Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- it-themen:grundlagen:netzwerkdienste:vpn [03.12.2025 16:13] – [Vorteile] lars
+++ it-themen:grundlagen:netzwerkdienste:vpn [03.12.2025 16:23] (aktuell) – [Zusammenfassung] lars
@@ Zeile 110: / Zeile 110: @@
 ==== Nachteile ====
   * komplex zu konfigurieren
   * NAT kann Probleme verursachen
   * Debugging schwierig
 ---
@@ Zeile 122: / Zeile 123: @@
 Typisch in privaten & kommerziellen Umgebungen:
   * Linux
   * Windows
   * pfSense/OPNsense
   * OpenVPN Access Server
 ==== Merkmale ====
   * basiert auf TLS/SSL
   * Ports frei wählbar (UDP empfohlen)
   * sehr flexibel
   * stabil hinter NAT
   * viele Auth-Methoden (Passwort, Zertifikat, MFA)
 ==== Standard-Ports ====
@@ Zeile 140: / Zeile 141: @@
   * oder jeder andere Port, z. B. 443/TCP (zum Tarnen als HTTPS)
-ASCII:
-<code>
-Client → TLS → OpenVPN-Server → internes Netz
+<a2s>
-</code>
+Client --> TLS --> OpenVPN-Server --> internes Netz
+</a2s>
 ==== Vorteile ====
   * sehr stabil
   * flexibel
   * funktioniert fast überall
   * gute Logs
 ==== Nachteile ====
   * langsamer als WireGuard
   * komplizierter als WG
   * Konfiguration oft umfangreich
 ---
@@ Zeile 166: / Zeile 168: @@
 Merkmale:
   * extrem schnell
   * extrem einfach
   * sehr sicher
   * minimaler Code → weniger Angriffsfläche
   * Kernelmodul für hohe Performance
 ==== Ports ====
@@ Zeile 181: / Zeile 183: @@
 Jeder Peer hat:
   * privaten Schlüssel
   * öffentlichen Schlüssel
   * AllowedIPs (der Traffic, der durch den Tunnel geht)
-ASCII:
-<code>
+<a2s>
 Peer A <---- WireGuard (UDP) ----> Peer B
-</code>
+</a2s>
 ==== Beispielkonfiguration (Minimal) ====
 Client:
-<code>
+<code conf>
-[Interface]
-PrivateKey = xxx
+ [Interface]
-Address = 10.0.0.2/24
+ PrivateKey = xxx
+ Address = 10.0.0.2/24
+ [Peer]
+ PublicKey = yyy
+ Endpoint = vpn.example.com:51820
+ AllowedIPs = 0.0.0.0/0
-[Peer]
-PublicKey = yyy
-Endpoint = vpn.example.com:51820
-AllowedIPs = 0.0.0.0/0
 </code>
 Server:
-<code>
+<code conf>
-[Interface]
-PrivateKey = yyy
+ [Interface]
-Address = 10.0.0.1/24
+ PrivateKey = yyy
-ListenPort = 51820
+ Address = 10.0.0.1/24
+ ListenPort = 51820
+ [Peer]
+ PublicKey = xxx
+ AllowedIPs = 10.0.0.2/32
-[Peer]
-PublicKey = xxx
-AllowedIPs = 10.0.0.2/32
 </code>
 ==== Vorteile ====
   * extrem schnell
   * extrem einfach
   * leicht zu debuggen
   * hohe Sicherheit
 ==== Nachteile ====
   * kein integrierter Nutzer-/Zertifikatsmechanismus
   * kein Layer-2-Modus
   * AllowedIPs müssen sauber gepflegt werden
 ---
@@ Zeile 234: / Zeile 243: @@
 ====== Vergleich – IPsec vs OpenVPN vs WireGuard ======
-| Feature | IPsec | OpenVPN | WireGuard |
+^ Feature ^ IPsec ^ OpenVPN ^ WireGuard ^
-|---------|--------|----------|------------|
 | Geschwindigkeit | gut | mittel | sehr hoch |
 | NAT-Kompatibilität | mittel | sehr gut | sehr gut |
@@ Zeile 242: / Zeile 250: @@
 | Geeignet für | Standorte | Remote Access | alles, besonders Mobilgeräte |
 | Ports | UDP 500/4500 | 1194/UDP | 51820/UDP |
 ---
@@ Zeile 248: / Zeile 257: @@
 **IPsec:**
   * Standortvernetzung
   * Firewalls (OPNsense, Cisco, FortiGate)
   * MPLS-/VPN-Ersatz
 **OpenVPN:**
   * Firmen-Remotezugriff
   * Linux-Server
   * überall, wo Zertifikate wichtig sind
 **WireGuard:**
   * Mobilgeräte
   * kleine bis mittlere Firmen
   * Hochleistungs-VPNs
   * Docker-Hosts / Container-Netzwerke
   * Heimnetzwerke
 ---
@@ Zeile 270: / Zeile 280: @@
 Pflichtregeln:
   * starke Verschlüsselung
   * sauberes Schlüsselmanagement
   * NAT-Traversal klar konfigurieren
   * Firewalls restriktiv halten
   * Logging aktiv
   * MFA-authentifizierte Zugänge
 ---
@@ Zeile 281: / Zeile 292: @@
 ====== Zusammenfassung ======
   * VPNs bauen verschlüsselte Tunnel über das Internet
   * IPsec → Klassiker, sehr sicher, aber komplex
   * OpenVPN → flexibel, stabil, TLS-basiert
   * WireGuard → modern, extrem schnell, einfach
   * Remote Access vs Site-to-Site unterscheiden
   * alle 3 Protokolle haben ihren Platz in modernen Netzen