Eine VPN Verbindung (Virtual Private Network) ist gerade in der Vergangenheit immer mehr in den Fokus gewandert. Dies ist vor allem der angestiegenen Anzahl an Homeoffice-Mitarbeitern geschuldet.
Aber wie funktioniert ein VPN Tunnel? Hierbei muss man grundsätzlich zwischen zwei Varianten unterscheiden:
- Einen Site-to-Site Tunnel, um Firmenstandorte oder Kunden zu verbinden
- Einen Client-VPN Tunnel, der hauptsächlich für den Zugriff von unterwegs oder aus dem Homeoffice genutzt wird
Im Grund unterscheiden sich die beiden Varianten nicht sehr stark voneinander. Es kommt allerdings auf die genutzte Technologie an, wie Daten zwischen den beiden Endpunkten verschlüsselt werden.
In diesem Artikel werden deshalb nur VPN-Tunnel auf IPSec-Basis behandelt. Lösungen wie OpenVPN und Wireguard nutzen eine andere Herangehensweise.
Wichtig bei bei allen Varianten einer VPN Verbindung sind unterschiedliche Netzwerke. Wird zum Beispiel auf Seite A das Netzwerk 192.168.0.0 / 24 eingesetzt, so muss man auf Seite B zwingend ein anderes Netzwerk nutzen, da die Pakete sonst nicht geroutet werden können. Also zum Beispiel 192.168.1.0 / 24.
Site-to-Client Tunnel
Ein Site-to-Client-VPN unterscheidet sich von einem Site-to-Site Tunnel nur darin, dass auf der Seite des Zugreifenden keine Firewall steht.
Damit eine Verbindung dennoch aufgebaut werden kann, muss auf dem Client eine entsprechende Software installiert werden. Diese kümmert sich dann um die Verbindung mit der entfernten Firewall und tauscht die Verschlüsselungsalgorithmen mit dieser aus. Der Rest der Technik ist identisch mit dem Site-to-Site Tunnel.
Site-to-Site Tunnel
Ein Site-to-Site Tunnel kann man sich wie eine Röhre vorstellen, in der eine weitere Röhre eingebaut ist durch die dann die Daten fließen können.
Anders als beim Site-to-Client Tunnel baut beim Site-to-Site Tunnel die Firewall oder ein dediziertes Gateway desjeweiligen Netzwerks die VPN-Verbindung zu einer anderen Site auf.
Ist der Tunnel zwischen zwei Standorten (Hauptstandort – Zentrale & Niederlassung) aufgebaut, so kann man auf Dienste und Dateien auf den jeweils anderen Standort zugreifen solange es die Firewall Regeln natürlich zulassen als würde man im anderen Gebäude sitzen ohne einen zusätzlichen Clients installieren zu müssen und eine Verbindung aufzubauen.
Schreibe eine Antwort