VPN – Grundlagen
Was ein VPN ist, wie es funktioniert, welche Protokolle es gibt und wie du es in einem KMU richtig einsetzt und Probleme löst.
Was ist ein VPN und wozu brauchst du es?
Ein VPN (Virtual Private Network) ist ein verschlüsselter Tunnel durch das öffentliche Internet, der so wirkt, als wärst du direkt im Firmennetz eingesteckt – obwohl du von zu Hause, aus dem Hotel oder aus dem Café arbeitest. Intern siehst du Dateifreigaben, kannst auf interne Webapplikationen zugreifen und wirst von der Firewall wie ein interner Benutzer behandelt.
Ohne VPN müsstest du entweder alle internen Ressourcen ins Internet exponieren (ein Sicherheitsalptraum) oder auf Remote-Desktop-Lösungen ausweichen, die in manchen Szenarien unpraktisch sind.
Typische Anwendungsfälle im KMU:
- Mitarbeitende arbeiten im Homeoffice und brauchen Zugriff auf Dateiserver oder ERP
- Filiale verbindet sich permanent mit dem Hauptsitz (Site-to-Site)
- IT-Admin wartet Server aus der Ferne sicher via VPN + RDP
- Aussendienstmitarbeitende verbinden sich aus dem Hotel ins Firmennetz
VPN-Typen: Welcher passt wann?
Remote Access VPN
Der Klassiker im KMU: Einzelne Benutzerinnen und Benutzer verbinden sich von aussen ins Firmennetz. Der Client (z. B. ein Laptop) baut eine Verbindung zum VPN-Gateway auf der Firewall auf. Danach ist er logisch Teil des internen Netzes.
- Vorteil: Flexibel, funktioniert für jeden einzelnen User
- Einsatz: Homeoffice, mobile Mitarbeitende
Site-to-Site VPN
Zwei Standorte (z. B. Hauptsitz Zürich und Filiale Bern) verbinden sich permanent miteinander. Die VPN-Verbindung läuft zwischen zwei Firewalls – die Endgeräte an beiden Standorten merken davon nichts, sie sehen einfach das Netz des anderen Standorts.
- Vorteil: Dauerhaft, kein manuelles Verbinden nötig
- Einsatz: Filialanbindungen, Standortvernetzung
Split Tunneling vs. Full Tunnel
| Modus | Verhalten | Vorteil | Nachteil |
|---|---|---|---|
| Full Tunnel | Gesamter Traffic geht durch VPN | Zentralisierte Sicherheitskontrolle | Mehr Last auf VPN-Server, höhere Latenz |
| Split Tunnel | Nur Firmentraffic durch VPN, Rest direkt ins Internet | Entlastet VPN-Server, bessere Performance | Endgerät-Traffic unkontrolliert |
In den meisten KMU wird Split Tunneling bevorzugt, da die Bandbreite des VPN-Gateways begrenzt ist. Netflix-Streams und Windows-Updates sollen nicht über das Firmennetz laufen.
VPN-Protokolle im Vergleich
Das Protokoll bestimmt, wie der Tunnel aufgebaut wird, wie er gesichert wird und wie performant er ist. Im Jahr 2025 sind drei Protokolle dominant:
| Protokoll | Stärke | Schwäche | Typischer Einsatz |
|---|---|---|---|
| WireGuard | Sehr schnell, modern, wenig Code (~4 000 Zeilen) | Relativ jung, weniger Firewall-Kompatibilität | Linux-basierte Gateways, moderne Firewalls |
| OpenVPN | Extrem flexibel, läuft auf TCP/UDP, Open Source | Mehr Konfigurationsaufwand, etwas langsamer | Selbst gehostete VPN-Server, pfSense/OPNsense |
| IKEv2/IPsec | Nativ in Windows, iOS, Android; automatische Reconnect-Funktion | Komplexere Konfiguration, kann von Firewalls blockiert werden | Unternehmens-Firewalls (Sophos, Fortinet, Cisco), Windows Always On VPN |
| SSL/TLS VPN | Kein Client nötig, Port 443 fast immer offen | Etwas mehr Overhead | Browser-basierter Zugriff, Clientless VPN |
| PPTP / L2TP | Alt, weit verbreitet | Unsicher (PPTP) oder Performance-Probleme; nicht mehr empfehlenswert | Legacy-Systeme – bitte ablösen |
WireGuard im Detail
WireGuard ist die modernste Option. Der Code ist so kompakt (~4 000 Zeilen gegenüber ~100 000 bei OpenVPN), dass er vollständig auditiert werden kann. WireGuard ist im Linux-Kernel integriert und auf allen modernen Plattformen verfügbar. Typische Einsatzszenarien im KMU: OPNsense oder pfSense als Gateway, Mitarbeitende verbinden sich mit dem offiziellen WireGuard-Client.
