Site-to-Site-VPNs: Arten, Anforderungen und Konfiguration

Was ist ein Site-to-Site-VPN?

Ein Site-to-Site-Virtuelles-Privates-Netzwerk (VPN) ist eine sichere VPN-Verbindung zwischen zwei oder mehr getrennten Netzwerken. Anstatt einzelne Geräte zu sichern, schützt es die Kommunikation zwischen ganzen lokalen Netzwerken (LANs), wie einer Unternehmenszentrale und einer Zweigstelle.

Diese Art von VPN fungiert wie ein Wide Area Network (WAN) und lässt Teams an verschiedenen Standorten auf gemeinsame Ressourcen zugreifen, als ob sie sich im selben lokalen Netzwerk befänden. Im Gegensatz zu anderen Arten von WANs erstellt ein Site-to-Site-VPN jedoch einen sicheren VPN-Tunnel zwischen mehreren LANs. Es wird üblicherweise verwendet, um:

• Geografisch entfernte Unternehmensbüros zu verbinden.
• Sichere Verbindungen zwischen lokaler Infrastruktur und Remote-Rechenzentren herzustellen.
• Sichere Kommunikation zwischen Partnerunternehmen zu ermöglichen.

Ein Remote Access VPN wird verwendet, um eine Verbindung zwischen einzelnen Benutzern und einem zentralen Netzwerk herzustellen (stell dir vor, du greifst von zu Hause aus auf Unternehmensressourcen zu). S2S-VPNs bieten hingegen eine verschlüsselte Verbindung zwischen ganzen Netzwerken. Eines sichert eine Geräte-zu-Netzwerk-Verbindung, das andere sichert eine Netzwerk-zu-Netzwerk-Brücke.

Wie funktioniert eine Site-to-Site-VPN-Verbindung?

Ein Site-to-Site-VPN verbindet Netzwerke sicher, indem es einen Site-to-Site-Tunnel unter Verwendung von VPN-Protokollen wie IPsec (Internet Protocol Security) erstellt. Dieser Tunnel verschlüsselt den gesamten Datenverkehr zwischen den Standorten und macht ihn für Außenstehende unlesbar.

Jedes Netzwerk verfügt über ein Gateway (normalerweise einen VPN-fähigen Router oder eine Firewall), das die Ver- und Entschlüsselung des Datenverkehrs übernimmt. Diese Gateways leiten Daten zwischen den Standorten mithilfe vordefinierter Regeln weiter, sodass Geräte in einem Netzwerk mit Geräten im anderen kommunizieren können, als ob sie sich im selben Gebäude befänden.

IPsec ist das am häufigsten verwendete Protokoll hierfür. Es übernimmt die Verschlüsselung und Authentifizierung, oft in Verbindung mit L2TP oder GRE für das Tunneling. GRE selbst verschlüsselt nichts – es erstellt lediglich den Tunnel, daher wird es typischerweise zusammen mit IPsec verwendet. Einige Setups können OpenVPN verwenden, insbesondere bei flexibleren oder benutzerdefinierten Konfigurationen.

Nehmen wir ein Beispiel aus der Praxis. Angenommen, ein Unternehmen hat Büros in Berlin und New York. Jeder Standort betreibt sein eigenes Netzwerk aus Laptops, Servern, Druckern und anderen Geräten. Das Unternehmen möchte, dass diese Netzwerke wie ein einziges funktionieren, ohne etwas dem öffentlichen Internet preiszugeben. Das gelingt folgendermaßen:

1. 1.In beiden Büros werden VPN-Gateways eingerichtet. Sie fungieren als sichere Übersetzer zwischen dem lokalen Netzwerk und dem VPN-Tunnel.
2. 2.Zwischen den Gateways wird ein Tunnel mit IPsec aufgebaut.
3. 3.Der gesamte Datenverkehr zwischen den beiden Büros wird verschlüsselt, wenn er in den Tunnel eintritt, und entschlüsselt, wenn er ihn verlässt.

Wenn Anna in Berlin eine Datenbank in New York abfragen möchte, geht ihre Anfrage durch das Berliner Gateway, wird verschlüsselt, reist sicher durch den Tunnel, wird vom New Yorker Gateway entschlüsselt und an die Datenbank weitergeleitet. Die Antwort nimmt denselben verschlüsselten Weg zurück. Anna bemerkt nichts davon – der gesamte Vorgang dauert nur Sekunden.

