IPsec: Tunnel- vs. Transportmodus

IPsec kann auf zwei grundlegend verschiedene Weisen eingesetzt werden: im Transportmodus und im Tunnelmodus. Der Unterschied liegt darin, welche Teile des IP-Pakets verschlüsselt und eingekapselt werden – und das bestimmt, welche Informationen für einen Beobachter im Internet sichtbar bleiben.

Die Entscheidung zwischen beiden Modi ist keine Geschmacksfrage, sondern eine Architekturentscheidung: Beim Tunnelmodus wird das gesamte Original-IP-Paket (inklusive Header mit Quell- und Ziel-IP) eingebettet und ein neues äußeres Paket mit den Gateway-IPs darum gelegt – perfekt für VPN zwischen Standorten oder zwischen Client und Gateway. Beim Transportmodus bleiben die Original-IP-Adressen erhalten – sinnvoll für End-to-End-Verschlüsselung zwischen zwei Hosts im selben Netz.

1) Paketstruktur im Vergleich

Das folgende Diagramm zeigt dasselbe Paket (ein TCP-Request von Host A an Host B) – einmal unverschlüsselt, einmal mit ESP im Transportmodus, einmal mit ESP im Tunnelmodus. Sieh den Unterschied im äußeren IP-Header.

Paketstruktur – Original, Transportmodus, Tunnelmodus

1. Originales IP-Paket (unverschlüsselt):

IP-Header

Src: 10.0.1.5
Dst: 10.0.2.10

TCP-Header

Port 443

Nutzdaten

Applikationsdaten

2. ESP Transportmodus – Original-IP bleibt erhalten:

IP-Header

Src: 10.0.1.5
Dst: 10.0.2.10
(unverändert!)

ESP-Hdr

TCP-Header + Nutzdaten (verschlüsselt)

AES-GCM

ESP-Auth

◄───── verschlüsselt ─────►

◄──── authentifiziert ────►

3. ESP Tunnelmodus – gesamtes Original-Paket eingekapselt:

Äußerer IP-Hdr

Src: 85.1.2.3
Dst: 91.4.5.6
(Gateway-IPs)

ESP-Hdr

Originales Paket komplett verschlüsselt

IP 10.0.1.5→10.0.2.10 | TCP 443 | Daten

ESP-Auth

◄──────── verschlüsselt (inkl. Original-IP!) ────────►

◄─────── authentifiziert ────────►

Im Tunnelmodus sieht ein Angreifer im Internet nur die Gateway-IPs (85.1.2.3 → 91.4.5.6). Er weiß nicht, welcher interne Host kommuniziert, welches Protokoll verwendet wird, oder was die Daten enthalten. Im Transportmodus sind die Hosts-IPs (10.0.1.5, 10.0.2.10) sichtbar – Metadaten-Schutz ist geringer.

2) Tunnel- vs. Transportmodus im Vergleich

Modi-Vergleich

Tunnelmodus

✓ Gesamtes Original-Paket verschlüsselt

✓ Interne IPs für Angreifer unsichtbar

✓ Standard für Site-to-Site und Remote-Access

✓ Hosts brauchen keine IPsec-Unterstützung

✗ Größere Pakete (äußerer Header)

Typisch: Gateway zu Gateway, Client zu Gateway

Transportmodus

✓ Kleinere Pakete (kein äußerer Header)

✓ Geringerer Overhead

✓ End-to-End-Verschlüsselung möglich

✗ Original-IP-Adressen sichtbar

✗ Beide Hosts brauchen IPsec

Typisch: Host-zu-Host innerhalb eines Netzes

3) Wann welcher Modus?

Einsatzszenarien – Klicke für Details

Zusammenfassung

	Tunnelmodus	Transportmodus
Kapselt	Gesamtes IP-Paket (inkl. Header)	Nur Nutzdaten (TCP/UDP + Payload)
Äußerer Header	Ja – Gateway-IPs	Nein – Original-IPs bleiben
Interne IPs sichtbar	Nein	Ja
Overhead	Höher	Geringer
Einsatz	VPN (Site-to-Site, Remote-Access)	Host-zu-Host, L2TP-Basis

IPsec: Tunnel- vs. Transportmodus

1) Paketstruktur im Vergleich

2) Tunnel- vs. Transportmodus im Vergleich

3) Wann welcher Modus?

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title