🖥️ Veni. Vidi. sudo rm -rf / vici.

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
it-themen:grundlagen:netzwerkdienste:vpn

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
it-themen:grundlagen:netzwerkdienste:vpn [03.12.2025 16:10] – [IPsec Betriebsmodi] larsit-themen:grundlagen:netzwerkdienste:vpn [03.12.2025 16:23] (aktuell) – [Zusammenfassung] lars
Zeile 79: Zeile 79:
 ==== IPsec Bausteine ==== ==== IPsec Bausteine ====
  
-  * **IKEv1 / IKEv2** – Schlüsselaustausch   +  * **IKEv1 / IKEv2** – Schlüsselaustausch 
-  * **ESP** – Verschlüsselter Datentransport   +  * **ESP** – Verschlüsselter Datentransport 
-  * **AH** – Authentisierung (selten)   +  * **AH** – Authentisierung (selten) 
-  * **PFS** – Perfect Forward Secrecy  +  * **PFS** – Perfect Forward Secrecy
  
 ==== IPsec Ports ==== ==== IPsec Ports ====
  
-Protokoll Port +Protokoll Port ^
-|------------|------|+
 | IKEv2 | UDP 500 | | IKEv2 | UDP 500 |
 | IPsec ESP | IP-Protokoll 50 | | IPsec ESP | IP-Protokoll 50 |
 | NAT-T (NAT Traversal) | UDP 4500 | | NAT-T (NAT Traversal) | UDP 4500 |
  
-ASCII: 
  
-<code+ 
-Client → UDP 500 ←→ Key Exchange   +<a2s> 
-Client → ESP (50) ←→ Datenverkehr   + 
-</code>+ Client --> UDP 500 <---> Key Exchange   
 + 
 + Client --> ESP (50) <---> Datenverkehr   
 + 
 + 
 +</a2s>
  
 ==== Vorteile ==== ==== Vorteile ====
  
-  * sehr sicher und erprobt   +  * sehr sicher und erprobt 
-  * Standard in Unternehmensnetzen   +  * Standard in Unternehmensnetzen 
-  * extrem gut für Standort-VPNs  +  * extrem gut für Standort-VPNs
  
 ==== Nachteile ==== ==== Nachteile ====
  
-  * komplex zu konfigurieren   +  * komplex zu konfigurieren 
-  * NAT kann Probleme verursachen   +  * NAT kann Probleme verursachen 
-  * Debugging schwierig  +  * Debugging schwierig 
  
 --- ---
Zeile 119: Zeile 123:
  
 Typisch in privaten & kommerziellen Umgebungen: Typisch in privaten & kommerziellen Umgebungen:
-  * Linux   +  * Linux 
-  * Windows   +  * Windows 
-  * pfSense/OPNsense   +  * pfSense/OPNsense 
-  * OpenVPN Access Server  +  * OpenVPN Access Server
  
 ==== Merkmale ==== ==== Merkmale ====
  
-  * basiert auf TLS/SSL   +  * basiert auf TLS/SSL 
-  * Ports frei wählbar (UDP empfohlen)   +  * Ports frei wählbar (UDP empfohlen) 
-  * sehr flexibel   +  * sehr flexibel 
-  * stabil hinter NAT   +  * stabil hinter NAT 
-  * viele Auth-Methoden (Passwort, Zertifikat, MFA)  +  * viele Auth-Methoden (Passwort, Zertifikat, MFA)
  
 ==== Standard-Ports ==== ==== Standard-Ports ====
Zeile 137: Zeile 141:
   * oder jeder andere Port, z. B. 443/TCP (zum Tarnen als HTTPS)   * oder jeder andere Port, z. B. 443/TCP (zum Tarnen als HTTPS)
  
-ASCII: 
  
-<code+ 
-Client → TLS → OpenVPN-Server → internes Netz +<a2s
-</code>+Client --> TLS --> OpenVPN-Server --> internes Netz 
 +</a2s>
  
 ==== Vorteile ==== ==== Vorteile ====
  
-  * sehr stabil   +  * sehr stabil 
-  * flexibel   +  * flexibel 
-  * funktioniert fast überall   +  * funktioniert fast überall 
-  * gute Logs  +  * gute Logs
  
 ==== Nachteile ==== ==== Nachteile ====
  
-  * langsamer als WireGuard   +  * langsamer als WireGuard 
-  * komplizierter als WG   +  * komplizierter als WG 
-  * Konfiguration oft umfangreich  +  * Konfiguration oft umfangreich 
  
 --- ---
Zeile 163: Zeile 168:
  
 Merkmale: Merkmale:
-  * extrem schnell   +  * extrem schnell 
-  * extrem einfach   +  * extrem einfach 
-  * sehr sicher   +  * sehr sicher 
-  * minimaler Code → weniger Angriffsfläche   +  * minimaler Code → weniger Angriffsfläche 
-  * Kernelmodul für hohe Performance  +  * Kernelmodul für hohe Performance
  
 ==== Ports ==== ==== Ports ====
Zeile 178: Zeile 183:
  
 Jeder Peer hat: Jeder Peer hat:
-  * privaten Schlüssel   +  * privaten Schlüssel 
-  * öffentlichen Schlüssel  +  * öffentlichen Schlüssel
   * AllowedIPs (der Traffic, der durch den Tunnel geht)   * AllowedIPs (der Traffic, der durch den Tunnel geht)
  
-ASCII: 
  
-<code>+ 
 +<a2s>
 Peer A <---- WireGuard (UDP) ----> Peer B Peer A <---- WireGuard (UDP) ----> Peer B
-</code>+</a2s>
  
 ==== Beispielkonfiguration (Minimal) ==== ==== Beispielkonfiguration (Minimal) ====
  
