In einer zunehmend vernetzten Welt sind **Sicherheit**, **Datenschutz** und **flexibler Fernzugriff** von größter Bedeutung. Ob für den Schutz deines Heimnetzwerks, den Zugriff auf interne Ressourcen im Home-Office oder das sichere Surfen unterwegs – ein **AlwaysOnVPN** bietet hierfür eine robuste Lösung. Doch was passiert, wenn dein Internetanbieter auf modernes **IPv6** und die Transitionstechnik **DS-Lite** setzt? Viele Nutzer stehen vor der Herausforderung, ihre geliebten Dienste, insbesondere einen VPN-Server, unter diesen Bedingungen reibungslos zu konfigurieren. Keine Sorge, dieser umfassende Artikel nimmt dich an die Hand und zeigt dir, wie du dein AlwaysOnVPN auch mit IPv6 (DS-Lite) erfolgreich und ohne Kopfzerbrechen zum Laufen bringst.
### Die Grundlagen verstehen: AlwaysOnVPN, IPv6 und DS-Lite
Bevor wir in die Tiefen der Konfiguration eintauchen, ist es wichtig, die beteiligten Technologien zu verstehen.
#### Was ist AlwaysOnVPN und warum ist es so wertvoll?
Ein **AlwaysOnVPN** (auch bekannt als „Per-App VPN” oder „On-Demand VPN” in einigen Kontexten) ist eine VPN-Verbindung, die automatisch aufgebaut wird und permanent aktiv bleibt, sobald bestimmte Bedingungen erfüllt sind – sei es immer, wenn das Gerät eingeschaltet ist, oder wenn es versucht, auf bestimmte Netzwerkressourcen zuzugreifen.
Die Vorteile sind vielfältig:
* **Erhöhte Sicherheit:** Der gesamte Datenverkehr wird verschlüsselt, bevor er das lokale Netzwerk verlässt, was Abhörversuche erschwert.
* **Datenschutz:** Deine IP-Adresse bleibt verborgen, und deine Online-Aktivitäten sind schwerer nachzuverfolgen.
* **Fernzugriff:** Du kannst sicher auf dein Heimnetzwerk zugreifen, um zum Beispiel NAS-Speicher, Smart-Home-Geräte oder andere Server zu erreichen.
* **Umfahrung von Geoblocking:** Zugriff auf Inhalte, die in deiner Region gesperrt sind, wenn der VPN-Server in einer anderen Region steht.
* **Unternehmensnetzwerke:** Ermöglicht Mitarbeitern einen sicheren und transparenten Zugriff auf interne Unternehmensressourcen, als wären sie physisch im Büro.
Kurz gesagt: Ein AlwaysOnVPN bietet eine konstant sichere und private Verbindung, die für viele Anwendungsfälle unverzichtbar ist.
#### IPv6 und DS-Lite: Die neue Realität vieler Internetanschlüsse
Das Internet, wie wir es kennen, basiert traditionell auf dem **IPv4**-Protokoll. Doch die Adressen sind begrenzt, und die sogenannten „Free-Pools” sind längst aufgebraucht. Hier kommt **IPv6** ins Spiel, das eine nahezu unbegrenzte Anzahl von IP-Adressen bietet. Immer mehr Internetanbieter (ISPs) stellen ihre Anschlüsse auf IPv6 um, um der Adressknappheit zu begegnen.
Das Problem: Viele Server und Dienste im Internet, sowie ältere Geräte und Anwendungen, basieren immer noch auf IPv4. Um die Kompatibilität zu gewährleisten, während gleichzeitig IPv6 als primäres Protokoll genutzt wird, verwenden ISPs oft Transitionstechnologien. Eine der prominentesten in Deutschland ist **DS-Lite** (Dual-Stack Lite).
**Wie funktioniert DS-Lite?**
Bei einem **DS-Lite**-Anschluss erhält dein Router primär eine öffentliche **IPv6**-Adresse. Für den Zugriff auf das IPv4-Internet werden deine IPv4-Anfragen in IPv6-Pakete gekapselt und an einen zentralen Carrier-Grade NAT (CGN)-Router des ISPs gesendet, den sogenannten **AFTR** (Address Family Transition Router). Dieser AFTR entkapselt die Pakete, NATet sie ins öffentliche IPv4-Netz und leitet die Antworten zurück.
