Maltea (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 5: | Zeile 5: | ||
{{:UTM/VPN/Übersicht.lang}} | {{:UTM/VPN/Übersicht.lang}} | ||
{{var | neu-- | {{var | neu--Win11 | ||
| | | Windows11 wurde in der VPN Übersicht ergänzt | ||
| | | }} | ||
{{var | neu--Beschreibung | |||
| Aktualisierung der Beschreibungen der VPN-Typen | |||
| }} | |||
</div><div class="new_design"></div>{{Select_lang}}{{TOC2}} | </div><div class="new_design"></div>{{Select_lang}}{{TOC2}} | ||
{{Header| | {{Header|04.2026| | ||
* {{#var:neu-- | * {{#var:neu--Win11}} | ||
|[[UTM/VPN/Übersicht_08.2022 | 08.2022]] | * {{#var:neu--Beschreibung}} | ||
[[UTM/VPN/Übersicht_v11.8 | 11.8]] | | [[UTM/VPN/Übersicht_12.2023 | 12.2023]] | ||
<!-- | |||
[[UTM/VPN/Übersicht_08.2022 | 08.2022]] | |||
[[UTM/VPN/Übersicht_v11.8 | 11.8]] | |||
--> | |||
}} | }} | ||
| Zeile 20: | Zeile 27: | ||
==={{#var:Techniken}}=== | === {{#var:Techniken}} === | ||
==== | ==== WireGuard ==== | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{| class="noborder" | {| class="noborder pd5" | ||
| {{#var:Protokolle}}: || | | {{#var:Protokolle}}: || WireGuard | ||
|- | |- | ||
| Ports: || | | Ports: || {{#var:WireGuard--Ports}} | ||
|} | |} | ||
{{#var: | {{#var:WireGuard--desc}} | ||
<li class="list--element__alert list--element__warning">{{#var:WireGuard--Hinweis}}</li> | |||
</div> | </div> | ||
====SSL VPN==== | ==== SSL VPN ==== | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{| class="noborder" | {| class="noborder pd5" | ||
| {{#var:Protokolle}}: || SSL, TLS | | {{#var:Protokolle}}: || SSL, TLS | ||
|- | |- | ||
| Zeile 46: | Zeile 54: | ||
==== | ==== IPSec VPN ==== | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{| class="noborder pd5" | |||
| {{#var:Protokolle}}: || IKE, ESP, NAT-Traversal | |||
|- | |||
| Ports: || 500/UDP (IKE), 4500/UDP (NAT-Traversal) | |||
|} | |||
{{#var:IPSec VPN--desc}} | |||
</div> | |||
==== L2TP VPN ==== | |||
<div class="Einrücken pd5"> | |||
{{Hinweis-box| {{#var:L2TP--Hinweis}} | g}}<br> | |||
{{sp-einblenden| {{#var:L2TP anzeigen}} }} | |||
{| class="noborder" | {| class="noborder" | ||
|{{#var:Protokolle}}: || L2TP | |{{#var:Protokolle}}: || L2TP | ||
| Zeile 53: | Zeile 75: | ||
|Ports: || 1701/UDP | |Ports: || 1701/UDP | ||
|} | |} | ||
<p>{{#var:L2TP--Menu}}</p> | |||
{{#var:L2TP VPN--desc}} | {{#var:L2TP VPN--desc}} | ||
</div> | </div></div> | ||
====PPTP VPN==== | ==== PPTP VPN ==== | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{Hinweis-box|{{#var:PPTP VPN-Hinweis}}|r}} | {{Hinweis-box|{{#var:PPTP VPN-Hinweis}}|r}} <br> | ||
{{ | {{sp-einblenden | {{#var:PPTP VPN-Einblenden--cap}} }} | ||
{{#var:PPTP VPN-Einblenden--desc}} | {{#var:PPTP VPN-Einblenden--desc}} | ||
<br> | <br> | ||
{| class="noborder" | {| class="noborder pd5" | ||
| {{#var:Protokolle}}: || PPTP, GRE | | {{#var:Protokolle}}: || PPTP, GRE | ||
|- | |- | ||
| Zeile 71: | Zeile 93: | ||
{{#var:Das Point-to-Point Tunneling Protocol}} | {{#var:Das Point-to-Point Tunneling Protocol}} | ||
</div><br clear=all> | </div><br clear=all> | ||
---- | ---- | ||
| Zeile 78: | Zeile 100: | ||
=== {{#var:Site to Site VPN Verbindungen}} === | === {{#var:Site to Site VPN Verbindungen}} === | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
==== {{#var:VPN-Typ in Verbindung mit Anschluss-Art}} ==== | |||
{{#var:Site to Site VPN Verbindungen--desc}} | {{#var:Site to Site VPN Verbindungen--desc}} | ||
</div> | </div> | ||
| Zeile 121: | Zeile 144: | ||
