VPN auf Firewall einrichten: Typische Setups und Stolperfallen

Ein VPN auf Firewall einrichten ist in vielen Unternehmen der Standardweg, um Remote Access, Standortvernetzung und sichere Admin-Zugriffe umzusetzen. Firewalls sind dafür prädestiniert: Sie stehen am Netzrand, haben bereits Zonen- und Policy-Logik, NAT, Routing und oft auch HA/Failover-Funktionen. Gleichzeitig entstehen genau hier die typischen Probleme – nicht, weil VPN „kompliziert“ wäre, sondern weil VPN in einer Firewall-Umgebung viele Disziplinen gleichzeitig berührt: Kryptografie, Statefulness, Routing, NAT, DNS, Policies, Hochverfügbarkeit und Logging. Wer ein VPN „nebenbei“ aktiviert, erlebt schnell Klassiker wie: Tunnel ist up, aber kein Traffic; nur große Pakete scheitern; nach Failover geht nichts mehr; Split Tunnel verursacht DNS-Leaks; oder die Zugriffspolicy wird aus Bequemlichkeit zu breit („VPN = internes LAN“). Dieser Artikel zeigt praxisnah, welche VPN-Setups auf Firewalls am häufigsten sind, wie Sie sie sauber planen und welche Stolperfallen Sie sofort vermeiden sollten – herstellerneutral, aber mit genügend technischer Tiefe, um die Konzepte auf gängige Appliances übertragen zu können.

Warum Firewalls so oft als VPN-Gateway genutzt werden

Eine Firewall bringt viele Bausteine bereits mit, die ein VPN-Gateway ohnehin benötigt:

• Stateful Inspection: Kontrolle von Sitzungen und Rückwegen
• Zonen und Policies: Zugriff lässt sich nach Rollen und Netzen steuern
• NAT: notwendig für Full-Tunnel-Designs oder bestimmte Interop-Szenarien
• Routing: statisch oder dynamisch, oft inklusive VRFs
• HA: Active/Passive und teils Active/Active
• Logging: zentrale Protokollierung und SIEM-Anbindung

Der Nachteil: Genau diese Vielfalt macht Fehlkonfigurationen wahrscheinlicher. Ein VPN „funktioniert“ nur dann stabil, wenn alle Teilbereiche konsistent sind.

Typische VPN-Setups auf Firewalls

In der Praxis begegnen Ihnen auf Firewalls vor allem drei VPN-Grundtypen:

• IPsec Site-to-Site: Standortvernetzung (Filiale ↔ Zentrale, Rechenzentrum ↔ Cloud)
• Remote Access VPN: Benutzerzugang (Homeoffice, Außendienst, Admins)
• Hub-and-Spoke / Multi-Site: mehrere Standorte über einen Hub, oft mit Redundanz

Setup 1: IPsec Site-to-Site auf der Firewall

Site-to-Site ist das klassische Szenario. Die Firewall terminiert IKE (Schlüsselaustausch) und ESP (Datenverkehr). Wichtige Grundlagen: IPsec-Architektur RFC 4301 und IKEv2 RFC 7296.

Policy-based vs. Route-based (VTI)

• Policy-based: Selektoren definieren, welcher Traffic in den Tunnel darf (einfach für kleine Setups, unübersichtlich bei Wachstum).
• Route-based: Tunnel als Interface (VTI), Routing entscheidet (skalierbarer, besser für BGP/Failover).

Stolperfalle: Viele Firewalls können beides, aber Verhalten bei NAT, HA und Logging unterscheidet sich. Route-based ist oft einfacher zu betreiben, wenn mehrere Netze oder dynamisches Routing ins Spiel kommen.

Stolperfallen bei Site-to-Site

• Selektoren/Proxy-IDs falsch: IKE ist up, aber keine Phase2/CHILD-SA → kein Traffic.
• Rückroute fehlt: Traffic geht hin, kommt nicht zurück → „Tunnel up, aber tot“.
• NAT bricht Selektoren: Source-NAT auf dem falschen Interface verändert Quell-IP → SA passt nicht.
• NAT-T/UDP4500 blockiert: besonders bei Providerrouters/Cloud-SGs. NAT-T Standards: RFC 3947 und RFC 3948.
• MTU/MSS: große Pakete scheitern → MSS-Clamping/PMTUD prüfen (RFC 1191, RFC 8201).

