Ein VPN (Virtual Private Network) stellt eine sichere, verschlüsselte Verbindung über ein unsicheres Netzwerk (z. B. Internet) her.
Daten werden verschlüsselt, authentifiziert und vor Manipulation geschützt.

VPNs verbinden:

• Heim ↔ Firma
• Standort ↔ Standort
• Server ↔ Server
• Mobile Geräte ↔ Unternehmensnetz

• verschlüsselte Kommunikation
• Zugriff auf interne Ressourcen
• Schutz im öffentlichen WLAN
• sichere Standortvernetzung
• Grundlage vieler modernen Zero-Trust-Architekturen

Standorte werden dauerhaft verbunden.

 Büro A ⇄ Internet ⇄ Büro B

Einzelne Clients verbinden sich ins Firmennetz.

 Notebook → VPN → Firma

• IPsec
• OpenVPN
• WireGuard

IPsec (IP Security) ist ein Netzwerkprotokoll auf Layer 3.

Verwendet in:

• OPNsense
• pfSense
• Cisco Firewalls
• Unternehmensroutern
• Site-to-Site VPNs

• sehr sicher
• läuft im Kernel
• komplex einzurichten
• ideal für Standortvernetzung
• unterstützt Hardware-Offloading

• IKEv1 / IKEv2 – Schlüsselaustausch
• ESP – Verschlüsselter Datentransport
• AH – Authentisierung (selten)
• PFS – Perfect Forward Secrecy

• sehr sicher und erprobt
• Standard in Unternehmensnetzen
• extrem gut für Standort-VPNs

• komplex zu konfigurieren
• NAT kann Probleme verursachen
• Debugging schwierig

OpenVPN ist ein TLS-basiertes VPN, arbeitet üblicherweise auf Layer 3,
kann aber auch Layer 2 (TAP) transportieren.

Typisch in privaten & kommerziellen Umgebungen:

• Linux
• Windows
• pfSense/OPNsense
• OpenVPN Access Server

• basiert auf TLS/SSL
• Ports frei wählbar (UDP empfohlen)
• sehr flexibel
• stabil hinter NAT
• viele Auth-Methoden (Passwort, Zertifikat, MFA)

• 1194/UDP

  • oder jeder andere Port, z. B. 443/TCP (zum Tarnen als HTTPS)

• sehr stabil
• flexibel
• funktioniert fast überall
• gute Logs

• langsamer als WireGuard
• komplizierter als WG
• Konfiguration oft umfangreich

WireGuard ist das jüngste VPN-Protokoll und basiert auf modernen Kryptoverfahren.

Merkmale:

• extrem schnell
• extrem einfach
• sehr sicher
• minimaler Code → weniger Angriffsfläche
• Kernelmodul für hohe Performance

• Standard: 51820/UDP

WireGuard arbeitet wie ein verschlüsselter Peer-to-Peer Tunnel.

Jeder Peer hat:

• privaten Schlüssel
  * öffentlichen Schlüssel
  * AllowedIPs (der Traffic, der durch den Tunnel geht)

ASCII:

Peer A <---- WireGuard (UDP) ----> Peer B

Client:

[Interface]
PrivateKey = xxx
Address = 10.0.0.2/24

[Peer]
PublicKey = yyy
Endpoint = vpn.example.com:51820
AllowedIPs = 0.0.0.0/0

Server:

[Interface]
PrivateKey = yyy
Address = 10.0.0.1/24
ListenPort = 51820

[Peer]
PublicKey = xxx
AllowedIPs = 10.0.0.2/32

• extrem schnell

  • extrem einfach
    * leicht zu debuggen
    * hohe Sicherheit
    

  Nachteile
• kein integrierter Nutzer-/Zertifikatsmechanismus

  • kein Layer-2-Modus
    * AllowedIPs müssen sauber gepflegt werden
    

  —

IPsec:

• Standortvernetzung
  * Firewalls (OPNsense, Cisco, FortiGate)
  * MPLS-/VPN-Ersatz
  

OpenVPN:

• Firmen-Remotezugriff
  * Linux-Server
  * überall, wo Zertifikate wichtig sind
  

WireGuard:

• Mobilgeräte
  * kleine bis mittlere Firmen
  * Hochleistungs-VPNs
  * Docker-Hosts / Container-Netzwerke
  * Heimnetzwerke
  

—

Pflichtregeln:

• starke Verschlüsselung

  • sauberes Schlüsselmanagement
    * NAT-Traversal klar konfigurieren
    * Firewalls restriktiv halten
    * Logging aktiv
    * MFA-authentifizierte Zugänge
    

  —

• VPNs bauen verschlüsselte Tunnel über das Internet

  • IPsec → Klassiker, sehr sicher, aber komplex
    * OpenVPN → flexibel, stabil, TLS-basiert
    * WireGuard → modern, extrem schnell, einfach
    * Remote Access vs Site-to-Site unterscheiden
    * alle 3 Protokolle haben ihren Platz in modernen Netzen