Eigenes VPN — verschlüsselter Tunnel, keine fremde Firma in der Leitung

Warum kein kommerzielles VPN?

Weil Sie dort genau dasselbe Problem haben wie bei US-Clouds: Sie wissen nicht, was der Anbieter mit Ihren Metadaten macht. Ein VPN-Anbieter sieht alles, was durch den Tunnel fließt — auch wenn er „No-Logs” verspricht. Mehrere große Anbieter wurden in den letzten Jahren an Werbe-Konzerne verkauft — ausgerechnet jene, vor denen VPN schützen soll.

Eigenes VPN = kein Dritter in der Leitung. Sie wissen, was gelogged wird (nichts, weil Sie es selbst konfigurieren) und wem der Server gehört (Ihnen, in Deutschland).

Was WireGuard ist

WireGuard ist der moderne VPN-Standard: schnell (deutlich schneller als OpenVPN), schlank (rund 4.000 Zeilen Code statt 100.000), im Linux-Kernel integriert, mit elliptischer Kryptographie auf aktuellem Stand.

Ich nutze WireGuard selbst auf allen meinen Geräten — Smartphone, Laptop, Heim-Router, Werkstatt-Server hängen permanent im eigenen Tunnel. Was ich Ihnen aufsetze, ist meine tägliche Arbeitsumgebung.

Drei Scope-Varianten

Road-Warrior (Außendienst / Homeoffice)

Ihr Mitarbeiter ist im Hotel-WLAN, im Café, im Zug — der Laptop baut automatisch einen Tunnel zum Firmen-VPN auf. Zugriff auf interne Server, Nextcloud, Matrix, Drucker wie vor Ort. Keine Port-Freigaben im Büro-Router nötig.

Site-to-Site (zwei Standorte verbinden)

Zwei Büros, beide sehen sich wie ein Netzwerk. Nützlich für zweiten Standort, Lager, Werkstatt, privater Server zu Hause verbunden mit Kanzlei. Konfiguriert auf Router-Ebene (OPNsense, MikroTik, UniFi) — kein Client auf den Endgeräten nötig.

Full-Tunnel (gesamter Internet-Traffic durch eigenen Server)

Ihr komplettes Surf-Verhalten geht durch Ihren Server in Deutschland, bevor es ins Internet geht. Schutz in öffentlichen WLANs, ein fester IP-Footprint, kein WLAN-Betreiber-Tracking. Plus Geo-Konsistenz auf Reisen — Ihr Banking-Zugriff aus dem Ausland sieht aus wie aus Deutschland.

Drei Pakete

Solo — 1 Nutzer, bis 3 Geräte

• 1 Nutzer, bis 3 Geräte (Laptop, Handy, Tablet)
• Scope: Road-Warrior oder Full-Tunnel
• Setup, Configs, QR-Codes, Doku

Setup 190 € + 5 €/Monat Hosting (kleiner Hetzner-VPS, inkl. kleiner Marge auf meine Kosten) — oder 0 €/Monat zusätzlich, wenn Sie bereits einen Werkstatt-Server bei mir haben. Läuft dann einfach mit.

Team — bis 10 Geräte

• 2-10 Nutzer/Geräte
• Scope: Road-Warrior + optional Full-Tunnel pro Nutzer
• Optional: AdGuard-DNS-Filter (Werbung, Tracker, Malware-Domains)
• Onboarding-Anleitung für Mitarbeiter

Setup 390 € + 9 €/Monat — oder 3 €/Monat on-top zum bestehenden Werkstatt-Server.

Standort — Site-to-Site + Road-Warrior

• Zwei Standorte verbunden + bis 15 Mitarbeiter-Devices
• Inkl. Router-Konfiguration (OPNsense / MikroTik / UniFi)
• Optionale Failover-Konfiguration auf zweiten Endpunkt
• Monitoring mit Alert

Setup 690 € + 15 €/Monat — oder 6 €/Monat on-top zum bestehenden Werkstatt-Server.

Ergänzung zum Cloud-Exit

Ein VPN schützt den Transport-Layer — das Stück zwischen Gerät und Server. Zusammen mit einem Cloud-Exit-Stack (Nextcloud, Immich, eigener Mailserver) ergibt das eine Ende-zu-Ende-Architektur, in der Ihre Daten weder auf US-Servern liegen noch durch fremde Netze sichtbar wandern. Gerade für Kanzleien, Arztpraxen und Therapie-Praxen eine sinnvolle Kombination.

Was nicht dabei ist

• Anonymisierung gegen Ermittlungsbehörden — WireGuard auf eigenem Server verschleiert nichts gegen formelle behördliche Anfragen. Wer das braucht, nutzt Tor oder einen Mehr-Hop-Dienst wie Mullvad — das ist ein anderes Ziel.
• Streaming-Geo-Umgehung als Hauptzweck — funktioniert oft, aber Netflix/Prime-Sperren sind ein Katz-und-Maus-Spiel, das ich nicht garantieren kann.
• Enterprise-WAN mit MPLS/IPsec-Redundanz — anderer Scope, vermittle ich bei Bedarf.

Mein eigener Stack als Referenz

Smartphone, Laptop, Heim-Router — alles permanent im eigenen Tunnel zum Werkstatt-Server. Grund: Ich möchte nicht, dass jedes Café-WLAN und jeder Hotel-Provider weiß, welche Dienste ich anspreche und wann. Dasselbe Setup biete ich Ihnen.