# Site-to-Site VPN: Architektur & Anbindung von Außenstellen

TL;DR / Management Summary Ein Unternehmen mit mehreren Standorten braucht ein gemeinsames, sicheres Netzwerk. Site-to-Site VPNs verbinden ganze Büros über das öffentliche Internet, als lägen sie in einem gemeinsamen LAN. Ein Senior Admin nutzt dafür primär IPsec (IKEv2) für die Kopplung mit Drittanbietern oder WireGuard für maximale Performance zwischen OPNsense-Instanzen. Das Ziel ist eine nahtlose Kommunikation ohne manuelle User-Einwahl, abgesichert durch starke Verschlüsselung und sauberes Routing.

# 1. Konzepte der Standortvernetzung

Das virtuelle Firmennetz.

Im Gegensatz zum Roadwarrior-VPN (User-Einwahl) ist das Site-to-Site VPN permanent aktiv.

• Star Topology (Hub & Spoke): Alle Außenstellen verbinden sich mit der Zentrale.
  • Vorteil: Einfache Kontrolle, zentrales Firewalling.
  • Nachteil: Zentrale ist ein SPOF.
• Mesh Topology: Jeder Standort ist mit jedem verbunden.
  • Vorteil: Höchste Redundanz, direkte Wege (geringe Latenz).
  • Technik: Nutzt oft dynamisches Routing (Artikel 572).

# 2. IPsec vs. WireGuard für Standorte

Die Protokollwahl.

# 1. IPsec (IKEv2) - Der Industriestandard

Ideal für die Kopplung heterogener Hardware (z.B. Zentrale: OPNsense, Außenstelle: Sophos oder Cisco).

• Vorteil: Bietet Phase 2 Selector, um exakt zu definieren, welche Subnetze miteinander sprechen dürfen.

# 2. WireGuard - Der Performance-König

Beste Wahl für OPNsense-zu-OPNsense Kopplungen.

• Vorteil: Einfaches Setup, extrem schnell (Artikel 566).
• Vorteil: Stabil bei wechselnden IPs durch integriertes Roaming.

# 3. Deep Dive: Routing in Site-to-Site VPNs

Woher weiß das Paket, wohin es soll?

1. Policy-based VPN: Der Tunnel-Prozess schaut auf die IP und entscheidet: “Das gehört nach München -> Ab in den Tunnel”.
2. Route-based VPN (VTI): Der Tunnel ist ein virtuelles Interface (ipsec0). Sie setzen einfach eine Standard-Route:

# Auf der Zentrale
ip route add 10.50.0.0/24 dev ipsec0

• Senior Tipp: Nutzen Sie Route-based VPNs. Sie erlauben den Einsatz von OSPF (Artikel 734) für automatische Failover-Szenarien.

# 4. Day-2 Operations: Redundante Tunnel

Wenn die Leitung reißt.

Bauen Sie zwei Tunnel über verschiedene Internetleitungen (z.B. DSL und LTE).

• Aktion: Nutzen Sie dynamisches Routing mit unterschiedlichen Metriken.
• Ergebnis: Wenn die DSL-Leitung ausfällt, merkt OSPF den Verbindungsabbruch und schickt den Traffic innerhalb von Sekunden über den LTE-Tunnel.

# 5. Troubleshooting & “War Stories”

Wenn die Büros schweigen.

# Top 3 Fehlerbilder

1. Symptom: Tunnel ist “Up”, aber kein Ping geht durch.

   • Ursache: Fehlende Firewall-Regeln am VPN-Interface oder asymmetrisches Routing (Artikel 733).
   • Lösung: Diagnostics -> Packet Capture an beiden Enden.

2. Symptom: VPN bricht bei Datei-Transfers ab.

   • Ursache: MTU/MSS Problem. Große Pakete passen nicht durch den Tunnel-Overhead (Artikel 706).
   • Fix: MSS Clamping auf 1350 setzen.

3. Symptom: “Phase 1 ID mismatch”.

   • Ursache: Die Standorte haben dynamische IPs und identifizieren sich über falsche FQDNs.

# “War Story”: Der “Double-Subnet” Albtraum

Ein Unternehmen fusionierte mit einer anderen Firma. Beide Standorte nutzten das interne Subnetz 192.168.1.0/24. Das Problem: Ein Site-to-Site VPN ist technisch unmöglich, wenn beide Seiten die gleichen IPs nutzen (Routing-Konflikt). Die Lösung: Wir nutzten Virtual Tunnel Interfaces (VTI) mit BINAT (Bidirectional NAT). In der Zentrale erschien das Partner-Netz als 10.254.1.0/24. Die OPNsense übersetzte die Pakete beim Eintritt in den Tunnel transparent auf die echten IPs. Lehre: Vermeiden Sie Standard-Subnetze (Artikel 725) in Firmenumgebungen. Jede neu gegründete Außenstelle sollte ein absolut eindeutiges IP-Präfix erhalten.

# 6. Monitoring & Reporting

Status der Vernetzung.

# VPN Dashboard

Überwachen Sie die Latenz über den Tunnel:

• KPI: VPN RTT. (Sollte nur wenige ms über dem normalen Internet-Ping liegen).
• Alert: Wenn der Tunnel mehr als 3x pro Stunde neustartet (Rekeying-Probleme).

# 7. Fazit & Empfehlung

Site-to-Site VPNs sind die unsichtbaren Adern Ihres Unternehmens.

• Empfehlung: Nutzen Sie IKEv2 mit Zertifikaten (Artikel 593) für maximale Sicherheit.
• Wichtig: Verwenden Sie für die Verschlüsselung AES-GCM. Es ist performant und bietet integrierte Integritätsprüfung.

# Anhang: Design-Checkliste

1. [ ] Subnetze an allen Standorten eindeutig?
2. [ ] Statische Routen oder OSPF konfiguriert?
3. [ ] Firewall-Regeln für Inter-Site Traffic aktiv?
4. [ ] Dead Peer Detection (DPD) auf “Restart” gestellt?
5. [ ] MTU-Check durchgeführt?

# Referenzen

• OPNsense Docs: Setup IPsec S2S
• Veeam: Best Practices for Branch Office Backups
• StrongSwan: IPsec for Site-to-Site