Anforderungen an ein Site-to-site-VPN

Um ein Site-to-Site-VPN einzurichten, benötigst du:

• VPN-kompatible Router oder Firewalls an jedem Standort. Deine Hardware muss IPsec oder ähnliche Protokolle unterstützen.
• Öffentliche IP-Adressen für jedes Gateway. So finden sie sich gegenseitig über das Internet.
• Ein gemeinsames VPN-Protokoll. Die meisten Setups verwenden IPsec zur Verschlüsselung und Authentifizierung.
• Netzwerkadressenplanung. Vermeide überlappende Subnetze zwischen den Standorten, um das Routing einfach zu halten.
• Administratorzugriff auf den Router und die Firewall jedes Netzwerks. Du musst die Tunneleinstellungen auf beiden Seiten konfigurieren.
• Zuverlässige Internetverbindungen an jedem Standort. Das gesamte Setup hängt von einer stabilen Konnektivität ab.

Welche Arten von Site-to-Site-VPNs gibt es?

Es gibt zwei Hauptarten von Site-to-Site-VPNs:

• Intranet-basierte Site-to-Site-VPNs verbinden mehrere Büros oder Zweigstellen innerhalb derselben Organisation. Zum Beispiel könnte eine Einzelhandelskette alle ihre Filialen mit der Zentrale verbinden, um ein einheitliches internes Netzwerk zu schaffen. Alles läuft über das öffentliche Internet, aber die Verbindung ist privat und sicher.
• Extranet-basierte Site-to-Site-VPNs werden zwischen separaten Organisationen, wie Lieferanten, Partnern oder Kunden, verwendet. Ein extranet-basiertes VPN ermöglicht dir den kontrollierten Zugriff auf bestimmte Teile deines Netzwerks, ohne alles zu öffnen.

Für größere Setups wählen einige Unternehmen ein MPLS-VPN, eine private, verwaltete Alternative, die komplexeres Routing handhaben kann.

Welche Unterschiede zwischen einem Site-to-Site-VPN vs. einem Client-to-Site-VPN?

Ein Site-to-Site-VPN verbindet ganze Netzwerke – wie die Verknüpfung der Haupt- und Zweigstellen –, sodass Geräte in beiden sicher kommunizieren können, als ob sie sich im selben lokalen Netzwerk befänden. Im Gegensatz dazu verbindet ein Client-to-Site- (oder Remote-Access-) VPN einzelne Geräte, wie die Laptops oder Telefone von Mitarbeitern, direkt mit dem privaten Netzwerk des Unternehmens von überall her und gibt diesen Benutzern sicheren Zugriff auf interne Ressourcen. 

Während Site-to-Site hauptsächlich für Organisationen mit mehreren Büros verwendet wird, ist Client-to-Site ideal für Remote-Arbeiter oder Personen, die sicheren Zugriff auf das Netzwerk benötigen, wenn sie außerhalb des Büros sind.

Was ist der Unterschied zwischen Site-to-Site-VPN vs. a Point-to-Site-VPN?

Site-to-Site-VPNs verbinden ganze Netzwerke und sind geeignet für Unternehmen mit mehreren Büros, die eine konstante, sichere Verbindung zwischen Standorten benötigen. Sie dienen als Brücke zwischen den Standorten, sodass Teams Ressourcen teilen können, als ob sie sich im selben lokalen Netzwerk befänden. Point-to-Site-VPNs hingegen sind für einzelne Benutzer gemacht. Sie ermöglichen es deinen Remote-Mitarbeitern, sich von überall aus – zu Hause, in einem Café oder unterwegs – sicher mit dem Büronetzwerk zu verbinden. Es ist flexibel, benutzerorientiert und perfekt für Unternehmen mit einer dezentralisierten Belegschaft.

Welche Unterschiede zwischen einem Site-to-Site-VPN vs. einem Remote-Access-VPN?

Ein Site-to-Site-VPN unterscheidet sich von einem Remote-Access-VPN. Ein Remote-Access-VPN ist die gebräuchlichste Art von Verbraucher-VPN, die Art, die du vielleicht auf deinem Telefon oder Laptop für deine tägliche Privatsphäre verwendest.

