SSL VPN

Wenn du dich schon einmal über eine Webseite mit „https://…“ verbunden hast, dann hast du — ohne es zu merken — bereits das Prinzip eines SSL-VPNs verwendet.
Denn SSL-VPN (heute korrekt: TLS-VPN) nutzt exakt dasselbe Verschlüsselungsverfahren wie HTTPS.
Der Unterschied: Beim SSL-VPN wird damit nicht nur der Web-Traffic geschützt, sondern eine gesamte Verbindung zwischen Client und Unternehmensnetz aufgebaut.

Ein SSL-VPN läuft typischerweise über Port 443.
Das ist derselbe Port, den fast jedes Netzwerk ohnehin für verschlüsselte Webseiten offen lässt –
deshalb funktioniert SSL-VPN auch in Hotels, Mobilnetzen oder Firmen mit restriktiven Firewalls.
Das ist der größte Vorteil gegenüber IPsec, das oft spezielle Ports (UDP 500/4500) benötigt.

1. Funktionsweise in der Praxis

Ein SSL-VPN arbeitet auf den oberen Schichten des OSI-Modells (5 bis 7).
Das heißt: Es verschlüsselt Verbindungen zwischen Anwendungen, nicht direkt die IP-Pakete selbst.
Damit unterscheidet es sich deutlich von IPsec, das bereits auf Layer 3 (Netzwerkebene) greift.

So läuft der Aufbau typischerweise ab:

Schritt	Beschreibung
1. Verbindung zum Gateway	Der Benutzer öffnet im Browser oder VPN-Client die Adresse des Gateways (z. B. https://vpn.firma.de).
2. TLS-Handshake	Der Server sendet sein Zertifikat, der Client prüft es und handelt mit dem Server einen Schlüssel aus.
3. Authentifizierung	Benutzer meldet sich mit Passwort, Zertifikat oder MFA an.
4. Tunnel- oder Portalmodus	Je nach Einstellung öffnet sich ein Web-Portal oder ein vollständiger Netz-Tunnel.
5. Datenübertragung	Sämtliche Daten laufen verschlüsselt über TLS.

Das Prinzip:
-> SSL sorgt für Verschlüsselung und Integrität,
-> der VPN-Dienst darauf setzt Benutzer- und Netzsteuerung um.

2. Tunnelmodi im Vergleich

Ein SSL-VPN kann auf zwei Arten arbeiten – der Portal-Modus ist einfach und browserbasiert, der Tunnel-Modus verhält sich fast wie ein klassischer VPN-Client.

Modus	Funktionsweise	Typische Nutzung
Web-Portal (Application-Layer)	Der Benutzer greift über ein HTTPS-Portal auf einzelne interne Web-Anwendungen oder Freigaben zu.	Externe Partner, kurzfristiger Zugriff
Tunnel-Client (Network-Layer)	Eine lokale Software (z. B. FortiClient, OpenVPN) erstellt eine virtuelle Netzwerkschnittstelle.	Mobiles Arbeiten, Homeoffice

In vielen Unternehmen wird beides parallel angeboten:
Mitarbeiter, die regelmäßig arbeiten, nutzen den Tunnel-Client,
externe Dienstleister nur das Portal.

3. Sicherheitsmechanismen

Ein SSL-VPN übernimmt viele Funktionen von TLS:

Mechanismus	Beschreibung
Verschlüsselung (AES, ChaCha20)	Stellt sicher, dass niemand Daten mitlesen kann.
Integritätsprüfung (SHA-256)	Erkennt Manipulationen unterwegs.
Authentifizierung	Über Benutzername/Passwort, Zertifikate oder Multifaktor-Apps.
Zertifikate (PKI)	Beweisen die Identität des Gateways, ähnlich wie bei Webseiten.

Durch den Einsatz von TLS 1.2 oder TLS 1.3 gelten SSL-VPNs als sehr sicher, sofern Zertifikate und Cipher korrekt konfiguriert sind.

4. Beispielhafte Einrichtung

Hier ein stark vereinfachter Auszug aus einer FortiGate-ähnlichen CLI-Konfiguration:

config vpn ssl settings
    set servercert "firma-vpn-cert"
    set tunnel-ip-pools "SSLVPN_TUNNEL"
    set authentication-rule 1
        set groups "VPN-Benutzer"
        set portal "full-access"
    next
end

In dieser Konfiguration wird ein Zertifikat eingebunden, ein IP-Pool für SSL-Tunnel definiert
und den authentifizierten Benutzern Zugriff auf das Portal „full-access“ gewährt.

6. Ablauf von SSL-VPNs

Ablauf eines SSL-VPNs

Wähle den Modus und klicke dich durch die Verbindungsschritte.

Schritt – / –

Ablauf

Wähle oben eine Variante und starte mit „Weiter“.

Erklärung

Hier erscheinen Details zu jedem Schritt.

7. Zusammenfassung

SSL VPN basiert auf TLS (Port 443) und funktioniert dadurch auch in restriktiven Umgebungen.
Es gibt zwei Modi: Web-Portal (Application-Layer) und Tunnel-Client (Network-Layer).
TLS stellt Verschlüsselung, Authentifizierung und Integrität bereit.
SSL VPN ist besonders beliebt für Homeoffice, Support und externe Partnerzugriffe.