Always-On VPN
Was ist Always-On VPN?
Always-On VPNGerateweite Richtlinie, die den VPN-Tunnel automatisch aufbaut, sobald ein Netzwerk verfugbar ist, und ungetunnelten Verkehr verweigert; durchgesetzt von Windows-, Apple- und Android-Profilen.
Always-On VPN ist eine Funktion fur verwaltete Gerate, die das Betriebssystem erzwingt, bevor Anwendungen das Netz nutzen konnen. Unter Windows wird sie als VPN-Profil per Intune oder PowerShell ausgerollt; sie unterstutzt IKEv2 mit Device-Tunnel- und User-Tunnel-Phasen, die automatisch aufgebaut werden. Apple iOS, iPadOS und macOS bieten VPN On Demand und Per-App VPN mit dem AlwaysOn-Flag in mobileconfig-Profilen, meist mit IKEv2 oder herstellerspezifischen IKEv2/WireGuard-Tunneln. Android bringt eine systemweite Always-on-VPN-Option mit Block connections without VPN; Enterprise-MDMs (Workspace ONE, Intune) verteilen sie auf die Flotte. Das verhindert Umgehung des Unternehmens-Gateways, schutzt Roaming-Gerate vor unautorisiertem WLAN und wird oft mit Kill-Switch und zertifikatsbasierter Maschinen-Authentifizierung kombiniert.
● Beispiele
- 01
Windows 11 Always On VPN mit Device-Tunnel aus einem von Intune verteilten XML-Profil und IKEv2-Maschinenzertifikaten.
- 02
Android Enterprise erzwingt Always-on VPN und 'Block connections without VPN', damit alle Apps uber das Firmen-Gateway laufen.
● Häufige Fragen
Was ist Always-On VPN?
Gerateweite Richtlinie, die den VPN-Tunnel automatisch aufbaut, sobald ein Netzwerk verfugbar ist, und ungetunnelten Verkehr verweigert; durchgesetzt von Windows-, Apple- und Android-Profilen. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet Always-On VPN?
Gerateweite Richtlinie, die den VPN-Tunnel automatisch aufbaut, sobald ein Netzwerk verfugbar ist, und ungetunnelten Verkehr verweigert; durchgesetzt von Windows-, Apple- und Android-Profilen.
Wie funktioniert Always-On VPN?
Always-On VPN ist eine Funktion fur verwaltete Gerate, die das Betriebssystem erzwingt, bevor Anwendungen das Netz nutzen konnen. Unter Windows wird sie als VPN-Profil per Intune oder PowerShell ausgerollt; sie unterstutzt IKEv2 mit Device-Tunnel- und User-Tunnel-Phasen, die automatisch aufgebaut werden. Apple iOS, iPadOS und macOS bieten VPN On Demand und Per-App VPN mit dem AlwaysOn-Flag in mobileconfig-Profilen, meist mit IKEv2 oder herstellerspezifischen IKEv2/WireGuard-Tunneln. Android bringt eine systemweite Always-on-VPN-Option mit Block connections without VPN; Enterprise-MDMs (Workspace ONE, Intune) verteilen sie auf die Flotte. Das verhindert Umgehung des Unternehmens-Gateways, schutzt Roaming-Gerate vor unautorisiertem WLAN und wird oft mit Kill-Switch und zertifikatsbasierter Maschinen-Authentifizierung kombiniert.
Wie schützt man sich gegen Always-On VPN?
Schutzmaßnahmen gegen Always-On VPN kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Always-On VPN?
Übliche alternative Bezeichnungen: AOVPN, Always On VPN, Device tunnel.
● Verwandte Begriffe
- network-security№ 1213
VPN-Kill-Switch
Schutzmechanismus, der den gesamten Netzwerkverkehr des Hosts blockiert, sobald der VPN-Tunnel abbricht, um unverschlusselte Leaks zu verhindern.
- network-security№ 1215
VPN-Split-Tunneling
VPN-Konfiguration, die nur ausgewahlten Datenverkehr (z. B. Unternehmens-Subnetze) durch den verschlusselten Tunnel leitet und den Rest direkt ins Internet schickt.
- network-security№ 1244
WireGuard
Ein modernes, minimalistisches VPN-Protokoll mit fest definierten zeitgemäßen Krypto-Primitiven, das als Teil des Linux-Kernels läuft.
- network-security№ 556
IPsec
Eine IETF-Protokollsuite, die IP-Pakete authentisiert und verschlüsselt und damit sichere Kommunikation auf der Netzwerkschicht ermöglicht.