Remote-Access-VPNs verwenden ein Client/Server-Modell. Der Client ist eine Anwendung, die auf deinem Gerät installiert ist und deine Internetaktivität über einen Server leitet und deine Daten verschlüsselt, während sie zwischen Client und Server übertragen werden. Dies ist eine effektive Methode, um deine Online-Privatsphäre zu schützen, die IP-Adressen deiner Geräte zu verbergen und die Bedrohung durch Man-in-the-Middle-Angriffe zu begrenzen.

S2S-VPNs verwenden kein Client/Server-Modell. Der Verschlüsselungstunnel verläuft zwischen den Gateways an jedem Standort, sodass du keinen Client auf deinem Gerät benötigst, solange du Informationen über dein VPN-Gateway sendest und empfängst.

Remote-Access-VPNs können natürlich auch für Unternehmen und größere Organisationen verwendet werden. Mitarbeiter können zum Beispiel einen Client auf ihrem Gerät verwenden, um auf einen bestimmten Firmenserver zuzugreifen, auf dem Dateien und andere Netzwerkressourcen gespeichert sind. Viele Unternehmen verwenden sowohl Remote-Access-VPNs als auch Site-to-Site-VPNs.

Wie erstellt man einen Site-to-Site-VPN-Tunnel

Schauen wir uns die Schritte zum Einrichten eines Site-to-Site-VPN-Tunnels an:

1. 1.Wähle an jedem Standort VPN-fähige Router oder Firewalls aus.
2. 2.Konfiguriere jedes Gerät mit:
   • Statischen öffentlichen IP-Adressen, damit sie sich gegenseitig finden können.
   • Übereinstimmendem VPN-Protokoll (IPsec ist üblich).
   • Übereinstimmenden Verschlüsselungseinstellungen.
3. 3.Definiere lokale und entfernte Subnetze, um jedem Gateway mitzuteilen, welchen Datenverkehr es tunneln soll.
4. 4.Richte die Authentifizierung ein (Pre-Shared Key oder digitales Zertifikat).
5. 5.Öffne die notwendigen Firewall-Ports (normalerweise UDP 500 und 4500 für IPsec).
6. 6.Teste den Tunnel, um sicherzustellen, dass der Datenverkehr verschlüsselt ist und das Routing korrekt funktioniert.

Wie führt man eine Site-to-Site-VPN-Konfiguration durch

Um ein Site-to-Site-VPN zu konfigurieren, benötigst du Zugriff auf einen VPN-fähigen Router oder eine Firewall an jedem Standort. Befolge diese Schritte, um es einzurichten:

1. 1.Melde dich in der Admin-Oberfläche deines Routers oder deiner Firewall an.
2. 2.Gehe zum VPN-Bereich und wähle „Site-to-Site“ oder „IPsec“ VPN aus.
3. 3.Lege das lokale Subnetz (dein internes Netzwerk) und die öffentliche IP des entfernten Gegenstücks fest.
4. 4.Gib das entfernte Subnetz (das interne Netzwerk des anderen Standorts) ein.
5. 5.Wähle deine Verschlüsselungs- und Authentifizierungseinstellungen (wie AES oder SHA).
6. 6.Gib einen vorab geteilten Schlüssel ein oder lade digitale Zertifikate hoch.
7. 7.Aktiviere bei Bedarf NAT-Traversal (hängt von deiner Netzwerkkonfiguration ab).
8. 8.Speichere und wende die Einstellungen an.
9. 9.Wiederhole die Konfiguration auf dem Remote-Gerät.
10. 10.Teste die Verbindung, um zu bestätigen, dass der Tunnel funktioniert.

Was sind die Best Practices für die Einrichtung eines Site-to-Site-VPN?

Den Site-to-Site-VPN-Tunnel zum Laufen zu bringen, ist eine Sache – ihn sicher und stabil zu halten, eine andere. Ein paar Best Practices werden dir dabei helfen, es richtig zu machen:

• Verwende eine starke Verschlüsselung wie AES-256 mit IPsec.
• Aktualisiere die Firmware auf allen VPN-Geräten regelmäßig.
• Beschränke den Zugriff mit Firewall-Regeln.
• Überprüfe die Protokolle regelmäßig und richte Warnmeldungen für ungewöhnlichen Datenverkehr ein.
• Aktiviere Failover-Konfigurationen, wenn Hochverfügbarkeit entscheidend ist.

Welche Hardware benötigt man für ein Site-to-Site-VPN?

