Ein Site-to-Site-VPN ist ein VPN (Virtual Private Network), das eine verschlüsselte Verbindung zwischen zwei oder mehreren Geräten herstellt; komplette Netzwerke können damit verbunden werden. Es ist wie eine Privatstraße, die Unternehmen oder Organisationen im Internet erstellen und die nur sie nutzen und betreten dürfen.
Im Folgenden erfährst du mehr Details zu der Funktionsweise eines Site-to-Site-VPNs und welche Vorteile es dir bieten kann, aber auch welche Nachteile es hat. Du willst sicherlich wissen wollen, wie ein Site-to-Site-VPN erstellt wird. Kein Problem, diese Frage bekommst du ebenfalls beantwortet.
Was ist ein Site-to-Site-VPN?
Site-to-Site-VPNs finden vor allem in Unternehmen und Organisationen Einsatz, da komplette Netzwerke miteinander verbunden werden können. Ein mögliches Szenario wären Zweigstellen von Unternehmen, die mit der Hauptstelle verbunden werden sollen.
Bei einem Site-to-Site-VPN werden die zwei oder mehr Standorte durch Netzwerk-Gateways oder Router repräsentiert, die die VPN-Verbindung verwalten. Zwischen diesen Gateways wird ein VPN-Tunnel erstellt, durch den der Datenverkehr verschlüsselt und sicher fließen kann. Die Gateways kannst du dir als Türwächter am Ende des Tunnels vorstellen.
Das Site-to-Site-VPN simuliert sozusagen ein gemeinsames lokales Netzwerk. Alle Geräte, die Teil dieses Netzwerks sind, haben Zugriff auf gemeinsame Ressourcen, Anwendungen und Dienste.
Oder um es in einem Satz zusammenfassend auszudrücken: Du musst dir vorstellen, dass du einen sicheren und undurchdringbaren Tunnel zwischen zwei oder mehreren Büros erstellen möchtest, damit diese Daten sicher austauschen können.
Wie funktioniert ein Site-to-Site-VPN?
Besonders große Unternehmen haben oft weitere Niederlassungen, die sie in ihr Netzwerk integrieren möchten, weil Mitarbeiter auf Informationen in Datenbanken zugreifen sollen, die sich im Netzwerk der Hauptstelle befinden. Dafür richtet das Unternehmen eine VPN-Verbindung zwischen den Gateways der Niederlassungen ein.
Ein Mitarbeiter muss nun zunächst eine Verbindung mit dem VPN-Gateway in seiner Niederlassung aufbauen und eine Anfrage zum Zugriff auf Informationen an die Datenbank der Hauptstelle senden. Diese Anfrage erhält eine Verschlüsselung, bevor sie tatsächlich weitergeleitet wird.
Die Informationen, die der Mitarbeiter angefordert hat, werden über das Gateway in der Hauptstelle über den Tunnel wiederum verschlüsselt an das Gateway der Zweigstelle gesendet. Erst dort erfolgt die Entschlüsselung und Weitergabe an das Gerät des Nutzers, der die Anfrage gestellt hat.
Vor- und Nachteile eines Site-to-Site-VPNs
Ein Site-to-Site-VPN hat ohne Zweifel Vorteile. Was jedoch nicht vergessen werden darf: Nicht jeder braucht ein Site-to-Site-VPN, vor allem Privatpersonen nicht, und es bringt auch Nachteile mit sich.
So bietet es für Unternehmen sichere Möglichkeiten der Kommunikation und eine nahtlose Integration von mehreren Standorten in ein einziges Netzwerk. Darüber hinaus ist es kosteneffizient, da es bereits bestehende Internetverbindungen nutzt und flexibel, weil es sich an unterschiedliche Infrastrukturen anpasst.
Hingegen ist die Sicherheit und Privatsphäre eingeschränkt, und ein Site-to-Site-VPN ist nicht für Remote-Arbeit geeignet (mehr dazu im Anschluss). Zudem erfolgt die Einrichtung solcher Site-to-Site-VPNs an unterschiedlichen Standorten, was eine zentrale Verwaltung erschwert.
