Site-to-Site VPN

Ein Unternehmen mit zwei Standorten – Hauptsitz in München und Filiale in Hamburg – soll ein gemeinsames Netzwerk haben. Mitarbeitende in Hamburg sollen auf den Fileserver in München zugreifen können, als wären beide im selben Gebäude. Früher löste man das mit teuren Mietleitungen. Heute: Site-to-Site VPN – eine dauerhafte, verschlüsselte Verbindung zwischen den Standorten über das öffentliche Internet.

Im Gegensatz zum Remote-Access VPN, bei dem ein einzelner Nutzer sich verbindet, verbindet Site-to-Site VPN ganze Netzwerksegmente. Die VPN-Gateways (typischerweise Firewalls oder Router) an beiden Standorten bauen den Tunnel auf und verwalten ihn – Endnutzer bemerken die VPN-Verbindung gar nicht. Das Protokoll der Wahl ist fast immer IPsec.

1) Netzwerktopologie: zwei Standorte, ein logisches Netz

Die entscheidende Konfiguration bei Site-to-Site VPN sind die Subnetze: Beide Standorte müssen unterschiedliche IP-Bereiche haben (sonst Routing-Konflikte), und die VPN-Gateways müssen wissen, welche Subnetze über den Tunnel erreichbar sind.

Site-to-Site VPN – Netzwerktopologie

🏢 Standort München

💻 PC: 192.168.10.50

🖥️ Server: 192.168.10.10

🖨️ Drucker: 192.168.10.20

GW: 192.168.10.1 / 85.1.2.3

IPsec-Tunnel

🔒 verschlüsselt 🔒

Internet

85.1.2.3 ↔ 91.4.5.6

🏢 Standort Hamburg

💻 PC: 192.168.20.50

💻 Laptop: 192.168.20.51

📱 Telefon: 192.168.20.30

GW: 192.168.20.1 / 91.4.5.6

Wichtig: Die Subnetze müssen sich unterscheiden – 192.168.10.0/24 (München) und 192.168.20.0/24 (Hamburg). Der Router/Gateway am jeweiligen Standort hat eine öffentliche IP (WAN) für den Tunnel-Aufbau und die private IP (LAN) für das lokale Netz. Interessante Subnetze (Interesting Traffic) triggern den Tunnel-Aufbau automatisch sobald ein Paket für das Remote-Subnetz erkannt wird.

2) Paketfluss durch den Tunnel

Was passiert technisch, wenn ein Mitarbeiter in Hamburg auf den Fileserver in München zugreift? Der Paketfluss zeigt, wie Encapsulation und Encryption zusammenspielen. Die ursprünglichen IP-Header werden in IPsec-Pakete eingepackt und mit den öffentlichen IPs der Gateways adressiert.

Paketfluss – Hamburg → München (IPsec Tunnel-Modus)

💻Hamburg-PC (192.168.20.50) sendet Paket an München-Server (192.168.10.10)–

🔒Hamburg-Gateway erkennt Ziel 192.168.10.0/24 → Tunnel aktiv. Original-Paket wird verschlüsselt (ESP)–

📦Neuer äußerer IP-Header: Quelle 91.4.5.6 → Ziel 85.1.2.3. Internet sieht nur die Gateway-IPs–

🌐Paket wird über das Internet übertragen – verschlüsselter Inhalt für Angreifer unlesbar–

🔓München-Gateway entschlüsselt das Paket, entfernt äußeren Header → Original-Paket wieder sichtbar–

🖥️Paket wird im internen Netz an 192.168.10.10 (Fileserver) weitergeleitet – Lieferung abgeschlossen–

Drücke „Paketfluss zeigen" für die schrittweise Animation.

Im IPsec-Tunnel-Modus wird das komplette Original-IP-Paket (inkl. Header) verschlüsselt und als Nutzlast in ein neues IP-Paket eingebettet. Im Transportmodus (→ IPsec Modi) bleibt der Original-IP-Header erhalten. Für Site-to-Site VPN ist der Tunnel-Modus Standard.

3) Hochverfügbarkeit: Single vs. Dual VPN

Für geschäftskritische Verbindungen ist ein einziger VPN-Tunnel ein Single Point of Failure. Fällt der Internet-Provider oder das Gateway aus, ist der Standort abgeschnitten. Professionelle Site-to-Site VPNs nutzen redundante Anbindungen.

Redundanz – Single Tunnel vs. Dual Tunnel

Single VPN-Tunnel

✗ Ein Internet-Provider

✗ Ein VPN-Gateway je Standort

✗ Ausfall = komplette Unterbrechung

✓ Günstig, einfach zu verwalten

Einsatz: kleinere Standorte, unkritisch

Dual VPN-Tunnel (HA)

✓ Zwei Internet-Provider (Failover)

✓ Zwei VPN-Gateways (Active/Standby)

✓ Automatischer Failover bei Ausfall

✗ Höhere Kosten und Komplexität

Einsatz: kritische Standorte, SLA-Anforderungen

4) Konfigurationsparameter im Überblick

Parameter	Beschreibung	Typischer Wert
Peer-IP	Öffentliche IP des Remote-Gateways	Statische IP empfohlen
Interessanter Traffic	Welche Subnetze über den Tunnel gehen	192.168.20.0/24 ↔ 192.168.10.0/24
Pre-shared Key / Zertifikat	Authentifizierung der Peers	Zertifikat bevorzugt (PKI)
IKE-Phase 1	Schlüsselaustausch und Peer-Authentifizierung	IKEv2, AES-256, SHA-256
IKE-Phase 2	Verschlüsselungsparameter für den Datenkanal	ESP, AES-256-GCM, PFS
DPD	Dead Peer Detection – erkennt ausgefallene Gegenstellen	Interval 30s, Timeout 120s

Zusammenfassung

Site-to-Site VPN verbindet ganze Netzwerke dauerhaft – transparent für Endnutzer. Voraussetzung: unterschiedliche Subnetze an den Standorten, statische öffentliche IPs auf den Gateways, übereinstimmende IKE/IPsec-Parameter (Phase 1 und 2). Protokoll: fast immer IPsec. Tunnelmodus kapselt das gesamte Original-Paket. Hochverfügbarkeit durch Dual-Tunnel. Nächste Lektion: Remote-Access VPN.

Site-to-Site VPN

1) Netzwerktopologie: zwei Standorte, ein logisches Netz

2) Paketfluss durch den Tunnel

3) Hochverfügbarkeit: Single vs. Dual VPN

4) Konfigurationsparameter im Überblick

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title