IKEv2/IPsec im Unternehmenskontext
In grösseren KMU mit Firewalls von Sophos, Fortinet oder Cisco ist IKEv2/IPsec Standard. Windows unterstützt IKEv2 nativ ohne zusätzlichen Client – das macht das Rollout einfach. Mit Always On VPN (Windows Server + NPS) lässt sich ein vollautomatisches VPN einrichten, das sich vor dem Login des Benutzers verbindet und Zertifikate zur Authentifizierung nutzt.
Windows VPN einrichten (manuell)
Über die Einstellungen (GUI)
- Win+I öffnen → Netzwerk und Internet → VPN
- VPN-Verbindung hinzufügen klicken
- Anbieter: Windows (integriert)
- Verbindungsname: z. B.
Firmen-VPN - Serveradresse: IP oder FQDN des VPN-Gateways
- VPN-Typ: z. B. IKEv2 oder L2TP/IPsec mit vorinstalliertem Schlüssel
- Anmeldedaten eingeben und speichern
Über PowerShell
# IKEv2-Verbindung erstellen
Add-VpnConnection `
-Name "Firmen-VPN" `
-ServerAddress "vpn.firma.ch" `
-TunnelType "IKEv2" `
-AuthenticationMethod "MSChapv2" `
-EncryptionLevel "Required" `
-RememberCredential $true `
-SplitTunneling $true
# Verbindungen auflisten
Get-VpnConnection
# Verbinden
rasdial "Firmen-VPN" benutzername passwort
# Trennen
rasdial "Firmen-VPN" /disconnect
Split-Tunnel-Routen manuell hinzufügen
Wenn Split Tunneling aktiv ist, weiss Windows zunächst nicht, welche internen Netze durch den Tunnel sollen. Du kannst das manuell steuern:
# Route durch VPN hinzufügen (z.B. internes Netz 10.0.0.0/8)
Add-VpnConnectionRoute -ConnectionName "Firmen-VPN" -DestinationPrefix "10.0.0.0/8"
# Alle Routen einer VPN-Verbindung anzeigen
Get-VpnConnectionTrigger -ConnectionName "Firmen-VPN"
Gängige VPN-Lösungen im KMU
Offizieller WireGuard-Client für Windows, macOS, Linux, iOS und Android. Schnell, modern und einfach zu konfigurieren.
www.wireguard.com
Offizieller OpenVPN-Client. Verbindet sich zu OpenVPN-Servern, pfSense, OPNsense und anderen Gateways.
openvpn.net
| Lösung | Typ | Typischer Einsatz im KMU |
|---|---|---|
| Sophos XG / XGFW | Firewall + VPN | SSL VPN und IPsec für Endgeräte und Filialen |
| Fortinet FortiGate | Firewall + VPN | IPsec und SSL VPN, verbreitet in mittleren KMU |
| OPNsense | Open-Source-Firewall | WireGuard und OpenVPN, kostenlos, stark in der Community |
| pfSense | Open-Source-Firewall | OpenVPN, IKEv2, klassische Wahl für selbst gehostete Lösungen |
| Cisco ASA / FTD | Enterprise Firewall | IPsec/IKEv2, AnyConnect SSL VPN |
| Microsoft Always On VPN | Windows Server + NPS | Unternehmensweites, zertifikatbasiertes VPN für Domänengeräte |
Troubleshooting: Häufige VPN-Probleme
VPN verbindet sich, aber interne Ressourcen sind nicht erreichbar
Das ist das häufigste Problem bei neuen VPN-Verbindungen. Mögliche Ursachen:
- Falsches Split-Tunneling: Die Route für das interne Netz fehlt. Prüfen mit:
route print # Siehst du das interne Subnetz (z.B. 10.0.0.0) in der Routingtabelle? - DNS-Problem: Der VPN-Client nutzt noch den öffentlichen DNS-Server, nicht den internen. Internen DNS manuell in der VPN-Verbindung eintragen oder den Gateway prüfen.
- Firewall-Regel: Interne Firewall lässt VPN-Clients nicht auf den gewünschten Host zu.
# DNS prüfen: Löst der interne Hostname auf?
Resolve-DnsName fileserver.firma.local
# Verbindung zum Ziel testen (z.B. SMB-Port 445)
Test-NetConnection -ComputerName fileserver.firma.local -Port 445
VPN-Verbindung bricht immer wieder ab
Häufige Ursache: MTU-Probleme. VPN-Pakete haben durch den Tunnel-Header mehr Overhead. Wenn die MTU zu gross eingestellt ist, werden Pakete fragmentiert oder verworfen.
# Aktuelle MTU des VPN-Adapters anzeigen
Get-NetAdapter | Where-Object { $_.Name -like "*VPN*" } | Select-Object Name, MtuSize
# MTU manuell reduzieren (1350-1400 ist ein guter Startwert fuer IKEv2)
$adapter = Get-NetAdapter | Where-Object { $_.Name -like "*VPN*" }
Set-NetIPInterface -InterfaceIndex $adapter.ifIndex -NlMtuBytes 1350
Weitere Ursachen für Verbindungsabbrüche:
- UDP-Port geblockt: IKEv2 nutzt UDP 500 und 4500 (NAT-Traversal). Beide Ports müssen auf der Firewall offen sein.