Du benötigst keine ausgefallene Unternehmens-Hardware, um ein Site-to-Site-VPN zu betreiben, aber du brauchst die richtigen Tools:

• Einen Router oder eine Firewall, die Site-to-Site-VPN-Protokolle (wie IPsec) unterstützt.
• Dual-WAN-Router, wenn du Internet-Redundanz oder Lastverteilung möchtest.
• VPN-Konzentratoren zur Verwaltung mehrerer Tunnel in großen Netzwerken.
• Ein Modem für eine stabile Internetverbindung an jedem Standort.

Es ist auch wichtig zu beachten, dass die Hardware über ausreichend Rechenleistung verfügen sollte, um die Verschlüsselung zu verarbeiten, ohne die Netzwerkleistung zu beeinträchtigen.

Was sind die Vorteile eines Site-to-Site-VPNs?

Site-to-Site-VPN-Vorteile für Organisationen jeder Größe umfassen:

• Verbesserte Datensicherheit. Ein S2S-VPN verschlüsselt Daten, die zwischen Benutzern oder verschiedenen Standorten übertragen werden (das ist der verschlüsselte VPN-Tunnel, auf den wir uns zuvor bezogen haben). Das bedeutet, dass, wenn böswillige Akteure Daten während der Übertragung zwischen Standorten abfangen, diese ihnen ohne den richtigen Entschlüsselungsschlüssel nur als unentzifferbarer Code sichtbar sind.
• Optimierte Ressourcenfreigabe. Obwohl dies ein Vorteil der meisten WANs ist, ist es hier erwähnenswert. Ein Site-to-Site-VPN ermöglicht es Mitarbeitern an Standorten auf der ganzen Welt, zu kommunizieren, Ressourcen zu teilen und sicher auf sensible Daten zuzugreifen. Es ist eine großartige Möglichkeit, die Synergie in einer verteilten Belegschaft aufrechtzuerhalten, vorausgesetzt, jeder hat Zugriff auf die Standorte, an denen die Gateways eingerichtet sind.
• Einfaches Onboarding. Ein Vorteil der Verwendung einer Site-to-Site-VPN-Netzwerksicherheitslösung ist, dass sie nicht auf einem Client/Server-Modell basiert. Anstatt von allen Benutzern in einem Unternehmensnetzwerk zu verlangen, dass sie bestimmte Client-Software auf ihren Geräten installieren, können sie sich einfach mit dem VPN-Gateway verbinden und von der zuvor erwähnten Datensicherheit profitieren. Die Verwendung eines Nicht-Client-Modells hilft auch in den seltenen Fällen, in denen bestimmte Betriebssysteme und Geräte nicht mit VPN-Software kompatibel sind.

Was sind die Einschränkungen von Site-to-Site-VPNs?

Site-to-Site-VPNs haben auch einige Einschränkungen, die du beachten solltest:

• Ungeeignet für Remote-Arbeit. Seit 2020 hat sich Remote-Arbeit stark normalisiert. Infolgedessen arbeiten viele Mitarbeiter von zu Hause oder von Coworking-Spaces aus, wo sie keinen Zugang zu einem bestimmten VPN-Gateway haben. Dasselbe gilt für jede Organisation, die auf Remote-Arbeiter angewiesen ist, die selten physisch auf die Standorte zugreifen können, die das VPN verbindet.
• Begrenzte Sicherheit und Privatsphäre. Egal wie sicher deine VPN-Protokolle sind, ein S2S-VPN schützt Daten nur, während sie zwischen Gateways übertragen werden. Die LANs auf beiden Seiten dieser Gateways sind nicht unbedingt sicher vor Cyberkriminellen und Schnüfflern, sodass Informationen, sobald sie entschlüsselt und an ein bestimmtes Gerät an einem Standort gesendet wurden, offen gelegt werden könnten. Dies ist ein Bereich, in dem Client/Server-VPNs einen Vorteil haben, da Daten, die zu und von einzelnen, clientinstallierten Geräten übertragen werden, normalerweise verschlüsselt sind.
• Dezentralisierte Bereitstellung und Verwaltung. Während viele Unternehmen VPN-Lösungen zur Verbesserung der Netzwerksicherheit einführen, bevorzugen die meisten Systeme, die von einem zentralen Kontrollpunkt aus bereitgestellt und verwaltet werden können. Eine zentralisierte Verwaltung verbessert die technische Fehlerbehebung und Sicherheit. Das Einrichten eines Site-to-Site-VPNs erfordert verschiedene Teams an verschiedenen Standorten, was die zentralisierte Verwaltung erschwert.