===={{#var:Einrichtung der Site-to-Site Verbindungen}}==== | ==== {{#var:Einrichtung der Site-to-Site Verbindungen}} ==== | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
* [[UTM/VPN/DNS_Relay | {{#var:UTM/VPN/DNS_Relay--desc}} ]] | |||
===== WireGuard ===== | |||
* [[UTM/VPN/WireGuard-S2S | {{#var:WireGuard S2S--Link}}]] | |||
===== SSL-VPN ===== | |||
* [[UTM/VPN/SSL_VPN-S2S | {{#var:UTM/VPN/SSL_VPN-S2S--desc}} ]] | |||
* [[UTM/VPN/SSL_VPN-S2S-Fallback | {{#var:UTM/VPN/SSL_VPN-S2S-Fallback--desc}} ]] | |||
* [[UTM/VPN/ | ===== IPSec ===== | ||
* [[UTM/VPN/IPSec_Arten | {{#var:IPSec_Arten--desc}} ]] | |||
* [[UTM/VPN/IPSec-S2S| {{#var:IPSec_Site_to_Site_v11--desc}} ]] | |||
* [[UTM/VPN/Netmap | {{#var:Netmap_11.5--desc}} ]] | |||
* [[UTM/VPN/IPSec-HTTP | {{#var:UTM/VPN/IPSec-HTTP--desc}} ]] | * [[UTM/VPN/IPSec-HTTP | {{#var:UTM/VPN/IPSec-HTTP--desc}} ]] | ||
</div> | </div> | ||
---- | ---- | ||
| Zeile 141: | Zeile 167: | ||
==={{#var:Roadwarrior oder End to Site VPN Verbindungen}}=== | ==={{#var:Roadwarrior oder End to Site VPN Verbindungen}}=== | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
==== {{#var:VPN-Typ in Verbindung mit Betriebssystem}} ==== | |||
{{#var:Roadwarrior oder End to Site VPN Verbindungen--desc}} | {{#var:Roadwarrior oder End to Site VPN Verbindungen--desc}} | ||
</div> | </div> | ||
| Zeile 147: | Zeile 174: | ||
|- | |- | ||
! {{#var:Betriebssystem}} !! WireGuard !! SSL-VPN !! IPSec IKEv1 !! IPSec IKEv2 !! IPSec XAuth !! L2TP / IPSec | ! {{#var:Betriebssystem}} !! WireGuard !! SSL-VPN !! IPSec IKEv1 !! IPSec IKEv2 !! IPSec XAuth !! L2TP / IPSec | ||
|- | |||
| Windows 11 || class="bc__ja check" | || class="bc__ja check" | <br><small>OpenVPN</small> || class="bc__nein ban" | || class="bc__ja check" | || class="bc__nein ban" | || class="bc__teilweise blackalert" | | |||
|- | |- | ||
| Windows 10 || class="bc__ja check" | || class="bc__ja check" | <br><small>{{#var:ab Ver.2}}</small> || class="bc__ja check client" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__teilweise blackalert" | | | Windows 10 || class="bc__ja check" | || class="bc__ja check" | <br><small>{{#var:ab Ver.2}}</small> || class="bc__ja check client" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__teilweise blackalert" | | ||
| Zeile 157: | Zeile 186: | ||
|- | |- | ||
| Android || class="bc__ja check" | || class="bc__ja check" | <br><small>OpenVPN</small> || class="bc__teilweise blackalert" | || class="bc__teilweise blackalert" | || class="bc__ja check" | || class="bc__teilweise blackalert" | | | Android || class="bc__ja check" | || class="bc__ja check" | <br><small>OpenVPN</small> || class="bc__teilweise blackalert" | || class="bc__teilweise blackalert" | || class="bc__ja check" | || class="bc__teilweise blackalert" | | ||
<!-- | |||
|- id="mw-customcollapsible-deprecated" class="mw-collapsible mw-made-collapsible mw-collapsed Leerzeile" | |||
| | | colspan="7" | {{Hinweis-box|{{#var:Hinweis--Veraltete Versionen}} }} | ||
|- id="mw-customcollapsible-deprecated" class="mw-collapsible mw-made-collapsible mw-collapsed" | |||
{{Hinweis-box|{{#var:Hinweis--Veraltete Versionen}} }} | |||
| Windows XP [[#XP | <sup>{{Alert}}</sup> ]] || class="bc__nein ban" | || class="bc__teilweise blackalert" | <br><small>{{#var:nur Version}} 1.0.1</small>|| class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__teilweise blackalert" | | | Windows XP [[#XP | <sup>{{Alert}}</sup> ]] || class="bc__nein ban" | || class="bc__teilweise blackalert" | <br><small>{{#var:nur Version}} 1.0.1</small>|| class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__teilweise blackalert" | | ||
