VPN-Anbieter werben mit anonymem Surfen und sind inzwischen im Mainstream angekommen. Aber was ist ein VPN eigentlich genau und wofür wird es gebraucht? Welche Vorteile hat ein VPN-Zugang im Firmennetzwerk? Im Blogartikel schauen wir uns den Begriff etwas genauer an und blicken auf praktische Anwendungsbereiche. Außerdem erklären wir, wie du einen VPN-Server als Privatnutzer oder Sysadmin ganz einfach mit der WireGuard One-Click App in der Hetzner Cloud selbst umsetzen kannst.
Was ist ein „VPN“?
Das Virtual Private Network (VPN) entstand ursprünglich aus einem klaren Bedarf: Unternehmen wollten ihre Firmennetzwerke an verschiedenen Standorten über das öffentliche Internet verbinden, ohne dafür teure Standleitungen legen zu müssen. So können mehrere lokale Netzwerke (LANs) miteinander kommunizieren, als befänden sie sich am selben Ort. Die Verbindungen der Endpunkte laufen über einen sogenannten „VPN-Tunnel“ und nennt man „Site-to-Site VPN“. Damit Dritte die Daten nicht abfangen können, wird der gesamte Datenverkehr verschlüsselt. Sicherheit ist ein elementarer Bestandteil eines VPNs.
Auch privat kann man sich das Prinzip zunutze machen und mit dem Smartphone beispielsweise auf das Heimnetzwerk zugreifen. Bei einem eingerichteten VPN-Tunnel kannst du so problemlos auf die Daten des eigenen PCs zugreifen, den heimischen Drucker nutzen oder die Smart-Home-Geräte steuern. Vorausgesetzt, die Geräte zuhause sind eingeschaltet.
Die Grenzen des Consumer-VPNs
Privatnutzer verwenden ein VPN heutzutage aber hauptsächlich, um anonym und sicher im Internet zu surfen – und das (fast) ohne digitalen Fußabdruck. Vor allem in öffentlichen WLANs, wie in Cafés oder am Flughafen, ist das besonders wichtig. Wer kann sich sicher sein, dass der Router dort richtig konfiguriert ist und Daten nicht getrackt oder schlimmstenfalls sogar geleakt werden? Dank VPN-Technologie sehen Websites und andere Dienste nur die IP-Adresse des VPN-Servers, nicht deinen tatsächlichen Standort. Auch der Traffic bleibt geheim.
Nun befinden sich im Internet etliche VPN-Anbieter, die mit einer sicheren Verbindung, Anonymität und „Standortwechsel per Klick“ werben. Für Privatanwender, die einfach nur ungestört surfen oder ihren Standort verschleiern wollen, kann das durchaus sinnvoll sein. Ein Drittanbieter steht jedoch technisch immer zwischen dir und dem Internet und hat damit im Zweifel die Hoheit über deine Daten, selbst wenn er etwas anderes verspricht. Spätestens wenn mehrere Standorte, interne Systeme oder sensible Daten im Spiel sind, stoßen klassische Consumer-VPNs an ihre Grenzen.
Beim Surfen im Internet ist trotz aktivem VPN-Tunnel Vorsicht geboten. Tracking-Dienste nutzen weiterhin Methoden wie Browser-Fingerprinting. Hier werden userspezifische Merkmale wie etwa Bildschirmgröße, installierte Schriftarten oder Spracheinstellungen analysiert, um Nutzer zu identifizieren. Achte also auch über den VPN-Tunnel hinaus darauf, welche Informationen du im Internet preisgibst.
Wofür kann man VPNs eigentlich verwenden? Aus der Grundidee heraus, diverse Netzwerke verschlüsselt miteinander zu verbinden, eröffnen sich spannende Anwendungsbereiche.
VPN im Unternehmen: Homeoffice, Standorte und externe Zugriffe absichern
Während ein VPN privat hauptsächlich Komfort und Privatsphäre bringt, ist es im Unternehmenskontext als zentrales Werkzeug für Sicherheit und Zugriffskontrolle unerlässlich.
Vor allem lohnt sich diese Technologie für kleinere Unternehmen mit mehreren Standorten, für die sich teure MPLS (Multiprotocol Label Switching)- und dedizierte Ethernet-Leitungen meist nicht lohnen. Das ist aber lange noch nicht alles.
In den meisten Unternehmen ist Homeoffice ohne VPN undenkbar. Mitarbeiter sollen von überall aus sicher auf interne Ressourcen zugreifen können, egal ob es um Webanwendungen oder Datenbanken geht. Mit einem VPN erfolgt der Zugriff über einen verschlüsselten Tunnel ins Unternehmensnetz, ohne Dienste öffentlich ins Internet stellen zu müssen. Das nennt sich „Client-to-Site VPN“.
Auch externe Dienstleister benötigen manchmal Zugriff auf das firmeneigene Netzwerk. Das VPN stellt hierbei einen sicheren Zugriff her und bestimmt, auf welche Dateien die betreffende Person zugreifen darf. Während der Steuerberater beispielsweise nur einen Einblick in die Ordner aus der Buchhaltung bekommt, darf der IT-Support auf bestimmte relevante Server zugreifen. Man kann die Aktivitäten tracken und den Zugriff jederzeit widerrufen.