Erfahre im Folgenden noch einmal im Detail alle Vor- und Nachteile:
Vorteile eines Site-to-Site-VPNs
Hohe Datensicherheit: Zwischen den Gateways sind deine Daten verschlüsselt und fließen durch einen VPN-Tunnel. Hacker, die versuchen, den Datenverkehr auf dem Weg abzufangen, sehen nur einen Code, der für sie nicht entzifferbar ist.
Nahtlose Integration von weit entfernten Standorten: Mitarbeiter können auf gemeinsam genutzte Ressourcen, Anwendungen und Daten auf einfache Weise Zugriff bekommen, fast so, als befänden sie sich im selben LAN. Das funktioniert praktisch auf der ganzen Welt, was den Arbeitsfluss und die Zusammenarbeit zwischen den Mitarbeitern deutlich verbessern kann.
Kein VPN-Client notwendig: Nutzer eines Unternehmensnetzwerkes brauchen keine Installation eines VPN-Clients vorzunehmen. Sie verbinden sich einfach mit dem Gateway und kommen in die Vorzüge eines verschlüsselten VPN-Tunnels. Das ist auch von Vorteil, wenn Betriebssysteme und Geräte nicht mit einer VPN-Software kompatibel sind (was jedoch eher selten vorkommt).
Kosteneffizient und flexibel: Site-to-Site-VPNs nutzen bestehende Internetverbindungen und sind nicht abhängig von der technischen Infrastruktur an einem Standort. Es ist egal, auf welche Weise der Zugriff auf das Internet erfolgt (ob per Breitband, DSL, Glasfaser).
Nachteile eines Site-to-Site-VPNs
Sicherheit und Privatsphäre eingeschränkt: Das mag im ersten Moment im Widerspruch zu dem Punkt der Datensicherheit stehen, der bei den Vorteilen genannt wurde. Doch die Erklärung ist folgende: Ein Site-to-Site-VPN schützt nur auf dem Weg zwischen den Gateways. Die VPN-Verbindungen können noch so sicher sein, das örtliche Netzwerk an einem Standort ist es vielleicht nicht.
Greift ein Mitarbeiter innerhalb des Site-to-Site-VPNs auf Daten zu, werden diese am Ende des Prozesses entschlüsselt und an sein Gerät gesendet. Dort entsteht eine potenzielle Sicherheitslücke, und ein Hacker könnte die Daten möglicherweise offenlegen.
Nicht geeignet für Remote-Arbeit: Viele Mitarbeiter arbeiten nicht erst seit der Corona-Pandemie an manchen Tagen oder dauerhaft von einem flexiblen Standort aus. Das gilt auch für Freelancer, die für Unternehmen arbeiten. Dadurch ergibt sich das Problem, dass sie keinen Zugang zu einem der VPN-Gateways haben und somit nicht in den Genuss der Vorteile eines Site-to-Site-VPNs kommen. Hier müssen die Unternehmen deshalb andere Lösungen – wie ein Remote-Access-VPN – finden, um diese Mitarbeiter nicht von Ressourcen auszuschließen.
Keine zentrale Verwaltung möglich: Eine zentrale Verwaltung ist im technischen Sinne meist einfacher, als wenn die Verwaltung über mehrere unterschiedliche Punkte erfolgen muss. Doch das ist bei einem Site-to-Site-VPN der Fall: Die Einrichtung erfolgt dezentral an den verschiedenen Standorten. Tritt ein Fehler auf, kann dieser nicht an einer zentralen Stelle behoben werden, sondern an den betroffenen Gateways.
So erstellst du ein Site-to-Site-VPN
Um ein Site-to-Site-VPN erfolgreich einrichten zu können, benötigst du an sich nur zwei Schritte:
- Installiere Gateways in den Büros, die untereinander sicher Daten austauschen sollen. Dabei handelt es sich um Geräte wie Router, die du vorher einrichten und denen du sagen musst, was sie tun sollen. Dafür benötigst du Informationen wie die IP-Adresse.
- Einrichtung des Tunnels: Die Einrichtung des Tunnels erfolgt, indem du die Gateways mit dem Internet verbindest. Von nun an wird der Datenverkehr am Gateway verschlüsselt und anschließend durch den Tunnel gesendet. Am anderen Ende, am Gateway des anderen Büros, werden die Daten wieder entschlüsselt und sind für den Empfänger lesbar.
