February 14, 2026

VPN: In welcher OSI-Schicht arbeitet es? (Kommt auf den Typ an)

Eine VPN-Verbindung (Virtual Private Network) wird oft vereinfacht als „verschlüsselter Tunnel ins Firmennetz“ beschrieben. Technisch ist das nicht falsch, aber es beantwortet die entscheidende Frage nur halb: In welcher OSI-Schicht arbeitet ein VPN? Die korrekte Antwort lautet: Es kommt auf den Typ an. Je nachdem, ob Sie ein Site-to-Site-VPN mit IPsec, ein Remote-Access-VPN mit TLS, ein Layer-2-Tunnel wie L2TP oder ein modernes WireGuard-Setup einsetzen, liegt der Schwerpunkt auf unterschiedlichen Ebenen des OSI-Modells. Genau diese Einordnung ist im Alltag wichtig – für Troubleshooting, Sicherheitsdesign, Performance und für die Entscheidung, welcher VPN-Ansatz zu Ihrer Umgebung passt. Wer das OSI-Modell als Denkrahmen nutzt, versteht schnell, warum einige VPNs „wie ein virtuelles Netzwerkkabel“ wirken, während andere eher wie ein sicherer Zugriff auf Anwendungen und Dienste funktionieren. In diesem Artikel lernen Sie verständlich, welche VPN-Arten es gibt, welche OSI-Schichten sie typischerweise berühren, welche Protokolle dahinterstecken und wie Sie mit praktischen Beispielen die Einordnung sofort anwenden können.

Was bedeutet „VPN arbeitet in einer OSI-Schicht“ überhaupt?

Das OSI-Modell teilt Netzwerkkommunikation in sieben Schichten ein, von der physikalischen Übertragung (Schicht 1) bis zur Anwendung (Schicht 7). Wenn wir fragen, in welcher Schicht ein VPN arbeitet, meinen wir in der Praxis: Auf welcher Ebene wird der Tunnel aufgebaut, adressiert, transportiert und abgesichert? Ein VPN kann zum Beispiel IP-Pakete kapseln (typisch für Schicht 3), Ethernet-Frames tunneln (typisch für Schicht 2) oder eine sichere Session für Anwendungen bereitstellen (typisch für Schicht 5–7, je nach Betrachtung).

Wichtig: Viele VPN-Lösungen sind mehrschichtig. Sie nutzen z. B. UDP (Schicht 4), um IP-Verkehr (Schicht 3) in einem verschlüsselten Tunnel (in OSI oft in der Nähe von Schicht 6/7 eingeordnet) zu transportieren. Das ist kein Widerspruch, sondern Realität moderner Protokollstapel. Zum Einlesen eignen sich: OSI-Modell und Virtual Private Network.

VPN-Typen im Überblick: Layer-2, Layer-3 und „SSL/TLS“-VPN

Für eine klare OSI-Einordnung hilft eine grobe Kategorisierung. Die meisten VPNs lassen sich in drei Gruppen einteilen:

  • Layer-2-VPN (Schicht 2): tunnelt Ethernet-Frames oder verhält sich wie eine Bridge im virtuellen Netz.
  • Layer-3-VPN (Schicht 3): tunnelt IP-Pakete und wirkt wie ein geroutetes virtuelles Netzwerk.
  • TLS/„SSL“-VPN (Schicht 5–7, oft praktisch Schicht 7): baut eine sichere Session auf und kann je nach Modus entweder Applikationszugriff oder IP-Tunneling ermöglichen.

Diese Einteilung ist praxisnah, auch wenn einzelne Produkte Mischformen anbieten. Sie ist besonders nützlich, um zu verstehen, ob Sie in einem VPN eher mit Routing, Broadcasting, Adressierung oder Session-/Anwendungslogik rechnen müssen.

