SSL/TLS-VPN: OpenVPN

IPsec ist mächtig, aber komplex – besonders für Remote-Access-Szenarien mit vielen verschiedenen Clients und Netzwerken. SSL/TLS-VPN ist ein anderer Ansatz: Statt auf OSI-Schicht 3 zu arbeiten, nutzt es TLS (das Protokoll hinter HTTPS) als Transportschicht für den VPN-Tunnel. Das bringt einen entscheidenden praktischen Vorteil: TLS läuft über TCP-Port 443 – denselben Port wie HTTPS – und passiert damit (fast) jeden Firmen-Proxy und Firewall.

OpenVPN ist die bekannteste Open-Source-Implementierung von SSL/TLS-VPN. Es ist extrem flexibel, läuft auf allen Plattformen, unterstützt sowohl UDP (bevorzugt) als auch TCP, und bietet volle Kontrolle über Routing, Verschlüsselung und Authentifizierung. Viele kommerzielle VPN-Produkte (z.B. Cisco AnyConnect, Pulse Secure) nutzen ähnliche Prinzipien.

1) Architektur

OpenVPN läuft im Userspace (kein Kernelmodul nötig) und kommuniziert über ein virtuelles Netzwerkinterface (TUN für Layer-3-Routing, TAP für Layer-2-Bridging). TLS wird für den Steuerkanal genutzt, ein eigener Datenstrom für die eigentlichen Nutzdaten.

OpenVPN-Architektur

💻 Client
tun0
10.8.0.2

→

🔒 TLS-Tunnel (TCP 443 oder UDP 1194)
AES-256-GCM · HMAC-SHA256 · TLSv1.3

→

🖥️ OpenVPN-Server
tun0: 10.8.0.1
UDP/1194

→

🏢 Internes LAN
192.168.0.0/24

TUN-Modus (Layer 3) ist der Standard für Remote-Access und Site-to-Site: Das Betriebssystem sieht ein virtuelles Netzwerkinterface (tun0), über das IP-Routing funktioniert. TAP-Modus (Layer 2) ermöglicht vollständiges Bridging (als wäre man direkt im LAN), wird aber seltener gebraucht und erzeugt mehr Overhead.

2) OpenVPN-Konfiguration verstehen

OpenVPN wird über Konfigurationsdateien (.ovpn, .conf) gesteuert, die sowohl auf Client als auch Server notwendig sind. Die folgende Beispielkonfiguration zeigt die wichtigsten Parameter eines Clients.

OpenVPN Client-Konfiguration (Beispiel .ovpn)

Die .ovpn-Datei enthält oft auch eingebettete Zertifikate und Schlüssel (<ca>, <cert>, <key>-Blöcke). Das macht die Datei selbst zum Geheimnis – sie darf nicht in falsche Hände geraten. Für Unternehmen empfiehlt sich ein MDM-basiertes Rollout, das die Konfiguration sicher auf verwaltete Geräte bringt.

3) IPsec vs. SSL/TLS-VPN

IPsec vs. OpenVPN (SSL/TLS)

IPsec / IKEv2

✓ OS-nativ (Windows, macOS, iOS, Android)

✓ Kernelspace – sehr schnell

✓ Standard für Site-to-Site

✓ MOBIKE: Netzwechsel ohne Verbindungsabbruch

✗ Komplex zu konfigurieren

✗ Oft durch restriktive Firewalls geblockt

SSL/TLS-VPN (OpenVPN)

✓ Läuft über TCP/443 – passiert fast jeden Proxy

✓ Sehr flexibel konfigurierbar

✓ Open Source, kostenlos

✓ Userspace – kein Kernelmodul nötig

✗ Client-Software notwendig

✗ Userspace = etwas langsamer als IPsec

→ WireGuard überholt OpenVPN in Performance

Zusammenfassung

Merkmal	Details
Protokoll	TLS (über HTTPS-Port 443 oder UDP 1194)
Schicht	Applikationsschicht (Userspace) – nicht Kernel
Modi	TUN (Layer 3, Routing) und TAP (Layer 2, Bridging)
Verschlüsselung	AES-256-GCM + TLS 1.3 für Steuerkanal
Vorteil gegenüber IPsec	Firewall-freundlich (Port 443), flexibel, OS-unabhängig
Nachteil gegenüber IPsec/WireGuard	Performance, kein OS-nativer Client

Nächste Lektion: WireGuard – modernes VPN-Protokoll das OpenVPN in Performance und Einfachheit übertrifft.

SSL/TLS-VPN: OpenVPN

1) Architektur

2) OpenVPN-Konfiguration verstehen

3) IPsec vs. SSL/TLS-VPN

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title