- Keep-Alive zu kurz: Manche Firewalls trennen inaktive Verbindungen. Keep-Alive-Intervall im VPN-Client erhöhen.
- WLAN-Wechsel: IKEv2 unterstützt MOBIKE (Mobility and Multihoming Protocol) für nahtlosen Netzwechsel – sicherstellen, dass das Gateway MOBIKE aktiviert hat.
VPN verbindet sich gar nicht
# VPN-Ereignisse in der Ereignisanzeige prüfen
Get-WinEvent -LogName "Application" | Where-Object { $_.Message -like "*RasClient*" } | Select-Object -First 20
# Netzwerkdiagnose
Test-NetConnection -ComputerName vpn.firma.ch -Port 443
Test-NetConnection -ComputerName vpn.firma.ch -Port 500
Häufige Ursachen:
- Falsche Serveradresse oder Port: DNS-Name des Gateways auflösbar? IP direkt testen.
- Zertifikatsfehler: Bei IKEv2 muss das Serverzertifikat vertrauenswürdig sein. CA ins Windows-Zertifikatsspeicher importieren.
- Pre-Shared Key falsch: Bei PSK-basiertem IPsec den Key nochmal prüfen – ein Tippfehler reicht.
Langsame VPN-Verbindung
| Ursache | Massnahme |
|---|---|
| Gesamter Traffic durch VPN (Full Tunnel) | Split Tunneling aktivieren |
| Schwacher VPN-Server | Hardware prüfen, Protokoll zu WireGuard wechseln |
| Weit entfernter Server | Geographisch näheren Endpunkt wählen |
| Schwaches WLAN des Clients | Kabelverbindung testen, WLAN-Signal verbessern |
| MTU-Fragmentation | MTU auf 1350–1400 reduzieren |
VPN und Sicherheit im KMU
Ein VPN ist eine Zugang ins Firmennetz – entsprechend muss der Zugang gesichert sein:
1. Multi-Faktor-Authentifizierung (MFA) ist Pflicht Ein gestohlenes Passwort allein darf nicht reichen, um ins Firmennetz zu kommen. Konfiguriere MFA für den VPN-Zugang, z. B. via RADIUS + Microsoft Entra MFA oder TOTP mit einer Authenticator-App.
2. Zertifikate statt Passwörter Bei Always On VPN und IKEv2 in Unternehmensumgebungen: Computerzertifikate für die Authentifizierung nutzen. Das ist robuster als Passwörter und lässt sich gut mit Intune/MDM rollout.
3. Zugriff beschränken Nicht jeder VPN-User braucht Zugang zu allem. Nutze Firewall-Regeln oder VLAN-Segmentierung, um VPN-Clients nur auf die Ressourcen zuzulassen, die sie wirklich brauchen.
4. RDP nicht direkt aus dem Internet exponieren Der VPN ist genau der richtige Weg, um RDP abzusichern: VPN aufbauen, danach RDP auf die interne IP verbinden. Kein Port-Forwarding auf 3389 am Router. Mehr dazu auf der Seite RDP Grundlagen.
5. Logs auswerten VPN-Gateway-Logs zeigen fehlgeschlagene Logins, ungewöhnliche Zugriffszeiten und Verbindungen aus verdächtigen Ländern. Schau regelmässig rein – oder richte eine Alerting-Regel ein.
Crosslinks
Thematisch verwandte Seiten in diesem Wiki:
- RDP – Grundlagen – RDP sicher via VPN nutzen statt direkt ins Internet
- IT-Security Grundlagen für KMU – Überblick über Schutzmassnahmen inklusive MFA und Netzwerksegmentierung
- TCP/IP Grundlagen – Routing, Ports und Subnetting verstehen, bevor du VPN-Routen konfigurierst
- Intune – Grundlagen – VPN-Profile automatisch via MDM auf alle Geräte ausrollen
Weiterlernen
- Microsoft Docs: Always On VPN – Übersicht (deutsch) – Microsofts offizielle Dokumentation zu Always On VPN mit Windows Server
- WireGuard – Offizielle Website – Protokollbeschreibung, Installation und Konzepte
- OpenVPN Dokumentation – Umfangreiche Anleitung zur OpenVPN-Konfiguration
- Microsoft Docs: VPN-Authentifizierungsoptionen – Zertifikate, EAP, MSCHAPv2 im Vergleich
- armann-systems: VPN-Protokolle erklärt – Guter deutschsprachiger Vergleich der aktuellen Protokolle
- Richard M. Hicks Consulting: Always On VPN Blog – Tiefe Einblicke in Always On VPN, IKEv2-Fragmentation und Troubleshooting
Videos
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …