Mitarbeiter-Anbindung mit OpenVPN, Pritunl, WireGuard und SoftEther VPNs auf Open-Source-Basis

Von Thomas Joos Lesedauer: 6 min

Anbieter zum Thema

Mit dem Aufbau eigener VPN-Umgebungen können Organisationen externe und mobile Mitarbeiter an das eigene Netzwerk anbinden. Hierzu eignen sich auch verschiedene Open-Source-Lösungen, die kommerziellen Anwendungen in nichts nachstehen – ganz im Gegenteil!

Zur Anbindung von Mitarbeitern im Homeoffice oder zur Vernetzung mehrerer Standorte muss es nicht immer eine kommerzielle VPN-Lösung sein.
Zur Anbindung von Mitarbeitern im Homeoffice oder zur Vernetzung mehrerer Standorte muss es nicht immer eine kommerzielle VPN-Lösung sein.
(Bild: © chinnarach - stock.adobe.com)

Damit sich externe Mitarbeiter oder Benutzer aus dem Homeoffice am lokalen Netzwerk von Unternehmen anmelden können, sind selbst-gehostete VPNs in den meisten Fällen die beste Wahl. Neben zahlreichen kommerziellen Angeboten gibt es hierfür auch verschiedene Open-Source-Lösungen, die relativ schnell eingerichtet sind, eine hohe Sicherheit bieten und darüber hinaus auch kostenlos sind. Wir geben in Beitrag einen Überblick über quelloffene VPNs, die für einen KMU-Einsatz durchaus interessant sind.

Reichen die kostenlosen Versionen der vorgestellten Lösungen nicht aus, können erweiterte Funktionen kostengünstig dazugebucht werden. Lösungen wie OpenVPN und WireGuard bieten darüber hinaus auch die Möglichkeiten, komplette Standorte miteinander zu verknüpfen, wenn an beiden Standorten ein OpenVPN- oder WireGuard-Server zum Einsatz kommt.

Bildergalerie
Bildergalerie mit 5 Bildern

OpenVPN – Seit Jahren etabliert und in vielen Geräten enthalten

OpenVPN gehört sicher zu den bekanntesten Lösungen für den Aufbau einer selbst gehosteten VPN-Lösung. Ein OpenVPN-Server ist in vielen Firewalls und Routern bereits standardmäßig integriert, sodass in diesem Fall die Installation eines Servers entfällt. Hinzu kommt die hohe Sicherheit, die gute Geschwindigkeit und die gleichzeitig relativ einfache Bedienung. Mit OpenVPN können Admins zudem umfassende Einstellungen bezüglich Sicherheit und Authentifizierung vornehmen.

Außerdem gibt es OpenVPN-Clients für so gut wie jedes Betriebssystem und sehr viele Endgeräte – natürlich auch für iOS und Android. Selbstverständlich lassen sich auch Windows, Linux und macOS an den OpenVPN-Server anbinden. Sichere Anmeldungen mit 2FA, PAM, LDAP und Active Directory sind standardmäßig ebenfalls enthalten.

In Appliances wie OPNsense sind Firewall-Technologien und gleichzeitig VPN-Funktionen wie OpenVPN und WireGuard integriert, sodass der Aufbau eines eigenen VPN-Servers auch als VM erfolgen kann. Im Beitrag „Home Office mit OpenVPN und OPNsense“ zeigen wir die Einrichtung eines VPN mit OPNsense in der Praxis. Auch der Beitrag „So stellen Sie OpenVPN und andere Dienste mit Proxmox bereit“ zeigt Möglichkeiten, wie OpenVPN in der Praxis eingesetzt werden kann.

Parallel zur Möglichkeit, Clients von extern an das eigene Netzwerk anzubinden, ist es mit OpenVPN auch möglich, mehrere Standorte miteinander zu verknüpfen. In diesem Fall können Clients mit Servern aus anderen Standorten kommunizieren, ohne dass auf diesen ein OpenVPN-Client installiert und eingerichtet sein muss.

WireGuard – Der aktuelle Platzhirsch beim Aufbau von VPNs

Ohne Zweifel ist das relative neue WireGuard-Protokoll aktuell der Platzhirsch, wenn es darum geht, VPNs zwischen Standorten oder für mobile Anwender und Homeoffices einzusetzen. Viele namhafte Hersteller nehmen das VPN-Protokoll in ihre Umgebung mit auf und ermöglichen dadurch den Aufbau von VPN-Verbindungen über das WireGuard-Protokoll. Auch im Linux-Kernel ist WireGuard enthalten. Zuletzt wurde WireGuard auch durch die Integration in aktuelle Fritzboxen bekannt.

WireGuard hat den Vorteil, eine sehr schlanke, sichere und gleichzeitig enorm leistungsstarke VPN-Lösung zu sein. Ursprünglich wurde WireGuard für Linux entwickelt, steht aber auch für Windows, macOS und BSD zur Verfügung. Hinzu kommt die Integrationsmöglichkeit in viele Firewalls, auch im KMU-Bereich.

WireGuard ist ähnlich schnell eingerichtet wie OpenVPN. Verbindungen können auf dem Austausch öffentlicher Schlüssel erfolgen. Die verwendete Kryptografie in WireGuard ist sehr fortgeschritten und bietet auch für kleine Unternehmen einen hohen Schutz. Ein großer Vorteil von WireGuard gegenüber anderen Lösungen wie OpenVPN ist die sehr viel geringere Bandbreite, die für eine leistungsstarke Verbindung notwendig ist. Weil es kaum Overhead für das VPN, sind die Verbindungen zudem sehr viel schneller. Für die Verbindungen nutzt WireGuard vor allem UDP. Es ist aber auch mit OpenVPN möglich, ein VPN auf Basis von UDP zu etablieren.