|- | |- id="mw-customcollapsible-deprecated" class="mw-collapsible mw-made-collapsible mw-collapsed" | ||
| Windows Vista [[#XP | <sup>{{Alert}}</sup>]] || class="bc__nein ban" | || class="bc__ja check" | || class="bc__ja check | | Windows Vista [[#XP | <sup>{{Alert}}</sup>]] || class="bc__nein ban" | || class="bc__ja check" | || class="bc__ja check" | {{#var:mit Client}} || class="bc__ja check client" | || class="bc__ja check client" | || class="bc__teilweise blackalert" | | ||
|- | |- id="mw-customcollapsible-deprecated" class="mw-collapsible mw-made-collapsible mw-collapsed" | ||
| Windows 7 [[#W7 | <sup>{{Alert}}</sup>]] || class="bc__ja check" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__teilweise blackalert" | | | Windows 7 [[#W7 | <sup>{{Alert}}</sup>]] || class="bc__ja check" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__teilweise blackalert" | | ||
|- | |- id="mw-customcollapsible-deprecated" class="mw-collapsible mw-made-collapsible mw-collapsed" | ||
| Windows RT || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | | | Windows RT || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | | ||
|- | |- id="mw-customcollapsible-deprecated" class="mw-collapsible mw-made-collapsible mw-collapsed" | ||
| Windows 8 || class="bc__nein ban" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__teilweise blackalert" | | | Windows 8 || class="bc__nein ban" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__teilweise blackalert" | | ||
|- | |- id="mw-customcollapsible-deprecated" class="mw-collapsible mw-made-collapsible mw-collapsed" | ||
| Windows 8.1 || class="bc__ja check" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__teilweise blackalert" | | | Windows 8.1 || class="bc__ja check" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__teilweise blackalert" | | ||
|- | |- id="mw-customcollapsible-deprecated" class="mw-collapsible mw-made-collapsible mw-collapsed" | ||
| Windows Server 2003R2 || class="bc__nein ban" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__nein ban" | || class="bc__ja check client" | || class="bc__teilweise blackalert" | | | Windows Server 2003R2 || class="bc__nein ban" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__nein ban" | || class="bc__ja check client" | || class="bc__teilweise blackalert" | | ||
|- | |- id="mw-customcollapsible-deprecated" class="mw-collapsible mw-made-collapsible mw-collapsed" | ||
| Windows Server 2008 || class="bc__nein ban" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__ja check client" | || class="bc__ja check client" | || class="bc__teilweise blackalert" | | | Windows Server 2008 || class="bc__nein ban" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__ja check client" | || class="bc__ja check client" | || class="bc__teilweise blackalert" | | ||
|- | |- id="mw-customcollapsible-deprecated" class="mw-collapsible mw-made-collapsible mw-collapsed" | ||
| Windows Server 2008R2 || class="bc__ja check" | || class="bc__ja check" | || class="bc__teilweise blackalert" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__teilweise blackalert" | | | Windows Server 2008R2 || class="bc__ja check" | || class="bc__ja check" | || class="bc__teilweise blackalert" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__teilweise blackalert" | | ||
|- | |- id="mw-customcollapsible-deprecated" class="mw-collapsible mw-made-collapsible mw-collapsed" | ||
