Hybrid Connectivity: VPN vs. Dedicated Link

Hybrid Connectivity: VPN vs. Dedicated Link ist eine Kernentscheidung für Unternehmen, die Workloads zwischen On-Premises-Rechenzentrum und Cloud (oder zwischen Colocation und Cloud) zuverlässig verbinden möchten. Im Alltag geht es dabei nicht nur um „Konnektivität vorhanden“, sondern um Latenz, Bandbreite, Verfügbarkeit, Sicherheit, Betriebskomplexität und Kosten über mehrere Jahre. Ein Site-to-Site-VPN wirkt zunächst attraktiv: schnell eingerichtet, flexibel, oft ohne lange Beschaffungswege. Eine dedizierte Verbindung wie AWS Direct Connect, Azure ExpressRoute oder Google Cloud Interconnect wirkt dagegen „enterprise-lastig“, bietet aber in der Regel stabilere Performance, klarere SLAs und bessere Skalierbarkeit bei hohem Datendurchsatz. In vielen Umgebungen ist die richtige Antwort nicht „entweder oder“, sondern eine bewusst kombinierte Topologie: VPN als schneller Start oder als Failover, Dedicated Link als Primärpfad für kritische Produktionslasten. Dieser Artikel erklärt die Unterschiede, typische Failure Modes, praxisnahe Auswahlkriterien und eine Designlogik, mit der Sie Hybrid Connectivity so aufbauen, dass sie nicht bei der ersten Lastspitze, Routing-Änderung oder Provider-Störung zur Incident-Quelle wird.

Was Hybrid Connectivity wirklich umfasst

Hybrid Connectivity beschreibt die Netzwerkverbindung zwischen mindestens zwei unterschiedlichen Netzwerkdomänen: typischerweise dem Unternehmensnetz (On-Premises oder Colocation) und einem oder mehreren Cloud-Netzen (VPC/VNet). Die Verbindung muss dabei nicht nur „IP-Pakete transportieren“, sondern auch operative Anforderungen erfüllen: Routing-Änderungen, Segmentierung nach Umgebungen, Zugriff auf Shared Services, Absicherung gegen Ausfälle und nachvollziehbare Troubleshooting-Daten.

• Transport: IPsec-VPN über das Internet oder private/dedizierte Leitungen über einen Provider/Carrier
• Routing: Statisch oder dynamisch (meist BGP), inklusive Präfix-Planung und Failover-Regeln
• Security: Verschlüsselung, Policy-Kontrollen, Segmentierung, Logging
• Operations: Monitoring, Kapazitätsmanagement, Change-Prozesse, Incident Response

Site-to-Site VPN: Stärken, Grenzen und typische Einsatzfälle

Ein Site-to-Site-VPN in der Cloud basiert in der Regel auf IPsec-Tunneln zwischen einem Cloud-Gateway und einem On-Premises-VPN-Endpunkt (Firewall, Router oder dedizierte Appliance). Der große Vorteil: Sie können innerhalb kurzer Zeit eine funktionierende Verbindung aufbauen – oft ohne neue Leitungen, ohne Vertragslaufzeiten und ohne Provisioning-Fenster.

• Schnelle Bereitstellung: Minuten bis Stunden, häufig vollständig automatisierbar (IaC)
• Niedrige Einstiegskosten: Keine physischen Cross-Connects notwendig
• Flexibel: Gut für Pilotprojekte, Dev/Test, temporäre Standorte oder als Fallback
• Verschlüsselt by default: IPsec liefert Transportverschlüsselung über unsichere Netze

Grenzen von VPN ergeben sich aus dem Transport über das öffentliche Internet und aus der Natur von IPsec: Performance ist weniger deterministisch, Latenz kann schwanken, und Durchsatz kann durch CPU/Appliance-Limits oder Provider-Gateway-Limits begrenzt sein. Zudem ist die Stabilität stark von Upstream-Internetpfaden abhängig, die Sie nur indirekt kontrollieren.

Typische VPN-Failure-Modes

• Jitter und variable Latenz: Besonders kritisch für Echtzeit-Anwendungen, Datenbanken mit Chatty-Protokollen oder strikte Timeouts
• Durchsatz-Engpässe: IPsec-Overhead und CPU-Limits am On-Prem-Endpunkt
• Rekeying und Tunnel-Flaps: Kurze Unterbrechungen durch IKE/IPsec-Erneuerung, falsch abgestimmte Timer
• MTU/Fragmentierung: PMTUD-Probleme durch IPsec-Encapsulation, ICMP-Blockaden oder inkonsistente MTU
• Asymmetrisches Routing: Zwei Tunnel, aber falsche Präferenzen; Rückverkehr landet im falschen Pfad und wird von stateful Firewalls gedroppt

Provider-Übersichten (als Einstieg) sind hilfreich, weil Begriffe und Limits je nach Plattform variieren: AWS Site-to-Site VPN, Azure VPN Gateway, Google Cloud VPN.