**Der Haken bei DS-Lite:**
Die größte Einschränkung von DS-Lite ist, dass du als Endkunde **keine eigene öffentliche IPv4-Adresse** mehr besitzt. Du teilst dir eine IPv4-Adresse mit vielen anderen Kunden deines ISPs. Das bedeutet:
* Du kannst keine **Portfreigaben** für eingehende IPv4-Verbindungen einrichten.
* Dienste, die von außen auf eine feste öffentliche IPv4-Adresse zugreifen müssen (z.B. Gameserver, Smart-Home-Hubs oder eben ein **VPN-Server** in deinem Heimnetzwerk), sind über IPv4 nicht direkt erreichbar.
* **Dynamisches DNS (DynDNS)** für IPv4 funktioniert nicht direkt für Dienste in deinem Heimnetzwerk.
Das ist der zentrale Konfliktpunkt, wenn du einen VPN-Server zu Hause hosten und diesen mit einem AlwaysOnVPN-Client von außerhalb erreichen möchtest. Der Client würde versuchen, eine IPv4-Verbindung zu deinem Heim-Router herzustellen, was durch DS-Lite blockiert wird.
### Die Herausforderung meistern: Strategien für AlwaysOnVPN mit DS-Lite
Die gute Nachricht ist: Es gibt Lösungen, um die Einschränkungen von DS-Lite für dein AlwaysOnVPN zu überwinden. Die Wahl der besten Strategie hängt davon ab, wo sich dein VPN-Server befindet und welche Flexibilität du benötigst.
#### Strategie 1: Der VPN-Client wählt sich von einem DS-Lite-Anschluss ein (Egress-Verbindung)
Wenn du dich mit einem VPN-Client von einem DS-Lite-Anschluss (z.B. dein Laptop im Home-Office oder dein Smartphone unterwegs) zu einem externen VPN-Server verbindest, ist die **Konfiguration relativ unkompliziert**. Der Client initiiert die Verbindung nach außen. Solange der VPN-Server eine öffentliche, erreichbare IP-Adresse (entweder IPv4 oder IPv6) hat, sollte die Verbindung problemlos aufgebaut werden können. Die DS-Lite-Problematik betrifft hier nur die Erreichbarkeit des *Servers*, nicht des *Clients*.
#### Strategie 2: Den VPN-Server hinter einem DS-Lite-Anschluss betreiben (Ingress-Verbindung)
Dies ist die eigentliche Herausforderung und der Fokus dieses Artikels. Du möchtest deinen eigenen VPN-Server zu Hause betreiben, um von unterwegs auf dein Heimnetz zuzugreifen.
1. **Reiner IPv6-VPN-Server:**
Wenn dein VPN-Server eine öffentliche **IPv6**-Adresse (die dein Router vom ISP erhält) nutzen kann und deine Clients ebenfalls über eine stabile IPv6-Konnektivität verfügen, könntest du einen reinen IPv6-VPN aufsetzen.
* **Voraussetzungen:** Dein Router muss IPv6-Portfreigaben unterstützen und dein VPN-Server muss auf IPv6 konfiguriert sein.
* **DynDNS:** Du benötigst einen **DynDNS-Dienst**, der auch **IPv6-Adressen** aktualisiert (z.B. FreeDNS, Dynu).
* **Herausforderung:** Nicht alle Clients haben unterwegs stabile oder überhaupt eine IPv6-Verbindung. Smartphone-Hotspots oder WLANs sind oft noch auf IPv4 beschränkt oder haben inkonsistente IPv6-Implementierungen. Dies ist daher selten eine universelle Lösung.
2. **Die Königslösung: Der Tunnelbroker (IPv4-via-IPv6-Tunnel)**
Dies ist die **empfohlenste und robusteste Methode**, um die IPv4-Beschränkung von DS-Lite zu umgehen, wenn du einen VPN-Server oder andere Dienste von außerhalb auf deinem Heimanschluss hosten möchtest. Ein **Tunnelbroker** ist ein Dienstleister, der dir über eine IPv6-Verbindung eine eigene öffentliche **IPv4-Adresse** und oft auch ein eigenes, geroutetes **IPv6-Subnetz** zur Verfügung stellt.