| Windows Server 2012 || class="bc__nein ban" | || class="bc__ja check" | || class="bc__teilweise blackalert" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__teilweise blackalert" | | | Windows Server 2012 || class="bc__nein ban" | || class="bc__ja check" | || class="bc__teilweise blackalert" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__teilweise blackalert" | | ||
|- | |- id="mw-customcollapsible-deprecated" class="mw-collapsible mw-made-collapsible mw-collapsed" | ||
| Windows Server 2012R2 || class="bc__ja check" | || class="bc__ja check" | || class="bc__teilweise blackalert" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__teilweise blackalert" | | | Windows Server 2012R2 || class="bc__ja check" | || class="bc__ja check" | || class="bc__teilweise blackalert" | || class="bc__ja check" | || class="bc__ja check client" | || class="bc__teilweise blackalert" | | ||
|- | |- id="mw-customcollapsible-deprecated" class="mw-collapsible mw-made-collapsible mw-collapsed" | ||
| Windows Phone 7 || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | | | Windows Phone 7 || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | | ||
|- | |- id="mw-customcollapsible-deprecated" class="mw-collapsible mw-made-collapsible mw-collapsed" | ||
| Windows Phone 8 || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | | | Windows Phone 8 || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | | ||
|- | |- id="mw-customcollapsible-deprecated" class="mw-collapsible mw-made-collapsible mw-collapsed" | ||
| Windows Phone 8.1 || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__teilweise blackalert" | || class="bc__nein ban" | || class="bc__teilweise blackalert" | | | Windows Phone 8.1 || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__nein ban" | || class="bc__teilweise blackalert" | || class="bc__nein ban" | || class="bc__teilweise blackalert" | | ||
|- | |- id="mw-customcollapsible-deprecated" class="mw-collapsible mw-made-collapsible mw-collapsed" class="mw-collapsible mw-made-collapsible mw-collapsed" | ||
! {{#var:Betriebssystem}} !! WireGuard !! SSL-VPN !! IPSec IKEv1 !! IPSec IKEv2 !! IPSec XAuth !! L2TP / IPSec | ! {{#var:Betriebssystem}} !! WireGuard !! SSL-VPN !! IPSec IKEv1 !! IPSec IKEv2 !! IPSec XAuth !! L2TP / IPSec | ||
--> | |||
|} | |} | ||
<div class="legende">'''{{#var:Legende}}:''' </div> | <div class="legende">'''{{#var:Legende}}:''' </div> | ||
<div class="bc__ja check legende"> {{#var:Empfohlen}} </div> | <div class="bc__ja check legende"> {{#var:Empfohlen}} </div> | ||
<div class="bc__teilweise blackalert legende"> {{#var:nicht empfohlen}} </div> | <div class="bc__teilweise blackalert legende"> {{#var:nicht empfohlen}} </div> | ||
<div class="bc__nein ban legende" style="border: 1px solid grey;"> {{#var:nicht möglich}} </div> | <div class="bc__nein ban legende" style="border: 1px solid grey;"> {{#var:nicht möglich}} </div> | ||
<!-- <span class="mw-customtoggle-deprecated mw-customtoggle sp-toggle-show dezent Einrücken">{{#var:Veraltete Versionen}}</span> --> | |||
<div class="Einrücken"> | <div class="Einrücken"> | ||
'''{{#var:Erklärung zur Tabelle}}''' | '''{{#var:Erklärung zur Tabelle}}''' | ||
{{#var:Tabelle Roadwarrior--desc}} | {{#var:Tabelle Roadwarrior--desc}} | ||
<br> | <!-- <br> | ||
<span id="XP"><sup>{{Alert}}</sup> </span>{{#var:Tabelle Roadwarrior-Hinweis}} | <span id="XP"><sup>{{Alert}}</sup> </span>{{#var:Tabelle Roadwarrior-Hinweis}} | ||
<br> | <br> | ||
<span id="W7"><sup>{{Alert}}</sup> </span>{{#var:Hinweis zu Windows 7}} | <span id="W7"><sup>{{Alert}}</sup> </span>{{#var:Hinweis zu Windows 7}} | ||
--> | |||
</div> | </div> | ||
