Zum Inhalt springen
sw
en

Tippe um zu suchen

Netzwerk

VPN – Grundlagen

Was ein VPN ist, wie es funktioniert, welche Protokolle es gibt und wie du es in einem KMU richtig einsetzt und Probleme löst.

9 Min Lesezeit Fortgeschritten Zuletzt aktualisiert:

Was ist ein VPN und wozu brauchst du es?

Ein VPN (Virtual Private Network) ist ein verschlüsselter Tunnel durch das öffentliche Internet, der so wirkt, als wärst du direkt im Firmennetz eingesteckt – obwohl du von zu Hause, aus dem Hotel oder aus dem Café arbeitest. Intern siehst du Dateifreigaben, kannst auf interne Webapplikationen zugreifen und wirst von der Firewall wie ein interner Benutzer behandelt.

Ohne VPN müsstest du entweder alle internen Ressourcen ins Internet exponieren (ein Sicherheitsalptraum) oder auf Remote-Desktop-Lösungen ausweichen, die in manchen Szenarien unpraktisch sind.

Typische Anwendungsfälle im KMU:

  • Mitarbeitende arbeiten im Homeoffice und brauchen Zugriff auf Dateiserver oder ERP
  • Filiale verbindet sich permanent mit dem Hauptsitz (Site-to-Site)
  • IT-Admin wartet Server aus der Ferne sicher via VPN + RDP
  • Aussendienstmitarbeitende verbinden sich aus dem Hotel ins Firmennetz

VPN-Typen: Welcher passt wann?

Remote Access VPN

Der Klassiker im KMU: Einzelne Benutzerinnen und Benutzer verbinden sich von aussen ins Firmennetz. Der Client (z. B. ein Laptop) baut eine Verbindung zum VPN-Gateway auf der Firewall auf. Danach ist er logisch Teil des internen Netzes.

  • Vorteil: Flexibel, funktioniert für jeden einzelnen User
  • Einsatz: Homeoffice, mobile Mitarbeitende

Site-to-Site VPN

Zwei Standorte (z. B. Hauptsitz Zürich und Filiale Bern) verbinden sich permanent miteinander. Die VPN-Verbindung läuft zwischen zwei Firewalls – die Endgeräte an beiden Standorten merken davon nichts, sie sehen einfach das Netz des anderen Standorts.

  • Vorteil: Dauerhaft, kein manuelles Verbinden nötig
  • Einsatz: Filialanbindungen, Standortvernetzung

Split Tunneling vs. Full Tunnel

ModusVerhaltenVorteilNachteil
Full TunnelGesamter Traffic geht durch VPNZentralisierte SicherheitskontrolleMehr Last auf VPN-Server, höhere Latenz
Split TunnelNur Firmentraffic durch VPN, Rest direkt ins InternetEntlastet VPN-Server, bessere PerformanceEndgerät-Traffic unkontrolliert

In den meisten KMU wird Split Tunneling bevorzugt, da die Bandbreite des VPN-Gateways begrenzt ist. Netflix-Streams und Windows-Updates sollen nicht über das Firmennetz laufen.


VPN-Protokolle im Vergleich

Das Protokoll bestimmt, wie der Tunnel aufgebaut wird, wie er gesichert wird und wie performant er ist. Im Jahr 2025 sind drei Protokolle dominant:

ProtokollStärkeSchwächeTypischer Einsatz
WireGuardSehr schnell, modern, wenig Code (~4 000 Zeilen)Relativ jung, weniger Firewall-KompatibilitätLinux-basierte Gateways, moderne Firewalls
OpenVPNExtrem flexibel, läuft auf TCP/UDP, Open SourceMehr Konfigurationsaufwand, etwas langsamerSelbst gehostete VPN-Server, pfSense/OPNsense
IKEv2/IPsecNativ in Windows, iOS, Android; automatische Reconnect-FunktionKomplexere Konfiguration, kann von Firewalls blockiert werdenUnternehmens-Firewalls (Sophos, Fortinet, Cisco), Windows Always On VPN
SSL/TLS VPNKein Client nötig, Port 443 fast immer offenEtwas mehr OverheadBrowser-basierter Zugriff, Clientless VPN
PPTP / L2TPAlt, weit verbreitetUnsicher (PPTP) oder Performance-Probleme; nicht mehr empfehlenswertLegacy-Systeme – bitte ablösen

WireGuard im Detail

WireGuard ist die modernste Option. Der Code ist so kompakt (~4 000 Zeilen gegenüber ~100 000 bei OpenVPN), dass er vollständig auditiert werden kann. WireGuard ist im Linux-Kernel integriert und auf allen modernen Plattformen verfügbar. Typische Einsatzszenarien im KMU: OPNsense oder pfSense als Gateway, Mitarbeitende verbinden sich mit dem offiziellen WireGuard-Client.

