Remote-Access VPN

Anna arbeitet heute im Homeoffice und möchte auf das interne CRM-System und den Fileserver ihres Unternehmens zugreifen. Ohne VPN ist das nicht möglich – die Systeme sind nicht im Internet erreichbar. Mit Remote-Access VPN baut ihr Laptop eine verschlüsselte Verbindung zum VPN-Konzentrator im Firmennetz auf. Nach erfolgreichem Verbindungsaufbau erhält ihr Laptop eine interne IP-Adresse aus dem Firmennetz und kann alle internen Ressourcen erreichen.

Remote-Access VPN unterscheidet sich vom Site-to-Site VPN grundlegend: Es ist nutzerinitiert (der Client baut die Verbindung aktiv auf), erfordert eine Client-Software auf dem Endgerät, und die Verbindung wird bei Bedarf auf- und abgebaut – sie ist nicht permanent. Die Authentifizierung des Nutzers (nicht nur des Geräts) ist ein zentraler Bestandteil.

1) Verbindungsaufbau Schritt für Schritt

Der Aufbau einer Remote-Access-VPN-Verbindung läuft in mehreren Phasen ab: Client-Authentifizierung, Schlüsselaustausch, Tunnel-Aufbau und IP-Adressvergabe. Die Animation zeigt einen typischen Ablauf – einmal erfolgreich, einmal mit falschem Passwort abgelehnt.

Remote-Access VPN – Verbindungsaufbau

💻Client startet VPN-Client-Software, gibt Benutzername und Passwort ein–

🤝TLS-Handshake mit VPN-Gateway: Server-Zertifikat wird geprüft (Vertrauensanker)–

🔑Benutzerauthentifizierung: Credentials gegen LDAP/AD geprüft + MFA-Token–

🌐Client erhält IP aus dem internen VPN-Pool (z.B. 10.8.0.50) und DNS-Server–

🔒Verschlüsselter Tunnel aktiv – Client hat Zugriff auf interne Ressourcen–

Wähle ein Szenario und starte die Simulation.

Die Prüfung des Server-Zertifikats in Schritt 2 ist entscheidend: Der Client muss sicherstellen, dass er sich wirklich mit dem echten VPN-Gateway verbindet – und nicht mit einem gefälschten (Man-in-the-Middle). Das Zertifikat muss von einer vertrauenswürdigen CA signiert sein und zum Hostnamen passen. Ohne diese Prüfung könnte ein Angreifer Credentials abgreifen.

2) IP-Adressvergabe und Routing

Nach dem Verbindungsaufbau erhält der Remote-Client eine virtuelle IP-Adresse aus einem reservierten VPN-Pool. Diese IP gehört zum internen Netzwerk – deshalb können interne Ressourcen den Client erreichen, als wäre er direkt im LAN.

IP-Konfiguration nach VPN-Verbindung

Physische IP (Heimnetz):192.168.1.100bleibt unverändert

Virtuelle VPN-IP:10.8.0.50aus VPN-Pool vergeben, interne Adresse

VPN-DNS-Server:192.168.0.10interne DNS-Auflösung für Firmhosts

Standard-Gateway über VPN:10.8.0.1VPN-Konzentrator

Interne Subnetze erreichbar:192.168.0.0/24, 10.0.0.0/8Routen durch den Tunnel

Der VPN-DNS-Server ist wichtig: Damit interne Hostnamen (z.B. fileserver.firma.de, crm.intern) aufgelöst werden können, muss der Client den internen DNS verwenden. Ohne DNS-Zuweisung würde der Nutzer den Server nur über IP-Adresse erreichen können.

3) Full Tunnel vs. Split Tunnel

Eine zentrale Designentscheidung bei Remote-Access VPN: Wird der gesamte Traffic des Clients durch den VPN-Tunnel geleitet (Full Tunnel), oder nur der Unternehmens-Traffic (Split Tunnel)?

Full Tunnel vs. Split Tunnel – Klicke für Details

Details zu Split Tunneling und seinen Sicherheitsimplikationen: Split Tunneling & Sicherheitsbetrachtung.

4) Authentifizierungsmethoden

Remote-Access VPN muss den Nutzer zuverlässig authentifizieren – das ist der Kernunterschied zu Site-to-Site VPN, wo Gateway-zu-Gateway-Authentifizierung genügt. Schwache Authentifizierung ist das häufigste Einfallstor für VPN-Kompromittierungen.

Authentifizierungsmethoden – Klicke für Details

Client-Zertifikat (PKI)

Stärkste Methode

Passwort + LDAP/AD

Häufigste Methode

MFA (Passwort + OTP)

Empfohlener Standard

RADIUS

Zentrale AAA-Infrastruktur

Klicke auf eine Methode für Details.

Zusammenfassung

Aspekt	Remote-Access VPN	Site-to-Site VPN
Wer verbindet sich	Einzelner Nutzer mit Client-Software	Ganzes Netz über Gateway
Verbindungstyp	On-Demand, manuell aufgebaut	Dauerhaft, automatisch
Authentifizierung	Nutzeridentität (Passwort, Zertifikat, MFA)	Gateway-Identität (PSK, Zertifikat)
IP-Vergabe	Client erhält IP aus VPN-Pool	Keine neue IP nötig (Netz zu Netz)
Protokolle	SSL/TLS (OpenVPN, AnyConnect), IKEv2, WireGuard	IPsec (IKEv2)

Remote-Access VPN

1) Verbindungsaufbau Schritt für Schritt

2) IP-Adressvergabe und Routing

3) Full Tunnel vs. Split Tunnel

4) Authentifizierungsmethoden

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title