SSH, IoT und sensible Zugänge: So schützt du deine Infrastruktur
Neben den klassischen Anwendungsfällen ist auch die Datensicherheit und die der angeschlossenen Geräte ein zentrales Thema. Stichwort IoT: Unternehmen nutzen stellenweise Gerätschaften, die am Internet angeschlossen sind und unter keinen Umständen frei erreichbar sein dürfen. Seien es Überwachungskameras, Sensorsysteme oder Smart-Home-Komponenten. Ein VPN-Server schafft die notwendige und wichtige Sicherheitsschicht: Auf diese Systeme sollte nur noch über den VPN-Tunnel zugegriffen werden. Das Prinzip ist ganz simpel: Potenzielle Angreifer sehen die Geräte nicht mehr im Internet. Und was man nicht sieht, kann man auch nicht angreifen.
Auch Entwickler kennen dieses Problem. In Entwicklungsumgebungen sind risikofreie Tests enorm wichtig. Diese Umgebungen enthalten oft sensible Daten und unfertige Software mit potenziellen Sicherheitslücken. Das Ziel des VPNs ist, diese kritischen Systeme vom öffentlichen Internet abzuschirmen und den Zugriff nur autorisierten Entwicklern zu gewähren. Die Angriffsfläche schrumpft drastisch, Firewall-Regeln werden einfacher und versehentlich öffentlich erreichbare Testinstanzen gehören der Vergangenheit an.
Sicherheitstipp für Sysadmins und andere Profis
Sichere deine Verwaltungsschnittstellen über VPN ab. SSH-Zugänge und Administrationsoberflächen deiner Server zählen zu den besonders sensiblen Bereichen. Du kannst kritische Administrationszugänge aber vollständig vom Internet abkoppeln. Konfiguriere deine Firewall so, dass SSH-Ports und Webinterfaces sensibler Systeme nur über das VPN erreichbar sind. Dadurch bleiben Brute-Force-Angriffe und automatisierte Scans wirkungslos – die Angreifer sehen diese Dienste schlicht nicht. Diese Methode bietet deutlich mehr Sicherheit als IP-Filterung oder Port-Knocking. Selbst wenn Angreifer die IP-Adresse deines Servers kennen, können sie ohne gültige Konfiguration keine Verbindung zu den geschützten Diensten herstellen.
Apropos Schutz: Sichere Datenübertragung ist in Unternehmen nicht nur ein nettes „Nice-to-have“, sondern in vielen Fällen auch Pflicht. Regelwerke wie ISO 27001, der BSI-Grundschutz, C5 oder die DSGVO fordern, dass sensible und personenbezogene Daten nur über geschützte Verbindungen übertragen werden dürfen. Ein VPN erfüllt diese Anforderungen, indem es den Datenverkehr verschlüsselt und vor Mitlesern oder Manipulatoren schützt. Wessen Unternehmen die Kriterien eines vorschriftsgemäßen Informationssicherheits-Managementsystems (ISMS) erfüllt, kann eine ISO 27001-Zertifizierung oder darüber hinaus ein C5-Testat erhalten. Hetzner wurde für alle Hosting-Dienstleistungen und Rechenzentren zertifiziert. Weitere Informationen findest du hier.
VPN-Server selbst hosten: Lohnt es sich?
Wer mehr möchte als die oberflächliche Verschleierung der IP-Adresse, kommt an einem selbst gehosteten VPN-Server kaum vorbei. Die bereits erwähnten Anwendungsbereiche lassen sich allesamt am besten mit einem eigenen VPN-Server umsetzen. Auch im Hinblick auf das Heimnetzwerk ist der Server optimal. Für Sysadmins und Unternehmen kommen Drittanbieter nicht in Frage, denn nur mit einem VPN-Server kann man eine echte Infrastruktur bauen.
Der Kostenpunkt bleibt dabei gering und hängt hauptsächlich davon ab, wo du deinen Server hostest und wie hoch dein Traffic ist. Während Consumer-VPN-Dienste mit Geräte-Limits oder Preisstaffeln arbeiten, bleibt ein eigener Server finanziell sehr übersichtlich. Du bestimmst selbst, wie viel Leistung du wirklich brauchst. Es gibt keine künstlichen Einschränkungen und keine Überraschungsaufschläge. Du bezahlst lediglich die Serverinstanz. Die VPN-Software ist kostenlos, sofern du eine Open-Source-Variante auswählst.
Und keine Angst: Einen VPN-Server einzurichten ist leichter als gedacht. Inzwischen gibt es zahlreiche One-Click-Apps, die die Einrichtung deines Servers in kürzester Zeit erledigen. Dabei kannst du aus verschiedenen VPN-Protokollen wählen. Wir empfehlen dabei das WireGuard-Open Source-Protokoll. Es ist sehr leicht zu bedienen und setzt auf State-of-the-Art-Kryptografie. Deine Daten werden also sicher verschlüsselt. Weitere nennenswerte Protokolle sind IPsec/IKEv2 und OpenVPN.
