn Sie ein persönliches VPN nutzen, leiten Sie Ihren gesamten Datenverkehr über die Server des VPN-Anbieters. Sie müssen diesem Anbieter vertrauen, dass er Ihre Daten nicht protokolliert oder missbraucht. Ein unseriöses VPN könnte Ihren unverschlüsselten Datenverkehr sehen, wenn er den Server verlässt, oder Aufzeichnungen über Ihre Online-Aktivitäten führen. Seriöse Anbieter haben eine “No-Log”-Politik und unterziehen sich Audits, aber dieser Kompromiss ist wichtig zu beachten.
- Kosten: Es gibt zwar kostenlose VPNs, doch sind diese oft mit erheblichen Einschränkungen oder Datenschutzbedenken verbunden (einige sind dafür bekannt, dass sie Nutzerdaten verkaufen oder Werbung einblenden). Gute persönliche VPN-Dienste verlangen Abonnementgebühren (monatlich oder jährlich). Dies sind Kosten für den Nutzer, die sich in der Regel auf ein paar Euro pro Monat belaufen.
- Leistungseinbußen: Bei der Verwendung eines VPN wird Ihre Verbindung in der Regel etwas langsamer. Ihre Daten nehmen einen Umweg (zum VPN-Server) und werden verschlüsselt/entschlüsselt. Die besten VPNs haben schnelle Netze, bei denen die Nutzer nur einen geringen Geschwindigkeitsverlust (vielleicht 10-20 %) feststellen, aber bei langsameren Diensten kann der Verlust erheblich sein. Hohe Latenzzeiten können auch Aktivitäten wie Online-Spiele beeinträchtigen.
- Kein interner Netzwerkzugriff: Im Gegensatz zu Fernzugriffs-VPNs erhalten Sie mit einem persönlichen VPN keinen Zugang zu Ihrem Intranet im Büro oder zu Ihrem NAS zu Hause (es sei denn, Sie konfigurieren Ihren eigenen VPN-Server zu Hause). Es dient lediglich dazu, Ihren Internetverkehr zu sichern und Ihren scheinbaren Standort zu ändern. Mit anderen Worten: Persönliche VPNs verbinden Sie mit dem Netzwerk des VPN-Anbieters, nicht mit Ihrem eigenen privaten Netzwerk.
- Mögliche Dienstsperren: Einige Streaming-Dienste oder Websites versuchen aktiv, VPN-IP-Adressen zu blockieren. Es kann vorkommen, dass bestimmte Seiten nicht funktionieren, bis sie die VPN-Verbindung trennen. Dieses Katz-und-Maus-Spiel bedeutet manchmal, dass man den Server oder Anbieter wechseln muss, um die Sperren zu umgehen.
Beste Anwendungsfälle: Persönliche VPNs eignen sich am besten für Einzelpersonen, die ihre Online-Privatsphäre schützen oder Inhaltsbeschränkungen umgehen möchten. Wichtige Beispiele:
- Ein Journalist oder Aktivist in einem Land mit starker Internetüberwachung nutzt ein VPN, um sicher zu kommunizieren und zu surfen.
- Ein Reisender nutzt ein VPN, um seine Lieblingssendungen auf Netflix im Ausland zu sehen.
- Eine Person, die in einem Café arbeitet, verwendet ein VPN, um ihren Datenverkehr zu verschlüsseln, damit andere Personen im öffentlichen WLAN ihre Daten nicht ausspähen können.
- Jeder, der nicht möchte, dass sein Internetanbieter oder die Regierung sein Surfen im Internet leicht nachverfolgen kann, könnte ein VPN als grundlegende Schutzschicht verwenden. Es ist auch nützlich für Gamer, um DDoS-Angriffe zu vermeiden, indem sie ihre IP verbergen, und für den allgemeinen Seelenfrieden beim Surfen.
Beispiele: Der Markt ist voll von persönlichen VPN-Anbietern. Beliebte Beispiele sind ExpressVPN, NordVPN, Surfshark, CyberGhost, Proton VPN, und PIA (Private Internet Access), neben vielen anderen. Alle bieten Apps für verschiedene Geräte (Windows, Mac, iOS, Android, etc.) und in der Regel eine Reihe von Serverstandorten weltweit. NordVPN zum Beispiel betreibt Tausende von Servern in mehr als 50 Ländern, zwischen denen der Nutzer wechseln kann, um die optimale Geschwindigkeit oder den gewünschten Standort zu finden. Ein weiteres Beispiel ist Proton VPN, das sogar einen kostenlosen Tarif mit begrenzten Geschwindigkeiten, aber starkem Datenschutz anbietet (nützlich für diejenigen, die nicht zahlen können) – es wurde dafür gelobt, dass man nicht einmal eine E-Mail benötigt, um die kostenlose Stufe zu nutzen. Persönliche VPN-Dienste erörtern auch oft ihre Protokolle – z. B. die Unterstützung des neuesten WireGuard-Protokolls für bessere Leistung.
Zusammenfassend lässt sich sagen, dass bei persönlichen VPNs die Benutzerfreundlichkeit und die umfassende Internetsicherheit für Einzelpersonen im Vordergrund stehen. Sie haben sich zu einem Mainstream entwickelt. Schätzungen zufolge nutzen mittlerweile Hunderte von Millionen Menschen weltweit VPNs aus persönlichen Gründen (vor allem, nachdem öffentlichkeitswirksame Ereignisse das Bewusstsein für die Privatsphäre geschärft haben). Sie unterscheiden sich von geschäftlichen VPNs: Betrachten Sie sie eher als ein Werkzeug zum Schutz der Privatsphäre als ein Werkzeug zur Verbindung mit einem bestimmten privaten Netzwerk.
Mobiles VPN
Was es ist: Ein mobiles VPN ist eine spezielle Art von VPN, die sich an Benutzer von mobilen Geräten richtet, die zwischen verschiedenen Netzwerken wechseln oder die Verbindung zeitweise unterbrechen können. Der Hauptunterschied zwischen einem mobilen VPN und einem herkömmlichen Fernzugriffs-VPN besteht darin, dass eine mobile VPN-Sitzung auch dann bestehen bleibt, wenn sich die zugrunde liegende Netzwerkverbindung ändert oder vorübergehend unterbrochen wird. Dies ist wichtig für Außendienstmitarbeiter, Ersthelfer oder alle, die unterwegs eine “always-on”-Verbindung benötigen. Denken Sie zum Beispiel an einen Polizeibeamten, der einen Laptop im Streifenwagen benutzt: Während der Fahrt wechselt sein Gerät möglicherweise von einem Mobilfunknetz zu einem Wi-Fi-Hotspot und wieder zurück – ein mobiles VPN hält die sichere Sitzung während dieser Übergänge nahtlos aufrecht.
Funktionsweise: Bei einem mobilen VPN befindet sich der VPN-Server wie bei einem normalen Fernzugriff am Rand des Unternehmensnetzes, aber der Client ist für das Roaming ausgelegt. Wenn Sie sich mit einem mobilen VPN-Client verbinden, wird ihm vom VPN-Server eine logische IP-Adresse (manchmal auch als virtuelle IP bezeichnet) zugewiesen. Diese IP-Adresse verbleibt auf dem Gerät, egal wie es sich verbindet. Die mobile VPN-Software behält den Tunnel zum Server über Netzwerkänderungen hinweg bei: Wenn Sie vom Mobilfunknetz zum WLAN wechseln, wird der Tunnel über das neue Netzwerk neu aufgebaut, aber Ihre Sitzung am VPN-Server (identifiziert durch die logische IP oder ein Token) bleibt bestehen. Der Server sieht dies nicht als eine neue Verbindung an, so dass die Sitzung (und alle darin enthaltenen Anwendungssitzungen) nicht neu gestartet werden müssen. Mobile VPNs stützen sich oft auf Protokolle oder Erweiterungen, die Mobilität unterstützen, wie IKEv2 mit MOBIKE (Mobility and Multihoming) oder proprietäre Lösungen. Sie können auch Keepalive-Nachrichten verwenden, um Netzwerkänderungen schnell zu erkennen und die Tunnel wiederherzustellen. Wichtig ist, dass ein mobiles VPN Ihre Sitzung nicht unterbricht, wenn sich Ihre IP-Adresse ändert oder Sie kurzzeitig keinen Empfang haben – es ist so konzipiert, dass es dies toleriert.
Vorteile:
- Nahtlose Konnektivität: Wie bereits erwähnt, ist der größte Vorteil die Aufrechterhaltung einer kontinuierlichen Verbindung. Ein echtes mobiles VPN “bleibt” bei Ihnen, wenn Sie unterwegs sind. Selbst wenn Sie durch einen Aufzug fahren (und kurzzeitig das Signal verlieren) oder vom heimischen WLAN zu mobilen Daten wechseln, müssen Sie sich nicht erneut anmelden oder Ihre Arbeit verlieren. Der VPN-Tunnel stellt die Verbindung automatisch wieder her und setzt sie fort.
- Verbesserte Zuverlässigkeit für mobile Mitarbeiter: Für EMS-Teams, Reparaturtechniker oder alle, die sich in Fahrzeugen befinden, bedeutet dies, dass ihre Anwendungen (Versand-Software, Remote-Datenbanken usw.) verbunden bleiben. Es reduziert die Frustration durch ständige VPN-Drop/Reconnect-Zyklen, die man mit einem normalen VPN unterwegs erleben würde.
- Geräteunabhängige Mobilität: Ein mobiles VPN ist nicht nur für “Handys” gedacht. Es geht um die Mobilität des Benutzers. Sie können einen mobilen VPN-Client auf einem Laptop, einem Tablet oder einem Telefon einsetzen – also auf jedem Gerät, das häufig das Netzwerk wechseln kann. Der Vorteil ist derselbe: Sitzungsaufrechterhaltung.
- Sicherheit für Daten unterwegs: Wie jedes VPN verschlüsselt es den Datenverkehr. Vor allem für mobile Mitarbeiter bedeutet dies, dass ihre Verbindung zum Hauptsitz sicher bleibt, egal ob sie über 4G, ein Hotel-Wi-Fi oder einen öffentlichen Hotspot verbunden sind.
- Flexibilität bei der Authentifizierung: Mobile VPN-Clients unterstützen oft verschiedene Authentifizierungsmethoden, die für den Einsatz vor Ort geeignet sind – z. B. Zertifikate, Token, Biometrie -, um eine einfache und dennoch sichere Verbindung von überall aus zu ermöglichen.
Nachteile:
- Komplexe Client- und Server-Einrichtung: Mobile VPN-Lösungen können komplexer zu implementieren sein. Nicht alle Standard-VPN-Server unterstützen von Haus aus echtes nahtloses Roaming. Möglicherweise ist eine spezielle Software (oder zusätzliche Module wie MOBIKE für IPsec) erforderlich. Ebenso muss die Client-Software dies unterstützen – nicht jede VPN-App auf Ihrem Telefon wird den Tunnel beibehalten, wenn sich die Netzwerke ändern.
- Leistungsmehraufwand: Um eine Sitzung aufrechtzuerhalten, muss der Client Neuverbindungen im Hintergrund verarbeiten. Beim Umschalten zwischen den Netzen kann es zu einer kurzen Verkehrspause kommen, die bei häufigem Umschalten Echtzeitanwendungen leicht beeinträchtigen kann. Außerdem kann die Notwendigkeit, eine logische IP-Adresse über den VPN-Server aufrechtzuerhalten, selbst in einem “guten” Netz einen zusätzlichen Routing-Sprung verursachen, was den Durchsatz im Vergleich zu einer direkten Verbindung bei stationärem Betrieb leicht verringern kann.
- Akku- und Datenverbrauch: Auf mobilen Geräten kann ein ständig eingeschaltetes VPN, das Verbindungen aushandelt, zusätzlichen Akku verbrauchen. Außerdem senden mobile VPNs oft Keepalive-Pings, um den Verbindungsstatus zu überwachen, was im Laufe der Zeit ein wenig Daten verbraucht (obwohl dies im Vergleich zur normalen Nutzung normalerweise vernachlässigbar ist).
- Verfügbarkeit: Nur wenige Anbieter bieten “mobile VPN”-Funktionen an. Viele persönliche VPN-Dienste halten beispielsweise die Sitzung nicht wirklich über Netzwerksprünge aufrecht – sie stellen lediglich eine neue Verbindung in einem neuen Netzwerk her, was für die meisten Benutzer in Ordnung ist. Ein echtes mobiles VPN findet sich in der Regel in Unternehmenslösungen (NetMotion, Cisco AnyConnect in bestimmten Modi usw.). Dies kann die Auswahl einschränken oder mit höheren Kosten verbunden sein.
- Einschränkungen bei der Handhabung von Übergängen: Bei sehr häufigen Unterbrechungen der Verbindung kann selbst ein mobiles VPN Probleme haben. Wenn sich die IP-Adresse drastisch ändert (z. B. bei einem Umzug in ein Netzwerk, das den Port des VPNs blockiert), kann es sein, dass die Sitzung nicht aufrechterhalten werden kann.