Setup 2: Remote Access VPN auf der Firewall

Remote Access bedeutet: Benutzer verbinden sich von außen und bekommen Zugriff auf definierte interne Ressourcen. Auf Firewalls gibt es häufig zwei Varianten:

• IPsec Remote Access (z. B. IKEv2/EAP): standardnah, oft gut in OS-Clients integrierbar
• TLS/SSL-VPN: flexibel, oft mit Portal/Client, gut für restriktive Netze (TCP/443)

Stolperfallen bei Remote Access

• MFA nicht durchgesetzt: größter Sicherheitsfehler, weil VPN-Gateways stark angegriffen werden.
• Adresspool kollidiert: VPN-Clientnetz überschneidet sich mit internen RFC1918-Netzen → Routing-Chaos.
• DNS nicht sauber: interne Namen funktionieren nicht oder leaken (Split-DNS fehlt).
• Split Tunnel ohne Policy: Nutzer sind „halb drin, halb draußen“, Security-Policies greifen nicht konsistent.
• IPv6 unbeachtet: IPv6 geht am Tunnel vorbei → Leaks/Umgehung.

Für praktische Empfehlungen zur Härtung von Remote-Access-VPNs ist das NSA/CISA-Dokument hilfreich: Selecting and Hardening Remote Access VPN Solutions (PDF).

Setup 3: Hub-and-Spoke, Multi-Site und Filialanbindung

Bei vielen Standorten ist die Firewall in der Zentrale oft Hub. Filialen sind Spokes. Typische Designfragen:

• Routing: statisch (einfach) oder dynamisch (BGP/OSPF) für Skalierung und Failover
• Segmentierung: Filialnetze dürfen nicht „alles“ in der Zentrale erreichen
• Redundanz: zweiter Hub, zweite Leitung, definierte Präferenzen

Stolperfalle: Mit mehreren Hubs entsteht schnell asymmetrisches Routing. Dann droppen stateful Firewalls/NAT Sessions, weil Hin- und Rückweg nicht über denselben Knoten laufen.

Routing und Policies: Der häufigste Grund für „Tunnel up, aber kein Traffic“

Ein VPN-Tunnel ist nur der Transport. Damit Anwendungen funktionieren, müssen Routing und Firewall-Policies stimmen.

• Routing: Jede Seite braucht eine Route zum jeweils anderen Netz – entweder über den Tunnel (VTI) oder via Policy-based Selektoren.
• Rückwege: Der Rückweg ist entscheidend. Wenn der Server in der Zentrale als Default Gateway eine andere Firewall hat, muss diese die VPN-Clientnetze kennen.
• Policies: Erlauben Sie nur die notwendigen Services zwischen Zonen (Least Privilege).

Praxisregel: Erst Routing prüfen (ip route / routing table), dann Firewall-Policies, dann erst Kryptoparameter – denn in vielen Fällen ist Krypto korrekt, aber der Datenpfad nicht.

NAT auf der Firewall: Wann es hilft und wann es schadet

NAT ist auf Firewalls fast immer aktiv – und genau deshalb kann es VPNs unabsichtlich beeinflussen.

• Hilft: bei Full Tunnel Remote Access (Internet-Egress über Firewall), bei Overlapping Networks (Workarounds), bei bestimmten Partner-Interops.
• Schadet: wenn NAT auf Traffic angewendet wird, der in einen policy-based IPsec-Tunnel soll (Selektoren passen nicht mehr).
• Stolperfalle: NAT-Regeln werden oft „vor“ VPN-Policies ausgewertet – Reihenfolge und Ausnahmen sind herstellerspezifisch.

Best Practice: Definieren Sie klare NAT-Exemptions für VPN-Traffic und dokumentieren Sie sie. So verhindern Sie „späteres“ NAT durch neue Regeln.

MTU, Fragmentierung und Performance: Warum „große Pakete“ scheitern

IPsec erzeugt Overhead. Wenn Pfade (PPPoE, LTE, Cloud-Encapsulation) kleinere MTUs haben, kommt es zu Fragmentierung. Viele Firewalls und Provider behandeln Fragmente schlechter, was zu Drops führt.

• MSS-Clamping: häufig der pragmatischste Fix für TCP.
• PMTUD: ICMP für MTU darf nicht pauschal geblockt werden.
• Monitoring: Retransmits, Drops, „Tunnel up/no traffic“ Muster beobachten.

