Peer-to-Peer VPN
Ein Peer-to-Peer VPN (auch Site-to-Site VPN genannt) bietet die Möglichkeit, zwei oder mehrere geografisch getrennte Standorte über das Internet sicher miteinander zu verbinden, als wären sie ein einziges privates Netzwerk — beispielsweise Zweigstellen und die Hauptniederlassung.
Typische Anwendungsfälle
- Standortvernetzung: Zwei Büros oder Filialen teilen sich ein gemeinsames Netzwerk für Dateifreigaben, Drucker und interne Anwendungen.
- Fernzugriff auf Server: Zugriff auf einen Dateiserver oder eine Datenbank am anderen Standort.
- Zentralisierte Backups: Daten von einer Filiale werden über den VPN-Tunnel an den Hauptstandort gesichert.
- VoIP zwischen Standorten: Interne Telefonie zwischen zwei Büros ohne Kosten über das öffentliche Netz.
VPN einrichten
Im Router-Portal unter Netzwerk → Peer-to-Peer VPN:
- Peer-to-Peer VPN Funktion aktivieren und speichern
- Einen neuen VPN-Standort hinzufügen
- Die VPN-Verbindungsdaten der Gegenstelle eingeben und hinzufügen
Verschlüsselung
Centro Business zu Centro Business
Wenn ein VPN zwischen zwei Centro Business eingerichtet wird, erfolgt die Wahl der Verschlüsselung automatisch. Es ist keine manuelle Konfiguration nötig.
Centro Business zu beliebiger VPN-Gegenstelle
Wenn die Gegenstelle keinen Centro Business verwendet, muss die Verschlüsselung manuell konfiguriert werden. Folgende Profile stehen zur Verfügung (PFS wird stets empfohlen):
| Parameter | Swisscom-IKEv2-PFS | Swisscom-IKEv2 |
|---|---|---|
| IKE Exchange Mode | Main | Main |
| Phase 1 Encr. Algs | AES-CBC-256, AES-CBC | AES-CBC-256, AES-CBC |
| Phase 1 Integrity Algs | HMAC-SHA2-256-128, HMAC-SHA1-160 | HMAC-SHA2-256-128, HMAC-SHA1-160 |
| Phase 1 DH Transforms | Curve25519, MODP-8192, ECP-384, MODP-2048 | Curve25519, MODP-8192, ECP-384, MODP-2048 |
| Phase 1 SA Lifetime | 86400 | 86400 |
| Phase 2 Encr. Algs | AES-CBC-256, AES-CBC | AES-CBC-256, AES-CBC |
| Phase 2 Integrity Algs | HMAC-SHA2-256-128, HMAC-SHA1-160 | HMAC-SHA2-256-128, HMAC-SHA1-160 |
| Phase 2 SA Lifetime | 86400 | 86400 |
| PFS | Curve25519, MODP-8192, ECP-384, MODP-2048 | Deaktiviert |
Performance-Optimierung (NAT-T)
Bei VPN-Verbindungen, die über einen eigenen Router oder eine Firewall hinter dem Centro Business aufgebaut werden, wird die Aktivierung von NAT-T (NAT Traversal) empfohlen.
Technische Vorteile:
- Steigerung des Durchsatzes: Die Übertragungsgeschwindigkeit des VPN-Tunnels erhöht sich.
- Hardware-Beschleunigung: NAT-T kapselt IPsec-Pakete in UDP-Pakete ein. Dies ermöglicht es dem Centro Business, die Pakete hardwareseitig zu beschleunigen.
Voraussetzung: NAT-T muss zwingend auch auf der Gegenstelle aktiviert werden, damit die Verbindung erfolgreich aufgebaut wird und die Performance-Vorteile greifen.
Einschränkungen
- Bei BNS/EC-S Vertrag nicht verfügbar
- IKEv1 wird nicht unterstützt (nur IKEv2)
FAQ - Peer-to-Peer VPN
Worauf gilt es zu achten, wenn Netzwerke über VPN verbunden werden?
- Bestehen Sicherheitslücken an einem der VPN-Standorte, bieten VPN-Tunnel einem Angreifer die Chance auf weitere Infrastruktur zuzugreifen (das Schadensrisiko steigt).
- Wenn am Gegenstandort kein Centro Business Router verwendet wird, erfordert die Konfiguration des VPN technische Kenntnisse.
Was ist PFS?
PFS steht für "Perfect Forward Secrecy". Es stellt sicher, dass selbst wenn die Schlüssel eines Kommunikationskanals kompromittiert werden, vergangene Sitzungen nicht entschlüsselt werden können. PFS wird stets empfohlen.
Warum wird IKEv1 nicht mehr unterstützt?
IKEv2 bietet signifikante Verbesserungen gegenüber IKEv1: vereinfachte Protokollstruktur, bessere Verschlüsselungsalgorithmen, MOBIKE-Unterstützung für mobile Geräte und behobene Schwachstellen. Aus Sicherheitsgründen wird daher ausschliesslich IKEv2 unterstützt.
Fehlt Ihnen hier etwas? Geben Sie uns Feedback!
Helfen Sie uns, den CB-Guide zu verbessern. Teilen Sie uns mit, welche Inhalte Sie vermissen oder was wir optimieren können.
Feedback senden