Beste Anwendungsfälle: Mobile VPNs eignen sich für alle Szenarien, in denen die Netzwerkkonnektivität des Benutzers wechselnd oder unregelmäßig sein kann, er jedoch eine kontinuierliche sichere Verbindung benötigt. Einige Beispiele:
- Öffentliche Sicherheit und Ersthelfer: Polizei-, Feuerwehr- und Rettungsfahrzeuge mit Laptops, die während der Fahrt Zugang zu Kriminalitätsdatenbanken oder Patientenakten benötigen.
- Mitarbeiter des öffentlichen Nahverkehrs oder Lieferfahrer: alle, die ein Tablet verwenden, um Informationen zu protokollieren, während sie über Mobilfunkdaten verfügen, die in Tunneln usw. verloren gehen könnten.
- Außendiensttechniker: z. B. ein Techniker, der in ein Gebäude hinein- und wieder herausgeht, zwischen Wi-Fi im Büro und mobilen Daten wechselt und dabei eine sichere Verbindung zu den Systemen aufrechterhält.
- Militärische oder Outdoor-Forschungseinheiten: in Umgebungen, in denen die Netzwerkverbindungen wechseln (Satellit, Mobilfunk usw.), der Betrieb aber nicht unterbrochen werden kann, um die Verbindung wiederherzustellen. Auch Geschäftsreisende können davon profitieren: Stellen Sie sich vor, Sie verlassen Ihr heimisches WLAN, steigen in ein 4G-Taxi und verbinden sich dann mit dem Flughafen-WLAN – ein mobiles VPN könnte Ihr Unternehmens-VPN während all dieser Vorgänge ununterbrochen aufrechterhalten.
Beispiele: Ein bekanntes Beispiel für eine mobile VPN-Lösung ist NetMotion Mobility (jetzt Teil von Absolute Software), das sich ausdrücklich auf die Konnektivität von mobilen Mitarbeitern konzentriert. Sie weist dem Gerät eine virtuelle IP zu und hält die Sitzungen aufrecht, während sich das Gerät zwischen den Netzwerken bewegt. Ein weiteres Beispiel ist die Verwendung des IKEv2/IPsec-Protokolls mit aktiviertem MOBIKE – viele moderne VPN-Server (Microsoft RRAS, strongSwan usw.) und -Clients unterstützen dies. Unter Windows wird der eingebaute VPN-Client mit IKEv2 tatsächlich versuchen, den Tunnel neu aufzubauen, wenn sich das Netzwerk ändert (unter Verwendung derselben IKEv2-Sitzungsparameter, dank MOBIKE). Auf der Verbraucherseite ist das Konzept des “always-on VPN” auf Android oder iOS tangential verwandt – es stellt sicher, dass Ihr VPN automatisch die Verbindung wiederherstellt, aber nicht notwendigerweise sitzungsbeständig ist, wie es ein echtes mobiles VPN ist. OpenVPN hat eine “persist-tun”-Option, die hilft, wenn die Verbindung wiederhergestellt wird. Einige neuere Lösungen wie Speedify vermarkten sich selbst als Kombination mehrerer Verbindungen (Wi-Fi + Mobilfunk) für Geschwindigkeit und auch für nahtloses Umschalten – effektiv ein mobiles VPN, das für Bonding-Verbindungen optimiert ist.
Es ist erwähnenswert, dass die durchschnittliche Person, die ein VPN auf ihrem Telefon nutzt (z. B. eine persönliche VPN-App), möglicherweise kein mobiles VPN im eigentlichen Sinne verwendet – wenn sie das Netzwerk wechselt, muss sie sich möglicherweise erneut verbinden. Bestimmte Apps sind jedoch besser in der Lage, die Verbindung nahtlos wiederherzustellen. In kritischen Szenarien wird jedoch eine spezielle mobile VPN-Technologie eingesetzt, um zu gewährleisten, dass keine Sitzungen verloren gehen.
Cloud-VPN
Was es ist: Ein Cloud-VPN bezieht sich auf VPN-Dienste oder -Infrastruktur, die über Cloud-Plattformen bereitgestellt werden. Anstelle von herkömmlicher VPN-Hardware oder Servern vor Ort wird ein Cloud-VPN in der Cloud gehostet und häufig von einem Anbieter verwaltet. Es kann Nutzer mit Cloud-basierten Ressourcen verbinden oder sogar ganze Netzwerke miteinander verbinden, indem es die Cloud als Vermittler nutzt. Da Unternehmen zunehmend Daten und Dienste in öffentlichen oder hybriden Clouds hosten, sind Cloud-VPNs entstanden, um diese Cloud-Umgebungen sicher mit Benutzern oder anderen Netzwerken zu verbinden. Vereinfacht ausgedrückt handelt es sich um ein VPN, das eine Cloud-basierte Netzwerkinfrastruktur nutzt, um eine sichere Verbindung zu ermöglichen.
So funktioniert es: Es gibt mehrere Szenarien:
- Site-to-Cloud: Ähnlich wie Site-to-Site, aber ein “Standort” ist ein Cloud-Netzwerk. Sie richten zum Beispiel ein VPN von Ihrem Büro-Gateway zu einem VPN-Gateway in AWS oder Azure ein. Dieser sichere Tunnel (oft IPsec) ermöglicht es Ihrem lokalen Netzwerk, mit Ihrer Cloud-VPC zu kommunizieren, als wäre es eine weitere Niederlassung. Die Cloud-Anbieter bieten VPN-Endpunkte (wie AWS VPN Gateway oder Google Cloud VPN), die das VPN in ihrer Cloud beenden.
- Fernzugriff über die Cloud: Anstatt den VPN-Server in Ihrem Büro-Rechenzentrum zu haben, nutzen Sie einen in der Cloud gehosteten VPN-Dienst. Remote-Benutzer stellen eine Verbindung zu einem VPN-Gateway in der Cloud her, das dann Zugang zu Ihrem Unternehmensnetzwerk oder zu Cloud-Ressourcen hat. Im Wesentlichen wird der VPN-Konzentrator in die Cloud ausgelagert. Dadurch kann die Belastung der Hardware vor Ort verringert und die globale Präsenz der Cloud für eine bessere Leistung genutzt werden.
- VPN as a Service: Einige Anbieter (z. B. Perimeter 81, Zscaler, Cisco Meraki) bieten einen kompletten Cloud-verwalteten VPN-Service an. Die Benutzer stellen eine Verbindung zum nächstgelegenen Cloud-Standort des Anbieters her. Von dort aus werden sie entweder ins Internet geleitet (wie bei einem privaten VPN, aber geschäftsorientiert mit zentraler Kontrolle) oder zurück in die Unternehmensumgebung. Die Cloud übernimmt die Skalierung, die Benutzerverwaltung und sogar die Verbindung mehrerer Standorte über das Netzwerk des Anbieters.
In allen Fällen ist das Markenzeichen, dass die Verschlüsselung und das Routing des Datenverkehrs in der Cloud-Infrastruktur erfolgen. Mit Google Cloud VPN können Sie zum Beispiel einen VPN-Tunnel zwischen Ihrem Router vor Ort und dem VPN-Gateway von Google in Ihrem GCP-Projekt konfigurieren. Die Daten zwischen beiden werden über das Internet verschlüsselt, und Google sorgt für hohe Verfügbarkeit. Cloud-VPNs verwenden in der Regel immer noch Standardprotokolle (IPsec, SSL/TLS), aber der Unterschied liegt darin, wo sich der Server befindet und wie er verwaltet wird.
Vorteile:
- Globale Erreichbarkeit und Skalierbarkeit: Da es sich um eine Cloud-Lösung handelt, können sich Benutzer oft von überall aus mit optimierten Routen verbinden. Viele Cloud-VPN-Dienste verfügen über mehrere Gateways auf der ganzen Welt. So kann ein Remote-Benutzer eine Verbindung zu einer nahegelegenen Region herstellen und dann über das Backbone der Cloud zu den Ressourcen geleitet werden. Dies kann die Latenzzeit im Vergleich zu einem einzelnen VPN-Server vor Ort verbessern. Außerdem ist es einfacher, die Kapazität zu erhöhen (mehr Bandbreite, mehr Nutzer) – Sie können oft Cloud-Instanzen oder Gateways bei Bedarf hinzufügen.
- Geringerer Wartungsaufwand vor Ort: Es muss keine physische Appliance installiert oder gewartet werden. Für Unternehmen, die bereits stark auf die Cloud setzen, passt die Bereitstellung eines Cloud-VPNs zu ihrem Infrastructure-as-Code- und Outsourcing-Modell. Updates, Patches und Betriebszeit können vom Anbieter übernommen werden.
- Direkter sicherer Zugriff auf Cloud-Ressourcen: Wenn sich Ihre Datenbanken oder Anwendungen in der Cloud befinden, ist ein Cloud-VPN ein natürlicher Weg, um einen sicheren Zugriff ohne Backhauling über eine zentrale Stelle zu ermöglichen. Benutzer können sich direkt mit dem VPN der Cloud-Umgebung verbinden und auf Ressourcen in dieser Cloud zugreifen. Dies ist ideal für verteilte Teams, die z. B. auf eine von AWS gehostete Anwendung zugreifen.
- Unterstützung für verteilte Mitarbeiter: Cloud-VPNs eignen sich gut für Unternehmen, die kein festes “Büro” haben. Ein vollständig dezentralisiertes Unternehmen kann z. B. ein virtuelles Netzwerk in der Cloud einrichten, mit dem sich alle Mitarbeiter verbinden, anstatt ein Rechenzentrum zu haben. Solange es Internet gibt, können sie sich von jedem Ort aus sicher verbinden.
- Hohe Verfügbarkeit und Zuverlässigkeit: Große Cloud-Anbieter bieten eine robuste Infrastruktur. Ein Cloud-VPN-Gateway kann mit integrierter Redundanz in verschiedenen Rechenzentren ausgestattet sein. Dies kann im Vergleich zu einem einzelnen Server vor Ort weniger Ausfallzeiten bedeuten. Außerdem kann der Datenverkehr, der innerhalb des Netzes des Cloud-Anbieters (nach dem Eintritt in das VPN) stattfindet, von der QoS und der Zuverlässigkeit seines Backbones profitieren.
- OPEX-Preise: Anstelle von Vorabkosten für Hardware können Cloud-VPNs monatlich abgerechnet werden (entweder als feste Servicegebühr oder pro Nutzung). Dies kann wirtschaftlich vorteilhaft sein oder zumindest die Kosten auf die Betriebskosten verlagern.
Nachteile:
- Abhängigkeit von Drittanbietern: Sie verlassen sich bei kritischen Sicherheitsinfrastrukturen auf einen Cloud-Anbieter oder -Service. Ausfälle oder Probleme auf deren Seite können Ihr VPN beeinträchtigen. Wenn Sie Ihren sicheren Zugang einer Drittanbieter-Cloud anvertrauen, müssen Sie außerdem sicherstellen, dass deren Sicherheitspraktiken erstklassig sind.
- Internetzugang erforderlich: Ein Cloud-VPN erfordert natürlich eine Internetverbindung für alle Standorte/Nutzer. Wenn Ihr Internet ausfällt, können Sie nicht auf eine direkte Punkt-zu-Punkt-Verbindung zurückgreifen. Für vollständige Cloud-Konfigurationen ist dies in Ordnung, aber für einige Szenarien (z. B. zwei Büros in derselben Stadt) kann eine direkte Verbindung eine geringere Latenz aufweisen als eine Verbindung zur Cloud und zurück.
- Komplexität der Integration: Die Einrichtung von Site-to-Cloud-VPNs kann die Arbeit mit der Konfiguration von Cloud-Anbietern beinhalten, die für herkömmliche Netzwerktechniker neu sein kann. Jede Cloud hat ihre eigenen Tools und Eigenheiten. Wenn Sie einen von der Cloud verwalteten Dienst wie Perimeter 81 nutzen, müssen Sie diesen außerdem in Ihr Identitätsmanagement integrieren, Routing-Regeln für Ihre internen Netzwerke festlegen usw. Das ist nicht schwer, aber es ist ein anderes Paradigma.
- Datenübertragungskosten: Cloud-Anbieter berechnen oft Gebühren für die Datenübertragung. Wenn Sie viel Datenverkehr durch ein Cloud-VPN leiten (insbesondere aus der Cloud heraus zu den Nutzern), können Bandbreitenkosten anfallen. Es könnte immer noch billiger sein als MPLS-Leitungen, aber man sollte es im Auge behalten.
- Potenzielle Leistungsengpässe: Die Cloud ist zwar skalierbar, aber eine falsch konfigurierte oder unterdimensionierte Cloud-VPN-Instanz könnte zu einem Engpass werden. Außerdem kann der Datenverkehr längere Wege nehmen: Wenn z. B. ein Benutzer in derselben Stadt wie der Firmensitz gezwungen ist, eine Verbindung über ein Cloud-VPN-Gateway in einer anderen Region herzustellen und dann zurück zum Firmensitz zu fahren, ist das ein indirekter Weg (obwohl Sie ihn normalerweise planen würden, um solche Engpässe zu vermeiden).
