Was ist ein VPN?

Egal ob im Zuge von Home-Office Tätigkeiten oder zur sicheren Kommunikation zwischen Firmennetzwerken: VPN sind ein wichtiger Bestandteil der IT-Landschaft geworden.
Home » Themen » Was ist ein VPN?

Das VPN näher beleuchtet

Was sind Virtual Private Networks?

Ein VPN (Virtual Private Network) bildet, wie der Name bereits andeutet, ein virtuelles Netzwerk auf einem bestehenden physischen Netz. Das kann beispielsweise das Internet oder ein Firmennetzwerk sein. Sie können sich das VPN wie einen Tunnel vorstellen, durch den Ihre Daten transportiert werden. Mit Hilfe von verschiedenen Verschlüsselungsverfahren findet dabei eine Absicherung statt, die diesen Tunnel bzw. die darin übertragenen Daten vor Manipulation und Abhörversuchen schützt. VPN-Lösungen stellen deshalb eine zentrale Sicherheitsebene in der IT dar, da alle Kommunikation über ein VPN abgesichert ist, unabhängig davon, ob die Anwendungen selbst eine Verschlüsselung vornehmen oder nicht.

Ein VPN kann auf verschiedene Weisen realisiert werden. So ist es möglich, lediglich eine Software einzusetzen, um ein VPN aufzubauen. Dies bietet sich etwa zur einfachen Einrichtung von Home-Office Arbeitsplätzen an. In bestimmten Szenarien werden jedoch Hardware Lösungen bevorzugt – etwa wenn Firmennetzwerke über ein VPN verbunden werden, da in der Regel bereits eine geeignete Infrastruktur zur Realisierung vorhanden ist. Zudem stellt die gewählte Verschlüsselungsmethode einen wesentlichen Unterschied zwischen verschiedenen VPN Lösungen dar. Zwei der verbreitetsten dieser Methoden sind Internet Protocol Security (IPsec) und SSL. Da sowohl Hardware- als auch Software-VPN sich meist dieser Methoden zur Verschlüsselung bedienen, wollen wir zunächst klären, welche groben Unterschiede es zwischen diesen beiden Varianten gibt.

Der Unterschied zwischen Hardware VPN und Software VPN

Die Unterscheidung zwischen Hardware VPN und Software VPN kann auf mehreren Ebenen getroffen werden. Heutzutage geht es in der Regel um die Frage, ob ein dediziertes Gerät alle VPN-Funktionen erfüllt oder ob es sich um eine Software-Lösung handelt, die beispielsweise einfach zusätzlich auf einem bestehenden Server installiert wird.

Vor allem in der Vergangenheit wurde mit Hardware VPN häufig gemeint, dass ein spezieller Chipsatz die Ver- und Entschlüsselung durchführt, was in höheren Durchsatzraten resultieren kann. Je nach benötigter Bandbreite kann dieser Vorgang nämlich durchaus viel Last verursachen und somit andere Prozesse auf der genutzten Plattform beeinflussen bzw. einschränken. Die Geschwindigkeit des VPN selbst kann dadurch stark limitiert werden. Auch wenn diese Problematik durch moderne Hardware und vor allem Prozessoren beispielsweise mit Crypto Befehlssatzerweiterungen nicht mehr so häufig im Mittelpunkt steht, ist dies – je nach Anwendungsfall – dennoch durchaus relevant. Bei den meisten Routern und sonstigen Appliances, z. B. von Cisco und Juniper, findet man daher immer noch entsprechende Hardware-Module, die je nach Modell eine unterschiedliche Anzahl an VPN-Tunneln und Bandbreite zur Verfügung stellen.

Sie suchen nach dem passenden VPN-Service?

Egal ob Sie eine VPN-Beratung, -Einrichtung oder Managed VPN-Services benötigen: recast IT liefert Ihnen alles rund ums VPN, ganz modular und aus einer Hand. Wir weisen Ihnen den Weg zur passenden VPN-Lösung. Überzeugen Sie sich von den recast VPN Services und legen Sie gleich los!

VPN Services

Protokolle: IPsec, SSL-VPN/TLS-VPN und WireGuard® – ein Vergleich

Was ist IPsec?

Bei IPsec handelt es sich eigentlich um eine Sammlung von Protokollen, bei denen in zwei Phasen eine komplette Verschlüsselung des darüber stattfindenden Datenverkehrs erreicht wird. In der ersten Phase werden dabei Authentisierungs- und Verschlüsselungsverfahren ausgehandelt und dann ausgetauscht. Die Authentisierung ist dabei mithilfe eines vereinbarten gemeinsamen Schlüssels („Pre Shared Keys“) oder alternativ mit einem Zertifikat möglich. In der zweiten Phase werden dann sogenannte Security Associations erstellt, die zum Schutz der gesamten Kommunikation genutzt werden.