**Wie funktioniert ein Tunnelbroker?**
Dein Router oder ein dedizierter Server in deinem Heimnetz baut eine IPv6-Verbindung zum Tunnelbroker auf. Über diesen Tunnel erhältst du eine dedizierte öffentliche IPv4-Adresse (die vom Tunnelbroker bereitgestellt wird) und kannst diese so konfigurieren, als hättest du einen nativen IPv4-Anschluss. Dein Router kann dann **Portfreigaben** für diese IPv4-Adresse einrichten. Viele Tunnelbroker bieten auch ein zusätzliches **IPv6-Subnetz** (z.B. ein /48 oder /64 Prefix) an, das du in deinem Heimnetzwerk routen kannst, was dir volle Kontrolle über deine IPv6-Adressierung gibt.
Bekannte Tunnelbroker sind beispielsweise Hurricane Electric (HE.net) oder für Business-Kunden auch Feste-IP-Anbieter.
3. **Alternative: VPN-Server in der Cloud**
Eine weitere Option ist, deinen VPN-Server auf einem kleinen virtuellen Server (VPS) bei einem Cloud-Anbieter (z.B. Hetzner Cloud, DigitalOcean, AWS Lightsail) zu betreiben. Diese Server haben naturgemäß eine öffentliche IPv4- und oft auch eine IPv6-Adresse.
* **Vorteile:** Einfache Einrichtung, hohe Verfügbarkeit, du musst dich nicht um die DS-Lite-Problematik kümmern.
* **Nachteile:** Zusätzliche monatliche Kosten, der Datenverkehr läuft nicht direkt über dein Heimnetz, sondern über den Cloud-Anbieter.
Für die reibungslose **Konfiguration** eines AlwaysOnVPN hinter DS-Lite konzentrieren wir uns im Folgenden auf die **Tunnelbroker-Lösung**, da sie dir die volle Kontrolle über dein Heimnetzwerk zurückgibt und eine dauerhafte Lösung für die IPv4-Problematik bietet.
### Schritt-für-Schritt-Anleitung: AlwaysOnVPN mit Tunnelbroker und DS-Lite
Diese Anleitung konzentriert sich auf die Nutzung eines **Tunnelbrokers** (exemplarisch sei Hurricane Electric genannt, da dieser Dienst kostenlos und weit verbreitet ist) in Verbindung mit einem gängigen VPN-Protokoll wie OpenVPN oder WireGuard.
#### 1. Vorbereitung und Anforderungen
* **IPv6-fähiger Router:** Dein Router (z.B. AVM FritzBox, Telekom Speedport) muss IPv6 unterstützen und in der Lage sein, einen IPv6-Tunnel zu konfigurieren.
* **DS-Lite-Anschluss:** Stelle sicher, dass dein Internetanschluss tatsächlich DS-Lite ist (oft erkennbar im Router-Interface, z.B. „IPv4 über DS-Lite” oder „AFTR”).
* **Server-Hardware:** Ein Raspberry Pi, ein kleiner Mini-PC oder ein NAS-Gerät, das als VPN-Server dienen kann.
* **Grundkenntnisse:** Etwas Erfahrung mit Linux-Kommandozeile (falls dein Server auf Linux läuft) und Netzwerk-Konfiguration ist hilfreich.
#### 2. Tunnelbroker einrichten (Beispiel Hurricane Electric – HE.net)
1. **Registrierung bei HE.net:** Gehe auf tunnelbroker.net und registriere dich für ein kostenloses Konto.
2. **Tunnel erstellen:** Nach der Anmeldung navigierst du zu „Create Regular Tunnel”.
* Gib die öffentliche **IPv4-Adresse deines Routers** ein. Diese findest du in den Statusinformationen deines Routers (z.B. FritzBox: „Internet” > „Online-Monitor” > „IPv4-Adresse”). Wähle einen nahegelegenen Tunnel-Server aus (z.B. Frankfurt, Zürich).
* HE.net erstellt nun einen **IPv6-in-IPv4-Tunnel**. Du erhältst eine Client IPv6-Adresse (`/64`), eine Server IPv6-Adresse (`/64`) und, ganz wichtig, ein geroutetes **IPv6-Subnetz** (`/48` oder `/64`). Zudem wird dir eine öffentliche IPv4-Adresse zugewiesen, die du später über den Tunnel nutzen kannst.