Beste Anwendungsfälle: Cloud-VPNs sind ideal für moderne Cloud-first-Unternehmen. Wichtige Beispiele:
- Ein Unternehmen mit einem Großteil seiner Infrastruktur in AWS und einer kleinen Mitarbeiterzahl möchte möglicherweise keine VPN-Server vor Ort hosten. Stattdessen verwenden sie AWS Client VPN (ein von AWS verwalteter OpenVPN-Service), damit Mitarbeiter sicher auf AWS-Ressourcen und sogar VPCs über Regionen hinweg zugreifen können.
- Ein Unternehmen mit mehreren Standorten, das in die Cloud migriert, kann während der Umstellung Site-to-Cloud-VPNs verwenden, die das Rechenzentrum vor Ort mit der neuen Cloud-Umgebung sicher über das Internet verbinden. Dies schafft eine hybride Cloud-Konnektivität.
- Startups oder Remote-First-Unternehmen, die überhaupt kein Büro haben: Mit einem Dienst wie Cloud VPN von Perimeter 81 verbinden sich alle Mitarbeiter mit dem Netzwerk von Perimeter81 und erhalten von dort aus sicheren Zugang zu gemeinsamen Cloud-Diensten und dem Internet. Dies bietet zentralisierte Sicherheit (wie ein virtuelles Büro in der Cloud).
- Unternehmen, die eine schnelle globale VPN-Präsenz wünschen: Ein Unternehmen mit Nutzern in Asien, Europa und Amerika könnte beispielsweise Cloud-VPN-Gateways in jeder Region einrichten, so dass sich die Mitarbeiter mit dem nächstgelegenen verbinden, was die Geschwindigkeit im Vergleich zu einem einzigen VPN-Server in den USA erhöht. Das Backbone des Cloud-Anbieters verbindet dann diese VPN-Hubs miteinander.
- Vorübergehender oder skalierbarer Bedarf: Wenn Sie ein VPN für ein kurzes Projekt oder eine saisonal bedingte höhere Belastung benötigen, ist es einfacher, eine Cloud-VPN-Appliance für einige Monate einzurichten als Hardware zu beschaffen.
Beispiele: Die großen Cloud-Plattformen haben eigene VPN-Angebote. Mit Google Cloud VPN und AWS Site-to-Site VPN können Sie IPsec-Tunnel zwischen Ihrem Router vor Ort und der Cloud einrichten. AWS bietet auch Client VPN an, einen vollständig verwalteten OpenVPN-Dienst für den Fernzugriff von Benutzern. Azure VPN Gateway bietet ebenfalls Point-to-Site- (Benutzer zu Azure) und Site-to-Site-Funktionen. Auf der SaaS-Seite bietet Perimeter 81 (unterstützt von Check Point) einen Cloud-verwalteten VPN-Service, bei dem Sie “virtuelle Gateways” an verschiedenen globalen Standorten einrichten und den Benutzerzugang zentral verwalten können. OpenVPN Cloud ist ein weiterer Dienst von OpenVPN Inc., der ein Cloud-gehostetes VPN bietet, bei dem Sie den Server nicht selbst betreiben müssen.
Eine reale Zahl, die den Aufstieg von Cloud-VPNs widerspiegelt: Im Jahr 2022 wird das Segment “Cloud-VPN” etwa 73 % des Umsatzes auf dem VPN-Markt ausmachen, was darauf hindeutet, dass Unternehmen Cloud-basierte VPN-Implementierungen schnell gegenüber herkömmlichen Einrichtungen bevorzugen. Dies umfasst sowohl die Nutzung der Cloud in der VPN-Infrastruktur als auch die Annahme von VPN-as-a-Service für einen einfachen Zugang.
Zusammenfassend lässt sich sagen, dass Cloud-VPNs das VPN in die Ära des Cloud-Computing bringen – sie bieten Flexibilität, globale Reichweite und potenziell einfachere Abläufe, insbesondere für Unternehmen, die bereits bei anderen Diensten auf die Cloud vertrauen.
Hardware-VPN
Was es ist: Ein Hardware-VPN bezieht sich auf ein dediziertes physisches Gerät, das VPN-Funktionen übernimmt. Im Gegensatz zu VPN-Software, die auf einem allgemeinen Server oder PC läuft, handelt es sich bei einer Hardware-VPN-Appliance um ein speziell angefertigtes Gerät (oft ein Router oder eine Firewall mit VPN-Funktionen), das Sie an Ihr Netzwerk anschließen. Diese Geräte verfügen häufig über eigene Prozessoren für Verschlüsselungsaufgaben, gehärtete Betriebssysteme und webbasierte Verwaltungsschnittstellen. Sie werden häufig von größeren Organisationen für Site-to-Site-VPNs oder als zentrale VPN-Konzentratoren für viele Remote Access Clients eingesetzt.
Funktionsweise: Ein Hardware-VPN-Gerät befindet sich in der Regel am Rande des Netzwerks (wie Ihr Gateway). Sie können zum Beispiel ein Hardware-VPN-Gerät an Ihr Internet-Modem anschließen, das den Datenverkehr ver- und entschlüsselt und oft auch als Firewall/Router dient. Wenn Remote-Benutzer eine Verbindung herstellen, landen sie tatsächlich auf diesem Gerät, das sie authentifiziert und mit dem Netzwerk verbindet. Bei Site-to-Site-Verbindungen bauen zwei solche Geräte einen Tunnel zwischen ihnen auf. Da es sich um spezialisierte Hardware handelt, kann sie kryptografische Operationen oft schneller verarbeiten als eine normale Server-CPU (einige haben integrierte ASICs für VPN). Viele Hardware-VPNs unterstützen auch Load Balancing und gleichzeitige Verbindungen, was bedeutet, dass sie eine große Anzahl von VPN-Clients oder mehrere Tunnel gleichzeitig mit stabiler Leistung verarbeiten können. Die Verwaltung erfolgt in der Regel über eine Webschnittstelle oder Konsole auf dem Gerät selbst.
Vorteile:
- Verbesserte Sicherheit und Isolierung: Ein Hardware-VPN läuft auf einem eigenen Gerät, getrennt von allgemeinen Servern. Diese Isolierung kann die Angriffsfläche verringern (das Betriebssystem des Geräts ist in der Regel minimal und auf VPN-Aufgaben beschränkt). Es ist nicht so anfällig für typische Viren oder Angriffe auf das Betriebssystem, wie es ein Windows-Server sein könnte. Er kann auch über einen eingebauten Schutz vor Manipulationen verfügen. Insgesamt handelt es sich um ein besonders sicheres Gateway.
- Hohe Leistung und Zuverlässigkeit: Da die einzige Aufgabe des Geräts darin besteht, VPN zu betreiben (oft neben Firewall-Funktionen), kann es sehr effizient sein. Viele Hardware-VPNs verfügen über eine Hardware-Beschleunigung für die Verschlüsselung, d. h. sie können einen höheren Durchsatz bei geringerer Latenz erreichen. Sie sind außerdem oft für Stabilität optimiert und können über lange Zeiträume ohne Probleme laufen. Wenn Sie Hunderte von VPN-Benutzern oder Website-Verbindungen mit sehr hoher Bandbreite haben, können Hardware-VPNs die Last oft besser bewältigen als eine Software-Lösung der Einstiegsklasse.
- Lastausgleich und Skalierbarkeit: Appliances der mittleren bis oberen Leistungsklasse können VPN-Verbindungen auf mehrere Rechner oder CPU-Kerne verteilen. Einige Appliances werden in Clustern geliefert, um Redundanz zu gewährleisten – wenn ein Gerät ausfällt, übernimmt ein anderes den Betrieb (hohe Verfügbarkeit). Sie können auch die Verteilung der Benutzer auf mehrere Geräte ermöglichen. Dies ist ideal für große Unternehmen.
- Webbasierte Verwaltung: Fast alle Hardware-VPNs bieten eine Weboberfläche oder ein Cloud-Verwaltungsportal zur Konfiguration von VPN-Einstellungen, Benutzern und zur Überwachung von Verbindungen. Dies kann die Verwaltung im Vergleich zur Verwaltung von Konfigurationsdateien, beispielsweise auf einem Linux-Server, vereinfachen.
- All-in-One-Netzwerkfunktionen: Häufig dient eine Hardware-VPN-Anwendung gleichzeitig als Firewall, Router und Intrusion Prevention-System. Viele UTM- (Unified Threat Management) oder Next-Gen-Firewalls (von Fortinet, Palo Alto, SonicWall usw.) verfügen beispielsweise über integrierte VPN-Funktionen. Sie erhalten also eine integrierte Lösung für die Netzwerksicherheit.
Nachteile:
- Kosten: Hardware-VPN-Geräte können teuer sein. Sie zahlen für spezielle Geräte und oft auch für einen Markenaufschlag. Dies kann von ein paar hundert Dollar für ein Gerät für kleine Unternehmen bis zu Zehntausenden für ein Gehäuse der Enterprise-Klasse reichen. Außerdem fallen bei den Anbietern möglicherweise Lizenzkosten pro Benutzer oder für Supportverträge an. Aufgrund der Kosten sind Hardware-VPNs in der Regel nur für größere Unternehmen oder Zweigstellen geeignet, bei denen sich die Investition lohnt.
- Geringere Flexibilität: Wenn Sie etwas ändern oder aufrüsten möchten, sind Sie durch die Möglichkeiten des Geräts eingeschränkt. Wenn Sie die Kapazität erhöhen möchten, müssen Sie möglicherweise eine neue Appliance kaufen. Im Gegensatz zu Software, die Sie auf jedem Server ausführen (und z. B. in der Cloud schnell skalieren) können, ist Hardware fest installiert. Außerdem sind Sie durch die Verwendung eines Hardwaregeräts in gewisser Weise an das Ökosystem und den Aktualisierungsplan des jeweiligen Herstellers gebunden.
- Bereitstellungsaufwand: Die Installation eines physischen Geräts bedeutet, dass Sie sich um Strom, Platz im Rack und Wartung kümmern müssen. Wenn Sie viele Standorte haben, benötigen Sie ein Gerät pro Standort (oder einen Cluster). Der Versand von Geräten und deren Installation an verschiedenen Standorten kann eine logistische Herausforderung sein, während ein Software-VPN-Server aus der Ferne eingerichtet werden kann.
- Ein einziger Ausfallpunkt: Wenn Sie keine redundanten Einheiten einsetzen, ist ein einzelnes Hardware-VPN ein kritischer Punkt – wenn es ausfällt, ist der VPN-Zugang unterbrochen (obwohl viele dies mit einem HA-Paar abmildern).
- Unterschiedliche Funktionen: Manchmal hinken Hardware-Appliances bei der Implementierung der “neuesten und besten” Protokolle hinterher. Eine Appliance kann zum Beispiel IPsec und vielleicht OpenVPN unterstützen, aber wenn ein neues Protokoll wie WireGuard auftaucht, kann es sein, dass Sie es nicht bekommen, bis der Hersteller entscheidet, es in der Firmware anzubieten (wenn überhaupt). Softwarelösungen können neue Protokolle schneller einführen.
Beste Anwendungsfälle: Hardware-VPNs eignen sich gut für etablierte Unternehmen, die robuste, ständig aktive VPN-Dienste benötigen und sich dedizierte Geräte leisten können. Typische Anwendungsfälle:
- Unternehmens-Gateway: Die Zentrale eines Unternehmens verfügt möglicherweise über eine VPN-Appliance, die den gesamten Fernzugriff der Mitarbeiter verwaltet. Eine Bank könnte zum Beispiel einen High-End-VPN-Konzentrator von Juniper oder Palo Alto verwenden, um Tausende von VPN-Sitzungen der Mitarbeiter mit starker Verschlüsselung und 24/7-Zuverlässigkeit zu beenden.
- Konnektivität der Zweigstellen: Jede Zweigstelle verfügt über einen kleineren Hardware-VPN-Router, der sich automatisch über ein Site-to-Site-VPN mit dem Hauptsitz verbindet. Appliances wie Cisco ISR-Router oder Meraki MX-Appliances werden häufig in dieser Rolle eingesetzt. Das vereinfacht die Einführung – man schließt die Box an und telefoniert über VPN nach Hause.
- Sicherer Partnerzugang: Wenn Sie einem Geschäftspartner Zugang zu einem Teil Ihres Netzes gewähren, können Sie ihn ein Hardware-VPN-Gerät installieren lassen, das eine Verbindung zu Ihrem Netz herstellt, anstatt viele einzelne Konten einzurichten. Auf diese Weise wird die Verbindung auf Netzwerkebene hergestellt und ist leichter zu überwachen.
- Verbindungen von Rechenzentrum zu Rechenzentrum: Zwei Rechenzentren, die große Datenmengen übertragen, könnten ein Paar Hardware-VPN-Gateways (mit hohem Durchsatz) verwenden, um den Datenverkehr zwischen den Standorten zu verschlüsseln, insbesondere wenn das öffentliche Internet als Backup-Transportmittel verwendet wird. Hardware-Geräte können mit speziellen Chips besser verschlüsselte Multi-Gigabit-Verbindungen erreichen.
- Unternehmen mit Compliance-Anforderungen: Einige Branchen bevorzugen Hardware-Lösungen, z. B. für FIPS 140-2-konforme Verschlüsselungsmodule. Viele Hardware-VPNs verfügen über Zertifizierungen, die den Einsatz bei Behörden oder im Gesundheitswesen rechtfertigen. Sie können auch direkter mit physischen Sicherheitsmodulen (wie Smartcards oder Hardware-Tokens) integriert werden.
