Datum: | Internet, Netzwerk, Sicherheit

Bei der Anbindung von Zweigstellen an die Hauptniederlassung zum Einsatz benötigt nicht jedes Unternehmen gleich den Funktionsumfang eines VPN-Clients. Site-2-Site-VPNs stellen hier eine gute Alternative dar und sind mindestens genauso sicher. Hier erfahren Sie, wie Site-to-Site-VPNs funktionieren und worin Sie sich von Standard-VPNs unterscheiden.

1.Was ist ein Site-to-Site-VPN und worin unterscheidet es sich von einem „normalen“ VPN?

Site to Site VPN Erklärung

In einem Site-to-Site-VPN werden komplette Netzwerke über einen OpenVPN-Tunnel miteinander verbunden.

Mit einem Site-2-Site-VPN können Büros an unterschiedlichen (festen) Standorten über ein öffentliches Netzwerk sichere Verbindungen herstellen. Dazu werden die kompletten Netzwerke über einen OpenVPN-Tunnel miteinander verbunden. Tunnel-Endpunkt kann dabei beispielsweise ein Router, Gateway, Windows Server oder auch ein Software-Client sein. Das Site-2-Site-VPN stellt demnach eine Art Erweiterung des Unternehmens-Netzwerkes dar, das den Mitarbeiter der verschiedenen Standorte Zugriff auf die Ressourcen eines oder mehrerer anderer Standorte gewährt.

Grundsätzlich unterscheidet man zweierlei Arten von Site-to-Site-VPNs:

  • Bei intranet-basierten Site-2-Site-VPNs verfügt das Unternehmen über einen oder mehrere Remote-Standorte (mit separaten LANs), die über ein einzelnes privates Netzwerk (WAN) verbunden werden.
  • In einem extranet-basierten Site-2-Site-VPN werden hingegen die LANs von unterschiedlichen Unternehmen miteinander verbunden. Auf diese Weise können diese in einer sicheren, gemeinsamen Netzwerkumgebung interagieren und zugleich den Zugriff auf das eigene Intranet verhindern.

Die Hosts innerhalb des Site-2-Site-VPNs verwenden keine Client-Software, sondern versenden und empfangen gewöhnlichen TCP/IP-Traffic durch ein sogenanntes VPN-Gateway. Dieses kümmert sich auch um die Kapselung und die Verschlüsselung des nach außen gehenden Datenverkehrs.

Erklärung: Als „Kapselung“ bezeichnet man in der Informationstechnologie die Schichtung von Paketen.

Anschließend wird der Traffic über den VPN-Tunnel über das Netz an ein zugehöriges Ziel-Gateway geschickt, das die Header entschlüsselt und den Paket-Inhalt an den Ziel-Host innerhalb des privaten Netzwerks weiterleitet. Alle übertragenen Informationen müssen sich dabei authentifizieren (entweder mit digitaler Signatur oder digitalem Zertifikat).

2. S2S-VPN einrichten: Keine zusätzliche Konfiguration erforderlich

Firewall Symbol

Der Konfigurationsaufwand in einem Site-2-Site VPN ist relativ gering. Zum Hinzufügen neuer Zweistellen oder Büros müssen lediglich auf beiden Seiten die entsprechenden Ports in der Firewall freigegeben werden.

Site-to-Site-VPNs sind skalierbar, das bedeutet, die Verbindungen werden unsichtbar und ohne zusätzliche Konfiguration über das zentrale Netzwerk geleitet. Daher ist es im Grunde genommen auch recht einfach, eine neue Zweigstelle oder ein neues Büro zu einem bestehende Netzwerk hinzuzufügen. Es müssen dafür lediglich die von der Verbindung genutzten Ports (zu beiden Seiten) in den Firewall-Regeln für die WAN-Schnittstelle freigegeben werden.

Das am häufigsten eingesetzte Tunneling-Protokoll bei Site-to-Site-VPNs ist IPSec ESP (Encapsulating Security Payload). Dabei handelt es sich um eine „aufgebohrte“ Version des IP-Protokolls, das man auch im Internet und in den meisten modernen Unternehmensnetzwerken findet. Alternativ kann auch noch MPLS (Multi-Protocol Label Switching) verwendet werden, welches allerdings keine Verschlüsselung bietet. 

Für den Remote-Zugriff wird entweder PPTP (Point to Point Tunneling Protocol) oder L2TP (Layer 2 Tunneling Protocol) über IPsec verwendet, welches auch deutlich sicherer als PPTP ist. In den letzten Jahren haben sich aber zunehmend auch alternative Lösungen auf Basis von SSL etabliert. Diese nutzen den Web-Browser als VPN-Client, benötigen in der Regel aber noch Zusatzkomponenten (z.B. Java Applets).

Weiterführende Informationen betreffend der DNS-Weiterleitung innerhalb Site-to-Site-VPNs finden Sie unter anderem hier.

Gut zu wissen: Sie können Site-2-Site-VPNs auch als Dienstleistung einkaufen und von externen Spezialisten verwaltet lassen. Diese Variante ist vor allem für kleinere und mittlere Unternehmen interessant, die im Hinblick auf die Personal- und Produktkosten nur beschränkte Mittel bereitstellen können/möchten oder sich einfach generell nicht mit der Administration eines VPNs auseinandersetzen wollen.

Einige VPN-Typen werden auch im folgenden Video vorgestellt:

26 Bewertungen

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne Ø 4,50
Was ist eigentlich ein Site-to-Site-VPN?
Loading...