Dedicated Link: Was sich technisch und betrieblich verändert

Eine dedizierte Verbindung (Dedicated Link) bedeutet: Der Datenverkehr läuft über eine private Anbindung zwischen Ihrer Infrastruktur (On-Prem/Colo) und dem Cloud-Provider, meist via Carrier, Colocation-Meet-Me-Room oder Partner. Beispiele sind AWS Direct Connect, Azure ExpressRoute und Google Cloud Interconnect. Der Kernvorteil ist nicht nur „mehr Bandbreite“, sondern vor allem mehr Vorhersagbarkeit: stabilere Latenz, weniger Jitter, oft klarere SLAs und bessere Skalierung bei dauerhaft hohem Traffic.

• Deterministischere Performance: Private Pfade reduzieren Schwankungen durch Internet-Routing
• Skalierbarkeit: Höhere Bandbreitenprofile und bessere Eignung für datenintensive Workloads
• Routing als Standard (BGP): Dynamisches Routing und klarere Failover-Mechanismen
• Operationaler Vorteil: Weniger „mysteriöse“ Störungen durch Internetpfade, oft bessere Provider-Diagnostik

Allerdings ist Dedicated Link kein reines „Tech-Feature“, sondern ein Beschaffungs- und Betriebsprodukt: Provisioning dauert länger, es gibt physische Abhängigkeiten (Cross-Connects, Ports, Provider-Tickets), und Sie müssen Redundanz bewusst designen, um keinen Single Point of Failure zu bauen.

Offizielle Einstiegsquellen: AWS Direct Connect, Azure ExpressRoute, Google Cloud Interconnect.

Vergleich nach Kriterien: So treffen Sie eine belastbare Entscheidung

Die Entscheidung VPN vs. Dedicated Link sollte nicht an einem einzigen Merkmal hängen. In der Praxis bewährt sich eine Bewertung entlang von Performance, Verfügbarkeit, Security/Compliance, Betrieb und Kosten.

Performance: Latenz, Jitter und Durchsatz

VPN kann sehr gut funktionieren, wenn Latenzvarianz tolerierbar ist und der Durchsatz moderat bleibt. Dedicated Links sind typischerweise überlegen, wenn konstante Performance wichtig ist oder wenn viel Datenvolumen dauerhaft transportiert wird (Backups, Data Lakes, Replikation, ML-Pipelines, große Artefakte).

• Latenz: VPN über Internet ist pfadabhängig; Dedicated Link ist meist stabiler.
• Jitter: Für Echtzeit und strikte Timeouts ist Dedicated Link oft deutlich robuster.
• Durchsatz: VPN wird häufig durch Crypto/Appliance limitiert; Dedicated Link skaliert über Port-/Circuit-Kapazitäten.

IPsec-Overhead grob abschätzen

Verschlüsselung und Encapsulation reduzieren die nutzbare MTU und erhöhen den Protokolloverhead. Für eine grobe Nutzlast-Abschätzung kann man den Nettoanteil der Payload (vereinfachtes Modell) so ausdrücken:

PayloadRatio = MTU – Overhead MTU

Je kleiner die effektive Nutzlast pro Paket, desto mehr Pakete müssen gesendet werden, was CPU, Queueing und Latenz verschlechtern kann – besonders bei hohen PPS-Raten.

Verfügbarkeit: Redundanz ist kein Feature, sondern ein Design

Weder VPN noch Dedicated Link sind automatisch hochverfügbar. Entscheidend ist, wie Sie Redundanz umsetzen: mehrere Tunnel, mehrere Endpunkte, mehrere physische Leitungen, getrennte PoPs, getrennte Carrier. Ein häufiges Missverständnis ist, dass „Dedicated Link = hochverfügbar“ sei. Ohne zweites Circuit und saubere Routing-Policies kann eine einzelne Leitung ein größerer Single Point of Failure sein als zwei VPN-Tunnel über unterschiedliche Internetpfade.