Die Konfiguration von IPsec ist relativ komplex und ist daher oftmals anfällig für Konfigurationsfehler. Besonders herausfordernd ist auch die Nutzung von IPsec hinter NAT oder der Betrieb über aktuelle Internetanbindungen, die für den Einzelkunden keine eigenen öffentlichen IPv4 IP-Adressen mehr vorsehen. Hierbei versorgen die Internetanbieter oftmals viele Kunden mit nur einer IPv4-Adresse (unter Verwendung des sogenannten „Carrier Grade NAT“). Dieser Betrieb im Parallelbetrieb („Dual-Stack“), kann den Einsatz von IPsec komplett unmöglich machen oder zu einem deutlichen Mehraufwand bei der Konfiguration des VPN führen.

Da zur Sicherstellung von Authentizität und Integrität der übertragenen Daten beispielsweise Authentication Header (AH) oder auch Encapsulating Security Payload (ESP) genutzt werden (beides sind Protokolle, die direkt auf IP basieren), ist eine Nutzung hinter NAT nur mit Hilfe von Lösungen wie NAT-Traversal oder IPsec-Passthrough möglich. Um diese zu implementieren, ist eine umfangreichere Konfiguration auf den involvierten Routern nötig.

Was ist ein SSL- bzw. TLS-VPN?

Ein SSL-VPN – bzw. heute zunehmend auch mit dem moderneren Begriff „TLS-VPN“ bezeichnet – ermöglicht es, über eine verschlüsselte TLS-Verbindung ein VPN aufzubauen. Ein bekanntes Beispiel für eine solche SSL-VPN-Lösung ist die OpenSource Software OpenVPN. Im Gegensatz zu IPsec handelt es sich dabei um eine freie Software, die zur Verschlüsselung OpenSSL oder mbed TLS nutzt. Je nach Einsatzzweck können dabei TCP oder UDP zum Transport der Daten genutzt und die involvierten Ports frei gewählt werden. Hierdurch ist diese Art des VPNs sehr flexibel und vielseitig einsetzbar.

Wie bei IPsec können Pre Shared Keys und Zertifikate zur Authentisierung eingesetzt werden. OpenVPN bietet neben einem Routing-Modus auf Layer-3-Ebene des OSI-Modells auch einen Bridging-Modus an, über welchen der Versand von Ethernet-Frames realisierbar ist. Die Nutzung in einem Szenario, in welchem der Einsatz von NAT nötig ist, ist bei OpenVPN relativ einfach zu realisieren, da hierzu die nur die entsprechenden Ports des gewählten Protokolls (TCP/UDP) weitergeleitet werden müssen.

Was ist WireGuard®?

WireGuard® ist eine VPN-Lösung mit dem Ziel, eine einfache und effiziente Alternative zu bestehenden VPN-Lösungen wie IPsec und TLS bereitzustellen. Die Teilnehmer an einem Netzwerk (genannt Peers) bekommen eine interne IP-Adresse sowie einen privaten und einen öffentlichen Schlüssel. WireGuard® nutzt verschlüsselte UDP-Pakete (User Datagram Protocol Pakete), die mittels des Konzepts des Cryptokey Routing vermittelt werden. Das Cryptokey Routing ermöglicht das schnelle und problemlose Wechseln durch verschiedene Netzwerke, da als Weiterleitungs-IP die IP genommen wird, von der das letzte korrekt authentifizierte Paket ausgegangen ist. Die Verbindung muss daher nicht wieder komplett neu aufgebaut, sondern kann einfach weiter benutzt werden. Zudem ist es auch in WireGuard® möglich, die Sicherheit zusätzlich mittels PSK (Pre Shared Keys) zu erhöhen, allerdings ist dies nicht zwingend nötig, da sich diese Sicherheitsmaßnahme gegen die zukünftige Entschlüsselung durch Quantencomputer richtet. Dies wird derzeit als weniger dringlich betrachtet, weil Quantencomputer, die in der Lage sind, moderne Verschlüsselung zu brechen, noch nicht existieren. Daher kann man aktuell auf Pre-Shared Keys (PSK) verzichten. WireGuard® ist unter anderem so performant, da es unter Windows (mittels WireGuard-NT) und Linux auf Kernel-Ebene läuft und ab Linux Kernel 5.6 enthalten ist. WireGuard® kann sowohl auf Linux, als auch auf Windows (mittels WireGuard-NT) vergleichbare Geschwindigkeiten erreichen. Eine Schwäche von WireGuard® ist, dass es bei einer großen Anzahl an Peers sehr umständlich wird, diese zu verwalten, da jeder eine individuelle Konfiguration sowohl auf dem Client als auch auf dem Server benötigt.