===={{#var:Einrichtung der Roadwarrior-Verbindungen}}==== | ==== {{#var:Einrichtung der Roadwarrior-Verbindungen}} ==== | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
* Openvpn | ===== WireGuard ===== | ||
* [[UTM/VPN/WireGuard-S2E | {{#var:WieGuard--Link}}]] | |||
** [[UTM/VPN/SSL_VPN-Roadwarrior-iOS | {{#var:OpenVPN_mit_iOS--desc}} ]] | * [[VPN/VPN-Client | {{#var:VPN-Client--Link}}]] {{#var:mit}} [[VPN/VPN-Client#WireGuard | WireGuard]] | ||
===== Openvpn ===== | |||
* [[UTM/VPN/SSL_VPN-Roadwarrior | {{#var:V11_OpenVPN_Roadwarrior--desc}} ]] | |||
* [[VPN/VPN-Client | {{#var:VPN-Client--Link}}]] {{#var:mit}} [[VPN/VPN-Client#SSLVPN | SSL-VPN ]] | |||
* [[UTM/VPN/SSL_VPN-Roadwarrior-iOS | {{#var:OpenVPN_mit_iOS--desc}} ]] | |||
* [[UTM/VPN/SSL_VPN-Roadwarrior-MacOS | {{#var:MAC_und_OpenVPN--desc}} ]] | |||
* IPSec | ===== IPSec ===== | ||
* [[UTM/VPN/IPSec-S2E | {{#var:IPSec_Site_to_End--desc}} ]] | |||
* [[UTM/VPN/IPSec-Roadwarrior | {{#var:IPSec_-_Roadwarrior_mit_XAuth--desc}} ]] | |||
* [[UTM/VPN/IPSec-EAP-Windows | {{#var:IPSec--Link}}]] | |||
===== L2TP ===== | |||
* [[UTM/VPN/L2TP | {{#var:L2TP_Roadwarrior--desc}} ]] | |||
<!-- | |||
* PPTP | * PPTP | ||
** [[UTM/VPN/PPTP | {{#var:Howtos-V11/PPTP_VPN--desc}} ]] | ** [[UTM/VPN/PPTP | {{#var:Howtos-V11/PPTP_VPN--desc}} ]] | ||
--> | |||
</div> | </div> | ||
Aktuelle Version vom 16. April 2026, 13:23 Uhr
Übersicht über die verschiedenen VPN-Verbindungstechniken der Securepoint UTM
Letzte Anpassung: 04.2026
Neu:
- Windows11 wurde in der VPN Übersicht ergänzt
- Aktualisierung der Beschreibungen der VPN-Typen
notempty
Dieser Artikel bezieht sich auf eine Beta-Version
In diesem Artikel werden die verschiedenen Techniken zum Aufbau einer VPN-Verbindung (Virtual Private Network), die mit einer Securepoint UTM möglich sind sind, erläutert und es wird eine Übersicht gegeben, wann diese am besten eingesetzt werden sollten.
Techniken
WireGuard
| Protokolle: | WireGuard |
| Ports: | Standard: 51820/UDP für die jeweils erste Verbindung, kann aber fast jeden freien Port nutzen |
- Wireguard® ist ein modernes und einfaches VPN Protokoll, das zusätzlich durch seine Geschwindigkeit überzeugt.
- Wireguard verzichtet auf einige aufwendige Verfahren zum Schlüsselaustausch und ist unter anderem dadurch einfacher zu handhaben als IPSec
- Durch die Integration in den Linux Kernel ist eine performante und Ressourcen schonendere Verarbeitung als bei OpenVPN möglich
- Einstellungen wie Routen, DNS etc. lassen sich nicht wie bei OpenVPN "pushen"
Die Verwaltung von Roadwarrior ist dadurch deutlich aufwändiger
(Wireguard beherrscht kein Multihome wie SSL-VPN)
SSL VPN
| Protokolle: | SSL, TLS |
| Ports: | Standard 1194/UDP; Kann aber fast jeden freien Port und auch das Protokoll TCP nutzen. |
- Die Securepoint Firewall Appliances bieten eine SSL (Secure Socket Layer) verschlüsselte VPN Verbindung auf der Basis des Open-Source Projektes OpenVPN an.
- OpenVPN zeichnet sich durch hohe Flexibilität, eine relativ einfache Konfiguration und gute Verschlüsselung der Daten und damit einer sehr hohen Sicherheit aus.
- Weiterhin hat OpenVPN in der Regel keine Probleme mit genatteten Verbindungen und ist daher auch als sehr stabile Alternative zu IPSec VPN Site to Site Verbindungen einsetzbar.
IPSec VPN
| Protokolle: | IKE, ESP, NAT-Traversal |
| Ports: | 500/UDP (IKE), 4500/UDP (NAT-Traversal) |
- IPSec ist ein sehr sicherer VPN Standard, bestehend aus unterschiedlichen Protokollen, der sowohl für Site to Site (S2S) als auch für End to Site (E2S, Roadwarrior) Verbindungen eingesetzt werden kann.