Warum nutzt man das Site-to-Site-VPN für B2B-Kommunikation?

Du solltest ein Site-to-Site-VPN für die B2B-Kommunikation nutzen, weil es viele Vorteile hat:

• Sicherheit. Der gesamte Datenverkehr zwischen Netzwerken ist verschlüsselt, was die Gefährdung durch Bedrohungen reduziert.
• Kontrolle. Du entscheidest genau, auf welche Teile deines Netzwerks Partner oder Auftragnehmer zugreifen können.
• Kosteneffizienz. Es macht teure Standleitungen oder dedizierte Leitungen überflüssig.
• Bequemlichkeit. Es lässt den externen Zugriff so anfühlen, als würde er innerhalb deines eigenen Netzwerks stattfinden.

Wie profitieren Unternehmensnetzwerke von Site-to-Site-VPNs?

Site-to-Site-VPNs ermöglichen es Unternehmen, als eine einzige Einheit zu agieren, egal wie viele Standorte sie haben. So nutzen Unternehmen sie:

• Sichere Datenfreigabe über globale Büros hinweg.
• Zentralisierte Backups von Zweigstellen.
• Ermöglichung interner Apps (wie CRM oder ERP) an allen Standorten.
• Bereitstellung des Zugriffs auf freigegebene Datenbanken und Tools.
• Schaffung einer einheitlichen Sicherheitsrichtlinie über alle Standorte hinweg.
• Hybride Flexibilität, die Site-to-Site-VPNs für Büronetzwerke mit Remote-Access-VPNs für Mitarbeiter kombiniert, die von zu Hause oder unterwegs arbeiten.

Ist ein Site-to-Site-VPN besser als ein webbasiertes VPN?

Ob das Site-to-Site-VPN besser als ein webbasiertes ist, hängt davon ab, was du brauchst:

• Ein Site-to-Site-VPN ist dafür ausgelegt, ganze Netzwerke zu verbinden. Es eignet sich am besten für interne Geschäftsabläufe und den Partnerzugriff.
• Ein webbasiertes VPN (wie ein SSL-VPN) ist perfekt für Einzelpersonen, die schnellen, browserbasierten Zugriff auf bestimmte Apps oder Dienste benötigen. Es ist großartig für die gelegentliche Remote-Nutzung, aber nicht für die vollständige Netzwerkintegration ausgelegt.

Ist ein VPN das Richtige für dein Unternehmen?

Ein VPN kann die Online-Privatsphäre und Datensicherheit der meisten Unternehmen verbessern. NordLayer, eine der effektivsten verfügbaren B2B-VPN-Lösungen, bietet dir eine Vielzahl von Optionen für Unternehmen jeder Größe. Wenn du den NordLayer Site-to-Site-VPN-Dienst wählst, kannst du von dedizierten Gateways für alle deine LANs profitieren.

Selbst wenn du bereits eine Netzwerklösung hast – zum Beispiel MPLS – kann NordLayer eine Schlüsselrolle in deiner gesamten Cybersicherheitsstrategie spielen. NordLayer bietet dir auch ein Client/Server-Modell, das es Organisationen ermöglicht, Daten und Ressourcen sicher mit Mitarbeitern innerhalb und außerhalb des Büros zu teilen.

NordVPN: Alternative Software-Lösung zu Site-to-Site-VPNs

NordVPN ist einer der besten VPN-Dienste und bietet dir eine einfachere, erschwinglichere Alternative zu herkömmlichen Site-to-Site-VPNs, insbesondere für kleine Unternehmen, die sicheren Fernzugriff benötigen. Obwohl es kein Site-to-Site-VPN ist, kannst du mit einer dedizierten IP deinen Remote-Mitarbeitern sicheren und kontrollierten Zugriff auf dein Netzwerk ermöglichen, ohne die Komplexität eines herkömmlichen Setups.

Mit Funktionen wie AES-256-Verschlüsselung, einem globalen Servernetzwerk und zusätzlichen Sicherheitsoptionen wie Double VPN sorgt NordVPN dafür, dass deine Verbindungen schnell und sicher sind. Außerdem machen die benutzerfreundliche Oberfläche und der Kundensupport es zu einer guten Wahl für Unternehmen, die zuverlässigen Fernzugriff ohne komplizierte Einrichtung benötigen.