Beispiele: Hardware-VPN-Angebote gibt es viele:
- Cisco – Geräte wie Cisco ASA (Adaptive Security Appliance) und sein Nachfolger Cisco Firepower sind weit verbreitete VPN/Firewall-Geräte. Eine ASA kann gleichzeitig IPsec Site-to-Site-Tunnel und Fernzugriff über Cisco AnyConnect (SSL/IPsec) unterstützen.
- Juniper – Die SRX-Serie von Juniper dient ähnlichen Zwecken, ebenso wie die älteren Juniper Netscreen-Appliances.
- Fortinet FortiGate – eine beliebte Firewall mit IPsec- und SSL-VPN-Funktionen, die häufig in verteilten Unternehmen eingesetzt wird.
- SonicWall – bekannt für SMB-Appliances, die einfach zu verwaltende VPN- und Sicherheitslösungen bieten.
- WatchGuard, Palo Alto Networks, Check Point – alle haben Appliances, die als VPN-Hubs fungieren können.
- Selbst Router für kleine Unternehmen (z. B. einige ASUS- und Linksys-Modelle) können für einige wenige Benutzer als Hardware-VPN-Server fungieren – auch wenn diese nicht so leistungsfähig sind, gelten sie ebenfalls als Hardware-VPN-Implementierungen (der Router erledigt die Arbeit und nicht Ihr PC).
Eine Zweigstelle könnte zum Beispiel ein Meraki MX64-Gerät haben; das zentrale Dashboard ist so konfiguriert, dass es automatisch einen VPN-Tunnel zur Meraki-Appliance der Zentrale aufbaut. Der Administrator kann dies über die Meraki-Cloud überwachen. Ein weiteres Beispiel: Eine Universität könnte eine Pulse Secure- oder F5-VPN-Appliance bereitstellen, die von Studenten und Lehrkräften für den Remote-Zugang genutzt wird – dabei handelt es sich oft um spezielle SSL-VPN-Gateways mit Webportalen (die stark genutzt wurden, bevor allgemeine Softwareclients üblich wurden).
In summary, hardware VPNs are about having a dedicated “VPN box” – this yields great performance and integrated security at the cost of higher price and less agility. They remain very common in traditional network architectures.
SSL-VPN
Beschreibung: Ein SSL-VPN ist ein VPN-Typ, der SSL/TLS-Verschlüsselung (dieselbe Technologie, die auch Ihr HTTPS-Browsing sichert) verwendet, um einen sicheren Tunnel aufzubauen. Anders als IPsec-VPNs, die auf der Vermittlungsebene operieren, arbeiten SSL-VPNs typischerweise auf der Transport- oder Anwendungsebene und verwenden TLS (die moderne Version von SSL). Der Begriff „SSL-VPN“ bezieht sich häufig speziell auf VPNs, auf die über einen Standard-Webbrowser zugegriffen werden kann und die die integrierten SSL/TLS-Funktionen des Browsers nutzen. Viele Organisationen setzen SSL-VPNs ein, um clientlosen Fernzugriff zu ermöglichen: Ein Benutzer besucht einfach eine Anmeldeseite im Browser, authentifiziert sich und kann dann über dieses Portal auf bestimmte interne Webanwendungen zugreifen oder einen Thin Client verwenden. SSL-VPNs können sich auch auf Full-Tunnel-VPNs beziehen, die TLS verwenden (wie OpenVPN) – diese erfordern eine Client-Software, verwenden aber dennoch das TLS-Protokoll auf Port 443, was sich für die Passage durch Firewalls eignet.
So funktioniert es: SSL-VPNs gibt es in zwei Hauptformen:
- SSL-Portal-VPN: Der Benutzer verbindet sich über einen Webbrowser mit einer HTTPS-gesicherten Webseite (dem VPN-Portal) und meldet sich an. Von dieser Portalseite aus kann er Links zu internen Ressourcen (Webservern, Dateifreigaben über Webschnittstellen usw.) anklicken, die über das Portal weitergeleitet werden. Das VPN ist grundsätzlich browserbasiert. Der Browserverkehr des Benutzers zu diesem Portal wird per SSL/TLS verschlüsselt, und die VPN-Appliance kommuniziert im Namen des Benutzers mit internen Diensten. Es handelt sich um eine Verbindung zu einer Website, die dann über diese Seite Zugriff auf mehrere Dienste ermöglicht.
- SSL-Tunnel-VPN: In diesem Modus startet das VPN über einen Browser, lädt dann aber eine aktive Komponente (z. B. einen Java-, ActiveX- oder HTML5-Client) oder verwendet ein lokales Client-Programm, um einen universelleren Tunnel zu erstellen. Dieser Tunnel läuft über SSL/TLS (Port 443), kann aber mehrere Protokolle übertragen, nicht nur Webprotokolle. So kann der Nutzer beispielsweise Remotedesktop oder andere Anwendungen über einen verschlüsselten Tunnel ausführen, die der Browser allein nicht transportieren könnte. Dazu muss oft ein kleiner Agent im Browser installiert oder ausgeführt werden. Nach der Ausführung verhält es sich wie ein typisches VPN, nutzt aber TLS als Transportmittel.
- In beiden Fällen heißt es SSL-VPN, weil es den weit verbreiteten SSL/TLS-Verschlüsselungsstandard nutzt, den jeder Webbrowser unterstützt. Nutzer benötigen daher nicht unbedingt einen speziellen VPN-Client; ein Webbrowser reicht für den Basiszugriff aus. Die Kommunikation erfolgt über TCP-Port 443 (HTTPS), der in der Regel von Firewalls geöffnet ist (im Gegensatz zu bestimmten IPsec-Ports, die blockiert sein können oder eine komplexe Konfiguration erfordern).
Moderne SSL-VPNs verwenden zwar TLS (da SSL 3.0 veraltet ist), der Begriff hat sich jedoch erhalten. Sie basieren darauf, dass der Server ein SSL-Zertifikat (häufig von einer vertrauenswürdigen Zertifizierungsstelle) vorlegt und eine sichere Sitzung mit dem Client aufbaut. Die Benutzerauthentifizierung kann über Passwörter, Zwei-Faktor-Token usw. über die Weboberfläche erfolgen.
Vorteile:
- Kein spezieller Client erforderlich (im Portalmodus): Benutzer können von jedem Gerät mit einem Standard-Webbrowser zugreifen. Das ist ideal für externe Dienstleister oder die Nutzung öffentlicher Computer – keine Softwareinstallation erforderlich. Es senkt die Anforderungen an die Barrierefreiheit.
- Funktioniert problemlos durch Firewalls und NAT: Da HTTPS verwendet wird, kann ein SSL-VPN die meisten Proxyserver, NAT-Geräte und Firewalls problemlos passieren. Der Datenverkehr ähnelt normalem Webverkehr. Viele Unternehmensnetzwerke, die unbekannte Ports blockieren, lassen weiterhin Port 443 zu, sodass ein SSL-VPN weniger anfällig für Störungen ist. Das ist besonders praktisch für Benutzer in restriktiven Netzwerken.
- Granuläre Zugriffskontrolle: Insbesondere im Portalmodus können Administratoren nur bestimmte Anwendungen über das VPN freigeben. Beispielsweise können Sie E-Mails und ein internes Wiki über das SSL-VPN zulassen, aber sonst nichts. Dieser Ansatz auf Anwendungsebene reduziert das Risiko, da Benutzer keinen vollständigen Netzwerkzugriff, sondern nur bestimmte Dienste erhalten.
- BYOD-freundlich: Wenn Mitarbeiter ein privates Gerät oder ein Smartphone verwenden, möchten (oder dürfen) sie möglicherweise keinen vollständigen VPN-Client installieren. Mit einem SSL-VPN können sie sich über den Browser anmelden und dennoch sicher eine interne Webanwendung nutzen. Diese Flexibilität ist in unterschiedlichen Geräteumgebungen nützlich.
- Einfache Bereitstellung: Für den Administrator bedeutet die Einrichtung einer SSL-VPN-Appliance oft nur die Konfiguration von Benutzern und Berechtigungen. Es ist keine Client-Softwareverteilung erforderlich (außer im Tunnelmodus, der möglicherweise eine einmalige Installation eines Hilfsprogramms erfordert). Dies vereinfacht die VPN-Bereitstellung für große Zielgruppen (z. B. Studierende oder Kunden).
- Verschlüsselung auf Anwendungsebene: TLS bietet einen zuverlässigen, authentifizierten und verschlüsselten Kanal. Es handelt sich um eine bewährte Technologie mit ausgereiften Bibliotheken und Support.
Nachteile:
- Eingeschränkter Zugriff im Portalmodus: Beim clientlosen Webportal können Nutzer in der Regel nur auf webbasierte Anwendungen oder bestimmte proxyfähige Dienste zugreifen. Komplexe Client-/Server-Anwendungen oder LAN-Protokolle werden möglicherweise nicht unterstützt. Beispielsweise ist die Nutzung eines SSH-Clients oder eines Datenbank-Clients über ein reines Portal-VPN nicht problemlos möglich, es sei denn, die Appliance verfügt über spezielle Proxys dafür.
- Leistungseinbußen: TLS über TCP kann für bestimmte Datenverkehrsarten etwas weniger effizient sein als IPsec, das UDP nutzen kann. Wenn viele Nutzer über ein Webportal interagieren, das Daten transkodiert oder proxyt, kann die CPU der VPN-Appliance stark beansprucht werden (z. B. durch das Umschreiben von URLs, das Verarbeiten von Dateidownloads usw.). Im Tunnelmodus ist die Leistung in der Regel in Ordnung (OpenVPN ist beispielsweise ein SSL-VPN und bietet eine gute Leistung, wenn auch in manchen Fällen etwas langsamer als WireGuard/IPsec).
- Browserkompatibilität und -komponenten: SSL-VPNs im Tunnelmodus, die auf Plugins basieren (wie ältere mit Java oder ActiveX), können Kompatibilitätsprobleme haben. Moderne Systeme nutzen mittlerweile HTML5 oder leichtgewichtige Agenten, dennoch kann es immer noch zu Problemen kommen, insbesondere da Browser strengere Regeln hinsichtlich der Zulassung von als „riskant“ eingestuften Plugins einhalten.
- Sicherheit der Client-Rechner: Der Vorteil des clientlosen Zugriffs kann auch ein Nachteil sein: Meldet sich jemand von einem nicht verwalteten oder öffentlichen Computer aus bei einem SSL-VPN-Portal an, besteht das Risiko, Spuren zu hinterlassen (z. B. zwischengespeicherte Daten, Downloads usw.). Viele SSL-VPNs versuchen, dies durch Maßnahmen wie Cache-Cleaner oder Timeout-Richtlinien zu verhindern, dennoch besteht weiterhin das Risiko, dass ein weniger sicherer Endpunkt verwendet wird.
- Kein vollständiger Netzwerktunnel (außer bei Verwendung eines Agenten): Für vollständigen Netzwerkzugriff (z. B. zum Zuordnen von Netzlaufwerken oder zur Nutzung von Nicht-Web-Apps) ist ein Thin Client oder Agent erforderlich, der wiederum in den Bereich der Software-Clients rückt. Der Vorteil gegenüber IPsec liegt hier hauptsächlich in der einfachen Firewall-Durchquerung und möglicherweise einer einfacheren Benutzererfahrung. Allerdings ist Client-Software erforderlich (auch wenn diese spontan über den Browser bereitgestellt wird).
Beste Anwendungsfälle: SSL-VPNs eignen sich gut, um Benutzern an verschiedenen Endpunkten Fernzugriff auf bestimmte Anwendungen zu ermöglichen. Anwendungsfälle:
- Zugriff von Auftragnehmern oder Partnern: Anstatt einem Auftragnehmer einen vollständigen VPN-Zugang zu Ihrem Netzwerk zu gewähren, können Sie ihm einen SSL-VPN-Webportal-Login bereitstellen, der nur die benötigte Anwendung anzeigt. Dies reduziert die Gefährdung, und er muss selbst keine komplizierten Konfigurationen vornehmen.
- Mitarbeiterzugriff von privaten Geräten: Wenn ein Mitarbeiter schnell etwas von seinem Heimcomputer aus überprüfen muss, ermöglicht ihm ein SSL-VPN-Portal beispielsweise die sichere Anmeldung im Firmenintranet, ohne dass er Unternehmens-VPN-Software auf seinem privaten Rechner installieren muss.
- Große Implementierungen: Universitäten nutzen häufig SSL-VPNs, um Studierenden den Fernzugriff auf Bibliotheksressourcen oder Labore zu ermöglichen. Der Studierende besucht einfach die Portalseite, meldet sich mit seinen Campus-Anmeldedaten an und startet möglicherweise einen Java-basierten Tunnel-Client, um auf Laborrechner oder Bibliotheksdatenbanken zuzugreifen.