Layer-3-VPN: IPsec und das klassische „geroutete“ VPN

Wenn in Unternehmen von „VPN“ gesprochen wird, ist häufig ein Layer-3-VPN gemeint – insbesondere IPsec. Der Kern: IP-Pakete werden gekapselt und kryptografisch geschützt, sodass zwei Netze (Site-to-Site) oder ein Client und ein Netz (Remote Access) sicher verbunden werden. Die OSI-Zuordnung wird hier meist auf Schicht 3 gelegt, weil IPsec direkt mit IP-Paketen arbeitet und dort ansetzt, wo Adressierung und Routing stattfinden.

Warum IPsec typischerweise Schicht 3 zugeordnet wird

  • IPsec schützt und kapselt IP-Verkehr (Network Layer).
  • Policies und Selektoren orientieren sich oft an IP-Subnetzen und Netzzonen.
  • Site-to-Site-VPNs verbinden meist geroutete Netze statt einzelne Anwendungen.

Technisch nutzt IPsec häufig das ESP-Protokoll oder IKE zum Aushandeln der Sicherheitsparameter. Für Hintergrundwissen: IPsec und Internet Protocol.

Beispiel: Site-to-Site-VPN zwischen zwei Standorten

Stellen Sie sich zwei Büros vor: Standort A nutzt 10.10.0.0/16, Standort B nutzt 10.20.0.0/16. Ein IPsec-VPN wird so konfiguriert, dass Verkehr zwischen diesen Netzen verschlüsselt durch einen Tunnel läuft. Aus Sicht der Endgeräte ist das meist „nur Routing“: Pakete an 10.20.x.y gehen über das Gateway, werden getunnelt und am anderen Ende wieder entkapselt. Das ist ein typischer Layer-3-Effekt.

WireGuard und OpenVPN: Warum die Schichtzuordnung „gemischt“ wirkt

Moderne VPNs wie WireGuard oder verbreitete Lösungen wie OpenVPN werden häufig als „Layer-3-VPN“ genutzt, obwohl sie technisch über Transportprotokolle (meist UDP) laufen. In der Praxis bleibt die Einordnung trotzdem häufig auf Schicht 3, weil am Ende IP-Pakete in einem Tunnel transportiert werden. Gleichzeitig müssen Sie verstehen: Der Tunnel selbst nutzt Mechanismen aus Schicht 4 (UDP/TCP) und Kryptografie, die man im OSI-Denken oft in Richtung Schicht 6 (Presentation, Verschlüsselung/Encoding) und Schicht 7 (Anwendungsprotokolle) verortet.

WireGuard: schlank, meist UDP, meist Layer 3 im Einsatz

  • Transportiert typischerweise über UDP (Schicht 4).
  • Erzeugt ein virtuelles Interface, über das IP-Routing läuft (Schicht 3).
  • Setzt auf moderne Kryptografie und „Keys statt Zertifikatsballast“ (vereinfacht gesprochen).

Zum Weiterlesen: WireGuard und UDP.

OpenVPN: flexibel zwischen Layer 3 und Layer 2

OpenVPN kann in einem TUN-Modus (typisch Layer 3) oder TAP-Modus (Layer 2) betrieben werden. Damit ist es ein gutes Beispiel dafür, warum „VPN-Schicht“ vom Modus abhängt. In TUN transportieren Sie IP, in TAP transportieren Sie Ethernet.

  • TUN: virtuelles Routing (Schicht 3)
  • TAP: virtuelles Ethernet/Bridge (Schicht 2)

Mehr dazu: OpenVPN.

Layer-2-VPN: Wenn ein VPN wie ein virtuelles LAN wirkt

Ein Layer-2-VPN tunnelt Ethernet-Frames oder bildet ein virtuelles Segment, als wären Geräte im selben lokalen Netzwerk. Das ist sinnvoll, wenn Sie bestimmte Layer-2-Funktionen brauchen, etwa Broadcasting, bestimmte Discovery-Protokolle oder Legacy-Anwendungen, die nicht gut über Routing funktionieren. Allerdings hat Layer 2 im WAN-Kontext auch Nachteile: Broadcast-Domänen werden größer, Fehlkonfigurationen können sich weiter auswirken, und das Design wird komplexer.