WireGuard in der Hetzner Cloud: Die kostenlose One-Click-App
Welcher Server macht für ein VPN am meisten Sinn? Es gibt die vielfältigsten Servertypen, Hardwarekomponenten und Tarife – da kann man schnell den Überblick verlieren.
Da der Server dir „nur“ einen VPN-Tunnel bereitstellt, benötigst du keine große Rechenleistung. Hier sind die Cloud-Server von Hetzner optimal und WireGuard wird als App bei allen Cloud-Servern mitangeboten. Perfekt für den Einstieg, da du so keinen Server mit eigener Betriebssysteminstallation aufsetzen musst. Die Software kannst du in der Kategorie „Image“ unter „Apps“ auswählen. Nach dem Einrichten des Servers dauert die Installation der App nur wenige Minuten und auch die anschließende Verwaltung ist übersichtlich und einfach gestaltet.
Die Wahl des passenden Cloud-Tarifs hängt stark vom individuellen Einsatzzweck ab. Für Beginner und kleinere Unternehmen empfehlen wir die „Cost Optimized“- oder „Regular Performance“-Tarife. Bei ca. 30 gleichzeitigen VPN-Nutzern reicht der Cost Optimized-Tarif mit ausreichend RAM völlig aus. Konkret wäre das zum Beispiel der CX33 mit 4 vCPUs und 8 GB RAM. Wir raten außerdem, sowohl IPv4 als auch IPv6 zu aktivieren, um maximale Kompatibilität mit allen Endgeräten und Netzwerken sicherzustellen.
Die Schritt-für-Schritt-Anleitung für das Aufsetzen eines Cloud Servers mit WireGuard findest du in unseren Docs.
Einstieg leicht gemacht
Die Simple Cloud: Maximal benutzerfreundlich, minimal im Preis, startklar in Sekundenschnelle.
Einfacher VPN-Zugang für Teams, Geräte und externe Nutzer
Einmal installiert, läuft die WireGuard-Verwaltung per Weboberfläche und ist intuitiv und übersichtlich. Dafür sorgt das webbasierte WireGuard User Interface. Der Admin kann sich darüber bequem im Browser anmelden und alle notwendigen Informationen, wie beispielsweise die Einstellungen am Server, verwalten. Das Dashboard liefert eine kompakte Übersicht aller relevanten Daten: aktive Verbindungen, übertragene Datenmengen und zugewiesene IP-Adressen. Du kannst so zum Beispiel separate Konfigurationen für Vollzugriff auf das Firmennetzwerk, eingeschränkte Profile für externe Dienstleister oder reine Internet-Tunnel für das sichere Surfen im öffentlichen WLAN anlegen.
Besonders gefällt uns das unkomplizierte Anlegen von Clients, das nur wenige Klicks erfordert. Gerade im Unternehmen spart diese Vereinfachung viel Mühe und Zeit: Statt jedes Teammitglied durch komplexe Anleitungen führen zu müssen, versendest du einfach die Konfigurationsdatei oder den QR-Code und der VPN-Zugang ist sehr schnell einsatzbereit. Die WireGuard-App auf mobilen Endgeräten erweist sich hierbei als besonders praktisch und unkompliziert bei der Verbindung: Der QR-Code wird gescannt und fertig.
Du kannst auch Shell-Skripts hinterlegen, die vor oder nach dem Start des VPN-Servers ausgeführt werden sollen. Das kann beispielsweise zum Einrichten spezieller Firewall-Regeln oder für NAT (Network Address Translation) dienen. Diese Einstellungen gelten dann global für die gesamte WireGuard-Server-Instanz und betreffen somit alle Verbindungen/Peers gleichermaßen. Vergleichbare Skripts als Teil der individuellen Client-Konfiguration sind nicht vorgesehen.
Selbst gehostetes VPN oder VPN-Anbieter: Kontrolle oder Komfort?
Ob dir ein eigener VPN-Server wirklich etwas bringt oder ob ein klassischer Drittanbieter-VPN ausreicht, hängt letztlich von deinem Einsatzzweck ab. Wenn du deine Identität im Internet anonymisieren möchtest, können VPN-Dienstleister durchaus sinnvoll sein. Sobald du jedoch unterwegs sicher auf dein Heimnetz zugreifen, mehrere Standorte verbinden oder die volle Kontrolle über deine Daten behalten möchtest, führt an einem eigenen VPN-Server kein Weg vorbei.
Gerade für Sysadmins gehört das Einrichten einer VPN-Umgebung zum grundlegenden Handwerkszeug. Und das Gute: Es war noch nie so einfach wie heute. Dank moderner One-Click-Apps, wie der WireGuard-App, und schnell verfügbarer Cloud-Server lässt sich eine stabile und sichere VPN-Infrastruktur in wenigen Minuten aufbauen und anschließend verwalten.