• VPN-HA: Zwei IPsec-Tunnel zu getrennten Gateways, möglichst mit unterschiedlichen On-Prem-Endpunkten und separaten Internet-Uplinks
• Dedicated-Link-HA: Zwei unabhängige Circuits/Ports, idealerweise in getrennten Standorten/PoPs, plus getrennte Router
• Hybrid-HA: Dedicated Link als Primärpfad, VPN als sekundärer Pfad (Fallback) für Control-Plane oder kritische Basiskonnektivität

Verfügbarkeit kombinierter Pfade

Wenn Sie zwei unabhängige Pfade haben (z. B. Dedicated Link und VPN-Fallback) und annehmen, dass Ausfälle unabhängig sind, kann die kombinierte Verfügbarkeit grob so abgeschätzt werden:

A = 1 – ( 1 – Aded ) × ( 1 – Avpn )

Wichtig: In der Realität sind Ausfälle nicht immer unabhängig (gemeinsamer Standort, gemeinsamer Router, gemeinsamer Carrier). Genau deshalb ist physische und organisatorische Trennung so wertvoll.

Sicherheit und Compliance: Verschlüsselung, Isolation und Prüfpfade

VPN bringt Verschlüsselung über das Internet standardmäßig mit. Dedicated Links sind private Verbindungen, aber nicht automatisch verschlüsselt – je nach Compliance-Anforderung kann zusätzliche Verschlüsselung auf Layer 3 (IPsec), Layer 4/7 (TLS) oder über Overlay-Protokolle erforderlich sein. Praktisch bedeutet das: Bei Dedicated Link können Sie Sicherheit gezielt gestalten, müssen sie aber bewusst umsetzen.

• VPN: IPsec ist integraler Bestandteil; Schlüsselmanagement und Rekeying sind operative Aufgaben.
• Dedicated Link: Private Leitung; zusätzliche Verschlüsselung kann optional oder verpflichtend sein.
• Segmentierung: Beide Modelle brauchen klare Trennung (Prod/Non-Prod, Datenklassen), idealerweise mit zentralen Policies.
• Inspection: Egress/Ingress-Kontrollen, IDS/IPS und Logging müssen in den Pfad integriert werden, ohne unnötig jedes Ost-West-Paket zu bremsen.

Routing und Betrieb: BGP, Präfix-Design, Failover-Logik

Hybrid Connectivity scheitert im Betrieb selten an „Link down“, sondern an Routing-Details: falsche Präfixe, falsche Präferenzen, Route-Leaks, Overlaps, asymmetrische Pfade. VPN kann mit statischen Routen funktionieren, skaliert aber sauberer mit BGP. Dedicated Links setzen in der Praxis fast immer auf BGP, weil es Failover und Expansion deutlich robuster macht.

• BGP-Policies: Local Preference, AS-Path Prepending, MED (providerabhängig) steuern Pfadwahl.
• Präfix-Hygiene: Klare CIDR-Planung verhindert Overlaps und spätere „NAT als Notlösung“.
• Failover-Design: Definieren Sie, wann und wie Traffic auf den Backup-Pfad wechselt (und wann er zurückkehrt).
• Split-Traffic: Nicht jeder Traffic muss denselben Pfad nehmen; sensible oder latenzkritische Flüsse können priorisiert werden.

Asymmetrie als häufigster Incident-Treiber

Wenn der Hinweg über Dedicated Link läuft und der Rückweg über VPN (oder umgekehrt), droppen stateful Firewalls häufig Rückverkehr. Vermeiden Sie das durch konsistente Routing-Policies und durch klare „Source of Truth“ für Präfix-Advertisement. In vielen Organisationen lohnt sich eine kurze „Routing Readiness“-Checkliste für jede Änderung.

Kosten: CapEx/OpEx, Egress-Volumen und Betriebsaufwand

VPN wirkt oft günstiger, weil keine Leitung beschafft werden muss. In der Gesamtsicht zählen aber drei Kostenarten: direkte Providerkosten, indirekte Performancekosten (z. B. längere Jobs, mehr Retries, instabile Transfers) und operative Kosten (Incidents, Debugging-Zeit, Komplexität). Dedicated Links haben höhere Fixkosten, können aber bei hohem Datendurchsatz und stabiler Auslastung wirtschaftlich werden – und reduzieren häufig Incident-Risiken.

• VPN: Geringe Fixkosten, potenziell höhere variable Kosten durch ineffiziente Transfers oder höhere Fehlerquoten
• Dedicated Link: Höhere Fixkosten, oft bessere Planbarkeit und Skalierung, weniger „Internet-Überraschungen“
• Hidden Costs: Cross-AZ/Region Pfade, zusätzliche Appliances, Monitoring/Logging, On-Call-Aufwand

Praxisnahe Entscheidungslogik: Welche Option passt zu welchem Szenario?