Typische Layer-2-VPN-Techniken

  • L2TP (oft in Kombination mit IPsec für Verschlüsselung)
  • PPTP (historisch, heute in vielen Umgebungen als unsicher betrachtet)
  • Bridging/TAP-basierte VPNs (z. B. OpenVPN TAP)

L2TP zur Einordnung: Layer 2 Tunneling Protocol. Für Ethernet als Layer-2-Grundlage: Ethernet.

Beispiel: Warum Layer 2 manchmal benötigt wird

Angenommen, Sie möchten ein System betreiben, das Geräte im selben Subnetz „finden“ muss, etwa über Broadcasts oder bestimmte Discovery-Mechanismen. Ein reines Layer-3-VPN leitet Broadcasts in der Regel nicht weiter. Ein Layer-2-VPN kann das ermöglichen, weil es Frames und damit auch Broadcasts im Tunnel transportiert. Das klingt praktisch, kann aber auch dazu führen, dass Broadcast-Last über eine WAN-Strecke geht und Performance sowie Stabilität beeinträchtigt. In modernen Designs wird daher oft geprüft, ob sich die Anwendung „routbar“ machen lässt, statt Layer 2 über weite Strecken zu ziehen.

TLS/„SSL“-VPN: Schicht 7 oder doch Schicht 5/6?

Der Begriff „SSL-VPN“ ist historisch, heute spricht man meist von TLS-VPN. Hier wird eine verschlüsselte Sitzung über TLS aufgebaut, ähnlich wie bei HTTPS. Die OSI-Einordnung hängt stark vom Betriebsmodus ab:

  • Portal-/Applikationsmodus: Zugriff auf Anwendungen über Proxy/Reverse Proxy – das wirkt wie Schicht 7, weil die Anwendung (z. B. Web) im Fokus steht.
  • Full-Tunnel-Modus: Der Client erhält ein virtuelles Interface und routet IP-Verkehr durch den Tunnel – funktional oft Schicht 3, aber aufgebaut über TLS (Schicht 6/7-nah).

Das ist ein zentraler Punkt: Ein TLS-VPN kann gleichzeitig „oben“ (Session/Anwendung) gestartet werden und „unten“ (IP-Routing) wirken. TLS als Grundlage: Transport Layer Security, HTTPS als nahes Konzept: HTTPS.

Beispiel: Remote Access im Browser

Viele Unternehmensportale bieten Zugriff auf interne Webanwendungen über einen Browser, nach Anmeldung und MFA. Der Nutzer „baut“ hier keine klassische Layer-3-Verbindung ins Netz auf, sondern erhält eine sichere Session und Zugriff auf bestimmte Anwendungen. Das ist aus OSI-Sicht stark anwendungsnah und wird häufig Schicht 7 zugeordnet, weil Policies auf URLs, Anwendungen, Benutzerrollen und Sessions basieren.

Beispiel: Remote Access als Full Tunnel

Im Full-Tunnel-Modus dagegen kann der Client so wirken, als wäre er im internen Netz: Er bekommt eine interne IP, DNS-Server und Routen. Funktional sprechen wir wieder von Layer 3 (IP), obwohl der Aufbau über TLS erfolgt. In der Praxis ist das der Grund, warum die Diskussion „Schicht 7 oder Schicht 3?“ bei TLS-VPNs so häufig ist: Der Kontrollkanal ist anwendungsnah, der Nutzdatenkanal kann IP-Verkehr tragen.

Welche OSI-Schicht ist „entscheidend“? Eine pragmatische Einordnung

Um die OSI-Frage in der Praxis schnell zu beantworten, hilft folgende pragmatische Betrachtung: Fragen Sie sich, was das VPN für die Endgeräte darstellt. Ist es ein virtuelles Netzwerkkabel (Layer 2)? Ein virtuelles geroutetes Netzwerk (Layer 3)? Oder primär ein Zugriff auf Anwendungen (Layer 7)?

