Azure VPN Gateway: Sicherer Site-to-Site- und Remote-Zugriff-VPN für Berliner Unternehmen
Azure VPN Gateway: Sicherer Site-to-Site- und Remote-Zugriff-VPN für Berliner Unternehmen
Hybride Infrastrukturen — bei denen Workloads sowohl in einem lokalen Büronetzwerk als auch in Azure Virtual Networks angesiedelt sind — erfordern verschlüsselte, zuverlässige Konnektivität zwischen beiden Umgebungen. Azure VPN Gateway stellt IPsec/IKE-verschlüsselte Tunnel zwischen Azure Virtual Networks und lokalen Netzwerken, Zweigstellen oder einzelnen Remote-Benutzern bereit. Für kleine Berliner Unternehmen mit hybriden Umgebungen ist Azure VPN Gateway die Standard-Konnektivitätsschicht, die es lokalen Ressourcen ermöglicht, Azure zu erreichen und umgekehrt — ohne Datenverkehr ungeschützt über das öffentliche Internet zu leiten.
Azure VPN Gateway vs. Azure ExpressRoute
Vor der Bereitstellung eines VPN Gateway sollten beide primären hybriden Konnektivitätsoptionen verstanden werden:
| Faktor | VPN Gateway | ExpressRoute |
|---|---|---|
| Konnektivität | Über öffentliches Internet (verschlüsselt) | Private MPLS/Ethernet-Leitung |
| Bandbreite | Bis zu 10 Gbps (VpnGw5) | Bis zu 100 Gbps |
| Latenz | Variabel (internetabhängig) | Vorhersagbar, niedrige Latenz |
| Kosten | 25–200+ €/Monat | 500–5.000+ €/Monat |
| Geeignet für | Die meisten KMU | Großunternehmen, latenzkritische Workloads |
Für nahezu alle kleinen Berliner Unternehmen ist VPN Gateway die richtige Wahl. ExpressRoute erfordert Carrier-Bereitstellung, lange Vorlaufzeiten und Kosten, die für typische KMU-Azure-Ausgaben unverhältnismäßig hoch sind.
VPN-Gateway-Typen und SKUs
Azure VPN Gateway unterstützt zwei Tunneltypen:
- Site-to-Site (S2S): Dauerhafter IPsec-Tunnel zwischen Azure-VNet und lokalem Netzwerk. Erfordert ein kompatibles VPN-Gerät lokal (Cisco, Fortinet, Palo Alto, pfSense und viele andere). Dies ist das Standard-Hybridkonnektivitätsmodell.
- Point-to-Site (P2S): Individuelles Client-VPN für Remote-Benutzer. Unterstützt OpenVPN, SSTP und IKEv2-Protokolle. Benutzer authentifizieren sich über Zertifikate oder Entra ID (für Azure VPN Client). Besonders nützlich für Remote-Mitarbeiter, die auf Azure-Ressourcen zugreifen.
Site-to-Site-Bereitstellung: Schritt für Schritt
1. Virtual Network und GatewaySubnet erstellen
VPN Gateway erfordert ein dediziertes Subnetz mit dem genauen Namen GatewaySubnet innerhalb des Azure Virtual Networks. Mindestgröße ist /29, empfohlen wird /27. Das GatewaySubnet darf für keine anderen Ressourcen genutzt werden — keine VMs, keine direkt angewandten Network Security Groups.
2. VPN Gateway bereitstellen
Im Azure-Portal: Ressource erstellen → Netzwerk → Virtual network gateway. VNet und GatewaySubnet auswählen, SKU wählen, Gateway-Typ auf VPN und VPN-Typ auf Routenbasiert setzen. Die Bereitstellung dauert 20–45 Minuten.
3. Lokales Netzwerkgateway erstellen
Das lokale Netzwerkgateway repräsentiert die lokale Seite: die öffentliche IP-Adresse des lokalen VPN-Geräts und den Adressraum des lokalen Netzwerks (z.B. 192.168.1.0/24). Dieses Objekt teilt Azure mit, wie Datenverkehr ans lokale Netzwerk weiterzuleiten ist.
4. Lokales VPN-Gerät konfigurieren
Azure stellt Konfigurationsvorlagen für alle validierten VPN-Geräte bereit. Die öffentliche IP des Azure-VPN-Gateways abrufen und dann das lokale Gerät mit den passenden IPsec-Parametern konfigurieren: IKEv2 oder IKEv1, AES-256/SHA-256 für Phase 1, AES-256/SHA-256 für Phase 2, BGP oder statisches Routing.
