Lauritzl am 16. April 2026 um 11:23 Uhr

2026-04-16T11:23:40Z

Maltea am 28. Februar 2025 um 10:54 Uhr

2025-02-28T10:54:46Z

Lauritzl am 15. August 2024 um 08:15 Uhr

2024-08-15T08:15:00Z

← Nächstältere Version		Version vom 15. August 2024, 10:15 Uhr
Zeile 56:		Zeile 56:
	\| Bei PPTP VPN handelt es sich nachgewiesenermaßen um ein unsicheres VPN Protokoll. Es wird dringend empfohlen dieses Protokoll nicht mehr zu verwenden. Benutzen sie stattdessen für Roadwarrior Verbindungen SSL VPN, IPSec xAuth oder IPSec mit L2TP.		\| Bei PPTP VPN handelt es sich nachgewiesenermaßen um ein unsicheres VPN Protokoll. Es wird dringend empfohlen dieses Protokoll nicht mehr zu verwenden. Benutzen sie stattdessen für Roadwarrior Verbindungen SSL VPN, IPSec xAuth oder IPSec mit L2TP.
	\| PPTP VPN has been proven to be an insecure VPN protocol. It is strongly recommended not to use this protocol anymore. Instead, use SSL VPN, IPSec xAuth or IPSec with L2TP for Roadwarrior connections. }}		\| PPTP VPN has been proven to be an insecure VPN protocol. It is strongly recommended not to use this protocol anymore. Instead, use SSL VPN, IPSec xAuth or IPSec with L2TP for Roadwarrior connections. }}
			{{var \| Veraltete Versionen
			\| Veraltete Versionen
			\| }}
			{{var \| Hinweis--Veraltete Versionen
			\| Von der Nutzung dieser Betriebssystem Versionen wird abgeraten. Eine Funktion mit aktuellen UTM-Versionen kann nicht gewährleistet werden.
			\| }}
	{{var \| Das Point-to-Point Tunneling Protocol		{{var \| Das Point-to-Point Tunneling Protocol
	\| Das Point-to-Point Tunneling Protocol (PPTP) wird in der Regel für Roadwarrior Verbindungen eingesetzt.<br>		\| Das Point-to-Point Tunneling Protocol (PPTP) wird in der Regel für Roadwarrior Verbindungen eingesetzt.<br>
Zeile 221:		Zeile 227:
	\| Konfiguration einer PPTP-VPN Verbindung		\| Konfiguration einer PPTP-VPN Verbindung
	\| Configuration of a PPTP VPN connection }}		\| Configuration of a PPTP VPN connection }}
	~~{{var \| neu--ARM-Unterstützung~~
	~~\| Da OpenVPN inzwischen auch ARM-Prozessoren unterstützt, wurde der Hinweis auf fehlende ARM-Unterstützung entfernt.~~
	~~\| Since OpenVPN now also supports ARM processors, the reference to missing ARM support has been removed. }}~~

	----		----

Lauritzl am 5. Oktober 2022 um 06:51 Uhr

2022-10-05T06:51:54Z

Änderungen zeigen

Lauritzl: Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | VPN-Übersicht | }} {{var | head | Übersicht über die verschiedenen VPN-Verbindungst…“

2022-08-10T11:51:59Z

Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | VPN-Übersicht | }} {{var | head | Übersicht über die verschiedenen VPN-Verbindungst…“

Neue Seite

{{Lang}}

{{#vardefine:headerIcon|spicon-utm}}

{{var | display
| VPN-Übersicht
| }}
{{var | head
| Übersicht über die verschiedenen VPN-Verbindungstechniken der Securepoint UTM
| }}
{{var | IKEv2-NAT
| NAT auf beiden Seiten mit IKEv2 ist zwar weiterhin möglich, wird aber nicht mehr empfohlen, da es oft Probleme mit nachgeordneten Routern in lokalen Netzen gibt, die Pakete nicht korrekt behandeln
| }}
{{var | Vorwort
| In diesem Artikel werden die verschiedenen Techniken zum Aufbau einer VPN-Verbindung (Virtual Private Network), die in der Securepoint UTM installiert sind, erläutert und es wird eine Übersicht gegeben, wann diese am besten eingesetzt werden sollten.
| }}
{{var | Techniken
| Techniken
| }}
{{var | Protokolle
| Protokolle
| Protocols }}
{{var | IPSec VPN--desc
| IPSec ist ein sehr sicherer VPN Standard, bestehend aus unterschiedlichen Protokollen, der sowohl für Site to Site als auch für End to Site, die von uns als Roadwarrior bezeichneten, Verbindungen eingesetzt werden kann.

