Zum Inhalt springen

VPN-Passthrough

VPN-Passthrough ist eine Router-Funktion, die ältere VPN-Protokolle wie PPTP, L2TP und bestimmte IPsec-Varianten durch die Adressübersetzung (NAT) des Routers lässt, damit ein Gerät dahinter eine Verbindung zu einem externen VPN-Server aufbauen kann. Es stellt selbst keine VPN-Verbindung her und dient nur der Durchleitung.

VPN-Passthrough ist eine Funktion in vielen Heim- und Büro-Routern, die ältere VPN-Protokolle durch die Adressübersetzung (NAT) und die Firewall des Routers hindurchlässt. Wichtig ist die Abgrenzung: VPN-Passthrough macht den Router nicht selbst zum VPN-Server. Es sorgt nur dafür, dass ein Gerät hinter dem Router seine VPN-Verbindung zu einem Server im Internet überhaupt aufbauen kann.

Wie funktioniert VPN-Passthrough?

Fast jeder Router betreibt NAT: Er übersetzt die privaten Adressen deiner Geräte auf eine einzige öffentliche IP-Adresse und merkt sich anhand der Ports, welche Antwort zu welchem Gerät gehört. Einige ältere VPN-Protokolle passen schlecht in dieses Schema. PPTP nutzt das GRE-Protokoll, klassisches IPsec den ESP-Verkehr ohne feste Ports. NAT kann solche Rückantworten nicht ohne Weiteres dem richtigen internen Gerät zuordnen. Die Verbindung bricht ab.

VPN-Passthrough ist die Antwort der Hersteller darauf. Ist die Funktion aktiviert, erkennt der Router den VPN-Handshake (etwa PPTP-Steuerung auf TCP 1723 oder IPsec-IKE auf UDP 500) und legt eigene Regeln an, damit der Datenverkehr beim richtigen Gerät ankommt. Cisco beschreibt VPN-Passthrough auf seinen RV-Routern genau so: PPTP- und IPsec-Verkehr von Geräten hinter dem Router darf die NAT passieren, um entfernte VPN-Gateways zu erreichen. Linksys bietet dafür getrennte Schalter für IPsec, L2TP und PPTP.

Modernes IPsec geht den Umweg gar nicht erst: Mit NAT-Traversal (NAT-T) erkennen Client und Server die Adressübersetzung und verpacken den ESP-Verkehr in normale UDP-Pakete (meist Port 4500). Für NAT sieht das aus wie gewöhnlicher Datenverkehr, und es braucht keine spezielle Passthrough-Einstellung mehr.

Wann braucht man VPN-Passthrough überhaupt noch?

In den meisten Fällen gar nicht. Die Funktion ist nur für alte Protokolle relevant. NordVPN hält ausdrücklich fest, dass ein VPN-Passthrough nur bei älteren Protokollen wie PPTP, L2TP oder IPsec nötig ist. Moderne VPNs kommen ohne aus:

  • WireGuard läuft über einen einzelnen UDP-Port und ist von sich aus NAT-freundlich.
  • OpenVPN nutzt normale UDP- oder TCP-Ports und verhält sich für den Router wie jede andere Anwendung.
  • IKEv2/IPsec bringt NAT-T bereits im Standard mit.

Auf Routern der letzten rund zehn Jahre ist Passthrough für PPTP, L2TP und IPsec ohnehin meist von Haus aus aktiv. Du musst dich in der Regel nur damit befassen, wenn du eine alte Firmen-VPN-Verbindung über ein veraltetes Protokoll zum Laufen bringen musst. Wenn ein modernes VPN nicht verbindet, liegt es häufiger an Firewall-Regeln oder an einer Drosselung des Anbieters als an fehlendem Passthrough.

Ist VPN-Passthrough sicher?

Passthrough selbst ist neutral, es stellt nur die Verbindung her. Das Risiko steckt im Protokoll dahinter. PPTP gilt als veraltet und unsicher, L2TP ohne starkes IPsec ebenfalls. Passthrough zu aktivieren behebt diese Schwächen nicht, es ermöglicht die Verbindung lediglich. Umgekehrt macht das Abschalten von Passthrough dein Netzwerk nicht sicherer: Es bricht nur die alten VPNs, ohne das eigentliche Problem zu lösen. Wer die Sicherheit erhöhen will, wechselt auf ein modernes Protokoll wie WireGuard oder OpenVPN, statt an diesem Schalter zu drehen.

VPN-Passthrough oder VPN-Router: Wo liegt der Unterschied?

Die beiden werden oft verwechselt, machen aber Gegensätzliches. Ein VPN-Router baut die VPN-Verbindung selbst auf und verschlüsselt den Verkehr aller angeschlossenen Geräte. VPN-Passthrough verschlüsselt nichts. Es lässt nur die VPN-Verbindung eines einzelnen Geräts durch die NAT zu einem externen Server passieren. Ein weiteres Missverständnis: Manche Router-Implementierungen erlauben im klassischen IPsec-Passthrough nur ein Gerät pro Protokoll hinter der NAT. Modernes NAT-T hebt diese Einschränkung auf.

Quellen