 Client: Client:
-<code> +<code conf> 
-[Interface] + 
-PrivateKey = xxx + [Interface] 
-Address = 10.0.0.2/24+ PrivateKey = xxx 
 + Address = 10.0.0.2/24 
 + 
 + [Peer] 
 + PublicKey = yyy 
 + Endpoint = vpn.example.com:51820 
 + AllowedIPs = 0.0.0.0/0 
  
-[Peer] 
-PublicKey = yyy 
-Endpoint = vpn.example.com:51820 
-AllowedIPs = 0.0.0.0/0 
 </code> </code>
  
 Server: Server:
-<code> +<code conf> 
-[Interface] + 
-PrivateKey = yyy + [Interface] 
-Address = 10.0.0.1/24 + PrivateKey = yyy 
-ListenPort = 51820+ Address = 10.0.0.1/24 
 + ListenPort = 51820 
 + 
 + [Peer] 
 + PublicKey = xxx 
 + AllowedIPs = 10.0.0.2/32 
  
-[Peer] 
-PublicKey = xxx 
-AllowedIPs = 10.0.0.2/32 
 </code> </code>
  
 ==== Vorteile ==== ==== Vorteile ====
  
-  * extrem schnell   +  * extrem schnell 
-  * extrem einfach   +  * extrem einfach 
-  * leicht zu debuggen   +  * leicht zu debuggen 
-  * hohe Sicherheit  +  * hohe Sicherheit
  
 ==== Nachteile ==== ==== Nachteile ====
  
-  * kein integrierter Nutzer-/Zertifikatsmechanismus   +  * kein integrierter Nutzer-/Zertifikatsmechanismus 
-  * kein Layer-2-Modus   +  * kein Layer-2-Modus 
-  * AllowedIPs müssen sauber gepflegt werden  +  * AllowedIPs müssen sauber gepflegt werden 
  
 --- ---
Zeile 231: Zeile 243:
 ====== Vergleich – IPsec vs OpenVPN vs WireGuard ====== ====== Vergleich – IPsec vs OpenVPN vs WireGuard ======
  
-Feature IPsec OpenVPN WireGuard +Feature IPsec OpenVPN WireGuard ^
-|---------|--------|----------|------------|+
 | Geschwindigkeit | gut | mittel | sehr hoch | | Geschwindigkeit | gut | mittel | sehr hoch |
 | NAT-Kompatibilität | mittel | sehr gut | sehr gut | | NAT-Kompatibilität | mittel | sehr gut | sehr gut |
Zeile 239: Zeile 250:
 | Geeignet für | Standorte | Remote Access | alles, besonders Mobilgeräte | | Geeignet für | Standorte | Remote Access | alles, besonders Mobilgeräte |
 | Ports | UDP 500/4500 | 1194/UDP | 51820/UDP | | Ports | UDP 500/4500 | 1194/UDP | 51820/UDP |
 +
  
 --- ---
Zeile 245: Zeile 257:
  
 **IPsec:** **IPsec:**
-  * Standortvernetzung   +  * Standortvernetzung 
-  * Firewalls (OPNsense, Cisco, FortiGate)   +  * Firewalls (OPNsense, Cisco, FortiGate) 
-  * MPLS-/VPN-Ersatz  +  * MPLS-/VPN-Ersatz
  
 **OpenVPN:** **OpenVPN:**
-  * Firmen-Remotezugriff   +  * Firmen-Remotezugriff 
-  * Linux-Server   +  * Linux-Server 
-  * überall, wo Zertifikate wichtig sind  +  * überall, wo Zertifikate wichtig sind
  
 **WireGuard:** **WireGuard:**
-  * Mobilgeräte   +  * Mobilgeräte 
-  * kleine bis mittlere Firmen   +  * kleine bis mittlere Firmen 
-  * Hochleistungs-VPNs   +  * Hochleistungs-VPNs 
-  * Docker-Hosts / Container-Netzwerke   +  * Docker-Hosts / Container-Netzwerke 
-  * Heimnetzwerke  +  * Heimnetzwerke 
  
 --- ---
Zeile 267: Zeile 280:
 Pflichtregeln: Pflichtregeln:
  
-  * starke Verschlüsselung   +  * starke Verschlüsselung 
-  * sauberes Schlüsselmanagement   +  * sauberes Schlüsselmanagement 
-  * NAT-Traversal klar konfigurieren   +  * NAT-Traversal klar konfigurieren 
-  * Firewalls restriktiv halten   +  * Firewalls restriktiv halten 
-  * Logging aktiv   +  * Logging aktiv 
-  * MFA-authentifizierte Zugänge  +  * MFA-authentifizierte Zugänge 
  
 --- ---
Zeile 278: Zeile 292:
 ====== Zusammenfassung ====== ====== Zusammenfassung ======
  
-  * VPNs bauen verschlüsselte Tunnel über das Internet   +  * VPNs bauen verschlüsselte Tunnel über das Internet 
-  * IPsec → Klassiker, sehr sicher, aber komplex   +  * IPsec → Klassiker, sehr sicher, aber komplex 
-  * OpenVPN → flexibel, stabil, TLS-basiert   +  * OpenVPN → flexibel, stabil, TLS-basiert 
-  * WireGuard → modern, extrem schnell, einfach   +  * WireGuard → modern, extrem schnell, einfach 
-  * Remote Access vs Site-to-Site unterscheiden   +  * Remote Access vs Site-to-Site unterscheiden 
-  * alle 3 Protokolle haben ihren Platz in modernen Netzen  +  * alle 3 Protokolle haben ihren Platz in modernen Netzen
it-themen/grundlagen/netzwerkdienste/vpn.1764774605.txt.gz · Zuletzt geändert: von lars