IPSec bringt aber einige Merkmale mit, die sich teilweise negativ auf den Aufbau und die Stabilität einer VPN Verbindung auswirken können. Insbesondere bei Verbindungen die über Router auf andere IP-Adressbereiche genattet werden, da die IPSec Pakete durch NAT eine neue IP-Adresse und einen neuen Quell-Port erhalten. Hier kommt dann das IPSec-NAT-Traversal zum Einsatz.

In der Praxis gibt es aber nach wie vor Stabilitäts-Probleme bei Verbindungen, bei der die Router, die die VPN Verbindung herstellen sollen, hinter einem NAT-Router positioniert sind und somit keinen direkten Zugriff auf die Internetleitung haben. Daran hat leider auch die Version 2 des IKE Protokolls nicht geändert.

Um trotzdem eine möglichst Stabile Verbindung zu erstellen, hat sich der Einsatz von [[UTM/AUTH/RSA-Keys | RSA-Schlüsseln]] statt eines Pre-Shared Key (PSK) zur Authentifizierung bewährt.
| }}
{{var | SSL VPN-Ports
| Standard 1194/UDP; Kann aber fast jeden freien Port und auch das Protokoll TCP nutzen.
| }}
{{var | SSL VPN--desc
| Die Securepoint Firewall Appliances bieten eine SSL (Secure Socket Layer) verschlüsselte VPN Verbindung auf der Basis des Open-Source Projektes OpenVPN an. OpenVPN zeichnet sich durch hohe Flexibilität, eine relativ einfache Konfiguration und gute Verschlüsselung der Daten und damit einer sehr hohen Sicherheit aus. 
Weiterhin hat OpenVPN in der Regel keine Probleme mit genatteten Verbindungen und ist daher auch als sehr stabile Alternative zu IPSec VPN Site to Site Verbindungen einsetzbar.
| }}
{{var | L2TP VPN--desc
| Das L2TP (Layer 2 Tunneling Protokoll) ist eine Kombination aus den Protokollen PPTP (Point to Point Tunneling Protokoll) und L2F (Layer 2 Forwarding). Da L2TP lediglich eine Benutzerauthentifizierung, aber keine Verschlüsselung unterstützt, wird es in Verbindung mit dem IPSec Protokoll eingesetzt. L2TP wird speziell zur Einbindung von Einzelrechnern an Netzwerke benutzt.
| }}
{{var | PPTP VPN-Hinweis
| Als nachgewiesenermaßen unsicheres Protokoll wird PPTP VPN von der UTM nicht mehr unterstützt.
| }}
{{var | PPTP VPN-Einblenden--cap
| Angaben zu PPTP VPN anzeigen
| }}
{{var | PPTP VPN-Einblenden--desc
| Bei PPTP VPN handelt es sich nachgewiesenermaßen um ein unsicheres VPN Protokoll. Es wird dringend empfohlen dieses Protokoll nicht mehr zu verwenden. Benutzen sie stattdessen für Roadwarrior Verbindungen SSL VPN, IPSec xAuth oder IPSec mit L2TP.
| }}
{{var | Das Point-to-Point Tunneling Protocol
| Das Point-to-Point Tunneling Protocol (PPTP) wird in der Regel für Roadwarrior Verbindungen eingesetzt. 
Die VPN Verbindung wird über den TCP-Port 1723 initialisiert und der Datenfluss anschließend mit dem Generic Routing Encapsulation Protocol (GRE) gesteuert.
| }}
{{var | Site to Site VPN Verbindungen
| Site to Site VPN Verbindungen
| }}
{{var | Site to Site VPN Verbindungen--desc
| In der folgenden Tabelle wird dargestellt, welche VPN-Technik im Zusammenspiel mit welcher Internetverbindung nach unserer Erfahrung am stabilsten läuft.
| }}
{{var | Kabelanschluss
| Kabelanschluss
| }}
{{var | ohne NAT
| ohne NAT
| }}
{{var | NAT auf einer Seite
| NAT auf einer Seite
| }}
{{var | NAT auf beiden Seiten
| NAT auf beiden Seiten
| }}
{{var | mit RSA-Schlüssel
| mit RSA-Schlüssel
| }}
{{var | Legende
| Legende
| }}
{{var | Empfohlen
| Empfohlen
| }}
{{var | möglich
| möglich
| }}
{{var | nicht empfohlen
| nicht empfohlen
| }}
{{var | Erklärung zur Tabelle
| Erklärung zur Tabelle
| }}
{{var | Erklärung zur Tabelle--desc
| Aufgrund der Eigenschaften von SSL VPN bzw. OpenVPN haben wir die Erfahrung gemacht, das mit dieser Technik fast immer eine stabile VPN Verbindung eingerichtet werden kann.