  • Layer 2: Wenn Sie Ethernet/Frames und Broadcasts „mitnehmen“ müssen.
  • Layer 3: Wenn Sie Subnetze verbinden oder Client-Routing ins Firmennetz brauchen.
  • Layer 7: Wenn das VPN als Proxy/Anwendungszugang umgesetzt ist (z. B. Web-Portal, App-Proxy).

Diese Einordnung ist für Troubleshooting besonders wertvoll: Bei Layer 3 fragen Sie nach Routen und IP-Konflikten, bei Layer 2 nach VLAN/Broadcast/Bridge-Themen, bei Layer 7 nach Authentifizierung, URLs, Zertifikaten, Session-Timeouts und Proxy-Regeln.

OSI-Kontext: Was passiert bei Encapsulation im VPN?

VPNs funktionieren im Kern durch Kapselung (Encapsulation): Ein Datenpaket oder Frame wird in einen „äußeren“ Transport verpackt, gesichert und zum Gegenüber gesendet. Danach wird es wieder entkapselt. Das ist vergleichbar mit einem Brief im Umschlag: Der Innenbrief ist Ihre eigentliche Kommunikation (z. B. IP-Paket), der Umschlag ist der VPN-Transport.

  • Innerer Traffic: das, was Sie schützen wollen (z. B. IP, Ethernet)
  • Äußerer Traffic: der Transport über das Internet (z. B. UDP/TCP + Verschlüsselung)

Darum taucht VPN oft gleichzeitig in mehreren Schichten auf: Der äußere Transport nutzt Schicht 3/4, die Verschlüsselung ist OSI-nah bei Schicht 6, und die nutzbare Wirkung für Netze ist Schicht 2 oder 3.

VPN und Sicherheit: Welche Schichten sind für Schutzmechanismen relevant?

Ein VPN wird primär eingesetzt, um Vertraulichkeit und Integrität zu erhöhen, manchmal auch, um Netzwerkzugriff zu kontrollieren. Dabei spielen mehrere Ebenen zusammen:

  • Schicht 3/4: Welche Netze und Ports sind über den Tunnel erreichbar?
  • Schicht 6: Verschlüsselung, Schlüsselmanagement, Zertifikate (bei TLS-basierten Lösungen)
  • Schicht 7: Zugriffspolitiken nach Benutzer, Rolle, Anwendung, Device-Posture

Ein häufiger Irrtum ist: „VPN bedeutet automatisch sicherer Zugriff.“ In Wirklichkeit ist ein VPN eine Transport- und Zugriffstechnologie. Ob es „sicher“ ist, hängt von Authentifizierung, Segmentierung, Least Privilege, Patchstand und Monitoring ab. Moderne Ansätze kombinieren VPN-Funktionen oft mit Zero-Trust-Prinzipien, ohne dass das OSI-Modell dadurch „falsch“ wird – es zeigt nur, dass Sicherheit mehrere Ebenen betrifft.

Praktische Beispiele: VPN-Typ wählen und OSI-Schicht ableiten

Die folgenden Szenarien helfen Ihnen, die OSI-Schicht aus der Anforderung abzuleiten:

Beispiel: Zwei Standorte sollen Netze verbinden

  • Typischer VPN-Typ: Site-to-Site IPsec
  • OSI-Schwerpunkt: Schicht 3 (Routing zwischen Subnetzen)
  • Praxisfragen: Routen, NAT, MTU, Firewall-Regeln, IKE/ESP-Parameter

Beispiel: Mitarbeiter im Homeoffice brauchen Zugriff auf viele interne Systeme

  • Typischer VPN-Typ: Remote Access (TLS-VPN oder IPsec, je nach Plattform)
  • OSI-Schwerpunkt: meist Schicht 3 (Full Tunnel), Aufbau oft über Schicht 6/7-nah (TLS)
  • Praxisfragen: DNS-Suffixe, Split-Tunneling, MFA, Device-Compliance