3. **Router-Konfiguration für den Tunnel:**
* HE.net bietet Konfigurationsbeispiele für viele Router an (z.B. „MikroTik RouterOS”, „Cisco”). Für gängige Consumer-Router wie die **FritzBox** ist die Konfiguration oft direkt über die Weboberfläche möglich:
* Navigiere in deiner FritzBox zu „Internet” > „Zugangsdaten” > „IPv6”.
* Wähle „Tunnelprotokoll verwenden” und dann „Manuelle Tunnel-Konfiguration” oder „6in4-Tunnel”.
* Gib die Server-IPv4-Adresse von HE.net, deine Client-IPv6-Adresse (von HE.net) und das erhaltene Prefix (z.B. dein /64 Routed IPv6-Subnetz) ein.
* **Wichtig:** Stelle sicher, dass dein Router das von HE.net bereitgestellte **IPv6-Subnetz** in deinem Heimnetzwerk richtig delegiert. Du möchtest, dass deine internen Geräte über dieses neue, „öffentliche” IPv6-Subnetz Adressen erhalten.
* Alternativ kannst du den Tunnel auch auf einem dedizierten Linux-Server in deinem Netzwerk einrichten und diesen als Gateway für IPv4/IPv6 nutzen.
4. **IPv4 für Portfreigaben einrichten:** Dein Router sollte nun in der Lage sein, **Portfreigaben für die von HE.net zugewiesene öffentliche IPv4-Adresse** einzurichten. Das ist der Trick, um die DS-Lite-Beschränkung zu umgehen!
#### 3. VPN-Server konfigurieren (OpenVPN oder WireGuard)
**OpenVPN (empfohlen für maximale Kompatibilität):**
1. **Server installieren:** Installiere OpenVPN auf deinem Server (z.B. `sudo apt install openvpn easy-rsa` auf Debian/Ubuntu).
2. **Zertifikate und Schlüssel generieren:** Nutze `easy-rsa` zur Erstellung einer eigenen Certificate Authority (CA), Server-Zertifikaten und -Schlüsseln sowie individuellen Client-Zertifikaten und -Schlüsseln. Dies ist ein kritischer Schritt für die Sicherheit.
3. **Server-Konfiguration (`server.conf`):**
„`
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0 # Optional, aber empfohlen für zusätzliche Sicherheit
server 10.8.0.0 255.255.255.0 # VPN-Subnetz für Clients
server-ipv6 2000:abcd:1234::/64 # Beispiel: Dein IPv6-Subnetz für VPN-Clients
push „redirect-gateway def1 bypass-dhcp” # Leitet gesamten Client-Traffic durch den VPN
push „redirect-gateway def1 ipv6” # Leitet gesamten IPv6-Traffic durch den VPN
push „dhcp-option DNS 10.8.0.1” # Dein VPN-Server als DNS
push „dhcp-option DNS 2001:4860:4860::8888” # Google Public IPv6 DNS
client-to-client # Clients können sich untereinander sehen
keepalive 10 120
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
„`
Passe `server-ipv6` an ein *anderes* IPv6-Subnetz an, das du vom Tunnelbroker geroutet bekommen hast (z.B. ein /64 aus deinem /48), um IPv6-Konnektivität für VPN-Clients zu ermöglichen.
4. **IP-Forwarding aktivieren:** Aktiviere IPv4- und IPv6-Forwarding auf deinem Server (`sudo sysctl -w net.ipv4.ip_forward=1` und `sudo sysctl -w net.ipv6.conf.all.forwarding=1`). Dauerhaft in `/etc/sysctl.conf` eintragen.
5. **Firewall-Regeln (ufw/iptables):**
* Erlaube eingehende Verbindungen auf dem VPN-Port (Standard: UDP 1194) von der öffentlichen IPv4-Adresse des Tunnelbrokers und/oder dem von HE.net zugewiesenen IPv6-Subnetz.
* Aktiviere NAT/Masquerading, damit Clients über den VPN-Server auf das Internet zugreifen können (beachte, dass der Datenverkehr dann über deine Tunnelbroker-IPv4-Adresse läuft).