RSA-Schlüssel bestehen aus einem privaten und einem öffentlichen Schlüssel und sorgen für eine sichere Authentifizierung. Diese Schlüsselpaare können auf jeder Securepoint Appliance erzeugt und die öffentlichen Schlüssel ausgetauscht werden.

Leider müssen wir immer wieder die Erfahrung machen, dass Verbindungen über LTE (Long Term Evolution) vom Internet Provider genattet werden. Am besten läuft die Verbindung mit einer öffentlichen IP vom Provider. Ansonsten sind die VPN Verbindungen über IPSec in der Regel nicht stabil, wenn sie denn überhaupt aufgebaut werden.
| }}
{{var | Einrichtung der Site-to-Site Verbindungen
| Einrichtung der Site-to-Site Verbindungen
| }}
{{var | IPSec_Arten
| IPSec_Arten
| }}
{{var | IPSec_Arten--desc
| Konfigurationsmöglichkeiten einer IPSec-Verbindung
| }}
{{var | IPSec_Site_to_Site_v11--desc
| Konfiguration einer S2S Verbindung mit IPSec
| }}
{{var | UTM/VPN/SSL_VPN-S2S--desc
| Konfiguration einer SSL-VPN S2S Verbindung
| }}
{{var | UTM/VPN/SSL_VPN-S2S-Fallback--desc
| Konfiguration einer SSL-VPN S2S Verbindung mit Fallback
| }}
{{var | UTM/VPN/DNS_Relay--desc
| Konfiguration eines DNS-Relay über eine IPSec oder SSL-VPN Site to Site VPN-Verbindung
| }}
{{var | UTM/VPN/IPSec-HTTP--desc
| Hinweise zu HTTP-Verbindungen über VPN-Verbindungen
| }}
{{var | Netmap_11.5--desc
| Konfiguration von VPN Verbindungen mit identischen Netzwerken (ab 11.5)
| }}
{{var | Roadwarrior oder End to Site VPN Verbindungen
| Roadwarrior oder End to Site VPN Verbindungen
| }}
{{var | Roadwarrior oder End to Site VPN Verbindungen--desc
| Nicht alle Betriebssysteme bieten die Möglichkeit, alle VPN Techniken anzuwenden.

Die folgende Tabelle gibt eine Übersicht.
| }}
{{var | nur Version
| nur Version
| }}
{{var | ab Ver.2
| ab Ver.2
| }}
{{var | Tunnelblick
| Tunnelblick
| }}
{{var | Betriebssystem
| Betriebssystem
| }}
{{var | nicht möglich
| nicht möglich
| }}
{{var | Tabelle Roadwarrior--desc
| OpenVPN Clients gibt es derzeit für fast alle Systeme, ist einfach einzurichten, stabil und sicher. 
Bei dem Securepoint Client ist die Konfiguration über die Benutzereinrichtung schon enthalten. Dieser muss also nur noch Installiert (Installer) oder gestartet (Portable) werden. 

