Ein VPN (Virtual Private Network) baut einen geschützten, verschlüsselten Tunnel zwischen zwei Punkten auf – z. B. Home → Firma oder Endgerät → Server.

Diese Seite erklärt:

• Unterschiede der VPN-Protokolle
• Sicherheitsrisiken
• Firewallregeln
• Split-Tunneling
• Best Practices für sicheres VPN-Design

VPNs schützen Daten vor:

• Mitlesen (Public WLAN)
• Manipulation
• Geobasiertem Traffic-Abgriff
• Angriffen durch Provider oder öffentliche Netzwerke

Sie ermöglichen:

• sicheren Zugriff auf interne Systeme
• entfernte Administration
• Standortvernetzung (Site-to-Site)
• Zero-Trust-Konzepte

Eigenschaften:

• basiert auf modernen Kryptoverfahren (Curve25519, ChaCha20)
• minimaler Code → weniger Angriffsfläche
• extrem schnell, sehr stabil
• einfache Konfiguration (Public/Private Key)
• UDP-basiert (Standard: 51820/udp)

Sicherheit:

• state-of-the-art
• kaum Angriffsfläche
• empfohlen für neue Setups

Eigenschaften:

• TLS-basiert
• läuft über TCP oder UDP
• viele Optionen → flexibel, aber komplexer
• gut für Firmen und komplexe Umgebungen

Sicherheit:

• stark, wenn richtig konfiguriert
• komplex = Fehleranfällig
• gute Protokollreife

Eigenschaften:

• sehr robust
• Standard in Firewalls, Routern, Gateways
• ideal für Standortvernetzung

Sicherheit:

• hoch, aber schwerer zu konfigurieren
• benötigt oft besondere Firewallregeln
• alte Implementierungen können Schwachstellen haben

ASCII-Vergleich:

 WireGuard → modern, leicht
 OpenVPN  → bewährt, flexibel
 IPSec    → sehr robust, komplex

VPN ist kein Freifahrtschein für Sicherheit.
Typische Gefahren:

Wenn das Gerät infiziert ist, hilft keine Verschlüsselung.

Nur interner Traffic geht durch den Tunnel, der Rest direkt ins Internet.

Risiko:

• Angreifer kann durch lokales Netzwerk ins VPN springen
• besonders gefährlich bei Home-Office

Beispiele:

• VPN-Clients können sich gegenseitig sehen
• ungewollter Zugriff auf Server
• IPv6-Traffic nicht gefiltert
• kein DNS-Filter aktiv

• nur Passwort ohne MFA
• geteilte VPN-Keys
• altes TLS (OpenVPN)

• PPTP (veraltet, unsicher → nicht nutzen!)
  

  ---

• nur UDP 51820 öffnen
• kein Verkehr zwischen Clients (Client-Isolation)
• Regeln pro Peer definieren („AllowedIPs“)
• Logging aktivieren

• Port 1194/udp (oder TCP für Fallback)
• restriktives Client-to-Client-Routing
• TLS ≥ 1.2
• keine schwachen Cipher-Suites

• ESP-Protokoll erlauben
• UDP 500 & 4500 öffnen
• NAT-Traversal beachten

Nur Firmenverkehr durch VPN.

Vorteile:

• weniger Last auf VPN-Server
• schnelleres Internet

Nachteile:

• UNSICHERER: parallele Nutzung von zwei Netzen
• gefährlich bei infizierten Heimnetzen

Alles läuft durch VPN.

Vorteile:

• höchste Sicherheit
• volle Kontrolle über DNS/Traffic
• perfekt für Zero Trust

Nachteile:

• mehr Last auf VPN-Gateway

Empfehlung: → privat egal, → beruflich (Unternehmen) kein Split-Tunnel.

Empfohlen:

• MFA (z. B. FIDO2)
• individuelle Benutzerzertifikate
• starke Schlüssel (RSA 4096, ECC bevorzugt)
• kurze Schlüssel-Lebensdauer
• Passphrase für Private Keys
• kein Sharing von Keys

Überwachen:

• Verbindungsversuche
• fehlgeschlagene Logins
• ungewöhnliche Geo-IP
• Geräte mit altem Client
• hohe Datenübertragung (Data Exfiltration)

Tools:

• Grafana → VPN-Statistiken
• Suricata → VPN-Traffic analysieren
• CrowdSec → Angreifer blocken

• WireGuard bevorzugen
• kein PPTP
• starke Schlüssel, keine schwachen Ciphers
• Full-Tunnel für Firmen
• kein Client-to-Client Verkehr
• Logging aktiv
• MFA für Benutzer
• kurze Zertifikatsgültigkeit
• IPv6 im VPN richtig filtern
• DNS im Tunnel erzwingen (kein Leaking)
• Updates für Server & Client

• WireGuard = modern & sicher
• OpenVPN = flexibel & bewährt
• IPSec = ideal für Standortvernetzung
• Split-Tunneling kann extrem gefährlich sein
• Firewalls müssen restriktiv sein
• MFA & starke Schlüssel sind Pflicht
• Logging & Monitoring unverzichtbar
• VPNs schützen nur, wenn Endgeräte sauber sind