* Beispiel `ufw`:
„`bash
sudo ufw allow 1194/udp
sudo ufw enable
# Für NAT/Masquerading (Anpassung in /etc/ufw/before.rules und default policy)
„`
6. **Server starten:** `sudo systemctl start openvpn@server`
**WireGuard (empfohlen für Einfachheit und Geschwindigkeit):**
1. **Server installieren:** Installiere WireGuard auf deinem Server (z.B. `sudo apt install wireguard` auf Debian/Ubuntu).
2. **Schlüssel generieren:** `wg genkey | sudo tee /etc/wireguard/privatekey` und `sudo cat /etc/wireguard/privatekey | wg pubkey | sudo tee /etc/wireguard/publickey`
3. **Server-Konfiguration (`/etc/wireguard/wg0.conf`):**
„`
[Interface]
PrivateKey =
Address = 10.0.0.1/24, 2001:db8:0:cafe::1/64 # Dein VPN-Subnetz (IPv4 und IPv6)
ListenPort = 51820
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o
[Peer] # Beispiel für einen Client
PublicKey = <Öffentlicher Schlüssel des Clients>
AllowedIPs = 10.0.0.2/32, 2001:db8:0:cafe::2/128 # IP-Adresse für diesen Client
„`
Ersetze `
4. **IP-Forwarding aktivieren:** Wie bei OpenVPN.
5. **Firewall-Regeln:** Erlaube UDP 51820.
6. **Server starten:** `sudo wg-quick up wg0` und `sudo systemctl enable wg-quick@wg0`
#### 4. AlwaysOnVPN-Client konfigurieren
1. **Client-Software:** Installiere den entsprechenden Client für OpenVPN (OpenVPN Connect, Tunnelblick) oder WireGuard auf deinen Geräten (Windows, macOS, Linux, Android, iOS).
2. **Client-Profil:**
* Für OpenVPN: Erstelle eine `.ovpn`-Datei mit den generierten Client-Zertifikaten, Schlüsseln und der Server-Adresse.
* Für WireGuard: Erstelle eine `wg0.conf`-Datei mit den Client-Schlüsseln, dem Server-Public-Key und der Server-Adresse.
3. **Server-Adresse:** Als Server-Adresse verwendest du nun die **öffentliche IPv4-Adresse, die du vom Tunnelbroker erhalten hast**, oder die öffentliche IPv6-Adresse deines Servers (falls der Client IPv6-fähig ist). Idealerweise richtest du einen **DynDNS-Eintrag für diese öffentliche IPv4-Adresse** ein, der automatisch aktualisiert wird.
4. **AlwaysOn-Funktion:**
* **Windows:** Kann über PowerShell-Skripte oder Dritthersteller-Tools konfiguriert werden. Bei OpenVPN Connect gibt es eine „Auto-Connect” Option.
* **macOS:** Tunnelblick und OpenVPN Connect bieten „Verbindung bei Start” oder „Always On” Optionen.
* **Linux:** Systemd-Dienste können für den automatischen Start konfiguriert werden.
* **Mobile Geräte:** Viele VPN-Apps bieten „On Demand” oder „Always On” Funktionen, die die Verbindung automatisch bei Bedarf oder bei bestimmten Netzwerkbedingungen herstellen.
### Wichtige Überlegungen und Best Practices
* **Sicherheit ist oberstes Gebot:**
* Verwende **starke Passwörter** und halte alle Systeme (Router, Server, Clients) auf dem neuesten Stand.
* Aktiviere die **Firewall** auf deinem Router und deinem VPN-Server. Erlaube nur die absolut notwendigen Ports.
* Nutze **TLS-Auth** (OpenVPN) oder **Preshared Keys** (WireGuard) für zusätzliche Sicherheit.
* Isoliere den VPN-Server nach Möglichkeit in einem eigenen Subnetz oder einer DMZ deines Heimnetzwerks.
* **Performance:**
* Die VPN-Performance hängt stark von der **CPU-Leistung deines Servers** und der **Bandbreite deines Internetanschlusses** ab. Ein Raspberry Pi kann für 1-2 Nutzer ausreichend sein, bei mehr Nutzern oder höherer Bandbreite stößt er an Grenzen.
