BOSVPN ist die einfache und sichere Lösung, um feste IP-Adressen über beliebige Internetanschlüsse verfügbar zu machen – ganz ohne teure Standleitungen oder eigene Infrastruktur. Speziell für Behörden und Organisationen mit Sicherheitsaufgaben (BOS) entwickelt, eignet sich BOSVPN aber auch hervorragend für alle, die auf zuverlässige Erreichbarkeit angewiesen sind – selbst hinter Carrier-grade NAT (CGN).
Mit BOSVPN Standard erhalten Sie ein privates /29-Subnetz mit fünf nutzbaren festen IPv4-Adressen, das Ihnen über eine moderne WireGuard-VPN-Verbindung bereitgestellt wird. Dieses Subnetz können Sie flexibel nutzen:
- Interne Vernetzung: Verbinden Sie bis zu fünf Geräte direkt über das VPN – ideal für geschützte Kommunikation, Fernwartung oder den Zugriff auf interne Dienste.
- Öffentliche Erreichbarkeit: Stellen Sie gezielt Webanwendungen eines Hosts über eine eigene Subdomain ins Internet – inklusive automatischer Let’s Encrypt-Zertifikate für verschlüsselte Verbindungen.
- Mischbetrieb: Kombinieren Sie beide Varianten – z. B. interner Zugriff auf sensible Systeme und gleichzeitig öffentlicher Zugang zu ausgewählten Anwendungen.
Und das Beste: Sie benötigen nur einen Internetanschluss – egal ob DSL, Glasfaser, LTE oder Satellit. BOSVPN funktioniert unabhängig von der Technik Ihres Providers und hebt Sie auch hinter CGN wieder direkt ins Internet.
Beispiel-Setup: BOSVPN im Einsatz
Stellen Sie sich folgendes Szenario vor:
Ein Server für das Einsatzleitsystem steht bei Ihnen im Einsatzleitwagen – beispielsweise ein Mini-PC oder ein Rackserver. Zusätzlich betreibt eine Einsatzkraft ein Notebook am Bereitstellungsraum oder im Führungsstab, das über einen LTE-Hotspot ins Internet geht. Beide Geräte befinden sich hinter unterschiedlichen NATs und haben keine öffentliche IP-Adresse.
Mit BOSVPN Standard lösen Sie dieses Problem elegant:
- Beide Geräte verbinden sich über WireGuard mit dem BOSVPN-Server.
- Sie erhalten jeweils eine feste, private IP-Adresse aus dem gemeinsam genutzten /29-Subnetz.
- Der Server ist nun direkt und dauerhaft über seine feste BOSVPN-IP erreichbar – beispielsweise für Remote-Desktop, Dateiübertragungen oder ein Einsatzleitsystem.
- Das Notebook kann jederzeit eine gesicherte Verbindung zum Server aufbauen – unabhängig vom Standort oder Netzbetreiber.
- Optional: Eine Webanwendung auf dem Server wird zusätzlich über eine Subdomain mit SSL-Zertifikat öffentlich erreichbar gemacht – z. B.
5064e8d66a1446db8fb9245a9f177a5c.vpn.bosvpn.net
Die kryptische Subdomain sorgt dafür, dass sie nicht so einfach von Suchmaschienen indiziert wird. Über einen QR-Code oder ein Lesezeichen im Browser stellt dies auch im hektischen Einsatz keine Herausforderung dar.
Vorteil: Kein DynDNS, kein Portforwarding, keine statische IP vom Provider nötig. BOSVPN funktioniert überall – auch bei LTE, Starlink oder hinter CGNAT.
Mehr zur Technik wireguard
WireGuard ist ein modernes VPN-Protokoll, das auf Einfachheit, Geschwindigkeit und Sicherheit ausgelegt ist. Technisch funktioniert WireGuard folgendermaßen:
1. Aufbau und Funktionsweise
- Kernel-Modul und Netzwerk-Interface:
WireGuard wird als Kernel-Modul implementiert (bei Linux etwa direkt im Kernel integriert) und agiert dort als virtuelles Netzwerkinterface. Durch diese tiefe Integration in den Kernel werden Datenpakete sehr schnell und effizient verarbeitet. - Statische Konfiguration:
Anders als bei anderen VPN-Lösungen ist WireGuard sehr statisch konfiguriert. Jeder Endpunkt besitzt vorab generierte Schlüsselpaare. Die Peer-Konfiguration wird im Voraus definiert und basiert ausschließlich auf diesen Schlüsseln, ohne komplexe Zertifikats- oder Aushandlungsprozesse. Dies vereinfacht die Verwaltung und minimiert mögliche Angriffsvektoren. - Handshake mit dem Noise-Protokoll:
Bei Verbindungsaufbau wird ein Handshake durchgeführt, der auf dem Noise-Protokoll-Framework basiert. Dieses Protokoll gewährleistet, dass beide Seiten gegenseitig authentifiziert werden, indem sie kryptographische Schlüssel austauschen. Der Handshake ist so konzipiert, dass er gegen Angriffe wie Man-in-the-Middle geschützt ist und gleichzeitig sehr performant bleibt. - Datenübertragung:
Nach einem erfolgreichen Handshake wird ein symmetrischer Schlüssel für die laufende Kommunikation abgeleitet. Die Datenpakete werden ab dann im Kernel verschlüsselt und entschlüsselt, was für minimalen Overhead und hohe Geschwindigkeiten sorgt.
2. Eingesetzte Verschlüsselungsverfahren
WireGuard setzt auf eine moderne Kryptografie-Suite, die darauf ausgelegt ist, maximale Sicherheit und Effizienz zu bieten:
- Curve25519:
Für den Austausch von Schlüsseln und zur Erstellung von gemeinsamen Geheimnissen wird Curve25519 verwendet. Diese elliptische Kurve ist für ihre hohe Sicherheit und gute Performance bekannt. - ChaCha20:
Als symmetrischer Verschlüsselungsalgorithmus kommt ChaCha20 zum Einsatz. Dieser Stromchiffre bietet eine ausgezeichnete Kombination aus Geschwindigkeit und Sicherheit – insbesondere auf Geräten ohne dedizierte Hardwarebeschleunigung für AES. - Poly1305:
Für die Authentifizierung der verschlüsselten Nachrichten wird der Poly1305-Algorithmus genutzt. Er sorgt dafür, dass jede Nachricht vor Manipulation geschützt ist, indem eine kryptographische MAC (Message Authentication Code) hinzugefügt wird. - BLAKE2:
Als Hashfunktion verwendet WireGuard BLAKE2, die sowohl schnell als auch sehr sicher ist. BLAKE2 kommt in verschiedenen Teilen des Protokolls zum Einsatz, beispielsweise zur Integritätsprüfung von Daten und im Rahmen der Schlüsselableitung. - HKDF (HMAC-based Extract-and-Expand Key Derivation Function):
Für die Ableitung der finalen Sitzungsschlüssel aus den während des Handshakes gewonnenen Informationen wird HKDF verwendet. Dies stellt sicher, dass jeder Sitzungsschlüssel einzigartig und sicher ist.
Fazit: WireGuard kombiniert eine schlanke, durchdachte Architektur mit einer modernen Kryptografie-Suite. Durch den minimalen Codeumfang, die Integration in den Kernel und die Verwendung von erprobten Algorithmen wie Curve25519, ChaCha20, Poly1305 und BLAKE2 erzielt WireGuard eine hohe Performance bei gleichzeitig robustem Schutz gegen Angriffe. Dies macht es zu einer attraktiven Lösung sowohl für den privaten Einsatz als auch in sicherheitskritischen Umgebungen.