Beim Aufbau eines leistungsstarken, schnellen und sicheren VPNs setzen aktuelle viele Unternehmen entweder auf OpenVPN oder auf WireGuard. Wer in seiner Umgebung nicht sicher ist, welches der beiden Protokolle zum Einsatz kommen soll, kann kostengünstig auch parallel zwei verschiedene VPNs aufbauen. Aktuell ist WireGuard allerdings das schnellste VPN-Protokoll auf dem Markt.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Pritunl – VPNs mit IPsec, OpenVPN und WireGuard für große Unternehmen

Die Enterprise-Open-Source-Lösung Pritunl ermöglicht ebenfalls den Aufbau von VPNs, setzt dabei aber nicht auf eigene Protokolle, sondern auf IPSec, OpenVPN oder WireGuard. Die Lösungen von Pritunl orientieren sich vor allem an großen Unternehmen, die mehrere Standorte miteinander vernetzen wollen. Anbinden lassen sich nahezu alle bekannten Betriebssysteme, zum Beispiel Windows, Linux, macOS, Android und iOS. Mit Pritunl können Unternehmen und Organisationen tausende Benutzer anbinden und zahlreiche Standorte international miteinander vernetzen.

Der Quellcode der Enterprise-VPN-Lösung ist auf GitHub verfügbar, sodass Schwachstellen schnell entdeckt und geschlossen werden können. Obwohl sich Pritunl vor allem an große Unternehmen mit vielen Standorten und zahlreichen Benutzern richtet, ist die Verwaltung über die Weboberfläche sehr einfach gehalten. In einer Demo-Umgebung lassen sich alle Möglichkeiten von Pritunl testen.

Für die Anbindung von Clients kommt bei Pritunl entweder OpenVPN oder WireGuard zum Einsatz. Beim VPC-Peering und bei Site-to-Site-Links setzt Pritunl auf IPSec. Alle drei Protokolle können parallel zum Einsatz kommen, jeweils optimiert für das passende Einsatzgebiet. Pritunl lässt sich problemlos auf Linux-Servern installieren. Die VPN-Lösung ist seit Jahren auf dem Markt etabliert und bietet eine sinnvolle Ergänzung zu OpenVPN und WireGuard, da sich beide Protokolle beim Einsatz von Pritunl parallel einsetzen und damit testen lassen.

SoftEther – Open Source-VPN-Server für Windows, Linux, macOS, Solaris und FreeBSD

Neben OpenVPN, WireGuard und der Open-Source-VPN-Lösung für große Unternehmen, Pritunl, gehört SoftEther seit Jahren zu den bekanntesten Lösungen auf dem VPN-Markt. Das liegt auch daran, weil die Serverkomponenten für viele bekannte und auch weniger häufig eingesetzte Umgebungen zum Einsatz kommen können. Zur Authentifizierung setzt das System auf bekannte Lösungen, wie Radius, interne Authentifizierung oder Active Directory. Die Verwaltung erfolgt über eine grafische Oberfläche.

Basis von SoftEther ist eine VM, die als Appliance auf beliebigen Hypervisoren zum Einsatz kommen kann. Der Betrieb ist auch in Cloud-Lösungen wie AWS, GCP oder Microsoft Azure möglich. SoftEther unterstützt den Aufbau von SSL-VPNs sowie Layer-3-Verbindungen wie OpenVPN oder WireGuard. Auf dem SoftEther-VPN-Server lassen sich natürlich auch andere Protokolle nutzen, wie zum Beispiel OpenVPN, IPsec, L2TP, MS-SSTP, L2TPv3 und EtherIP. Vor allem das SSL-VPN kommt gerne bei SoftEther zum Einsatz, da bei diesem Protokoll eine Anbindung von Clients auch über Firewallgrenzen hinweg unproblematisch ist. Wie OpenVPN und WireGuard bietet auch SoftEther eine geringe Latenz und hohen Durchsatz bei VPN-Verbindungen.

SoftEther funktioniert auch unproblematisch bei dynamischen IP-Adressen, die häufig bei kleinen und mittleren Unternehmen zum Einsatz kommen. Die Verbindungen lassen sich mit RSA 4096-Bit und AES 256-Bit verschlüsseln. Als IP-Stack können IPv4 und parallel IPv6 zum Einsatz kommen.

Algo VPN – Das VPN mit Ansible-Skripten und WireGuard oder IPSec

Bei der Open Source Algo VPN handelt es sich um eine Sammlung von Ansible-Skripten, mit denen sich ein VPN mit den Protokollen WireGuard oder IPsec aufbauen lässt. Die Skripte von Algo VPN unterstützen IKEv2 mit starker Verschlüsselung (AES-GCM, SHA2 und P-256) für iOS, macOS und Linux. Dazu kommt die umfassende Unterstützung von WireGuard für Apple-Geräte, Linux, Android sowie Windows 10/11.

Mit den Skripten können auch die notwendigen Konfigurationsdateien für alle Betriebssysteme erstellt werden. Dazu kommt die Erstellung von Konfigurationsprofilen für Apple-Geräte. Die Installation ist auf privaten Clouds und Hypervisoren problemlos möglich. Durch das Verwenden der Clients der unterstützten Betriebssysteme, ist für die Verwendung von Algo VPN kein zusätzlicher Client auf den Endgeräten notwendig.

(ID:49207381)