IKEv2/IPsec im Unternehmenskontext

In grösseren KMU mit Firewalls von Sophos, Fortinet oder Cisco ist IKEv2/IPsec Standard. Windows unterstützt IKEv2 nativ ohne zusätzlichen Client – das macht das Rollout einfach. Mit Always On VPN (Windows Server + NPS) lässt sich ein vollautomatisches VPN einrichten, das sich vor dem Login des Benutzers verbindet und Zertifikate zur Authentifizierung nutzt.


Windows VPN einrichten (manuell)

Über die Einstellungen (GUI)

  1. Win+I öffnen → Netzwerk und InternetVPN
  2. VPN-Verbindung hinzufügen klicken
  3. Anbieter: Windows (integriert)
  4. Verbindungsname: z. B. Firmen-VPN
  5. Serveradresse: IP oder FQDN des VPN-Gateways
  6. VPN-Typ: z. B. IKEv2 oder L2TP/IPsec mit vorinstalliertem Schlüssel
  7. Anmeldedaten eingeben und speichern

Über PowerShell

# IKEv2-Verbindung erstellen
Add-VpnConnection `
  -Name "Firmen-VPN" `
  -ServerAddress "vpn.firma.ch" `
  -TunnelType "IKEv2" `
  -AuthenticationMethod "MSChapv2" `
  -EncryptionLevel "Required" `
  -RememberCredential $true `
  -SplitTunneling $true

# Verbindungen auflisten
Get-VpnConnection

# Verbinden
rasdial "Firmen-VPN" benutzername passwort

# Trennen
rasdial "Firmen-VPN" /disconnect

Split-Tunnel-Routen manuell hinzufügen

Wenn Split Tunneling aktiv ist, weiss Windows zunächst nicht, welche internen Netze durch den Tunnel sollen. Du kannst das manuell steuern:

# Route durch VPN hinzufügen (z.B. internes Netz 10.0.0.0/8)
Add-VpnConnectionRoute -ConnectionName "Firmen-VPN" -DestinationPrefix "10.0.0.0/8"

# Alle Routen einer VPN-Verbindung anzeigen
Get-VpnConnectionTrigger -ConnectionName "Firmen-VPN"

Gängige VPN-Lösungen im KMU

WireGuard Client Gratis windows mac

Offizieller WireGuard-Client für Windows, macOS, Linux, iOS und Android. Schnell, modern und einfach zu konfigurieren.

www.wireguard.com

OpenVPN Connect Gratis windows mac

Offizieller OpenVPN-Client. Verbindet sich zu OpenVPN-Servern, pfSense, OPNsense und anderen Gateways.

openvpn.net

LösungTypTypischer Einsatz im KMU
Sophos XG / XGFWFirewall + VPNSSL VPN und IPsec für Endgeräte und Filialen
Fortinet FortiGateFirewall + VPNIPsec und SSL VPN, verbreitet in mittleren KMU
OPNsenseOpen-Source-FirewallWireGuard und OpenVPN, kostenlos, stark in der Community
pfSenseOpen-Source-FirewallOpenVPN, IKEv2, klassische Wahl für selbst gehostete Lösungen
Cisco ASA / FTDEnterprise FirewallIPsec/IKEv2, AnyConnect SSL VPN
Microsoft Always On VPNWindows Server + NPSUnternehmensweites, zertifikatbasiertes VPN für Domänengeräte

Troubleshooting: Häufige VPN-Probleme

VPN verbindet sich, aber interne Ressourcen sind nicht erreichbar

Das ist das häufigste Problem bei neuen VPN-Verbindungen. Mögliche Ursachen:

  1. Falsches Split-Tunneling: Die Route für das interne Netz fehlt. Prüfen mit:
    route print
    # Siehst du das interne Subnetz (z.B. 10.0.0.0) in der Routingtabelle?
  2. DNS-Problem: Der VPN-Client nutzt noch den öffentlichen DNS-Server, nicht den internen. Internen DNS manuell in der VPN-Verbindung eintragen oder den Gateway prüfen.
  3. Firewall-Regel: Interne Firewall lässt VPN-Clients nicht auf den gewünschten Host zu.
# DNS prüfen: Löst der interne Hostname auf?
Resolve-DnsName fileserver.firma.local

# Verbindung zum Ziel testen (z.B. SMB-Port 445)
Test-NetConnection -ComputerName fileserver.firma.local -Port 445

VPN-Verbindung bricht immer wieder ab

Häufige Ursache: MTU-Probleme. VPN-Pakete haben durch den Tunnel-Header mehr Overhead. Wenn die MTU zu gross eingestellt ist, werden Pakete fragmentiert oder verworfen.

