Skip to main content

Site-to-Site-VPN – Architektur, Aufbau & Betrieb

Site-to-Site-VPNs verbinden komplette Netzwerke dauerhaft miteinander und sind ein zentrales Element moderner Standortvernetzungen. Im Gegensatz zu Remote-Access-VPNs agieren sie transparent für Endgeräte und stellen damit besondere Anforderungen an Planung, Sicherheit und Betrieb.

1. Ziel und Einsatz von Site-to-Site-VPNs

Ein Site-to-Site-VPN schafft eine sichere Verbindung zwischen zwei oder mehr räumlich getrennten Netzwerken.

Typische Einsatzszenarien:

  • Vernetzung von Firmenstandorten
  • Anbindung von Rechenzentren
  • Hybrid-Cloud-Architekturen

Der Tunnel arbeitet unabhängig von einzelnen Benutzern.

2. Architekturvarianten

2.1 Punkt-zu-Punkt (Hub-and-Spoke)

Alle Standorte verbinden sich mit einer zentralen Instanz.

Vorteile:

  • Zentrale Kontrolle
  • Einfaches Regelmanagement

Nachteile:

  • Zentraler Single Point of Failure
  • Begrenzte Skalierbarkeit

2.2 Vollvermascht (Mesh)

Jeder Standort ist mit jedem verbunden.

Vorteile:

  • Hohe Redundanz
  • Direkte Kommunikation

Nachteile:

  • Hoher Konfigurationsaufwand
  • Komplexes Management

3. Technischer Aufbau

Ein Site-to-Site-VPN besteht aus:

  • VPN-Gateways
  • Verschlüsselungsparametern
  • Authentifizierungsmechanismen
  • Routing-Konfiguration

Beide Seiten müssen exakt abgestimmt sein.

4. IPsec im Site-to-Site-Betrieb

IPsec ist der Standard für Site-to-Site-VPNs.

Wichtige Parameter:

  • IKE-Version
  • Verschlüsselungsalgorithmen
  • Hash-Verfahren
  • Lifetime

Inkompatible Parameter sind die häufigste Ursache für Verbindungsprobleme.

5. Routing über VPN-Tunnel

VPN-Tunnel transportieren IP-Pakete – Routing entscheidet über Nutzung.

Möglichkeiten:

  • Statische Routen
  • Dynamisches Routing (OSPF, BGP)

Fehlende oder falsche Routen führen zu einseitiger Erreichbarkeit.

6. Sicherheitsaspekte

Ein Site-to-Site-VPN erweitert das interne Netzwerk.

Risiken:

  • Vertrauensausweitung
  • Fehlende Segmentierung

Empfehlungen:

  • Firewall-Regeln zwischen Standorten
  • Segmentierte Netze
  • Logging aktivieren

7. Typische Fehlerbilder

7.1 Tunnel steht, aber kein Traffic

Ursachen:

  • Routing-Fehler
  • Firewall blockiert

7.2 Tunnel instabil

Häufig durch:

  • Internet-Verbindungsprobleme
  • Lifetime-Mismatch

7.3 Asymmetrischer Traffic

Führt zu:

  • Abbrüchen
  • Firewall-Drops

8. Betrieb & Monitoring

Ein Site-to-Site-VPN muss kontinuierlich überwacht werden.

  • Tunnel-Status
  • Verbindungsdauer
  • Fehlversuche
  • Durchsatz

Ausfälle müssen sofort erkannt werden.

9. Best Practices

  • Starke Verschlüsselung einsetzen
  • Redundante Tunnel konfigurieren
  • Routing dokumentieren
  • VPNs regelmäßig testen

10. Fazit

Site-to-Site-VPNs sind leistungsfähig, aber nur mit sauberer Planung beherrschbar.

Professioneller Betrieb erfordert:

  • Klare Architektur
  • Strenge Sicherheitskontrollen
  • Aktives Monitoring

Ungeplante VPN-Verbindungen sind ein Sicherheitsrisiko.

Back to top