- Anpassungen vornehmen: Dieser dritte Schritt bezieht sich auf die Nachkontrolle und Justierung von einem Site-to-Site-VPN. Stelle nach der Einrichtung sicher, dass alles reibungslos funktioniert und die Verbindungen tatsächlich sicher sind.
Diese Schritte zeigen das Erstellen von einem Site-to-Site-VPN sehr vereinfacht ausgedrückt. Ein Unternehmen sollte sich unbedingt technische Hilfe holen, um den VPN-Tunnel sicher zu gestalten.
Remote-Access-VPN vs. Site-to-Site-VPN
Ein Remote-Access-VPN unterscheidet sich von einem Site-to-Site-VPN. Bei einem Remote-Access-VPN kann eine Person von überall aus auf das Netzwerk eines Unternehmens zugreifen, als ob er selbst im Büro sitzen würde, da ein VPN-Client auf seinem Gerät installiert ist. Ein Remote-Access-VPN ist also eine Art Tür, die der Nutzer auf seinem Gerät öffnen kann, um auf Ressourcen und Informationen eines Unternehmens zuzugreifen. Es ist unabhängig von einem Standort beziehungsweise einem lokalen Netzwerk eines Unternehmens.
Wie oben beschrieben, ist dieser Remote-Zugriff bei einem Site-to-Site-VPN nicht möglich, da der verschlüsselte VPN-Tunnel nur zwischen den Gateways verläuft. Die Installation eines VPN-Clients ist nicht vorgesehen.
Aspekt | Remote-Access-VPN | Site-to-Site-VPN |
|---|---|---|
Nutzung | Remote-Arbeit aus dem Homeoffice oder von flexiblen anderen Orten. | Sichere gemeinsame Nutzung von Ressourcen und Daten an verschiedenen Standorten. |
Funktionsweise | Verbindet eine Person mit dem Büro. | Verbindet ganze Büros oder Standorte untereinander. |
Zugang | VPN-Client auf einem eigenen Gerät. | Verbindung mit Gateway am Standort. |
Einrichtung | Relativ einfach mit VPN-Client. | Einfach, aber es benötigt mehr Anpassungen. |
Sicherheit | Sehr sicher, da Daten auch auf dem Gerät des Nutzers gesichert sind. | Sicher, doch sobald Daten Gateways verlassen, ist es anfällig für Sicherheitslücken auf dem individuellen Gerät bzw. im betroffenen Netzwerk. |
Szenario für Einsatz | Ein Mitarbeiter im Homeoffice oder ein Freelancer möchte von außerhalb auf Ressourcen zugreifen. | Haupt- und Zweigstellen eines Unternehmens sollen mit einem sicheren VPN-Tunnel verbunden werden. |
Vergleichbar mit | “Tür”, die ein Nutzer öffnen kann, um auf Ressourcen eines Unternehmens zuzugreifen. | Sichere “Privatstraße”, die jene nutzen können, die sich mit dem Gateway verbinden. |
FAQs
Ist ein Site-to-Site-VPN schnell?
Die Geschwindigkeit eines Site-to-Site-VPNs kann variieren. Faktoren dafür können zum Beispiel die Qualität der Netzwerkverbindungen und die Art der Verschlüsselung sein. Viel hängt von der richtigen Konfiguration und den Netzwerkressourcen ab.
Was ist das beste Protokoll für ein Site-to-Site-VPN?
Es gibt kein einziges „bestes Protokoll” für Site-to-Site-VPNs. Das am häufigsten eingesetzte Tunneling-Protokoll ist jedoch OpenVPN.
Welche Form des VPNs ist für Unternehmen am sinnvollsten?
Die meisten Unternehmen nutzen sowohl Remote-Access-VPNs als auch Site-to-Site. Beide Lösungen bieten ihre Vor- und Nachteile, weshalb es sinnvoll ist, beide in ein Unternehmen zu integrieren.
Ist die Nutzung eines Site-to-Site-VPNs auch für Privatpersonen zu empfehlen?
Als Privatperson besteht für dich kein Grund, eine solche Art eines VPNs zu nutzen. Als Alternative solltest du lieber auf das klassische VPN setzen wie dasjenige von Surfshark. Mit solchen VPN-Diensten stehen dir tausende VPN-Server zur Verfügung, mit denen du dich auf der ganzen Welt verbinden kannst.