- Stark restriktive Netzwerke: In Umgebungen wie Hotels, Konferenzzentren oder im Ausland, die VPNs blockieren, kann ein SSL-VPN oft durchkommen, da es wie normaler HTTPS-Verkehr aussieht. Dies ist nützlich für Geschäftsreisende, deren Firmen-IPsec-VPN möglicherweise blockiert ist, das Backup-SSL-VPN (über Port 443) jedoch funktioniert.
- Sicherheitsanforderungen auf Anwendungsebene: Manche Organisationen bevorzugen, dass Remote-Benutzer nur bestimmte Anwendungen nutzen, anstatt vollen Netzwerkzugriff zu haben. Ein SSL-VPN-Portal unterstützt dies von vornherein.
Beispiele: Viele Enterprise-VPN-Lösungen bieten SSL-VPN-Funktionalität. Einige Beispiele:
- Pulse Connect Secure (ehemals Juniper) – eine bekannte SSL-VPN-Appliance, die sowohl Webportal- als auch Full-Tunnel-Optionen bietet. Nutzer können sich über den Browser für Webanwendungen anmelden oder ein Java-Applet für einen umfassenderen Zugriff starten.
- Cisco ASA/Firepower – bietet eine „Clientless SSL VPN“-Funktion für den Portalzugriff sowie einen AnyConnect-Client, der SSL/TLS für den Tunnel nutzen kann (also ein SSL-VPN im Client-Modus).
- Palo Alto GlobalProtect – ein agentenbasiertes VPN, das SSL/TLS (und IPsec im Hintergrund) nutzen kann, aber auch Portalfunktionen für bestimmte Anwendungen bietet.
- OpenVPN – OpenVPN ist im Wesentlichen ein SSL-VPN-Protokoll (es verwendet TLS). Es erfordert ein Client-Programm, ist aber sowohl für private als auch für geschäftliche VPNs sehr beliebt. Die benutzerdefinierten Protokolle vieler privater VPN-Anbieter (wie NordLynx von NordVPN, das eigentlich WireGuard ist, aber auch benutzerdefinierte TLS-basierte Protokolle verwendet) verwenden ähnliches TLS-Tunneling.
- Fortinet FortiGate – bietet ein Webportal für SSL-VPN und den FortiClient für Full-Tunnel. Das Fortinet-Portal ermöglicht RDP-Sitzungen über den Browser, beispielsweise durch den Start eines Java-Applets.
- Check Point – bietet ebenfalls ein SSL-VPN-Blade an, das häufig auf den mobilen Benutzerzugriff mit einem schlanken Client ausgerichtet ist.
Ein konkretes Szenario: Ein Mitarbeiter besucht die Unternehmenswebsite und meldet sich an. Ihm werden Optionen wie „Intranet“, „E-Mail“ und „Freigegebenes Laufwerk“ angezeigt. Ein Klick auf „Intranet“ öffnet möglicherweise eine interne SharePoint-Site im Portal. Benötigen Mitarbeiter mehr, klicken sie auf „Vollständiges VPN starten“. Dies löst möglicherweise einen kleinen Agent-Download aus, der einen vollständigen VPN-Tunnel aufbaut. So können sie ihre Outlook-Anwendung oder Netzlaufwerkzuordnungen wie im Büro-LAN nutzen. All dies ist mit TLS gesichert. Aus Benutzersicht war dies sehr unkompliziert, und Administratoren konnten die Zugriffe präzise kontrollieren und die Nutzung auf Anwendungsebene überwachen.
MPLS-VPN
Was es ist: Ein MPLS-VPN verwendet nicht das typische internetbasierte verschlüsselte Tunnelmodell, sondern nutzt das MPLS-Netzwerk eines Dienstanbieters, um den Datenverkehr virtuell zu trennen und zu priorisieren. MPLS (Multi-Protocol Label Switching) ist eine leistungsstarke Routing-Technik, bei der Paketen Labels zugewiesen und sie über vorbestimmte Pfade weitergeleitet werden. In einem MPLS-VPN nutzt ein Telekommunikationsunternehmen oder Netzbetreiber MPLS, um für einen Kunden private Netzwerksegmente über das Backbone des Anbieters zu erstellen. Bei IP-Routing wird es oft als Layer-3-VPN (L3VPN) bezeichnet, bei bestimmten Punkt-zu-Punkt-Verbindungen als Layer-2-VPN. MPLS-VPNs sind in der Regel Abonnementdienste für Unternehmen, die Konnektivität zwischen mehreren Standorten mit der Zuverlässigkeit eines privaten Netzwerks bieten – obwohl der Datenverkehr möglicherweise über eine gemeinsam genutzte Infrastruktur läuft, ist er durch MPLS-Labels isoliert und oft nicht Ende-zu-Ende-verschlüsselt (Verschlüsselung kann bei Bedarf hinzugefügt werden).
Vereinfacht ausgedrückt ist MPLS VPN wie eine private Autobahn, die vom Telekommunikationsanbieter bereitgestellt wird und von den öffentlichen Internetverbindungen getrennt ist. Alle Ihre Niederlassungen sind über einen Router mit dem Netzwerk des Anbieters verbunden. Dieser stellt sicher, dass diese Verbindungen sich gegenseitig erreichen, aber nicht die anderer, oft mit Leistungsgarantien.
So funktioniert es: Ein Unternehmen schließt mit einem Anbieter (z. B. AT&T, Verizon, BT usw.) einen Vertrag über einen MPLS-VPN-Dienst ab. Die Netzwerk-Edge-Router (PE-Router) des Anbieters stellen Verbindungen zu den Unternehmensstandorten (CE – Customer Edge Router) her. Mithilfe von MPLS kennzeichnet der Anbieter den Datenverkehr des Unternehmens und trennt ihn von dem anderer Unternehmen. Er kann außerdem ein Routing-Protokoll ausführen, sodass der Anbieter das Routing zwischen den Standorten übernimmt. Es gibt zwei Arten:
- Layer-3-MPLS-VPN: Der Anbieter beteiligt sich am IP-Routing mit den Kundennetzwerken (mit Technologien wie VRF – Virtual Routing and Forwarding). Er überträgt Ihre IP-Präfixe und sorgt für deren Übermittlung zwischen Ihren Standorten. Ihre Pakete werden mit einem MPLS-Header versehen, sodass sie nur an Ihre anderen Standorte und nicht an andere Standorte zugestellt werden. Dies ist die häufigste Vorgehensweise.
- Layer-2-MPLS-VPN: Der Anbieter stellt eine Punkt-zu-Punkt-Verbindung (ähnlich einer virtuellen Standleitung oder VPLS – Virtual Private LAN Service) zwischen Standorten auf Layer 2 bereit. Dies entspricht der Erweiterung eines Switches zwischen Standorten mithilfe von MPLS-Tunneln.
MPLS VPN ist nicht verschlüsselt – es ist „privat“, da das Netzwerk des Anbieters für Außenstehende nicht zugänglich ist. In der Praxis ist es jedoch sehr sicher, da ein Eindringen in das MPLS-Netzwerk eines Anbieters nicht trivial ist (und dieser den Verkehr oft physisch trennt oder Zugriffskontrolllisten verwendet, um die Trennung zu erzwingen). Manche Kunden setzen dennoch IPsec für doppelte Sicherheit ein, wenn sie dem Anbieter nicht vollständig vertrauen.
Vorteile:
- Garantierte Leistung (QoS): MPLS-VPNs werden häufig mit SLAs (Service-Level-Agreements) angeboten. Da der Anbieter die Pfade kontrolliert, kann er Bandbreite, geringe Latenz, geringen Jitter usw. garantieren. Er kann bestimmten Datenverkehr (wie Sprache oder Video) gegenüber anderem priorisieren. Diese Servicequalität ist ein wichtiges Verkaufsargument für Echtzeitanwendungen, die im offenen Internet beeinträchtigt werden können. Pakete werden über einen verwalteten Backbone mit kontrolliertem Routing übertragen, wodurch die Unvorhersehbarkeit des öffentlichen Internets vermieden wird.
- Zuverlässig und konsistent: MPLS-Routing ist sehr effizient – jeder Router trifft Weiterleitungsentscheidungen allein anhand des Labels, ohne eine komplexe IP-Suche durchzuführen. Dies kann die Latenz reduzieren und den Durchsatz verbessern. Darüber hinaus bieten MPLS-Netzwerke typischerweise Redundanz und schnelle Umleitungen, sodass Pakete bei Ausfall eines Pfads schnell auf einen anderen, vordefinierten Pfad umgeleitet werden können. Für Unternehmen mit kritischen Daten (Finanztransaktionen, Sprachanrufe) fühlt sich MPLS-VPN wie eine private Standleitung mit hoher Zuverlässigkeit an.
- Skalierbarkeit für viele Standorte: Ein MPLS-VPN eines Providers kann Dutzende oder Hunderte von Standorten in einem vollständigen Mesh verbinden, ohne dass jeder Standort eigene Tunnel untereinander benötigt (im Gegensatz zu herkömmlichen VPNs, bei denen mehr Standorte auch mehr Tunnel verwalten müssen, es sei denn, Sie verwenden komplexes Meshing). Sie verbinden einfach jeden Standort mit der Cloud des Providers, und das MPLS des Providers übernimmt die Any-to-Any-Konnektivität über die Labels. Das reduziert die Komplexität großer Netzwerke – Sie entlasten den Carrier.
- Entlastung des Managements: Das Unternehmen muss keine Verschlüsselungsschlüssel, VPN-Konzentratoren usw. verwalten. Der Provider übernimmt das Routing und die Trennung. Für manche IT-Teams ist dies einfacher zu handhaben, da sie sich nur auf Edge-Router für ihre Standorte konzentrieren.
- Protokollunabhängiger Transport: MPLS kann verschiedene Protokolle übertragen, nicht nur IP. Es kann bei Bedarf auch Legacy-Protokolle kapseln und Layer-2-Verbindungen unterstützen. Wenn ein Unternehmen beispielsweise noch Frame-Relay oder Ethernet-Bridging zwischen Standorten nutzt, kann MPLS L2 VPN dies berücksichtigen.
- Sicherheit (praktisch): Obwohl unverschlüsselt, ist ein MPLS-VPN aufgrund seines geschlossenen Ökosystems recht sicher. Es ist, als ob ein privates Netzwerk vom Telekommunikationsanbieter betrieben würde. Es besteht eine robuste Trennung – oft beschrieben als „praktisch privat, aber effektiv sicher“.
Nachteile:
- Hohe Kosten: MPLS-VPN-Dienste sind in der Regel deutlich teurer als herkömmliche Internetverbindungen plus VPN. Sie zahlen einen Aufpreis für die dedizierte Bandbreite und das Management des Anbieters. Die Kosten hängen oft von Entfernung und Bandbreite ab. Beispielsweise kann eine 10-Mbit/s-MPLS-Verbindung von New York nach Chicago deutlich mehr kosten als eine Standard-Internetverbindung für Unternehmen mit gleicher Geschwindigkeit. Das macht MPLS für kleinere Unternehmen oder solche mit knappem Budget weniger attraktiv.
- Anbieterabhängigkeit und mangelnde Flexibilität: Sie sind bei Änderungen auf den Anbieter angewiesen. Sie möchten einen neuen Standort hinzufügen oder die Bandbreite erhöhen? Dies kann lange Bereitstellungszeiten und Vertragsänderungen mit sich bringen. Sie können nicht einfach auf eine Schaltfläche klicken, wie dies bei einem Software-VPN der Fall ist. Außerdem sind Sie weitgehend an den Einzugsbereich des Anbieters gebunden – wenn dieser eine Region nicht abdeckt, benötigen Sie möglicherweise einen separaten Vertrag oder eine Netzwerk-zu-Netzwerk-Schnittstelle zwischen den Anbietern, was die Sache komplizierter macht.
- Keine Ende-zu-Ende-Verschlüsselung: Sollte es jemandem gelingen, sich in das MPLS-Netzwerk oder die Verbindung einzuhacken, könnte er möglicherweise Daten abfangen (was jedoch selten und schwierig ist). Manche Unternehmen setzen zusätzlich auf eine Verschlüsselung besonders sensibler Daten, wodurch jedoch einige Vorteile verloren gehen (z. B. kann der Anbieter den Datenverkehr nicht so effektiv komprimieren oder optimieren). Im Gegensatz dazu ist ein IPsec-VPN über das Internet standardmäßig verschlüsselt.
- Eingeschränkte öffentliche Internetintegration: Ein MPLS-VPN eignet sich hervorragend für die Vernetzung von Büros, benötigt aber in der Regel weiterhin einen separaten Internet-Breakout für den allgemeinen Internetverkehr, oder der gesamte Internetverkehr muss zu einem zentralen Standort zurückgeführt und anschließend wieder abgeführt werden (was ineffizient sein kann). Daher zahlen Sie möglicherweise sowohl für MPLS als auch für den Internetdienst an jedem Standort. Bei reinen Internet-VPNs übernimmt Ihre Internetverbindung eine doppelte Funktion – sie wird sowohl für das VPN als auch für das allgemeine Surfen genutzt.
