Cybersicherheit

IPsec Ports: Welche Ports für VPN-Tunnel freigegeben werden müssen

Von Kai Schöbel ·Veröffentlicht am 4. Juni 2026 ·9 Min. Lesezeit
Netzwerkingenieur konfiguriert IPsec-Ports und VPN-Tunnel an einem professionellen Arbeitsplatz

IPsec Ports sind die Netzwerk-Ports, die das IPsec-Protokoll für den Aufbau und Betrieb verschlüsselter VPN-Verbindungen benötigt. Ohne die korrekte Freigabe dieser Ports in Firewalls und Routern lässt sich kein IPsec-Tunnel etablieren. Zu den zentralen IPsec-Ports zählen UDP 500 für den IKE-Schlüsselaustausch sowie UDP 4500 für NAT-Traversal — hinzu kommen die IP-Protokoll-Nummern 50 (ESP) und 51 (AH).

📌 Das Wichtigste in Kürze

  • IPsec nutzt primär UDP-Port 500 (IKE-Schlüsselaustausch) und UDP-Port 4500 (NAT-Traversal) — beide müssen in Firewalls freigegeben sein.
  • ESP (IP-Protokoll 50) überträgt die verschlüsselten Nutzdaten; AH (IP-Protokoll 51) sichert die Datenintegrität ohne Verschlüsselung.
  • NAT-Traversal kapselt ESP-Pakete in UDP 4500, wenn sich ein Endgerät hinter einem NAT-Router befindet.
  • Der Verbindungsaufbau verläuft in zwei Phasen: Phase 1 baut den sicheren Kanal auf, Phase 2 den eigentlichen Datentunnel.
  • Typische Fehlerursachen sind blockierte Ports, deaktiviertes NAT-Traversal und Zertifikatsprobleme in Phase 1.

Wer IPsec-Verbindungen in Unternehmensnetzen oder für Remote-Access-Szenarien einrichtet, muss die Zusammenhänge zwischen Protokoll, Ports und Firewall-Regeln genau kennen. Der folgende Artikel erklärt die Funktionsweise von IPsec, listet alle benötigten Ports auf und zeigt typische Fehlerquellen beim Verbindungsaufbau.

Was ist das IPsec-Protokoll?

IPsec (Internet Protocol Security) ist eine Protokoll-Suite zur Absicherung von IP-Kommunikation auf Netzwerkebene (OSI-Layer 3). Sie verschlüsselt und authentifiziert IP-Pakete direkt, ohne dass die darüber liegenden Anwendungen angepasst werden müssen.

IPsec besteht aus mehreren Teilprotokollen: IKE (Internet Key Exchange) handelt Schlüssel und Sicherheitsparameter aus, ESP (Encapsulating Security Payload) verschlüsselt die Nutzdaten, und AH (Authentication Header) gewährleistet Integrität und Authentizität — allerdings ohne Verschlüsselung. In der Praxis wird ESP deutlich häufiger eingesetzt als AH, weil es beides — Verschlüsselung und Integrität — kombiniert.

IPsec kann in zwei Modi betrieben werden: Im Transportmodus wird nur der Payload des IP-Pakets geschützt, während der ursprüngliche IP-Header erhalten bleibt. Im Tunnelmodus wird das gesamte IP-Paket in ein neues IP-Paket eingebettet — dieser Modus ist die Grundlage für VPN-Tunnel zwischen Standorten oder zu Remote-Clients.

Einsatzgebiete von IPsec

IPsec kommt überall dort zum Einsatz, wo IP-Verbindungen über unsichere Netze wie das Internet sicher übertragen werden müssen. Drei Szenarien dominieren in der Praxis.

Site-to-Site-VPN: Zwei Unternehmensnetzwerke — etwa Zentrale und Filiale — werden über einen IPsec-Tunnel dauerhaft miteinander verbunden. Beide Seiten betreiben jeweils ein VPN-Gateway (Router oder Firewall), das den Tunnel aufbaut und alle Pakete automatisch ver- und entschlüsselt.

Remote-Access-VPN: Einzelne Mitarbeitende verbinden sich von außen mit dem Firmennetz. Clients wie Windows, macOS, iOS und Android unterstützen IKEv2/IPsec nativ, was Setup und Betrieb vereinfacht. Anders als bei reinen SSL-VPN-Lösungen arbeitet IPsec auf Netzwerkebene und ermöglicht so den Zugriff auf alle netzwerkbasierten Dienste, nicht nur auf webbasierte Anwendungen.