# Aktuelle MTU des VPN-Adapters anzeigen
Get-NetAdapter | Where-Object { $_.Name -like "*VPN*" } | Select-Object Name, MtuSize

# MTU manuell reduzieren (1350-1400 ist ein guter Startwert fuer IKEv2)
$adapter = Get-NetAdapter | Where-Object { $_.Name -like "*VPN*" }
Set-NetIPInterface -InterfaceIndex $adapter.ifIndex -NlMtuBytes 1350

Weitere Ursachen für Verbindungsabbrüche:

  • UDP-Port geblockt: IKEv2 nutzt UDP 500 und 4500 (NAT-Traversal). Beide Ports müssen auf der Firewall offen sein.
  • Keep-Alive zu kurz: Manche Firewalls trennen inaktive Verbindungen. Keep-Alive-Intervall im VPN-Client erhöhen.
  • WLAN-Wechsel: IKEv2 unterstützt MOBIKE (Mobility and Multihoming Protocol) für nahtlosen Netzwechsel – sicherstellen, dass das Gateway MOBIKE aktiviert hat.

VPN verbindet sich gar nicht

# VPN-Ereignisse in der Ereignisanzeige prüfen
Get-WinEvent -LogName "Application" | Where-Object { $_.Message -like "*RasClient*" } | Select-Object -First 20

# Netzwerkdiagnose
Test-NetConnection -ComputerName vpn.firma.ch -Port 443
Test-NetConnection -ComputerName vpn.firma.ch -Port 500

Häufige Ursachen:

  • Falsche Serveradresse oder Port: DNS-Name des Gateways auflösbar? IP direkt testen.
  • Zertifikatsfehler: Bei IKEv2 muss das Serverzertifikat vertrauenswürdig sein. CA ins Windows-Zertifikatsspeicher importieren.
  • Pre-Shared Key falsch: Bei PSK-basiertem IPsec den Key nochmal prüfen – ein Tippfehler reicht.

Langsame VPN-Verbindung

UrsacheMassnahme
Gesamter Traffic durch VPN (Full Tunnel)Split Tunneling aktivieren
Schwacher VPN-ServerHardware prüfen, Protokoll zu WireGuard wechseln
Weit entfernter ServerGeographisch näheren Endpunkt wählen
Schwaches WLAN des ClientsKabelverbindung testen, WLAN-Signal verbessern
MTU-FragmentationMTU auf 1350–1400 reduzieren

VPN und Sicherheit im KMU

Ein VPN ist eine Zugang ins Firmennetz – entsprechend muss der Zugang gesichert sein:

1. Multi-Faktor-Authentifizierung (MFA) ist Pflicht Ein gestohlenes Passwort allein darf nicht reichen, um ins Firmennetz zu kommen. Konfiguriere MFA für den VPN-Zugang, z. B. via RADIUS + Microsoft Entra MFA oder TOTP mit einer Authenticator-App.

2. Zertifikate statt Passwörter Bei Always On VPN und IKEv2 in Unternehmensumgebungen: Computerzertifikate für die Authentifizierung nutzen. Das ist robuster als Passwörter und lässt sich gut mit Intune/MDM rollout.

3. Zugriff beschränken Nicht jeder VPN-User braucht Zugang zu allem. Nutze Firewall-Regeln oder VLAN-Segmentierung, um VPN-Clients nur auf die Ressourcen zuzulassen, die sie wirklich brauchen.

4. RDP nicht direkt aus dem Internet exponieren Der VPN ist genau der richtige Weg, um RDP abzusichern: VPN aufbauen, danach RDP auf die interne IP verbinden. Kein Port-Forwarding auf 3389 am Router. Mehr dazu auf der Seite RDP Grundlagen.

5. Logs auswerten VPN-Gateway-Logs zeigen fehlgeschlagene Logins, ungewöhnliche Zugriffszeiten und Verbindungen aus verdächtigen Ländern. Schau regelmässig rein – oder richte eine Alerting-Regel ein.


Thematisch verwandte Seiten in diesem Wiki:


Weiterlernen

Videos

YouTube
Grundlagen: VPN Netzwerk
YouTube
Intro zum Kurs: OpenVPN verstehen und einrichten

Kommentare

Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.

  • Lade Kommentare …
Kommentar schreiben