- Vorteil ist, daß IPSec von vielen Betriebssystemen nativ unterstützt wird - dabei jedoch nicht immer einfach zu konfigurieren ist
- Probleme bereiten oft Verbindungen, die über Router auf andere IP-Adressbereiche genattet werden, da die IPSec Pakete durch NAT eine neue IP-Adresse und einen neuen Quell-Port erhalten. Hier kommt dann das IPSec-NAT-Traversal zum Einsatz.
- Um eine möglichst stabile Verbindung herzustellen, hat sich der Einsatz von RSA-Schlüsseln statt eines Pre-Shared Key (PSK) zur Authentifizierung bewährt.
Dies trifft insbesondere bei Verbindungen zu, bei denen die Router, die die VPN Verbindung herstellen sollen, hinter einem NAT-Router positioniert sind.
L2TP VPN
notempty
Um L2TP ist per Default nicht verfügbar und wird in zukünftigen Versionen nicht mehr unterstützt.
Details zu L2TP anzeigen
ausblenden
Klicken für dauerhafte Anzeige
| Protokolle: | L2TP |
| Ports: | 1701/UDP |
Zur Aktivierung unter Bereich Ausgeblendete Funktionen Abschnitt L2TP Option L2TP aktivieren Ja
Das L2TP (Layer 2 Tunneling Protokoll) ist eine Kombination aus den Protokollen PPTP (Point to Point Tunneling Protokoll) und L2F (Layer 2 Forwarding). Da L2TP lediglich eine Benutzerauthentifizierung, aber keine Verschlüsselung unterstützt, wird es in Verbindung mit dem IPSec Protokoll eingesetzt. L2TP wird speziell zur Einbindung von Einzelrechnern an Netzwerke benutzt.
PPTP VPN
notempty
Als nachgewiesenermaßen unsicheres Protokoll wird PPTP VPN von der UTM nicht mehr unterstützt.
Angaben zu PPTP VPN anzeigen
ausblenden
Klicken für dauerhafte Anzeige
Bei PPTP VPN handelt es sich nachgewiesenermaßen um ein unsicheres VPN Protokoll. Es wird dringend empfohlen dieses Protokoll nicht mehr zu verwenden. Benutzen sie stattdessen für Roadwarrior Verbindungen SSL VPN, IPSec xAuth oder IPSec mit L2TP.
| Protokolle: | PPTP, GRE |
| Ports: | 1723/TCP |
Das Point-to-Point Tunneling Protocol (PPTP) wird in der Regel für Roadwarrior Verbindungen eingesetzt.
Die VPN Verbindung wird über den TCP-Port 1723 initialisiert und der Datenfluss anschließend mit dem Generic Routing Encapsulation Protocol (GRE) gesteuert.
Site to Site VPN Verbindungen
VPN-Typ in Verbindung mit Anschluss-Art
In der folgenden Tabelle wird dargestellt, welche VPN-Technik im Zusammenspiel mit welcher Internetverbindung nach unserer Erfahrung am stabilsten läuft.
| VPN-Art | NAT | ADSL/SDSL | VDSL | Kabelanschluss | LTE | UMTS |
|---|---|---|---|---|---|---|
| WireGuard | ohne NAT | ADSL/SDSL |
VDSL |
Kabelanschluss |
LTE |
UMTS
|
| NAT auf einer Seite | ADSL/SDSL |
VDSL |
Kabelanschluss |
LTE |
UMTS
| |
| NAT auf beiden Seiten | ADSL/SDSL |
VDSL |
Kabelanschluss |
LTE |
UMTS
| |
| SSL-VPN | ohne NAT | ADSL/SDSL |
VDSL |
Kabelanschluss |
LTE |
UMTS
|
| NAT auf einer Seite | ADSL/SDSL |
VDSL |
Kabelanschluss |
LTE |
UMTS
| |
| NAT auf beiden Seiten | ADSL/SDSL |
VDSL |
Kabelanschluss |
LTE |
UMTS
| |
| IPSec IKEv2 | ohne NAT | ADSL/SDSL |
VDSL |
Kabelanschluss |
LTE |
UMTS
|
| NAT auf einer Seite | ADSL/SDSL |
VDSL |
Kabelanschluss |
LTE |
UMTS
| |
| NAT auf beiden Seiten | ADSL/SDSL |
VDSL |
Kabelanschluss |
LTE |
UMTS
| |
| IPSec IKEv1 | ohne NAT | ADSL/SDSL |
VDSL |
Kabelanschluss |
LTE |
UMTS
|
| NAT auf einer Seite | ADSL/SDSL mit RSA-Schlüssel |
VDSL |
Kabelanschluss |
LTE |
UMTS mit RSA-Schlüssel
| |
| NAT auf beiden Seiten | ADSL/SDSL |
VDSL |
Kabelanschluss |
LTE |
UMTS
|
Legende:
Empfohlen
möglich
nicht empfohlen
Erklärung zur Tabelle
Aufgrund der Eigenschaften von SSL VPN bzw. OpenVPN haben wir die Erfahrung gemacht, das mit dieser Technik fast immer eine stabile VPN Verbindung eingerichtet werden kann.