Absicherung sensibler Netze: In Behörden, Rechenzentren und kritischer Infrastruktur schützt IPsec Kommunikation zwischen Systemen, die sensible Daten austauschen — etwa zwischen Datenbankserver und Applikationsserver. Um das Risiko von Angler-Phishing und anderen Man-in-the-Middle-Angriffen zu minimieren, empfiehlt sich IPsec auch innerhalb von Segmenten, die eigentlich als intern gelten.

Firewall-Konfiguration mit IPsec-Port-Regeln auf einem Laptop-Bildschirm
Firewall-Regeln für IPsec-Ports müssen UDP 500 und UDP 4500 explizit freigeben.

Welche Ports benötigt IPsec?

Für einen funktionierenden IPsec-Tunnel müssen genau definierte Ports und IP-Protokoll-Nummern freigegeben sein. Eine fehlerhafte Firewall-Konfiguration ist die häufigste Ursache für gescheiterte Verbindungsversuche.

Protokoll / Port Typ Funktion Richtung
UDP 500 UDP-Port IKE-Schlüsselaustausch (Phase 1 & 2) Bidirektional
UDP 4500 UDP-Port NAT-Traversal (IKE + ESP über NAT) Bidirektional
IP-Protokoll 50 IP-Protokoll ESP — verschlüsselte Nutzdaten Bidirektional
IP-Protokoll 51 IP-Protokoll AH — Authentifizierung ohne Verschlüsselung Bidirektional
UDP 1701 UDP-Port L2TP-Datenkanal (nur bei L2TP/IPsec) Bidirektional

UDP-Port 500 ist der primäre Port für das IKE-Protokoll (Internet Key Exchange). Hier findet die gesamte Aushandlung der Sicherheitsparameter statt — von der Authentifizierung der Gegenstellen bis zur Einigung auf Verschlüsselungsalgorithmen wie AES-256 oder ChaCha20.

IP-Protokoll 50 (ESP) ist technisch kein TCP- oder UDP-Port, sondern eine eigenständige IP-Protokoll-Nummer — vergleichbar mit IP-Protokoll 6 (TCP) oder 17 (UDP). Firewalls müssen daher explizit ESP als Protokoll zulassen, nicht nur einen bestimmten Port. Wird nur UDP 500 freigegeben, aber ESP nicht, scheitert der Tunnel nach dem Schlüsselaustausch.

Laut einer aktuellen Übersicht zu notwendige Ports für IPsec freigeben gehören UDP 500 und UDP 4500 zu den am häufigsten in Firewalls vergessenen Freigaben — mit der Folge, dass der Tunnel trotz korrekter VPN-Konfiguration nicht aufgebaut werden kann.

💡 Wichtige Fakten zu IPsec Ports

  • UDP 500 und UDP 4500 müssen bidirektional freigegeben sein — nur eingehend reicht nicht.
  • ESP (IP-Protokoll 50) ist kein Port, sondern eine eigenständige IP-Protokoll-Nummer — muss separat in der Firewall erlaubt werden.
  • NAT-Traversal kapselt ESP-Pakete in UDP 4500, sobald ein NAT-Gerät im Pfad erkannt wird — dieser Mechanismus aktiviert sich automatisch per IKE-Aushandlung.
  • L2TP/IPsec-Konfigurationen benötigen zusätzlich UDP-Port 1701 für den L2TP-Datenkanal.
  • Ohne freigegebenes ESP-Protokoll baut IKE zwar den sicheren Kanal auf, aber kein Traffic fließt — ein häufiger Konfigurationsfehler.

Verbindungsaufbau und NAT-Traversal bei IPsec

Der Aufbau einer IPsec-Verbindung verläuft in zwei klar getrennten Phasen, die jeweils unterschiedliche Ports und Protokolle nutzen.

Phase 1 — Aufbau des sicheren Kanals (ISAKMP SA): Beide Endpunkte authentifizieren sich gegenseitig — per Pre-Shared Key (PSK) oder X.509-Zertifikat — und einigen sich auf Algorithmen für Verschlüsselung (z. B. AES), Integrität (z. B. SHA-256) und Schlüsselaustausch (z. B. Diffie-Hellman-Gruppe 14+). Diese Kommunikation läuft ausschließlich über UDP-Port 500. IKEv2 führt Phase 1 effizienter durch als IKEv1 und benötigt weniger Roundtrips.