- Umstieg auf neuere Technologien: In letzter Zeit wechseln viele Unternehmen von MPLS zu SD-WAN (Software-Defined WAN). SD-WAN nutzt mehrere kostengünstigere Internetverbindungen mit intelligenter Software, um eine Zuverlässigkeit nahe MPLS-Niveau zu erreichen, jedoch zu geringeren Kosten. MPLS-VPNs werden im Vergleich dazu manchmal als starrer und veraltet angesehen. MPLS wird nach wie vor stark genutzt, der Trend geht jedoch dahin, Teile davon durch SD-WAN zu ergänzen oder zu ersetzen, um Kosten zu sparen.
- Eingeschränkte Anbieterabdeckung: Wenn Ihr Unternehmen weltweit Niederlassungen hat, sind nicht alle Anbieter überall verfügbar. Möglicherweise benötigen Sie mehrere MPLS-Anbieter und müssen diese miteinander verknüpfen. Dies ist aufwändig und kann die QoS bei der Übergabe zwischen Netzwerken beeinträchtigen. Das öffentliche Internet hingegen ist universell zugänglich (wenn auch mit unterschiedlicher Qualität).
Beste Anwendungsfälle: MPLS-VPNs sind ideal für:
- Große Unternehmen oder Banken: Sie benötigen garantierte Verfügbarkeit und Leistung für den internen Datenverkehr. Beispielsweise könnte eine Bank, die ihre Rechenzentren mit Filialen zur Transaktionsabwicklung verbindet, ein MPLS-VPN nutzen, um schnelle und stabile Verbindungen zu gewährleisten, damit Geldautomaten und Filialsysteme stets zuverlässig funktionieren.
- Echtzeitdienste: Unternehmen, die häufig VoIP-Telefonsysteme oder Videokonferenzen zwischen den Niederlassungen nutzen, setzen häufig auf MPLS, um Sprach- und Videopakete zu priorisieren und Jitter zu vermeiden. Dies gewährleistet eine gleichbleibend hohe Gesprächsqualität.
- Konsistenz mehrerer Standorte: Ein Unternehmen mit beispielsweise 50 Einzelhandelsgeschäften und fünf Lagern könnte MPLS nutzen, um alle Standorte zu verbinden. So werden die Bestands- und Verkaufssysteme in Echtzeit, mit minimaler Verzögerung und über das gleiche Netzwerk repliziert – das vereinfacht die Verwaltung.
- Regulierte Branchen: Behörden oder das Gesundheitswesen, die eine höhere Kontrolle über die Datenpfade benötigen, bevorzugen möglicherweise MPLS gegenüber der verschlüsselten Datenübertragung über das Internet. Es vermittelt den Eindruck (und die Realität) einer kontrollierteren Vernetzung.
- Wenn das Internet unzuverlässig ist: In manchen Regionen oder Situationen können die öffentlichen Internetverbindungen unzuverlässig sein oder hohe Latenzen aufweisen. Ein privater MPLS-Schaltkreis kann eine stabile Alternative bieten. Beispielsweise nutzen internationale Unternehmen manchmal MPLS für die ozeanübergreifende Konnektivität, um unvorhersehbare Überlastungen der Unterseekabel zu vermeiden – MPLS bietet garantierte Latenzzeiten.
Beispiele: Bei den meisten Beispielen für MPLS VPN handelt es sich nicht um Markenprodukte, sondern um Dienste von Netzbetreibern:
- Ein klassisches Beispiel: Der VPN-Dienst von AT&T verbindet alle Standorte eines multinationalen Konzerns. Jeder Router verbindet sich mit dem Netzwerk von AT&T. AT&T steuert das Routing so, dass eine beliebige Verbindung gewährleistet ist. Das Unternehmen kann bestimmte Serviceklassen anfordern – z. B. 30 % der Bandbreite für Sprache (hohe Priorität), 20 % für kritische Anwendungen und den Rest nach dem Best-Effort-Prioritätsprinzip. AT&Ts MPLS setzt dies um. Das Ergebnis ist ein privates Netzwerk, das alle Niederlassungen umfasst.
- Verizon Business IP VPN ist ein weiteres Angebot, das ebenfalls QoS und globale Konnektivität ermöglicht.
- Level 3 (jetzt Lumen) MPLS IP VPN – diese Anbieter verfügen oft über Portale, über die Sie Ihr Netzwerk einsehen können, die Implementierung erfolgt jedoch im Hintergrund mit MPLS.
- Einige Anbieter bieten auch eine Hybridlösung an: MPLS-Verbindungen plus integriertes Internet-Failover usw. Bei reinem MPLS-VPN verlassen Sie sich jedoch hauptsächlich auf das private Netzwerk des Anbieters.
Technisches Beispiel: Ein Unternehmen betreibt Niederlassungen in Paris, London und Tokio. Es bezieht ein MPLS-VPN von Orange Business Services (France Telecom) für Paris und London sowie ggf. von NTT für Tokio mit Interconnect. Die Router der einzelnen Standorte verfügen über eine Schnittstelle zum Provider. Dieser ordnet diese Router der VPN-ID (VRF) des Unternehmens zu. Sie tauschen Routen aus – Paris weiß, wie London und Tokio über die MPLS-Cloud erreicht werden. Sendet Paris ein Paket nach Tokio, versieht der Ingress-Router des Providers es mit einem MPLS-Tag, der dem Pfad zum Egress-Router Tokios entspricht. An jedem Hop im Providernetzwerk schalten die Router das Paket anhand des Labels schnell um (keine IP-Suche). Es kommt im Router Tokios an, der das Label entfernt und das IP-Paket an das Tokioter Büronetzwerk weiterleitet. Da sich die Labels unterscheiden, kommt es zu keiner Vermischung des Datenverkehrs anderer Kunden, und die Zwischenrouter verwalten separate Label-Bereiche pro VPN. Das Unternehmen profitiert von einer stabilen und schnellen Verbindung, als wären alle drei Standorte an einem einzigen großen privaten Router angeschlossen.
MPLS-VPNs unterstreichen, dass „VPN“ nicht immer „verschlüsselter Tunnel im Internet“ bedeutet; es kann auch ein „virtuell privates Netzwerk“ bedeuten, das von Netzbetreibern bereitgestellt wird. Sie agieren zwar etwas im Hintergrund, sind aber für viele große Netzwerke nach wie vor von entscheidender Bedeutung.
L2TP (Layer 2 Tunneling Protocol) VPN
Was es ist: L2TP ist ein VPN-Tunneling-Protokoll, das zur Kapselung von Daten für den Transport über ein öffentliches Netzwerk verwendet wird. L2TP selbst bietet weder Verschlüsselung noch Vertraulichkeit – es wird aus Sicherheitsgründen oft mit IPsec kombiniert. Tatsächlich ist mit „L2TP VPN“ meist L2TP/IPsec gemeint, also die Kombination aus L2TP für das Tunneling und IPsec für Verschlüsselung/Authentifizierung. L2TP arbeitet auf Layer 2 (daher der Name), kann also PPP-Frames übertragen und somit alle möglichen Protokolle, nicht nur IP, tunneln. Es wurde von Cisco als Nachfolger von PPTP (Point-to-Point Tunneling Protocol) und als Erweiterung von L2F (Layer 2 Forwarding Protocol) entwickelt und vereint die Funktionen beider Protokolle.
In der Praxis ist L2TP/IPsec heute eine gängige VPN-Option, die von vielen Betriebssystemen nativ unterstützt wird (Windows, macOS, Linux, iOS und Android verfügen alle über integrierte L2TP/IPsec-Clients). Daher ist es eine beliebte Wahl für die Einrichtung von VPNs ohne Drittanbietersoftware. Ein kleines Büro könnte beispielsweise ein L2TP/IPsec-VPN nutzen, damit Mitarbeiter sich über den integrierten VPN-Client ihrer Laptops oder Smartphones verbinden können.
So funktioniert es: L2TP erstellt einen Tunnel zwischen zwei „L2TP-Peers“ – typischerweise dem Client und dem Server. Pakete (z. B. Ihre IP-Pakete) werden in L2TP gekapselt und anschließend in UDP-Paketen über das Internet gesendet (L2TP nutzt UDP-Port 1701). Bevor jedoch L2TP-Daten gesendet werden, wird eine IPsec-Sicherheitszuordnung (mithilfe des IKE-Protokolls) zwischen Client und Server eingerichtet. Der gesamte L2TP-Verkehr wird dann über diese IPsec-Sicherheitszuordnung geleitet, üblicherweise mit dem IPsec-ESP-Protokoll zur Verschlüsselung. Im Wesentlichen:
- Client und Server führen einen IPsec-Handshake durch und bauen einen verschlüsselten Kanal auf.
- In diesem verschlüsselten Kanal startet der Client anschließend eine L2TP-Sitzung.
- Die L2TP-Sitzung authentifiziert sich (häufig über Benutzername/Passwort oder Windows-Domänenanmeldeinformationen).
- Nach der Einrichtung wird der Netzwerkverkehr des Clients durch L2TP gekapselt (ähnlich wie in einem PPP-Frame verpackt), anschließend durch IPsec verschlüsselt und an den Server gesendet. Der Server entkapselt anschließend (IPsec-Entschlüsselung, anschließend L2TP-Entpackung) und leitet die inneren Pakete an das Zielnetzwerk weiter.
Die L2TP-Kapselung führt tatsächlich eine doppelte Kapselung durch: Ihre Daten werden auf zwei Ebenen (L2TP/PPP + IPsec) gespeichert, was die Effizienz etwas reduzieren kann. Sie bietet aber auch Flexibilität – L2TP kann bei Bedarf auch Nicht-IP-Verkehr übertragen (in den meisten Fällen handelt es sich jedoch nur um IP innerhalb von PPP innerhalb von L2TP).
Vorteile:
- Breite Unterstützung: L2TP/IPsec ist standardmäßig auf fast allen modernen Systemen verfügbar. Diese universelle Nutzung machte es zu einer bevorzugten Wahl, insbesondere vor der Verbreitung von OpenVPN und anderen Verfahren. Administratoren müssen keine eigenen Clients verteilen – der integrierte VPN-Client reicht aus. Dies ist auch heute noch ein Grund, warum manche L2TP nutzen, da nicht jede Umgebung die Installation neuer Software zulässt.
- Sicher (mit IPsec): In Kombination mit IPsec bietet es starke Verschlüsselung (IPsec AES, 3DES usw.) und Authentifizierung. IPsec im IKEv1- oder IKEv2-Modus ist bei korrekter Konfiguration bewährt und sicher. Die Sicherheit von L2TP/IPsec beruht im Wesentlichen auf dem robusten IPsec.
- Flexible Authentifizierung: L2TP kann PPP-Authentifizierungsmethoden (PAP, CHAP, MS-CHAPv2, EAP) verwenden. Dadurch kann es zur Benutzerauthentifizierung in Systeme wie RADIUS-Server integriert werden und ermöglicht so die Integration in Unternehmen (z. B. Anmeldung mit Active Directory-Anmeldeinformationen). IPsec selbst authentifiziert auch die Endpunkte (üblicherweise mit einem Pre-Shared Key oder Zertifikaten). Dadurch entsteht eine doppelte Sicherheitsebene: Authentifizierung auf Maschinenebene über IPsec und Authentifizierung auf Benutzerebene über PPP/L2TP. Dies kann als zusätzliche Sicherheitsebene angesehen werden.
- Firewall-freundlich (bis zu einem gewissen Grad): L2TP/IPsec verwendet UDP-Ports (500 und 4500 für IPsec sowie 1701 für L2TP, das bei Verwendung von NAT-T tatsächlich in 4500 gekapselt wird). Viele Firewalls können dies verarbeiten, und NAT-Traversal für IPsec (NAT-T) ist standardisiert und funktioniert daher üblicherweise hinter NAT. Nicht so unauffällig wie SSL-VPN, aber grundsätzlich in vielen Netzwerken praktikabel. Es erfordert keine TCP-Verbindungen, die für längere Zeit gedrosselt werden könnten, da IPsec UDP-basiert ist.
- Site-to-Site-Nutzung: Obwohl L2TP oft für den Fernzugriff gedacht ist, kann es auch Site-to-Site-Nutzung nutzen, insbesondere wenn Sie aus irgendeinem Grund Nicht-IP-Tunnel benötigen oder eine vorhandene L2TP-Appliance nutzen möchten. Einige ältere Router unterstützten L2TP-Tunnel zwischen den Geräten. Bei Site-to-Site-Nutzung wird oft nur GRE oder IPsec verwendet, L2TP ist jedoch in manchen Fällen eine Option.
- Kein fester Port für Daten (mit IPsec): Im Gegensatz zu PPTP, dessen GRE-Protokoll von manchen NATs nicht gemocht wurde, ist L2TP über IPsec in UDP-Paketen verborgen. Dies erleichtert die Durchquerung von NATs als die von GRE-basierten VPNs.
Nachteile:
- Geringere Leistung: L2TP kapselt Ihre Daten zweimal (L2TP + IPsec). Dies erhöht den Overhead. Insbesondere kapselt L2TP über IPsec Daten in zwei Headern und führt zudem zwei Prüfsummenebenen durch. Dies kann es langsamer machen als neuere Protokolle wie WireGuard oder sogar einfaches IPsec. Die doppelte Kapselung kann den Durchsatz reduzieren und die Latenz leicht erhöhen. Da L2TP häufig über UDP läuft und keine Mechanismen wie die Überlastungskontrolle von TCP bietet (der interne Datenverkehr kann jedoch TCP sein), kann es in instabilen Netzwerken manchmal langsamer sein.