RSA-Schlüssel bestehen aus einem privaten und einem öffentlichen Schlüssel und sorgen für eine sichere Authentifizierung. Diese Schlüsselpaare können auf jeder Securepoint Appliance erzeugt und die öffentlichen Schlüssel ausgetauscht werden.
Leider müssen wir immer wieder die Erfahrung machen, dass Verbindungen über LTE (Long Term Evolution) vom Internet Provider genattet werden. Am besten läuft die Verbindung mit einer öffentlichen IP vom Provider. Ansonsten sind die VPN Verbindungen über IPSec in der Regel nicht stabil, wenn sie denn überhaupt aufgebaut werden.
Einrichtung der Site-to-Site Verbindungen
WireGuard
SSL-VPN
IPSec
Roadwarrior oder End to Site VPN Verbindungen
VPN-Typ in Verbindung mit Betriebssystem
Nicht alle Betriebssysteme bieten die Möglichkeit, alle VPN Techniken anzuwenden.
Die folgende Tabelle gibt eine Übersicht.
| Betriebssystem | WireGuard | SSL-VPN | IPSec IKEv1 | IPSec IKEv2 | IPSec XAuth | L2TP / IPSec |
|---|---|---|---|---|---|---|
| Windows 11 | OpenVPN |
|||||
| Windows 10 | ab Ver.2 |
|||||
| Linux | OpenVPN |
|||||
| Apple OS X | Tunnelblick |
|||||
| Apple iOS | OpenVPN |
|||||
| Android | OpenVPN |
Legende:
Empfohlen
nicht empfohlen
nicht möglich
Erklärung zur Tabelle
- OpenVPN Clients gibt es derzeit für fast alle Systeme, ist einfach einzurichten, stabil und sicher.
- Bei dem Securepoint Client ist die Konfiguration über die Benutzereinrichtung schon enthalten.
Dieser muss also nur noch Installiert (Installer) oder gestartet (Portable) werden. - Für die OpenVPN Clients oder den "Tunnelblick", wird die fertige Konfiguration mit den benötigten Zertifikaten im Userinterface heruntergeladen und in den Client importiert. Auch dieses ist einfach umzusetzen.
- Bei Linux und Unix hängt es stark von der Distribution ab, welcher IPSec-VPN Client mitgeliefert wird.
- Es kommt immer wieder zu Problemen mit der Stabilität einer VPN-Verbindung, wenn ein Router/Modem vor der Appliance ebenfalls eine aktive Firewall hat. Bitte auf diesen Geräten jegliche Firewall-Funktionalität deaktivieren.
- Da PPTP-VPN zu unsicher ist und L2TP/IPSec unter Windows nach jeweils 1 Stunde abbricht, werden diese beiden Verfahren von uns nicht empfohlen.
Einrichtung der Roadwarrior-Verbindungen
WireGuard
- Konfiguration einer WireGuard Roadwarrior Verbindung
- Einrichtung des Windows VPN-Clients mit WireGuard
Openvpn
- Konfiguration einer OpenVPN Roadwarrior Verbindung für Windows
- Einrichtung des Windows VPN-Clients mit SSL-VPN
- Konfiguration einer OpenVPN Roadwarrior Verbindung für iOS
- Konfiguration einer OpenVPN Roadwarrior Verbindung für OS X
IPSec
- Konfiguration einer nativen IPSec-Verbindung
- Konfiguration einer Xauth-Verbindung iOS/Android/Greenbow
- IPSec-Verbindungen mit EAP-MSCHAPv2 zu einem Windows Client