Was ist der Unterschied zwischen Site-to-Site VPN und VPN Clients mit VPN-Serververbindung?

Was ist der Unterschied zwischen einem Site-to-Site VPN und einem VPN Client, der sich mit einem VPN-Server verbindet? Welche Protokolle sind dafür im Einsatz?

Sogenannte Site-to-Site VPNs verbinden komplette Netzwerke miteinander. Damit ist zum Beispiel die Anbindung einer Zweigstelle an die Hauptstelle eines Unternehmens gemeint. Bei einem Site-to-Site VPN verwenden die Hosts keine VPN-Client-Software. Sie schicken und empfangen normalen TCP/IP-Traffic durch ein sogenanntes VPN-Gateway. Das VPN-Gateway ist wiederum für die Kapselung und die Verschlüsselung des nach außen gehenden Traffics verantwortlich. Der Datenverkehr wird durch einen VPN-Tunnel über das Internet an ein zugehöriges VPN-Gateway am Ziel geschickt. Beim Empfang entfernt das zugehörige VPN-Gateway die Header, entschlüsselt den Inhalt und leitet die Pakete an den Ziel-Host innerhalb des privaten Netzwerks.

VPNs für Remote-Zugriffe verbinden individuelle Hosts mit privaten Netzwerken. Eine andere Bezeichnungen dafür sind Client-to-Site VPN und Remote Access VPN. Dabei kann es sich um beispielsweise um Außendienstmitarbeiter sowie Kollegen handeln, die viel unterwegs sind und einen sicheren Zugriff auf das Netzwerk des Unternehmens über das Internet benötigen. Bei einem Remote Access VPN muss jeder Host eine VPN-Client-Software unterstützen. Wir kommen gleich darauf zurück.

Immer wenn ein Host Traffic schickt, dann kapselt und verschlüsselt die VPN-Client-Software den Datenverkehr, bevor dieser über das VPN-Gateway ins Internet entlassen und Richtung Zielnetzwerk gesendet wird. Beim Empfang verhält sich das VPN-Gateway wie ein Site-to-Site VPN. Antwortet der Ziel-Host innerhalb des privaten Netzwerks, dann erledigt das VPN-Gateway die umgekehrte Prozedur und schickt zum VPN-Client eine verschlüsselte Nachricht über das Internet.

Abbildung 1: Site-to-Site VPN.

Bei Site-to-Site VPN ist das am häufigsten eingesetzte Tunneling-Protokoll IPsec ESP (Encapsulating Security Payload). Es handelt sich hierbei um eine Erweiterung zum herkömmlichen IP-Protokoll, das im Internet und den meisten modernen Firmennetzwerken verwendet wird.

Die meisten Router und Firewalls unterstützen IPsec und lassen sich somit als VPN-Gateway für das dahinter liegende private Netzwerk verwenden. Ein weiteres Protokoll für Site-to-Site VPN ist MPLS (Multi-Protocol Label Switching). MPLS bietet allerdings keine Verschlüsselung.

Bei den Protokollen für Remote-Zugriffe gibt es mehr Auswahl. PPTP (Point to Point Tunneling Protocol) ist seit Windows 95 in jeder Windows-Version enthalten. L2TP (Layer 2 Tunneling Protocol) über IPsec ist seit Windows 2000 und XP verfügbar. Es ist sicherer als PPTP. Viele VPN-Gateways nutzen nur IPsec und verzichten auf L2TP, um Services für Remote-Zugriffe via VPN anzubieten. Alle diese Herangehensweisen setzen einen VPN-Client auf jedem Host voraus sowie ein VPN-Gateway, das das gleiche Protokoll und die gleichen Optionen / Erweiterungen für den Remote-Zugriff unterstützt.

Abbildung 2: Client-to-Site VPN beziehungsweise Client-to-Server VPN.

Im Laufe der vergangenen Jahre haben viele Anbieter Produkte für sichere Zugriffe von außen auf den Markt gebracht. Sie benutzen SSL und übliche Web-Browser als Alternative zu VPNs via IPsec, L2TP oder PPTP. Die sogenannten SSL VPNs werden oftmals als clientless (kein Client notwendig) bezeichnet.

Sie setzen aber Web-Browser als VPN-Clients ein. In der Regel sind noch zusätzliche Softwarekomponenten wie Java Applets, ActiveX Control oder ein temporäres Programm involviert, das am Ende der Sitzung gelöscht wird. Natürlich sind auch reine Webanwendungen beliebt. Anders als bei PPTP, L2TP und IPsec verbinden SSL VPNs die Anwender mit bestimmten Anwendungen, die durch das SSL-VPN-Gateway geschützt sind. Sie sind also nicht mit einem kompletten privaten Netzwerk verbunden.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!