Ein VPN (Virtual Private Network) stellt eine sichere, verschlüsselte Verbindung über ein unsicheres Netzwerk (z. B. Internet) her.
Daten werden verschlüsselt, authentifiziert und vor Manipulation geschützt.

VPNs verbinden:

• Heim ↔ Firma
• Standort ↔ Standort
• Server ↔ Server
• Mobile Geräte ↔ Unternehmensnetz

• verschlüsselte Kommunikation
• Zugriff auf interne Ressourcen
• Schutz im öffentlichen WLAN
• sichere Standortvernetzung
• Grundlage vieler modernen Zero-Trust-Architekturen

Standorte werden dauerhaft verbunden.

 Büro A ⇄ Internet ⇄ Büro B

Einzelne Clients verbinden sich ins Firmennetz.

 Notebook → VPN → Firma

• IPsec
• OpenVPN
• WireGuard

IPsec (IP Security) ist ein Netzwerkprotokoll auf Layer 3.

Verwendet in:

• OPNsense
• pfSense
• Cisco Firewalls
• Unternehmensroutern
• Site-to-Site VPNs

• sehr sicher
• läuft im Kernel
• komplex einzurichten
• ideal für Standortvernetzung
• unterstützt Hardware-Offloading

• IKEv1 / IKEv2 – Schlüsselaustausch
• ESP – Verschlüsselter Datentransport
• AH – Authentisierung (selten)
• PFS – Perfect Forward Secrecy

• sehr sicher und erprobt
• Standard in Unternehmensnetzen
• extrem gut für Standort-VPNs

• komplex zu konfigurieren
• NAT kann Probleme verursachen
• Debugging schwierig

OpenVPN ist ein TLS-basiertes VPN, arbeitet üblicherweise auf Layer 3,
kann aber auch Layer 2 (TAP) transportieren.

Typisch in privaten & kommerziellen Umgebungen:

• Linux
• Windows
• pfSense/OPNsense
• OpenVPN Access Server

• basiert auf TLS/SSL
• Ports frei wählbar (UDP empfohlen)
• sehr flexibel
• stabil hinter NAT
• viele Auth-Methoden (Passwort, Zertifikat, MFA)

• 1194/UDP

  • oder jeder andere Port, z. B. 443/TCP (zum Tarnen als HTTPS)

• sehr stabil
• flexibel
• funktioniert fast überall
• gute Logs

• langsamer als WireGuard
• komplizierter als WG
• Konfiguration oft umfangreich

WireGuard ist das jüngste VPN-Protokoll und basiert auf modernen Kryptoverfahren.

Merkmale:

• extrem schnell
• extrem einfach
• sehr sicher
• minimaler Code → weniger Angriffsfläche
• Kernelmodul für hohe Performance

• Standard: 51820/UDP

WireGuard arbeitet wie ein verschlüsselter Peer-to-Peer Tunnel.

Jeder Peer hat:

• privaten Schlüssel
• öffentlichen Schlüssel
• AllowedIPs (der Traffic, der durch den Tunnel geht)

Client:

 [Interface]
 PrivateKey = xxx
 Address = 10.0.0.2/24

 [Peer]
 PublicKey = yyy
 Endpoint = vpn.example.com:51820
 AllowedIPs = 0.0.0.0/0

Server:

 [Interface]
 PrivateKey = yyy
 Address = 10.0.0.1/24
 ListenPort = 51820

 [Peer]
 PublicKey = xxx
 AllowedIPs = 10.0.0.2/32

• extrem schnell
• extrem einfach
• leicht zu debuggen
• hohe Sicherheit

• kein integrierter Nutzer-/Zertifikatsmechanismus
• kein Layer-2-Modus
• AllowedIPs müssen sauber gepflegt werden

IPsec:

• Standortvernetzung
• Firewalls (OPNsense, Cisco, FortiGate)
• MPLS-/VPN-Ersatz

OpenVPN:

• Firmen-Remotezugriff
• Linux-Server
• überall, wo Zertifikate wichtig sind

WireGuard:

• Mobilgeräte
• kleine bis mittlere Firmen
• Hochleistungs-VPNs
• Docker-Hosts / Container-Netzwerke
• Heimnetzwerke

Pflichtregeln:

• starke Verschlüsselung
• sauberes Schlüsselmanagement
• NAT-Traversal klar konfigurieren
• Firewalls restriktiv halten
• Logging aktiv
• MFA-authentifizierte Zugänge

• VPNs bauen verschlüsselte Tunnel über das Internet
• IPsec → Klassiker, sehr sicher, aber komplex
• OpenVPN → flexibel, stabil, TLS-basiert
• WireGuard → modern, extrem schnell, einfach
• Remote Access vs Site-to-Site unterscheiden
• alle 3 Protokolle haben ihren Platz in modernen Netzen