5. VPN-Verbindung erstellen
Azure-VPN-Gateway mit dem lokalen Netzwerkgateway verknüpfen, Pre-Shared-Key angeben und BGP auswählen wenn dynamisches Routing erforderlich ist. Der Tunnel sollte sich innerhalb weniger Minuten nach der Konfiguration beider Seiten aufbauen.
Point-to-Site mit Entra-ID-Authentifizierung
P2S-VPN mit Azure VPN Client und Entra-ID-Authentifizierung ermöglicht Remote-Benutzern die Authentifizierung mit ihren Microsoft-365-Anmeldedaten — keine Zertifikatsverteilung erforderlich. Conditional Access kann auf die VPN-Azure-Anwendung angewendet werden — MFA und Gerätekonformitätsanforderungen für VPN-Zugriff aktivieren.
Netzwerksicherheitsüberlegungen
VPN-Konnektivität eliminiert nicht die Notwendigkeit der Netzwerksegmentierung. Ein kompromittiertes lokales Gerät mit VPN-Zugriff kann Azure-Ressourcen traversieren, wenn NSGs nicht zur Einschränkung des Datenverkehrs konfiguriert sind:
- Network Security Groups auf Azure-Subnetze anwenden, um einzuschränken, welche lokalen IP-Bereiche welche Azure-Ressourcen erreichen können
- Azure Firewall zum Inspizieren und Protokollieren von VPN-quelliertem Datenverkehr verwenden
- Azure Private Endpoints auf PaaS-Diensten (Key Vault, Storage, SQL) anwenden, um sicherzustellen, dass sie nur über das VNet erreichbar sind — über VPN zugänglich ohne öffentliche Internetexposition
Kosten
Azure-VPN-Gateway-Kosten umfassen:
- Gateway-Instanzkosten: ab ca. 130 €/Monat für VpnGw1
- Datenübertragung: Eingehend nach Azure ist kostenlos; ausgehend von Azure zu lokal wird zu Azure-Ausgangsraten berechnet (~0,07–0,08 €/GB für die ersten 10 TB/Monat aus West Europa)
- P2S-Verbindungen: Pro Verbindungsstunde für Point-to-Site-Benutzer berechnet
Fazit: Standard-Hybridkonnektivität für Azure-verbundene Berliner Büros
Azure VPN Gateway ist die grundlegende Infrastrukturkomponente für jedes kleine Berliner Unternehmen mit einem hybriden Azure-Fußabdruck. Es ermöglicht die lokale AD-Synchronisierung mit Entra Connect, lässt Arc-fähige Server mit Azure-Verwaltungsebenen kommunizieren und bietet den Netzwerkpfad für Remote-Zugriff — alles mit IPsec-Verschlüsselung gesichert ohne Abhängigkeit von Drittanbieter-VPN-Diensten.
Weiterführende Artikel
- Azure Network Security Groups: NSGs sollten auf alle Azure-Subnetze angewendet werden, die über VPN Gateway erreichbar sind, um einzuschränken, welche lokalen IP-Bereiche auf welche Azure-Ressourcen zugreifen können — VPN-Konnektivität ohne NSG-Segmentierung bedeutet, dass ein kompromittiertes lokales Gerät alle Azure-VNet-Ressourcen erreichen kann
- Azure Bastion: Azure Bastion bietet browserbasierten RDP- und SSH-Zugriff auf Azure-VMs ohne VPN-Konnektivität für administrative Aufgaben — ergänzt VPN Gateway für Produktions-Workload-Konnektivität, während Bastion die administrative Zugriffsebene übernimmt
- Azure Firewall: Azure Firewall kann über VPN-Gateway-Tunnel eingehenden Datenverkehr inspizieren und protokollieren — das Routing von VPN-quelliertem Datenverkehr durch Azure Firewall bietet Ost-West-Transparenz und Richtliniendurchsetzung innerhalb des Azure-VNet
- Azure Private Endpoints: Private Endpoints weisen PaaS-Diensten wie Key Vault, Storage und SQL eine private IP im Azure-VNet zu — einmal über das VNet erreichbar, sind sie auch von lokalen Netzwerken über VPN Gateway zugänglich, ohne öffentliche Internetexposition