Eine robuste Entscheidung entsteht, wenn Sie Anforderungen in Klassen einteilen und nicht nur „wir brauchen Hybrid“ sagen. Folgende Zuordnung ist in vielen Teams praktikabel:

• Pilot/Low Criticality: VPN (schnell, flexibel), klare Exit-Strategie falls Wachstum
• Produktionskritisch, moderate Last: VPN mit sauberer Redundanz, BGP, Observability, plus strikte Retry-/Timeout-Standards
• Produktionskritisch, hohe Last oder strikte Performance: Dedicated Link als Primärpfad, VPN als Backup
• Data-heavy Hybrid (Backups, Replikation, Analytics): Dedicated Link, ggf. mehrere Circuits/Ports und Traffic-Engineering
• Compliance mit Verschlüsselungspflicht: Dedicated Link + IPsec/TLS (je nach Kontrollmodell) oder VPN als Primärpfad

Designmuster: Bewährte Architekturvarianten

• Active/Passive: Dedicated Link aktiv, VPN passive Reserve; Failover per BGP-Präferenz
• Active/Active: Zwei Dedicated Links (ggf. zwei Standorte), Lastverteilung über Präfix-Splitting oder ECMP (wenn unterstützt)
• Segmentierter Hybrid: Kritische Subnetze/Services nutzen Dedicated Link; weniger kritische Flüsse nutzen VPN oder Internet-Egress
• Hub-and-Spoke: Zentrale Netzwerk-VPC/VNet als Hub (Transit), Spokes für Workloads; Hybrid-Anbindung am Hub

Traffic-Engineering mit Präfix-Splitting

Ein klassischer Ansatz für Active/Active ist die Aufteilung von Präfixen: Ein Teil der On-Prem-CIDRs wird bevorzugt über Link A annonciert, der andere über Link B. So erhalten Sie Lastverteilung, ohne dass jede Verbindung denselben Pfad nimmt. Das erfordert jedoch disziplinierte Präfixverwaltung und saubere Dokumentation.

Observability und Betrieb: SLIs, Tests und Runbooks

Hybrid Connectivity ist eine Shared Dependency. Sie wird erst beherrschbar, wenn Sie sie wie einen Service betreiben: mit SLIs, Alarmierung, synthetischen Tests und klaren Runbooks. Besonders hilfreich ist eine Messung entlang der Verbindungsphasen und die Segmentierung nach Pfad (VPN vs. Dedicated).

• SLI: Path Availability: Erfolgsrate von synthetischen Verbindungen pro Pfad (VPN, Dedicated)
• SLI: Latenz p95/p99: Getrennt messen für TCP-Connect und Application-Request
• SLI: Packet Loss / Retransmits: Frühindikator für Degradation
• SLI: Route Stability: Anzahl BGP-Flaps/Route Changes pro Zeitfenster
• Runbooks: „Link down“, „BGP flap“, „asymmetry“, „MTU blackhole“, „DNS split-horizon“

Häufige Fehler in Hybrid-Projekten (und wie Sie sie vermeiden)

• Nur ein Pfad ohne echte Redundanz: „Wir haben Dedicated Link“ ersetzt kein zweites Circuit und keinen zweiten Router.
• Statische Routen bei Wachstum: Funktioniert am Anfang, wird später operativ riskant; BGP früh einplanen.
• Kein IP-Plan: CIDR-Overlaps führen zu späteren Notlösungen, die teuer und fehleranfällig sind.
• Unklare Failover-Policy: Failover passiert „irgendwie“ und erzeugt Asymmetrie oder Routing-Loops.
• Fehlende Tests pro Pfad: Backup-VPN existiert, aber ist ungetestet und bricht im Incident.

Checkliste für Architektur-Reviews: VPN vs. Dedicated Link

• Performance-Anforderungen: Benötigen Sie stabile Latenz/Jitter oder primär „funktionierenden Zugriff“?
• Traffic-Profil: Dauerhaft hohes Datenvolumen oder sporadische Nutzung?
• Redundanz: Gibt es zwei unabhängige Pfade, getrennte Standorte und getrennte Router?
• Routing: BGP-Design, Präfix-Plan, Failover-Logik, Vermeidung von Asymmetrie
• Security: Verschlüsselungsanforderungen, Segmentierung, Inspection, Logging
• Operations: SLIs, synthetische Tests, Runbooks, Ownership, Change-Prozess
• Kosten: Fixkosten vs. variable Kosten, plus Incident-/Betriebskosten in die Betrachtung aufnehmen
• Roadmap: Wenn VPN als Start: klarer Plan, ab wann Dedicated Link nötig wird (Skalierung, Compliance, Performance)

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.