Phase 2 — Aufbau des Datentunnels (IPsec SA): Innerhalb des in Phase 1 gesicherten Kanals werden die eigentlichen Parameter für den Datentunnel ausgehandelt. Anschließend fließen die Nutzdaten über ESP (IP-Protokoll 50) verschlüsselt zwischen den Endpunkten.

NAT-Traversal (NAT-T) — also die Fähigkeit, ESP-Pakete durch einen NAT-Router zu leiten — ist notwendig, weil NAT-Geräte die IP-Prüfsummen im AH-Header verändern und ESP-Pakete ohne Portnummer nicht korrekt weiterleiten können. Erkennt IKE ein NAT-Gerät im Pfad, wechseln beide Seiten automatisch auf UDP-Port 4500. Die ESP-Pakete werden dann in UDP-Frames eingekapselt und können so durch NAT-Router transportiert werden.

In restriktiven Netzwerkumgebungen mit Netzsperren oder Deep-Packet-Inspection-Firewalls kann UDP 4500 explizit blockiert sein. In solchen Fällen kann ein SSL-VPN über TCP 443 die praktischere Alternative darstellen.

IT-Administrator konfiguriert VPN-Gateway in einem Rechenzentrum mit Netzwerkkabeln
VPN-Gateways in Rechenzentren setzen auf IPsec-Tunnel für sichere Site-to-Site-Verbindungen.
WireGuard vs OpenVPN vs IPSec IKEv2 — Was ist das beste VPN Protokoll? (Raspberry Pi Cloud)

IPsec im Vergleich zu SSL-VPN

Im Unterschied zu IPsec arbeitet SSL-VPN auf der Anwendungsschicht (OSI-Layer 5–7) und nutzt standardmäßig TCP-Port 443 — denselben Port wie HTTPS. Das macht SSL-VPN in restriktiven Netzwerken deutlich flexibler einsetzbar, da Port 443 fast nirgendwo blockiert wird.

Während IPsec alle netzwerkbasierten Dienste transparent tunnelt (also z. B. auch ICMP, SMB oder proprietäre TCP-Anwendungen), ist SSL-VPN häufig auf webbasierte Dienste oder explizit konfigurierte Anwendungen beschränkt. IKEv2/IPsec bietet bei stabilen Verbindungen in der Regel einen höheren Durchsatz, weil der Overhead durch die UDP-basierte Kapselung geringer ist als bei TCP-basiertem SSL.

Laut einer Übersicht zu unterschiedliche VPN-Verschlüsselungsarten umfassen alle IPsec-VPN-Implementierungen die Protokolle L2TP, IKEv2 und SSTP — was die breite Kompatibilität von IPsec in heterogenen Netzwerkumgebungen unterstreicht.

Für mobile Nutzer in wechselnden Netzwerken bietet SSL-VPN praktische Vorteile, da es weniger Port-Freigaben benötigt. Ergänzend lässt sich durch Bot Detection verdächtiger Traffic auf VPN-Gateways frühzeitig erkennen und von legitimen Client-Verbindungen unterscheiden.

Typische Fehlerquellen bei der IPsec-Konfiguration

Die häufigsten Probleme bei IPsec-Verbindungen lassen sich auf wenige, wiederkehrende Fehler zurückführen. Wer diese kennt, kann Verbindungsprobleme deutlich schneller diagnostizieren und gezielt beheben.

  • ESP-Protokoll nicht freigegeben: UDP 500 ist offen, aber IP-Protokoll 50 (ESP) ist in der Firewall nicht explizit erlaubt — Phase 1 gelingt, Phase 2 schlägt fehl.
  • NAT-Traversal deaktiviert: Mindestens ein Endpunkt befindet sich hinter NAT, aber UDP 4500 ist blockiert oder NAT-T ist im VPN-Client deaktiviert.
  • Mismatched Proposals: Beide Seiten unterstützen keine gemeinsamen Verschlüsselungs- oder Hash-Algorithmen — IKE scheitert in Phase 1 mit einem „No proposal chosen“-Fehler.
  • Zertifikatsprobleme: Abgelaufene oder nicht vertrauenswürdige Zertifikate verhindern die gegenseitige Authentifizierung in Phase 1.
  • Falsche Phase-2-Subnetze: Die Traffic-Selectors auf beiden Seiten stimmen nicht überein — der Tunnel baut auf, aber kein Traffic fließt.
  • Dead-Peer-Detection (DPD) fehlt: Ohne DPD werden abgebrochene Tunnel nicht automatisch neu aufgebaut, was zu sporadischen Verbindungsabbrüchen führt.

