# Windows VPN Deep Dive: Protokolle, Clients & Remote-Access

TL;DR / Management Summary Ein sicherer VPN-Zugriff ist das Tor zum Firmennetzwerk. Wir unterscheiden zwischen dem Windows Built-in Client (ideal für IKEv2), dem Industriestandard Cisco AnyConnect (SAML/MFA Support) und modernen, extrem schnellen Protokollen wie WireGuard. Für Senior Admins ist nicht nur der Tunnel wichtig, sondern die Automatisierung des Rollouts via PowerShell und die Absicherung durch MFA (Multi-Faktor-Authentifizierung).

# 1. Einführung & Protokolle

Welcher Tunnel ist der richtige?

Protokollwahl entscheidet über Stabilität und Latenz.

  1. IKEv2 (IPsec): Der Standard für den Windows-Client. Schnell, stabil bei Netzwechseln (MOBIKE).
  2. SSTP: Nutzt Port 443 (HTTPS). Gut, um restriktive Hotel-Firewalls zu umgehen.
  3. OpenVPN: Flexibel, Open-Source, braucht aber meist einen eigenen Client.
  4. WireGuard: Der neue Champion. Minimaler Code, extrem performant (läuft im Kernel-Space).

# Architektur-Vergleich (Mermaid)

graph LR
    USER[Home Office PC] -->|Tunnel| GW[VPN Gateway / OPNsense]
    GW -->|LAN| SRV[Internal Resources]
    
    subgraph "Encapsulation"
    IKE[IKEv2 / IPsec]
    WG[WireGuard / UDP]
    OVPN[OpenVPN / TCP-UDP]
    end

# 2. Windows Built-in VPN: Automatisierung

Kein manuelles ‘Neue Verbindung’ klicken.

Verwenden Sie PowerShell, um VPN-Profile auf Clients auszurollen.

# IKEv2 Profil erstellen

Add-VpnConnection -Name "Firma-VPN" `
    -ServerAddress "vpn.firma.de" `
    -TunnelType "Ikev2" `
    -AuthenticationMethod "MachineCertificate" `
    -EncryptionLevel "Required" `
    -SplitTunneling $true

# 3. WireGuard auf Windows: High Speed

UDP Power.

WireGuard nutzt auf Windows den Wintun Treiber (High-Performance Layer 3).

# Konfiguration

WireGuard nutzt eine einfache .conf Datei.

[Interface]
PrivateKey = <ClientKey>
Address = 10.0.0.2/32
DNS = 192.168.1.1

[Peer]
PublicKey = <ServerKey>
Endpoint = vpn.firma.de:51820
AllowedIPs = 192.168.1.0/24

Vorteil: Ein WireGuard Tunnel steht in weniger als 1 Sekunde.

# 4. Day-2 Operations: Authentifizierung & MFA

Sicherheit über das Passwort hinaus.

Ein VPN ohne MFA ist heute fahrlässig.

# Optionen für Admins

# 5. Troubleshooting & “War Stories”

Wenn der Tunnel abbricht.

# Top 3 Fehlerbilder

  1. Symptom: VPN verbindet, aber kein Zugriff auf interne Server.

    • Ursache: DNS-Suffix fehlt oder Split-Tunneling Routing-Tabelle ist inkomplett.
    • Lösung: Add-VpnConnectionRoute nutzen, um das Routing manuell zu erzwingen.

  2. Symptom: Verbindung bricht alle 60 Sekunden ab.

    • Ursache: MTU-Probleme (Fragmentierung durch Overhead).
    • Lösung: MTU am VPN-Adapter auf 1300-1400 reduzieren.

  3. Symptom: Fehler 809 (IKEv2).

    • Ursache: Firewall des Users blockiert UDP 500/4500.
    • Lösung: Auf SSTP (Port 443) wechseln.

# “War Story”: Der “Zombie” Tunnel

Wir hatten einen Fall, bei dem hunderte User meldeten, dass ihr VPN “verbunden” anzeigte, aber keine Daten flossen. Analyse: Die Nutzer waren oft in Hotels mit “Captive Portals”. Das VPN baute den Tunnel auf, aber das WLAN verlangte eine Web-Bestätigung, die unter dem VPN-Tunnel “verdeckt” war. Lösung: GPO zur Deaktivierung des VPNs, solange kein Internet-Ping möglich ist (Pre-Logon Checks).

# 6. Monitoring & Reporting

Wer ist online?

# VPN Gateway Logs

Überwachen Sie an Ihrer Firewall (z.B. OPNsense, Artikel 570):

# 7. Fazit & Empfehlung

VPN ist eine Brückentechnologie zum Zero Trust Network Access (ZTNA).

# Anhang: Cheatsheet

Aufgabe Befehl / Tool
VPN Status prüfen Get-VpnConnection
Tunnel manuell starten rasdial "Verbindungsname"
Routen prüfen netsh interface ipv4 show route
WireGuard CLI wg show

# Referenzen