* Die Nutzung eines Tunnelbrokers kann zu einem **leichten Performance-Overhead** führen, da Pakete gekapselt und entkapselt werden müssen. Dies ist in der Regel jedoch vernachlässigbar.
* **MTU-Werte (Maximum Transmission Unit)** können bei Tunnels manchmal angepasst werden müssen, wenn es zu Fragmentierung und Performance-Einbußen kommt (z.B. 1420 für OpenVPN über UDP).
* **Zuverlässigkeit:**
* Überwache die Verfügbarkeit deines Tunnelbrokers und deines VPN-Servers.
* Richte DynDNS für die vom Tunnelbroker zugewiesene IPv4-Adresse ein, um Ausfälle der DNS-Aktualisierung zu vermeiden.
* **DNS-Auflösung:** Stelle sicher, dass deine VPN-Clients die richtigen DNS-Server verwenden (entweder die des VPN-Servers, deines Heimnetzwerks oder öffentliche, wie Google DNS/Cloudflare DNS), um DNS-Leaks zu vermeiden und eine optimale Auflösung zu gewährleisten.
* **IPv6-Tests:** Überprüfe regelmäßig, ob deine IPv6-Konnektivität und die des Tunnels korrekt funktionieren (z.B. mit online IPv6-Testseiten).
### Häufige Probleme und Fehlerbehebung
* **Keine Verbindung zum VPN-Server:**
* **Firewall:** Überprüfe die Firewall deines Routers (Portfreigaben für die Tunnelbroker-IPv4) und deines VPN-Servers.
* **IP-Adressen/Ports:** Sind die IP-Adresse des Servers und der Port im Client-Profil korrekt?
* **Tunnelbroker-Tunnel aktiv?** Überprüfe den Status deines Tunnels beim Tunnelbroker und in deinem Router.
* **Server läuft?** Ist der VPN-Dienst auf deinem Server aktiv und fehlerfrei? (`sudo systemctl status openvpn@server` oder `sudo wg`)
* **Zertifikate/Schlüssel:** Sind alle Zertifikate/Schlüssel korrekt und nicht abgelaufen oder beschädigt?
* **Verbindung bricht immer wieder ab:**
* **Keepalive-Einstellungen:** Erhöhe die `keepalive`-Werte in deiner OpenVPN-Konfiguration oder sorge für regelmäßigen Traffic (WireGuard).
* **Netzwerkstabilität:** Überprüfe die Stabilität deiner Internetverbindung und die des Tunnelbrokers.
* **Langsame Verbindung:**
* **MTU-Probleme:** Versuche, die MTU-Werte in der VPN-Konfiguration zu reduzieren (z.B. `tun-mtu 1400` in OpenVPN, oder in WireGuard `MTU = 1420`).
* **Server-Ressourcen:** Ist der VPN-Server überlastet (CPU, RAM)?
* **Internetbandbreite:** Ist deine Upload-Bandbreite ausreichend?
* **DNS-Auflösungsprobleme (Seiten laden nicht):**
* **DNS-Server:** Sind die DNS-Server im VPN-Client korrekt konfiguriert und erreichbar?
* **Split-Tunneling:** Wenn du nur bestimmten Traffic durch den VPN leiten möchtest, überprüfe deine Routen.
### Fazit
Die Kombination aus **AlwaysOnVPN** und **IPv6 (DS-Lite)** mag auf den ersten Blick einschüchternd wirken, ist aber mit der richtigen Strategie und einer sorgfältigen **Konfiguration** absolut machbar. Die Nutzung eines **Tunnelbrokers** ist hierbei die Schlüsseltechnologie, um die Einschränkungen von DS-Lite elegant zu umgehen und deinem VPN-Server eine öffentliche, über IPv4 erreichbare Identität zu verleihen.
Mit diesem detaillierten Leitfaden hast du alle Werkzeuge an der Hand, um dein Heimnetzwerk sicher und flexibel von überall erreichbar zu machen. Nimm dir Zeit für jeden Schritt, achte auf die **Sicherheit** deiner Konfiguration, und du wirst die Vorteile eines reibungslos funktionierenden AlwaysOnVPN zu schätzen wissen. Viel Erfolg bei der Einrichtung!