IPsec, SSL-VPN oder WireGuard® – Welche VPN-Lösung ist die beste?

Sowohl IPsec als auch SSL-VPN bieten – bei korekter Konfiguration – eine starke Verschlüsselung und somit auch Sicherheit für die Übertragung Ihrer Daten. Unterschiede zeigen sich vor allem hinsichtlich der Geschwindigkeit, der Komplexität und der Kompatibilität. Durch den erhöhten Aufwand des Protokollstapels ist IPsec im Vergleich zu beispielsweise SSL-VPN wie OpenVPN ein wenig langsamer. Zudem ist die Konfiguration umfangreicher, so dass es erfahrungsgemäß häufiger zu Problemen bei der Einrichtung kommt. IPsec wird dafür auf praktisch allen Client-Systemen unterstützt, zumeist sogar ohne zusätzliche Software. Auch auf mobilen Geräten ist eine Verwendung von IPsec üblicherweise ohne viel Aufwand möglich. SSL-VPN-Lösungen benötigen dagegen häufig einen Client, der möglicherweise zu Abhängigkeiten von bestimmten Betriebssystemen führen kann.

WireGuard® stellt eine moderne Alternative zu diesen traditionellen VPN-Lösungen dar. Es bietet eine sehr hohe Geschwindigkeit und eine einfachere Konfiguration, was die Fehleranfälligkeit reduziert. Zudem nutzt WireGuard® moderne Verschlüsselungsalgorithmen, die für zusätzliche Sicherheit sorgen. Allerdings erfordert WireGuard® in vielen Fällen eine Nachinstallation und die Verwaltung vieler Peers kann komplex werden. Es ist plattformübergreifend verfügbar, jedoch ist es im Vergleich zu IPsec eine relativ neue Technologie und weniger getestet.

Eine generelle Empfehlung für eine der Lösungen – IPsec, SSL-VPN oder WireGuard® – kann man im Prinzip nicht geben, da der jeweilige Einsatzzweck, die involvierten Geräte und weitere Parameter in Betracht gezogen werden müssen.

Vor- und Nachteile auf einen Blick

IPsec

L

ist quasi mit allen Endgeräten Kompatibel

L

benötigt oftmals keine nachinstallierte Software

L
kann umfangreich konfiguriert bzw. angepasst werden
K
ist komplizierter bei der Konfiguration und evtl. Fehlersuche
K
ist etwas langsamer
K
kann problematisch bei NAT zwischen den Endpunkten sein

SSL- / TLS-VPN

L
ist einfach zu konfigurieren
L

ist schnell

L

NAT zwischen den Endpunkten ist unproblematischer

K
ist evtl. inkompatibel mit spezifischen Endgeräten
K
benötigt häufig eine zusätzliche Anwendung auf Endgeräten

WireGuard®

L

ist sehr performant

L

einfach zu konfigurieren

L

schnelles wechseln zwischen Netzwerken

K

Verwaltung vieler Peers sehr umständlich

K

statische IP-Adressen

K

relativ neu

IPsec, OpenVPN und WireGuard® Kompatibilität im Überblick

IPsec

OpenVPN

WireGuard®

Betriebssystem

Unterstützung integriert

Kostenloser Client

Unterstützung integriert

Kostenloser Client

Unterstützung integriert

Kostenloser Client

Windows Vista/7/8 Shrew Soft VPN Client OpenVPN Client WireGuard® Client
Windows 10 Nur mit IKEv2 oder als Absicherung für L2TP OpenVPN Client WireGuard® Client
Windows 11 Nur mit IKEv2 oder als Absicherung für L2TP ✗  OpenVPN Client WireGuard® Client
iOS
(ab Version 12.4(15)T oder höher)
OpenVPN Connect WireGuard® Client
macOS
(ab Version 10.6 oder höher)
Tunnelblick WireGuard® Client
Linux


(ab Kernel 2.6.x oder höher)

¹ ²
(ab Kernel 5.6.x oder höher)
WireGuard® Client
Android Hersteller-/Modellabhängig strongSwan VPN Client OpenVPN Android WireGuard® Client

¹ Bei den meisten Installationen über die Paketverwaltung aus dem zentralen Repository der jeweiligen Distribution verfügbar.

² Die Verwaltungstools (wireguard-tools) müssen beispielsweise mittels apt nachinstalliert werden

Das könnte ebenfalls interessant sein:

Unsere Kunden – gemeinsam erfolgreich

Logo Gothaer
Logo Metro Markets
Logo Kindernothilfe
Logo Deutsche Post
Logo Stadt Mönchengladbach