3
Always On VPN - Gerätetunnel statt Benutzertunnel : Alternativen zu Windows RAS?
Hallo zusammen,
ich richte gerade Always On VPN bei uns ein, parallel zur Umstellung auf Windows 11. Ich habe mich an die Microsoft-Anleitung gehalten und kann inzwischen erfolgreich eine VPN-Verbindung herstellen. Die Zertifikate werden entsprechend verteilt – das läuft alles problemlos.
Jetzt stellen sich mir zwei Fragen:
1. Ist der Benutzertunnel in einer kleinen Umgebung wirklich notwendig?
Unsere Geräte sind ständig per VPN verbunden und werden zentral verwaltet (Domäne). Eigentlich soll jeglicher Traffic Richtung Firmennetzwerk geleitet werden (Proxy, etc.).
Wenn ich den Gerätetunnel (Device Tunnel) entsprechend mit einer Defaultroute Richtung Firma konfiguriere, wäre dann nicht alles abgedeckt? Dann müsste ich auch nicht für jeden Benutzer zusätzlich Zertifikate verteilen, da wir ohnehin PC-Zertifikate nutzen.
Hat jemand Erfahrung damit? Ist es sinnvoll, in einer kleineren Umgebung einfach auf den Benutzertunnel zu verzichten?
2. Muss ich wirklich den Windows RAS-Server nutzen?
Laut Microsoft ist ein Windows Server mit Routing and Remote Access (RAS) als VPN-Server vorgesehen. Aber ist das wirklich Pflicht? Könnte ich stattdessen nicht eine Firewall wie OPenSense oder pfSense als VPN-Endpoint verwenden?
Hat das schon jemand erfolgreich umgesetzt? Würde es Sinn machen, Always On VPN mit einer dieser Firewalls anstelle des Microsoft RAS-Servers zu betreiben?
Danke für eure Erfahrungen und Tipps!
ich richte gerade Always On VPN bei uns ein, parallel zur Umstellung auf Windows 11. Ich habe mich an die Microsoft-Anleitung gehalten und kann inzwischen erfolgreich eine VPN-Verbindung herstellen. Die Zertifikate werden entsprechend verteilt – das läuft alles problemlos.
Jetzt stellen sich mir zwei Fragen:
1. Ist der Benutzertunnel in einer kleinen Umgebung wirklich notwendig?
Unsere Geräte sind ständig per VPN verbunden und werden zentral verwaltet (Domäne). Eigentlich soll jeglicher Traffic Richtung Firmennetzwerk geleitet werden (Proxy, etc.).
Wenn ich den Gerätetunnel (Device Tunnel) entsprechend mit einer Defaultroute Richtung Firma konfiguriere, wäre dann nicht alles abgedeckt? Dann müsste ich auch nicht für jeden Benutzer zusätzlich Zertifikate verteilen, da wir ohnehin PC-Zertifikate nutzen.
Hat jemand Erfahrung damit? Ist es sinnvoll, in einer kleineren Umgebung einfach auf den Benutzertunnel zu verzichten?
2. Muss ich wirklich den Windows RAS-Server nutzen?
Laut Microsoft ist ein Windows Server mit Routing and Remote Access (RAS) als VPN-Server vorgesehen. Aber ist das wirklich Pflicht? Könnte ich stattdessen nicht eine Firewall wie OPenSense oder pfSense als VPN-Endpoint verwenden?
Hat das schon jemand erfolgreich umgesetzt? Würde es Sinn machen, Always On VPN mit einer dieser Firewalls anstelle des Microsoft RAS-Servers zu betreiben?
Danke für eure Erfahrungen und Tipps!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671771
Url: https://administrator.de/forum/always-on-vpn-geraetetunnel-statt-benutzertunnel-alternativen-zu-windows-ras-671771.html
Ausgedruckt am: 06.03.2025 um 12:03 Uhr
3 Kommentare
Neuester Kommentar
Hallo!
Klare Empfehlung: Gehe auf Wireguard, wenn Du einen Gerätetunnel möchtest. Das ist robust, sicher und "Always-On"
Klare Empfehlung: Gehe auf Wireguard, wenn Du einen Gerätetunnel möchtest. Das ist robust, sicher und "Always-On"
Wireguard bietet keinerlei sichere Benutzer Authentisierung wie es zertifikatsfähige VPN Protokolle supporten. In der Beziehung ist WG eher etwas für den Heim und SoHo Bereich hat aber in Firmen mit solchen Anforderungen wie oben nichts zu suchen.
Du kannst natürlich solche VPNs auch problemlos mit pfSense OPNsense realisieren. Ob du einen eigenen RAS Server oder den bordeigenen nutzt ist dabei eher kosmetisch. Das klappt generell mit jeder Firewall oder VPN Router der dieses Featureset supportet.
Du kannst natürlich solche VPNs auch problemlos mit pfSense OPNsense realisieren. Ob du einen eigenen RAS Server oder den bordeigenen nutzt ist dabei eher kosmetisch. Das klappt generell mit jeder Firewall oder VPN Router der dieses Featureset supportet.
Dem kann ich mich nur anschließen – WireGuard scheidet leider aus. Wir nutzen aktuell OpenVPN mit entsprechender PKI-Verwaltung unter Windows und würden gerne den integrierten Client verwenden.
Eine zertifikatsbasierte Authentifizierung ist Pflicht, und IKEv2 gilt schließlich nicht gerade als unsicher.
Meine Frage bezog sich insbesondere auf den Benutzertunnel, da ich diesen für sinnlos halte. Der Benutzer soll ohnehin nicht die Möglichkeit haben, diesen zu steuern. Zudem gibt es bei uns keine speziellen Abstufungen – entweder haben Geräte Zugriff auf das Firmennetz oder eben nicht. Der Benutzer macht dabei keinen Unterschied.
Ich werde alternativ noch testen, ob sich das in eine der Sense-Firewalls einbinden lässt.
Eine zertifikatsbasierte Authentifizierung ist Pflicht, und IKEv2 gilt schließlich nicht gerade als unsicher.
Meine Frage bezog sich insbesondere auf den Benutzertunnel, da ich diesen für sinnlos halte. Der Benutzer soll ohnehin nicht die Möglichkeit haben, diesen zu steuern. Zudem gibt es bei uns keine speziellen Abstufungen – entweder haben Geräte Zugriff auf das Firmennetz oder eben nicht. Der Benutzer macht dabei keinen Unterschied.
Ich werde alternativ noch testen, ob sich das in eine der Sense-Firewalls einbinden lässt.