Beispiel: Zugriff nur auf eine interne Webanwendung, nicht „ins ganze Netz“

  • Typischer VPN-Typ: Application-/Portal-VPN oder Reverse-Proxy-Ansatz
  • OSI-Schwerpunkt: Schicht 7 (Anwendungszugang, Session, URL-Policies)
  • Praxisfragen: SSO, Cookies/Sessions, Header, Pfadregeln, WAF/Rate Limits

Beispiel: Legacy-System braucht Layer-2-Discovery über Standorte hinweg

  • Typischer VPN-Typ: Layer-2-Tunnel (z. B. L2TP oder TAP/Bridging)
  • OSI-Schwerpunkt: Schicht 2 (Frames, Broadcasts)
  • Praxisfragen: Broadcast-Domäne, Schleifenrisiken, Performance, saubere Segmentierung

VPN und Troubleshooting nach OSI-Schichten

Wenn ein VPN „nicht geht“, hilft OSI-Logik besonders. Je nach VPN-Typ prüfen Sie andere Dinge zuerst:

  • Schicht 3: IP-Adressen, Routing, Konflikte, Erreichbarkeit der Gateways
  • Schicht 4: Blockierte UDP/TCP-Ports, Stateful Firewall, NAT-Timeouts
  • Schicht 6/7: Zertifikate, TLS-Handshake, Authentifizierung, Policy-Fehler, SSO/MFA
  • Schicht 2 (falls relevant): Bridge/VLAN-Themen, Broadcast-Verhalten, Interface-Modus

Gerade bei Full-Tunnel-VPNs sind DNS-Fehler und falsche Routen häufige Ursachen, weil sich „VPN steht“ zwar aufbauen lässt, aber Anwendungen trotzdem nicht funktionieren. Bei Application-/Portal-VPNs dagegen ist die Netzwerkroute weniger das Problem als vielmehr Session, Proxy-Policies oder Zugriffskontrolle.

Outbound-Links zur Vertiefung

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

  • Netzwerkdesign & Topologie-Planung

  • Router- & Switch-Konfiguration (Cisco IOS)

  • VLAN, Inter-VLAN Routing

  • OSPF, RIP, EIGRP (Grundlagen & Implementierung)

  • NAT, ACL, DHCP, DNS-Konfiguration

  • Troubleshooting & Netzwerkoptimierung

  • Packet Tracer Projektentwicklung & Dokumentation

  • CCNA Lern- & Praxisunterstützung

Lieferumfang:

  • Konfigurationsdateien

  • Packet-Tracer-Dateien (.pkt)

  • Netzwerkdokumentation

  • Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.

 

Related Articles

Change-Validation-Checkliste pro OSI-Schicht nach dem Deploy

Canary & Rollback: OSI-basierte Ops-Taktiken zur Impact-Reduktion

Incident „Teilweise Site Down“: OSI-Checkliste für Multi-Site-Netzwerke

Intermittierende Incidents: Beweise pro OSI-Schicht systematisch sammeln

Maintenance Window: Kommunikationsplan für Stakeholder pro Schicht

OSI fürs Escalation: Welche Daten beim Handover an L3/L4-Teams Pflicht sind

OSI-Modell für Config-Audits: Drift Detection von L1 bis L7

Blast Radius eines Incidents bewerten – aus OSI-Schichten-Perspektive

Strategisches Packet Capture: Wo capturen, um RCA zu beschleunigen

NOC-Dokumentationspraxis: L2/L3-Diagramme, die wirklich genutzt werden

SPAN vs. ERSPAN: Best Practices für Produktion und Oversubscription-Risiken

MTTR benchmarken: L1- vs. L7-Incidents mit historischen Daten vergleichen