# VPN Technologies: Architektur & Verschlüsselung im Detail
TL;DR / Management Summary Ein VPN (Virtual Private Network) verlängert Ihr sicheres Firmennetzwerk über das unsichere öffentliche Internet. Wir nutzen Tunneling, um Datenpakete zu kapseln, und Verschlüsselung, um sie vor neugierigen Blicken zu schützen. Ein Senior Admin wählt die Technologie passend zum Einsatzzweck: IPsec für Standort-Kopplungen (Artikel 565), WireGuard für Performance (Artikel 566) und OpenVPN für maximale Kompatibilität (Artikel 567).
# 1. Das Prinzip des Tunneling
Ein Netz im Netz.
Tunneling verpackt ein Original-Paket (z.B. ein SMB-Frame) in ein neues Paket, das im Internet geroutet werden kann.
- Encapsulation: Das Firmen-Paket wird der “Payload” des VPN-Pakets.
- Decapsulation: Am Zielort wird das äußere Paket entfernt, und das Original-Paket wird im internen LAN zugestellt.
# 2. Die drei Säulen der VPN-Sicherheit
Was den Tunnel sicher macht.
- Verschlüsselung (Confidentiality): Niemand kann den Inhalt mitlesen (Standard: AES-256).
- Integrität (Integrity): Niemand kann das Paket unbemerkt verändern (Standard: SHA-256).
- Authentifizierung (Authenticity): Sicherstellen, dass die Gegenseite wirklich der ist, für den sie sich ausgibt (Zertifikate, MFA).
# 3. Deep Dive: Protokoll-Vergleich
Die Qual der Wahl.
# 1. IPsec (Internet Protocol Security)
Arbeitet direkt auf Layer 3.
- Vorteil: Industriestandard für Router-Kopplungen. Sehr stabil.
- Nachteil: Probleme mit NAT (erfordert UDP-Encapsulation auf Port 4500).
# 2. TLS/SSL VPN (OpenVPN)
Nutzt den gleichen Standard wie Web-Browser.
- Vorteil: Kommt durch fast jede Firewall (Port 443 TCP).
- Nachteil: Höherer CPU-Overhead im User-Space.
# 3. WireGuard
Das moderne Leichtgewicht.
- Vorteil: Minimale Codebasis, extrem schnell durch Kernel-Integration.
- Nachteil: Nur UDP (kann in restriktiven Hotels blockiert werden).
# 4. Day-2 Operations: MTU & MSS Clamping
Der unsichtbare Performance-Killer.
Da jeder Tunnel einen eigenen Header (ca. 40-80 Bytes) hinzufügt, sinkt der Platz für die echten Daten.
- Problem: Das Original-Paket (1500 Bytes) passt nicht mehr durch den Tunnel (Limit 1500 Bytes).
- Lösung: MSS Clamping. Der VPN-Server sagt dem Client: “Bitte schicke mir nur Pakete mit maximal 1350 Bytes”.
- Aktion: Konfigurieren Sie MSS Clamping in der OPNsense am VPN-Interface.
# 5. Troubleshooting & “War Stories”
Wenn der Tunnel ‘wackelt’.
# Top 3 Fehlerbilder
-
Symptom: Tunnel ist
UP, aber kein Ping geht durch.- Ursache: Firewall-Regeln am virtuellen VPN-Interface fehlen.
- Lösung:
Diagnostics -> Statesprüfen (Artikel 587).
-
Symptom: Verbindung bricht bei großen Datei-Downloads ab.
- Ursache: MTU-Problem (Paket-Fragmentierung).
- Fix: MTU des Tunnels manuell auf 1300 senken für den Test.
-
Symptom: “IKE SA failed” bei IPsec.
- Ursache: Mismatch in der Verschlüsselungs-Phase 1 (z.B. AES-128 vs AES-256).
# “War Story”: Der “Verschlüsselte” Loop
Ein Admin vernetzte zwei Standorte via IPsec und aktivierte gleichzeitig das Routing des gesamten Internet-Traffics durch den Tunnel. Das Ereignis: Der Tunnel kam hoch, brach aber nach 5 Sekunden wieder zusammen. Die Ursache: Da der gesamte Traffic durch den Tunnel sollte, versuchte auch das VPN-Paket selbst (das den Tunnel aufbaut), durch den Tunnel zu fließen. Ein klassischer logischer Loop. Lehre: Definieren Sie für VPN-Tunnel immer ausgeschlossene Routen für den Endpunkt-IP des VPN-Servers selbst. Der Tunnel darf niemals versuchen, sich selbst zu tunneln.
# 6. Monitoring & Reporting
Tunnel-Statistiken.
# VPN Status Dashboard
Überwachen Sie via OPNsense (Artikel 570):
Connected Peers.Bytes In / Bytes Out.Handshake Latency.
# 7. Fazit & Empfehlung
Wählen Sie das VPN passend zum Client.
- Empfehlung: Nutzen Sie WireGuard für interne Zwecke und OpenVPN für externe Partner, die nur einen Browser-basierten Zugriff brauchen.
- Wichtig: Verwenden Sie für alle VPN-Zugänge zwingend Zertifikate (Artikel 593). Ein einfaches Passwort ist heute kein ausreichender Schutz mehr.
# Anhang: Cheatsheet (Standard-Ports)
| Technologie | Port | Protokoll |
|---|---|---|
| IPsec (IKE) | 500 / 4500 | UDP |
| OpenVPN | 1194 | UDP (Standard) |
| WireGuard | 51820 | UDP |
| SSTP | 443 | TCP |