Für eine systematische Fehlersuche empfiehlt sich das Aktivieren des IKE-Debuggings auf beiden Endpunkten. Moderne Firewall-Systeme wie pfSense, OPNsense oder FortiGate bieten hierfür ausführliche Log-Ausgaben, die jeden Phase-1- und Phase-2-Austausch protokollieren.

Darüber hinaus sollten bei der Konfiguration stets aktuelle Empfehlungen zu sicheren Verschlüsselungsstandards berücksichtigt werden — schwache Algorithmen wie DES oder MD5 gelten als gebrochen und sollten in keiner IPsec-Konfiguration mehr vorkommen (Stand: 2025). Wer zusätzlich die E-Mail-Kommunikation absichern möchte, kann auf E-Mail-Validierung setzen, um gefälschte Absenderadressen und Phishing-Versuche gegen Administratoren frühzeitig zu erkennen. Korrekt konfigurierte IPsec Ports bilden dabei die technische Basis jeder sicheren Netzwerkinfrastruktur.

Häufige Fragen zu IPsec Ports

Welche Ports muss ich für IPsec freigeben?
Für IPsec müssen UDP-Port 500, UDP-Port 4500 sowie IP-Protokoll 50 (ESP) bidirektional freigegeben sein. UDP 500 wird für den IKE-Schlüsselaustausch benötigt, UDP 4500 für NAT-Traversal und ESP für den verschlüsselten Datentunnel. Bei L2TP/IPsec-Verbindungen kommt zusätzlich UDP-Port 1701 hinzu.
Was ist der Unterschied zwischen ESP und AH?
ESP (Encapsulating Security Payload, IP-Protokoll 50) verschlüsselt die Nutzdaten und sichert gleichzeitig deren Integrität. AH (Authentication Header, IP-Protokoll 51) bietet nur Integrität und Authentifizierung, aber keine Verschlüsselung. In der Praxis wird fast ausschließlich ESP eingesetzt, da es Verschlüsselung und Integrität kombiniert und AH durch NAT-Probleme zusätzlich eingeschränkt ist.
Was ist NAT-Traversal und warum brauche ich UDP 4500?
NAT-Traversal ist ein Mechanismus, der ESP-Pakete in UDP-Frames einkapselt, damit sie durch NAT-Router geleitet werden können. NAT-Geräte verändern IP-Header und können standard-ESP-Pakete nicht korrekt weiterleiten. IKE erkennt NAT automatisch und wechselt dann auf UDP-Port 4500, über den sowohl IKE-Nachrichten als auch ESP-Daten transportiert werden.
Ist IPsec noch zeitgemäß?
IPsec ist weiterhin zeitgemäß und gehört zu den meistgenutzten VPN-Protokollen in Unternehmensumgebungen. IKEv2/IPsec bietet hohe Sicherheit, nativen Support in allen gängigen Betriebssystemen und guten Durchsatz. Für einfachere Setups oder stark restriktive Netzwerke kann WireGuard als modernere Alternative interessant sein, doch IPsec bleibt der Standard in professionellen Infrastrukturen.
Warum baut mein IPsec-Tunnel Phase 1 auf, aber Phase 2 schlägt fehl?
Der häufigste Grund ist ein blockiertes ESP-Protokoll (IP-Protokoll 50) in der Firewall. Phase 1 läuft über UDP 500 und gelingt, doch der eigentliche Datentunnel in Phase 2 benötigt ESP — und scheitert, wenn dieser Traffic gefiltert wird. Weitere Ursachen sind falsch konfigurierte Traffic-Selectors oder ein Mismatch bei den Phase-2-Verschlüsselungsvorschlägen.
Welche IPsec Ports werden bei IKEv2 verwendet?
IKEv2 verwendet dieselben IPsec Ports wie IKEv1: UDP 500 für den initialen Schlüsselaustausch und UDP 4500, sobald NAT im Pfad erkannt wird. Der wesentliche Unterschied liegt nicht in den Ports, sondern im effizienteren Aushandlungsverfahren — IKEv2 benötigt weniger Roundtrips und unterstützt MOBIKE für nahtlose Verbindungsübergaben bei wechselnder IP-Adresse.