Site-to-Site VPN
Ein Site-to-Site VPN verbindet zwei oder mehrere komplette Netzwerke über das Internet.
Jede Seite besitzt ein VPN-Gateway (z. B. Firewall, Router), das automatisch eine verschlüsselte Verbindung zum anderen Standort aufbaut.
Damit können Geräte aus beiden Netzen miteinander kommunizieren, als befänden sie sich im gleichen LAN.
1. Warum Site-to-Site-VPNs?
| Vorteil | Beschreibung |
|---|---|
| Dauerhafte Verbindung | Tunnel bleibt stabil aktiv, kein manuelles Einwählen nötig. |
| Transparente Kommunikation | Geräte „sehen“ sich gegenseitig direkt über private IP-Adressen. |
| Kostengünstig | Nutzung des öffentlichen Internets statt teurer MPLS-Leitungen. |
| Sicher | Alle Daten werden verschlüsselt übertragen. |
Beispiel:
Das Büro in Stuttgart (192.168.10.0/24) und die Filiale in Konstanz (192.168.20.0/24) tauschen über einen IPsec-Tunnel Daten aus.
Beide Firewalls kennen die Netze des jeweils anderen – die Routen führen durch den Tunnel.
2. Routing-Varianten
| Variante | Erklärung | Anwendung |
|---|---|---|
| Statisches Routing | Feste Routen werden manuell auf beiden Gateways konfiguriert. | Kleine, überschaubare Netze. |
| Dynamisches Routing | Protokolle wie OSPF oder BGP übermitteln automatisch Netzänderungen. | Große Unternehmensnetze, redundante VPNs. |
3. Aufbau – Schritt für Schritt
1. Gateway A startet Verbindungsversuch zu Gateway B.
2. Authentifizierung mittels Zertifikat oder Pre-Shared Key.
3. Aushandlung von Schlüssel und Verschlüsselungsparametern (z. B. AES / SHA-2).
4. VPN-Tunnel steht – Gateways leiten Pakete zwischen den Standorten weiter.
5. (Optional) Routingprotokoll synchronisiert Netzinformationen.
Interaktive Visualisierung: Site-to-Site VPN
Wähle den Routing-Typ und klicke dich durch den Ablauf.
Ablauf
Wähle oben eine Routing-Variante und starte mit „Weiter“.
Erklärung
Hier erscheint die Erklärung zum jeweiligen Schritt.
5. Typische Fehler und Troubleshooting
| Problem | Ursache | Lösung |
|---|---|---|
| Tunnel kommt nicht zustande | Falscher PSK, Zertifikat abgelaufen oder Port (UDP 500/4500) geblockt. | Authentifizierungsdaten prüfen, Ports öffnen. |
| Ping funktioniert nur in eine Richtung | Routing oder Firewallregel nur einseitig. | Gegenseitige Routen und Regeln ergänzen. |
| Instabiler Tunnel | NAT, DPD oder MTU Probleme. | DPD-Intervall prüfen, MTU anpassen. |
6. Zusammenfassung
Site-to-Site VPN verbindet ganze Standorte statt einzelner Clients.
Gateways bauen den Tunnel automatisch auf und halten ihn aktiv.
Statisches Routing: einfach, aber nicht skalierbar.
Dynamisches Routing: automatisch und robust, ideal für größere Netze.