- Firewall-Hürden in manchen Fällen: Obwohl sie im Allgemeinen in Ordnung sind, können einige strenge Firewalls UDP 4500/500 blockieren, was L2TP/IPsec unterbricht. Wenn mehrere Benutzer hinter demselben NAT versuchen, sich mit L2TP/IPsec mit demselben VPN-Server zu verbinden, gab es bei einigen älteren Implementierungen Probleme (dies ist eher ein IPsec-IKE-Problem, das viele gelöst haben, aber historisch gesehen ein Problem war).
- Fehlende Funktionen: L2TP ist relativ alt (es wurde 1999 standardisiert). Es bietet nicht die Agilität und Funktionen moderner VPN-Protokolle. Beispielsweise passt es die Verschlüsselung nicht dynamisch an (über das hinaus, was IPsec aushandelt) und verfügt nicht über integrierte Mechanismen zum Überwinden von Web-Proxys oder Ähnlichem (wie SSTP oder OpenVPN). Es funktioniert im Grunde entweder oder nicht, ohne nennenswerte Ausweichmöglichkeiten.
- Mögliche Blockierung durch VPN-Filter: Im Gegensatz zu TLS, das sich als normaler Webverkehr tarnen kann, verfügt L2TP/IPsec über identifizierbare Signaturen (UDP 500/4500 usw.). Einige Netzwerke oder Länder, die VPNs blockieren wollen, zielen auf IPsec und L2TP ab. Sie erlauben möglicherweise HTTPS (damit SSL-VPN durchkommt), blockieren aber bekannte VPN-Protokolle. Daher kann L2TP in Angriffsszenarien leichter zu blockieren sein.
- Keine Verschlüsselung allein: L2TP allein (ohne IPsec) ist nicht sicher. Es wird jedoch fast nie allein verwendet, außer in bestimmten Szenarien (z. B. über bereits sichere Netzwerke). Man könnte sagen, das ist kein Nachteil, da niemand L2TP ohne IPsec für Internet-VPN nutzt. Bemerkenswert ist jedoch, dass es auf die Kopplung mit IPsec angewiesen ist.
- Etwas veraltet: Viele VPN-Anbieter und Unternehmen ersetzen L2TP/IPsec schrittweise durch IKEv2 oder OpenVPN/WireGuard. Microsoft beispielsweise tendiert zu IKEv2 für Client-VPN unter modernen Windows-Betriebssystemen. L2TP funktioniert zwar noch, gilt aber nicht als „topaktuell“ – es ist mittlerweile eher eine Kompatibilitäts- oder Legacy-Option. Einige Berichte wiesen beispielsweise darauf hin, dass L2TP/IPsec durch eine schlechte Konfiguration geschwächt werden könnte (z. B. durch Standardeinstellungen mit schwächeren Verschlüsselungen oder Pre-Shared Keys, die bei unzureichender Stärke mit Brute-Force-Methoden geknackt werden könnten).
Beste Anwendungsfälle: L2TP/IPsec-VPNs eignen sich, wenn Sie ein standardbasiertes, weitgehend kompatibles VPN benötigen und keine zusätzliche Software installieren möchten. Anwendungsfälle sind beispielsweise:
- Fernzugriff für kleine Büros: Kleine Unternehmen ohne Budget für anspruchsvolle VPN-Lösungen können einen einfachen L2TP/IPsec-Server (viele Router und NAS-Geräte unterstützen diesen) nutzen, um ihren Mitarbeitern die Verbindung zu ermöglichen. Die Mitarbeiter können den integrierten VPN-Client ihres Betriebssystems nutzen. Dieser bietet ausreichend Sicherheit für den Zugriff auf Dateien oder interne Systeme.
- Gerätekompatibilität: Angenommen, Sie haben Geräte, die nur L2TP/IPsec unterstützen (ältere Geräte oder bestimmte IoT-Gateways). Durch die Verwendung von L2TP wird sichergestellt, dass sich alle Geräte mit demselben VPN-Server verbinden können. Beispielsweise unterstützten ältere Android-Versionen standardmäßig PPTP und L2TP/IPsec, aber nicht OpenVPN.
- Als VPN-Backup-Option: Unternehmen können primär eine neuere VPN-Technologie nutzen, L2TP/IPsec aber als Fallback für Geräte bereitstellen, die die primäre VPN-Technologie nicht nutzen können (oder falls diese ausfällt). Da L2TP/IPsec in alle Betriebssysteme integriert ist, ist es ein praktisches Backup.
- Site-to-Site, wo Verschlüsselungsflexibilität gefragt ist: Möchte ein Unternehmen Niederlassungen verbinden und möglicherweise Nicht-IP-Datenverkehr abwickeln oder doppelte Verschlüsselung nutzen, könnte es L2TP mit IPsec nutzen. Dies ist jedoch eine Nische – üblicherweise wird IPsec allein oder GRE über IPsec verwendet. L2TP kann jedoch auch in Szenarien eingesetzt werden, die eine zusätzliche Schicht erfordern (z. B. L2TP innerhalb eines IPsec-Tunnels zur Verbindung zweier LANs und deren Überbrückung).
- Bildungs- oder Labor-Setups: Manchmal wird L2TP/IPsec in Lehrbüchern oder Kursen als Beispiel für VPN-Konzepte verwendet (aufgrund seines zweischichtigen Aufbaus veranschaulicht es den Vergleich von Tunneling und Verschlüsselung gut). Daher kann es in Laborszenarien vorkommen.
Beispiele:
- Microsoft Windows Server verfügt über eine Rolle für den „Routing and Remote Access Service (RRAS)“, der L2TP/IPsec-VPN-Clients akzeptieren kann. Viele Unternehmen nutzten diese Funktion in den 2000er und 2010er Jahren, um Windows-Laptops ohne zusätzliche Software per VPN (einfach über den integrierten Windows-VPN-Client) eine Verbindung zu ermöglichen. Dies ist ein Beispiel für eine typische L2TP/IPsec-Bereitstellung.
- Cisco-Router (wie die ältere Cisco 2800-Serie oder jetzt ISR) können als L2TP/IPsec-Server für den Fernzugriff fungieren. Cisco QuickVPN (älterer Client) oder der integrierte Windows-Client stellen die Verbindung zum Router über L2TP/IPsec her.
- SoftEther VPN (ein Open-Source-Multiprotokoll-VPN-Server) kann L2TP/IPsec-Verbindungen von Geräten akzeptieren und gleichzeitig andere Protokolle unterstützen. Dies zeigt, warum es oft als eine von vielen Optionen angeboten wird.
- Viele moderne VPN-Dienste (die kommerziellen) bieten L2TP/IPsec in ihren Apps nicht mehr als primäres Protokoll an (bevorzugt OpenVPN oder WireGuard), erlauben aber manchmal die manuelle Einrichtung von L2TP/IPsec als Fallback. NordVPN beispielsweise unterstützt L2TP in seinen Apps nicht, stellte aber früher manuelle Einrichtungsanleitungen zur Verfügung (die jedoch mittlerweile auslaufen). NordVPN weist darauf hin, dass L2TP zwar auf vielen Systemen verfügbar, aber bei unzureichender Konfiguration nicht besonders sicher ist.
- Ein interessanter Anwendungsfall: Bevor es OpenVPN-Apps für Smartphones gab, richtete man, wenn man sein Handy mit dem Heimnetzwerk verbinden wollte, oft L2TP/IPsec auf dem Heimrouter (z. B. einem pfSense oder einem kleinen VPN-Server) ein, sodass das iPhone über das integrierte VPN eine Verbindung zum Heimnetzwerk herstellen und beispielsweise Heimmedien streamen oder auf private Inhalte zugreifen konnte. Das war einfach praktisch, da keine zusätzliche App erforderlich war.
Zusammenfassend lässt sich sagen, dass L2TP an sich nur eine Tunnelmethode ist (man stelle es sich als die Röhre vor, durch die die Daten laufen), und IPsec ist das Schloss, das diese Röhre sichert. Zusammen waren L2TP/IPsec viele Jahre lang ein wichtiger Bestandteil von VPNs. Es ist zwar nicht das schnellste oder schickste VPN, aber es erfüllt seinen Zweck und wird fast überall unterstützt. Wenn Sie auf einem Gerät einen VPN-Konfigurationsbildschirm sehen, ist die Wahrscheinlichkeit hoch, dass dort „L2TP/IPsec“ als Option aufgeführt ist, was für seine Allgegenwärtigkeit spricht.
Auswahl des richtigen VPN-Typs
Wie finden Sie bei der großen Auswahl an VPN-Typen das passende für Ihre Bedürfnisse? Letztendlich hängt es von Ihrem Anwendungsfall, Ihrer Umgebung und Ihren Prioritäten ab. Hier ist eine kurze Checkliste, die Ihnen die Entscheidung erleichtert:
Müssen Sie sich von zu Hause aus mit einem Firmennetzwerk verbinden (und sind Sie Mitarbeiter oder Student)?
Verwenden Sie ein Remote Access VPN – So kann Ihr Gerät sicher auf das private Netzwerk zugreifen. Beispiel: Mitarbeiter, die von zu Hause aus arbeiten, sollten das Remote Access VPN des Unternehmens nutzen, um auf Dateiserver und interne Standorte zuzugreifen.
Möchten Sie ganze Firmennetzwerke standortübergreifend zusammenführen oder verbinden?
Verwenden Sie ein Site-to-Site VPN – Ideal für die Erstellung eines einheitlichen Netzwerks aus mehreren Büros. Dieses wird auf Routern/Firewalls konfiguriert, nicht auf einzelnen PCs. Beispiel: Verbinden Sie Zweigstellen mit der Zentrale, damit alle das Intranet gemeinsam nutzen können.
Sind Sie vor allem auf Online-Datenschutz, Streaming oder die Umgehung von Zensur bedacht?
Verwenden Sie ein persönliches VPN – Melden Sie sich bei einem seriösen VPN-Dienst für Privatkunden an. Dieser verschlüsselt Ihren Internetverkehr und maskiert Ihre IP-Adresse, ohne Ihnen Zugriff auf private Firmennetzwerke zu gewähren (die Sie wahrscheinlich nicht benötigen). Beispiel: Nutzen Sie ein persönliches VPN wie ExpressVPN auf Ihrem Laptop und Smartphone, um sicher in öffentlichen WLANs zu surfen und auf geografisch gesperrte Inhalte zuzugreifen.
Wechseln die VPN-Nutzer häufig das Netzwerk oder sind sie unterwegs (Fahrzeuge, Außendienst)?
Erwägen Sie ein mobiles VPN – Stellen Sie sicher, dass die Lösung nahtloses Roaming unterstützt (z. B. ein IKEv2-basiertes VPN oder einen speziellen mobilen VPN-Client). Beispiel: Eine Polizeidienststelle stattet Streifenwagen mit Laptops aus und setzt eine mobile VPN-Lösung ein, damit die Beamten auch während der Fahrt verbunden bleiben.
Befindet sich Ihre Infrastruktur hauptsächlich in der Cloud oder bevorzugen Sie das Outsourcing der VPN-Infrastruktur?
Wählen Sie ein Cloud-VPN – Nutzen Sie entweder den VPN-Dienst Ihres Cloud-Anbieters oder einen Cloud-VPN-Anbieter. Dies reduziert die Hardware vor Ort und verbessert den Zugriff für verteilte Mitarbeiter. Beispiel: Ein Startup, dessen Server ausschließlich auf AWS laufen, könnte AWS Client VPN nutzen, um Teammitgliedern von überall aus sicheren Zugriff auf Cloud-Ressourcen zu ermöglichen.
Benötigen Sie ein dediziertes Gerät für hohe Leistung oder eine große Anzahl von VPN-Verbindungen?
Setzen Sie eine Hardware-VPN-Appliance ein – ideal für mittlere bis große Unternehmen, die eine robuste, ständig verfügbare Konnektivität benötigen und in spezielle Hardware investieren können. Beispiel: Eine Unternehmenszentrale könnte eine Cisco- oder Palo Alto-VPN-Appliance installieren, um Tausende von VPN-Verbindungen von Mitarbeitern und Standorten zuverlässig zu verwalten.
Gewähren Sie Partnern oder Auftragnehmern eingeschränkten Zugriff über VPN oder müssen Sie Firewalls problemlos umgehen können?
Erwägen Sie die Nutzung eines SSL-VPN – dieses ermöglicht webbasierten Zugriff und vermeidet komplexe Client-Setups. Es ist ideal, wenn Benutzer verschiedene Geräte oder Netzwerke nutzen. Beispiel: Geben Sie einem Lieferanten anstelle eines vollständigen Netzwerk-VPNs die Möglichkeit, sich für ein SSL-VPN-Portal anzumelden, um Inventardaten Ihres internen Systems einzusehen.
Ist die garantierte Netzwerkleistung zwischen den Standorten oberste Priorität und ist das Budget vorhanden?