Hochverfügbarkeit: Active/Passive und Active/Active richtig planen

Viele Firewalls laufen im Cluster. VPN muss zu diesem HA-Modell passen.

• Active/Passive: einfacher, vorhersehbarer; Failover kann Sessions resetten, wenn kein State Sync.
• Active/Active: skalierbarer, aber komplex; Session-Stickiness und Routing-Symmetrie sind Pflicht.
• Dual ISP: Uplink-Failover kann VPN-Pfade ändern → NAT/State/Routing prüfen.

Stolperfalle: Nach Failover ist „alles up“, aber Sessions droppen wegen asymmetrischer Pfade oder weil NAT-States fehlen. Failover muss mit echten Anwendungen getestet werden, nicht nur mit „Tunnel up“.

Logging & Monitoring: Was Sie auf der Firewall wirklich beobachten sollten

Ein VPN auf der Firewall ist nur dann sicher betreibbar, wenn Logs und Metriken aussagekräftig sind. Konzentrieren Sie sich auf:

• Auth-Logs: Login success/fail, MFA-Fails, neue Geos/ASNs (Remote Access).
• SA-Events: Rekey-Stürme, DPD-Timeouts, Tunnel-Flaps (Site-to-Site).
• Policy-Denies: Scan-Muster, ungewöhnliche Ziele/Ports, falsch konfigurierte Clients.
• Systemmetriken: CPU (Crypto), Drops, Interface-Errors, conntrack/NAT-Tabellen.

Für Compliance-orientierte Einbettung in Sicherheitsprozesse kann der BSI IT-Grundschutz-Baustein NET.3.3 als Orientierung dienen: BSI IT-Grundschutz: NET.3.3 VPN.

Typische Stolperfallen – als kompakte Liste

• Adresspool kollidiert (Remote Access): VPN-Subnetz überschneidet internes Netz.
• Selektoren falsch (policy-based S2S): /24 vs. /16, falsche Proxy-IDs.
• Rückroute fehlt: Server antwortet über Default Gateway statt über VPN.
• NAT nicht ausgenommen: NAT verändert Quell-IP, SA passt nicht.
• UDP/4500 blockiert: NAT-T scheitert in bestimmten Netzen/Cloud-SGs.
• MTU/MSS: große Pakete droppen, PMTUD blockiert.
• Asymmetrisches Routing: besonders bei Dual Hub/Active-Active/Failover.
• MFA fehlt: Remote Access wird zum Brute-Force-Ziel.
• Admin-Zugriff nicht getrennt: Standard-VPN öffnet Management-Zonen.
• Logging unvollständig: Incident Response und Audit scheitern.

Praxis-Checkliste: VPN auf Firewall einrichten und sicher betreiben

• Design: Site-to-Site vs. Remote Access, policy-based vs. route-based, Split vs. Full Tunnel.
• Adressierung: VPN-Subnetze kollisionsfrei, dokumentiert.
• Erreichbarkeit: UDP/500, UDP/4500 (und ggf. ESP) end-to-end freigeschaltet.
• Kryptopolicy: moderne Proposals, IKEv2 bevorzugt, PFS aktiv, keine Legacy-Fallbacks.
• Routing: Routen und Rückwege geprüft, besonders bei Server-Default-Gateways.
• NAT: klare NAT-Exemptions für VPN-Traffic, Reihenfolge verstanden.
• Policies: Least Privilege, Admin getrennt, Partner zeitlich begrenzt.
• DNS: interne Resolver/Split-DNS, IPv6-Strategie, keine Leaks.
• MTU/MSS: MSS-Clamping/PMTUD-Policy, Tests mit großen Transfers.
• HA/Failover: Umschaltung getestet, Symmetrie und Session-Verhalten geprüft.
• Monitoring: Auth, SA-Events, Drops, CPU/Crypto, SIEM-Integration.

Outbound-Links zur Vertiefung

• RFC 4301: IPsec Architecture
• RFC 7296: IKEv2
• RFC 3947: NAT-Traversal Negotiation in IKE
• RFC 3948: UDP Encapsulation of IPsec ESP (NAT-T)
• RFC 1191: Path MTU Discovery (IPv4)
• RFC 8201: Path MTU Discovery (IPv6)
• BSI IT-Grundschutz: NET.3.3 VPN
• NSA/CISA: Hardening Remote Access VPNs (PDF)

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.