Für die OpenVPN Clients oder den "Tunnelblick", wird die fertige Konfiguration mit den benötigten Zertifikaten heruntergeladen und in den Client Importiert. Auch dieses ist einfach umzusetzen. Lediglich beim Apple iOS müssen die Zertifikate mit in die Konfigurationdatei kopiert werden, so dass der OpenVPN Client auf nur eine einzige Datei zugreifen muss. Die passende Anleitung finden Sie im [[UTM/VPN/SSL_VPN-Roadwarrior-iOS | Wiki]].

Bei einem Windows Phone 8 werden IPSec- und L2TP-VPN erst ab Version 8.1 unterstützt.

Bei Linux und Unix hängt es stark von der Distribution ab, welcher IPSec-VPN Client mitgeliefert wird.

Der Hinweis "mit Client" bezieht sich auf unsere Erfahrung mit dem TheGreenbow oder NCP Client. Ansonsten gehen wir, bis auf SSL-VPN, von den bordeigenen VPN-Clients aus, die die Betriebssysteme mitbringen.

Es kommt immer wieder zu Problemen mit der Stabilität einer VPN-Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte deaktivieren Sie auf diesen Geräten jegliche Firewall-Funktionalität.

Da PPTP-VPN zu unsicher ist und L2TP/IPSec unter Windows nach jeweils 1 Stunde abbricht, werden diese beiden Verfahren von uns nicht empfohlen.
| }}
{{var | Tabelle Roadwarrior-Hinweis
| Windows XP und Windows Vista sind von Microsoft nicht mehr unterstützte Betriebssysteme, welche in der Regel nicht mehr mit Sicherheitsupdates versorgt werden. Daher sehen wir auch eine Gefährdung für das Netzwerk mit welchem sich dieser Rechner per VPN verbinden soll.
| }}
{{var | Hinweis zu Windows 7
| Ebenfalls sollte Windows 7 nur noch verwendet werden, wenn die erweiterten Sicherheits-Updates (Extended Security Updates, ESU) bezogen werden. 
Ist dies nicht der Fall ist auch Windows 7 als unsicher einzustufen und stellt eine Gefährdung für Netzwerke dar.
| }}
{{var | Einrichtung der Roadwarrior-Verbindungen
| Einrichtung der Roadwarrior-Verbindungen
| }}
{{var | V11_OpenVPN_Roadwarrior--desc
| Konfiguration einer Openvpn Roadwarrior Verbindung für Windows
| }}
{{var | OpenVPN_mit_iOS--desc
| Konfiguration einer Openvpn Roadwarrior Verbindung für iOS
| }}
{{var | 1=MAC_und_OpenVPN
| 2=MAC_und_OpenVPN
| 3=Mac_and_OpenVPN }}
{{var | MAC_und_OpenVPN--desc
| Konfiguration einer Openvpn Roadwarrior Verbindung für OS X
| }}
{{var | IPSec_-_Roadwarrior_mit_XAuth--desc
| Konfiguration einer Xauth-Verbindung iOS/Android/Greenbow
| }}
{{var | IPSec_Site_to_End--desc
| Konfiguration einer nativen IPSec-Verbindung
| }}
{{var | L2TP_Roadwarrior--desc
| Konfiguration einer L2TP-VPN Verbindung
| }}
{{var | Howtos-V11/PPTP_VPN--desc
| Konfiguration einer PPTP-VPN Verbindung
| }}
{{var | neu--ARM-Unterstützung
| Da OpenVPN inzwischen auch ARM-Prozessoren unterstützt, wurde der Hinweis auf fehlende ARM-Unterstützung entfernt.
| }}

----
{{var |
|
| }}

</div>

UTM/VPN/Übersicht.lang - Versionsgeschichte

Lauritzl am 16. April 2026 um 11:23 Uhr

Maltea am 28. Februar 2025 um 10:54 Uhr

Lauritzl am 15. August 2024 um 08:15 Uhr

Lauritzl am 5. Oktober 2022 um 06:51 Uhr

Lauritzl: Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | VPN-Übersicht | }} {{var | head | Übersicht über die verschiedenen VPN-Verbindungst…“