Verwenden Sie ein MPLS-VPN (Provider-VPN) – Entscheiden Sie sich für einen MPLS-VPN-Dienst eines Anbieters, wenn Sie stabile Verbindungen mit geringer Latenz (für Sprache, Video oder kritische Daten) benötigen und bereit sind, dafür zu zahlen. Beispiel: Ein Krankenhaussystem verbindet seine Krankenhäuser und Kliniken über ein MPLS-VPN, um sicherzustellen, dass medizinische Anwendungsdaten und VoIP-Anrufe stets die Servicequalität gewährleisten.
Benötigen Sie ein VPN, das standardmäßig auf den meisten Geräten unterstützt wird, ohne dass Apps installiert werden müssen?
Verwenden Sie L2TP/IPsec (oder IKEv2 IPsec) – Diese Protokolle sind in die wichtigsten Betriebssystemplattformen integriert. Obwohl sie etwas älter sind, können sie die Kompatibilität verbessern. Beispiel: Ein kleines Unternehmen richtet einen L2TP/IPsec-Server ein, damit Mitarbeiter die integrierte VPN-Einstellung ihrer iPhones und Windows-Laptops nutzen können, ohne eine neue App installieren zu müssen.
Ist moderne Sicherheit und Leistung für den Fernzugriff wichtig (und Sie sind mit der Verwendung eigener Apps einverstanden)?
Verwenden Sie moderne Protokolle wie OpenVPN oder WireGuard (nicht in der ursprünglichen Liste aufgeführt, aber im Kontext erwähnenswert). Dies sind zwar keine VPN-Typen im eigentlichen Sinne, aber die Protokollwahl ist für den Fernzugriff und private VPNs wichtig. Beispielsweise bieten viele private VPN-Dienste WireGuard aufgrund seiner Geschwindigkeit an. Wenn Sie ein neues VPN für Mitarbeiter einführen und alle Geräte es unterstützen, könnte WireGuard (ein schnelles, schlankes Protokoll) eine gute Wahl für eine VPN-Lösung für den Fernzugriff gegenüber dem herkömmlichen L2TP sein.
In vielen Fällen empfiehlt es sich, VPN-Typen zu kombinieren. Ein großes Unternehmen könnte beispielsweise MPLS VPN für die Konnektivität seiner Kernstandorte nutzen, aber auch ein Remote Access SSL VPN für mobile Mitarbeiter und möglicherweise sogar Hardware-VPN-Geräte an jedem Standort einrichten, um je nach Bedarf sowohl Standort-VPN als auch Remote-VPN zu nutzen. Entscheidend ist, den VPN-Typ an das zu lösende Problem anzupassen:
- Verbindungsumfang: einzelner Benutzer vs. gesamtes Netzwerk.
- Umgebung: On-Premises vs. Cloud vs. Hybrid.
- Mobilität: stationäre vs. mobile Benutzer.
- Leistung vs. Kosten: MPLS, wenn Leistung entscheidend ist und das Budget vorhanden ist; internetbasiertes VPN, wenn Kosteneinsparungen wichtiger sind.
- Client-Überlegungen: Können Sie Software installieren oder nicht? (Wenn nicht, bevorzugen Sie integrierte oder SSL-Portallösungen.)
- Sicherheitsstufe: Alle aufgeführten VPNs bieten Sicherheit. Wenn Sie jedoch zusätzliche Sicherheit oder Compliance benötigen, können Sie Technologien überlagern (z. B. IPsec mit starker Authentifizierung oder MPLS plus eigene Verschlüsselung usw.).
Denken Sie schließlich immer an Verwaltung und Wartung. VPNs erfordern Wartung: Verwaltung von Benutzerkonten oder Schlüsseln, Aktualisierung von Geräten oder Software sowie Überwachung auf Probleme. Eine Lösung wie Cloud-VPN oder eine gut unterstützte Hardware-Appliance kann den manuellen Aufwand reduzieren, während DIY-Lösungen (wie der Betrieb eines eigenen OpenVPN-Servers) mehr Kontrolle bieten, aber mehr manuelles Management erfordern.
Vergleich der VPN-Typen auf einen Blick
VPN-Typ | Zweck | Am besten für | Verschlüsselung | Protokoll(e) |
---|---|---|---|---|
Remote-Zugriff-VPN | Verbindet einzelne Benutzer mit einem privaten Netzwerk. | Telearbeiter, reisende Mitarbeiter, Fernarbeit. | IPsec, SSL/TLS | IPsec, SSL/TLS |
Site-to-Site-VPN | Verbindet ganze Netzwerke zwischen verschiedenen Standorten. | Sichere Verbindung mehrerer Büronetzwerke. | IPsec (normalerweise) | IPsec, GRE, MPLS |
Persönliches VPN | Verschlüsselt den persönlichen Datenverkehr und maskiert die IP zum Schutz der Privatsphäre. | Online-Datenschutz, Umgehung von Geobeschränkungen, öffentliches WLAN. | IPsec, WireGuard | OpenVPN, IKEv2, WireGuard |
Mobile-VPN | Sorgt für eine stabile Verbindung, wenn Benutzer zwischen Netzwerken wechseln. | Außendienstmitarbeiter, Geräte mit zeitweiliger Konnektivität. | IPsec, IKEv2, proprietäre Protokolle | IKEv2, IPsec, proprietär |
Cloud -PN | Sichert den Zugriff auf Cloud-basierte Ressourcen und Netzwerke. | Sichere Verbindung zur Cloud-Infrastruktur. | IPsec, SSL/TLS | IPsec, SSL/TLS |
Hardware-VPN | Dediziertes physisches Gerät zur Handhabung von VPN-Funktionen. | Große Unternehmen, die dedizierte VPN-Hardware benötigen. | Variiert je nach Gerät, verwendet oft IPsec | Proprietär (Cisco, Palo Alto, Fortinet) |
SSL-VPN | Verwendet SSL/TLS-Verschlüsselung für sicheren Webzugriff. | Ermöglicht den Fernzugriff über Webbrowser, kein Client erforderlich. | SSL/TLS | SSL/TLS |
MPLS-VPN | Bietet sichere, zuverlässige private Netzwerkverbindungen über einen Träger. | Unternehmen, die zuverlässige und leistungsstarke Site-to-Site-Links benötigen. | Nicht von Haus aus verschlüsselt, aber sicher beim Anbieter | MPLS |
L2TP-VPN | Tunnelt Daten über ein Netzwerk, gepaart mit IPsec zur Sicherheit. | Geräteübergreifende Kompatibilität, grundlegende Sicherheit. | IPsec (normalerweise) | L2TP/IPsec |
Wenn Sie diese VPN-Typen und ihre Stärken kennen, können Sie das passende VPN für Ihre Anforderungen auswählen – egal, ob Sie die Verbindung eines einzelnen Benutzers in einem öffentlichen WLAN sichern oder das Netzwerk eines globalen Unternehmens miteinander verbinden möchten. Jeder Typ spielt eine bestimmte Rolle in der VPN-Landschaft. Die Kenntnis der Unterschiede hilft Ihnen dabei, das richtige Tool für Ihre Aufgabe einzusetzen.
FAQs: VPN-Typen verstehen
Ein Remote Access VPN ermöglicht einzelnen Nutzern die sichere Verbindung mit einem privaten Netzwerk von einem entfernten Standort aus. Es wird häufig von Telearbeitern oder Mitarbeitern auf Reisen genutzt.
Ein Site-to-Site VPN verbindet ganze Netzwerke (z. B. zwei Büro-LANs) sicher über das Internet, sodass verschiedene Bürostandorte als Teil desselben privaten Netzwerks fungieren können. Es ist ideal für Unternehmen mit mehreren Büros oder Niederlassungen.
Kann ich ein persönliches VPN für geschäftliche Zwecke nutzen?
Persönliche VPNs sind zwar in erster Linie für den privaten Gebrauch konzipiert (z. B. zum Schutz des Surfens oder zum Umgehen von geografischen Beschränkungen), können aber auch von kleinen Unternehmen oder Freiberuflern eingesetzt werden, die beim Zugriff auf öffentliches WLAN Wert auf Privatsphäre und Sicherheit legen. Für größere Unternehmen oder die Sicherheit auf Unternehmensebene ist jedoch ein Remote Access VPN oder Site-to-Site VPN aufgrund robusterer Funktionen und besserer Netzwerkkontrolle die bessere Wahl.
Wie funktioniert ein Cloud VPN?
Ein Cloud VPN verbindet Nutzer oder ganze Netzwerke sicher mit Cloud-basierten Ressourcen. Anstatt auf herkömmliche VPN-Server vor Ort zurückzugreifen, nutzt ein Cloud-VPN die Infrastruktur eines Drittanbieters (z. B. AWS, Azure oder Google Cloud), um Daten sicher zu routen. Dies ist besonders nützlich für Unternehmen mit Cloud-basierter Infrastruktur oder einer verteilten Belegschaft, die sicheren Zugriff auf Cloud-Ressourcen von jedem Standort aus benötigen.
Unterscheidet sich ein Mobile VPN von einem regulären VPN?
Ja, ein Mobile VPN ist speziell darauf ausgelegt, eine stabile und sichere Verbindung aufrechtzuerhalten, wenn Nutzer zwischen verschiedenen Netzwerken wechseln (z. B. von WLAN zu Mobilfunkdaten). Es ist ideal für mobile Mitarbeiter oder alle, die ein Gerät in einer sich ständig ändernden Netzwerkumgebung verwenden. Reguläre VPNs, wie z. B. Remote Access VPNs, halten die Verbindung beim Netzwerkwechsel möglicherweise nicht so reibungslos aufrecht.
Welcher VPN-Typ eignet sich am besten für Streaming-Inhalte?
Für Streaming-Zwecke ist ein persönliches VPN in der Regel die beste Wahl, da es Nutzern den Zugriff auf regional gesperrte Inhalte ermöglicht, indem es ihre IP-Adresse maskiert und so wirkt, als befänden sie sich an einem anderen Ort. Viele VPN-Dienste bieten für Streaming optimierte Server an. Achten Sie jedoch darauf, einen Anbieter mit hohen Geschwindigkeiten zu wählen, um Pufferungen zu vermeiden.
Ist L2TP/IPsec sicher?
Ja, L2TP/IPsec gilt in Kombination mit IPsec zur Verschlüsselung als sicher. L2TP allein bietet keine Verschlüsselung, wird aber häufig mit IPsec kombiniert, um die Verbindung zu sichern. Diese Kombination bietet hohe Sicherheit, neuere VPN-Protokolle wie OpenVPN oder WireGuard bieten jedoch möglicherweise eine bessere Leistung und erweiterte Funktionen.
Wie unterscheidet sich MPLS VPN von einem herkömmlichen VPN?
Ein MPLS VPN ist ein privater Netzwerkdienst eines Netzbetreibers, der die Multi-Protocol Label Switching (MPLS)-Technologie nutzt, um den Datenverkehr zwischen verschiedenen Standorten hochsicher und zuverlässig zu leiten. Im Gegensatz zu herkömmlichen internetbasierten VPNs sind MPLS VPNs nicht auf das öffentliche Internet angewiesen, sondern laufen über ein dediziertes, verwaltetes Netzwerk des Telekommunikationsunternehmens. Sie werden häufig von großen Unternehmen für sichere und leistungsstarke Standortverbindungen genutzt.
Kann ich ein VPN ohne technische Kenntnisse einrichten?
Ja, viele kommerzielle VPN-Dienste bieten benutzerfreundliche Apps, die keine technische Einrichtung erfordern. Diese Apps bieten in der Regel Verbindungen per Mausklick und automatische Serverauswahl, sodass sie für jedermann einfach zu bedienen sind. Für komplexere Konfigurationen (wie Site-to-Site-VPN oder Cloud-VPN) sind möglicherweise technische Kenntnisse erforderlich. Viele VPN-Anbieter bieten jedoch Tutorials oder Kundensupport an, die Sie durch den Prozess führen.
Kann SSL-VPN Firewalls umgehen?
Ja, SSL-VPNs werden häufig verwendet, um Firewalls zu umgehen, da sie HTTPS (Port 443) verwenden, das bei den meisten Firewalls für normalen Webverkehr geöffnet ist. Dies erleichtert Nutzern die Verbindung zu ihren Netzwerken, selbst wenn sie sich hinter restriktiven Firewalls oder Proxys befinden. Einige Firewalls können jedoch erkannten SSL-VPN-Verkehr blockieren. Daher ist es wichtig, ein VPN zu wählen, das effektiv mit Ihrer spezifischen Netzwerkkonfiguration funktioniert.
Welcher VPN-Typ eignet sich am besten für kleine Unternehmen?
Für kleine Unternehmen ist ein Remote Access VPN in der Regel die beste Wahl, insbesondere wenn Mitarbeiter von verschiedenen Standorten aus sicheren Zugriff auf Unternehmensressourcen benötigen. Diese VPNs sind einfach einzurichten, kostengünstig und bieten eine starke Verschlüsselung zum Schutz von Geschäftsdaten. Wenn Ihr Unternehmen über mehrere physische Standorte verfügt, ist möglicherweise ein Site-to-Site-VPN erforderlich, um die Netzwerke zwischen den verschiedenen Büros sicher zu verbinden.