Einleitenden Worte
Wer sich mit dem Thema VPN beschäftigt purzelt früher oder später immer über die Begriffe WireGuard, OpenVPN und IPsec. Alle haben den selben Hintergrund und stellen Verbindungen zwischen zwei entfernten Punkten sicher her. Trotzdem ist die Technik hinter allen ein wenig anders und alle haben Ihre Marktberechtigung. Komm, wir schauen was wie abschneidet.
Vergleich von WireGuard, OpenVPN & IPsec
Die ersten Worte
WireGuard
WireGuard ist ein extrem schnelles VPN Protokoll mit sehr wenig Payload und super aktuellen Verschlüsselung Methodiken.
Hauptaugenmerk liegen hier auf Einfachheit, Sicherheit und Performance. Die Einrichtung gestaltet sich von allen 3 Vergleich am einfachsten.
OpenVPN
OpenVPN ist von allen wohl das beliebteste und es gibt für so fast jeden Anwendungsfall eine Lösung. OpenVPN setzt auf die SSL/TLS Verschlüsselung für den Schlüsselaustausch. Ganz klar das Hauptprodukt in diesem Vergleich.
IPsec IKEv2
IPSec ist sozusagen das Standardprotokoll für eine sichere Kommunikation und bietet höchste Vertraulichkeit, Integrität und Authentifizierung. IKEv2 ist im RFC7296 Standardisiert. IPSec verbindet sehr häufig Hardware VPN Router mit anderen.
Geschwindigkeit
WireGuard
WireGuard ist im Vergleich mit den anderen klar der schnellste. Durch die sehr schnell gewählten Verschlüsselungen und die feste Integration in den Betriebssystemkernel sind hier hohe Geschwindigkeiten zu erwarten.
OpenVPN
Genau wie IPsec sind hier in Abhängigkeit von CPU Power und Verschlüsselungsstärke trotzdem sehr hohe Performance Werte zu erreichen.
IPsec IKEv2
Die Performance ist natürlich stark abhängig von der gewählten Verschlüsselungsmethode und Stärke. Weiter abhängig zu zur Verfügung stehender CPU Power des Gerätes. Hier sind wie bei OpenVPN hohe Geschwindigkeiten zu erwarten.
Konfiguration & Einrichtung
WireGuard
Wireguard klebt direkt im Linuxkernel (seit 5.6) und wird auch von dort direkt angesprochen. Die Konfiguration des Dienstes ist super einfach und es gibt sogar Konfigurationsgenerator im Internet. Die Einrichtung ist in wenigen Minuten erledigt.
Einrichtung: sehr leicht
OpenVPN
OpenVPN muss egal unter welchem System nachinstalliert werden oder ist bereits bei einer Appliance installiert. Zur Konfiguration gehört unteranderem das erstellen von entsprechenden Zertifikaten und Konfigurationen. Unerfahrene kommen hier häufig an Ihre Grenzen wenn die Anleitung selbstständige Schritte erfordert.
Einrichtung: leicht bis mittel
IPsec IKEv2
Die Leichtigkeit der Einrichtung ist davon abhängig wo dieser gemacht wird. In einer pfSense oder Mikrotik durchaus sehr einfach. Die Einstellungen lassen sich sehr einfach auswählen und sind von System zu System gleich.
Einrichtung: leicht bis mittel
Stabilität / Kompatibilität
WireGuard
Läuft sehr stabil und kaum Ausfälle. Es reicht ein offener Endpunkt um eine Verbindung herzustellen. Verwendet wie alle anderen Protokoll als Standard UDP. WireGuard kann auch ohne Probleme zwischen verschiedenen System eingerichtet werden.
Stabilität: sehr gut
OpenVPN
Ebenfalls sehr stabil und auch bestens geeignet für WLAN Verbindungen von Clienten aus. Kommt mit Paketverlusten sehr gut zurecht. Zur Not gibt es einen TCP Modus, welcher aber erheblich auf die Performance drückt.
Stabilität: sehr gut
IPsec IKEv2
Ähnlich wie WireGuard und OpenVPN sehr stabil und für Dauereinsatz zwischen den Endpunkten geeignet. Kann bei NAT Geräten zu Problemen kommen, aber ist heute auch kein großes Problem mehr.
Stabilität : sehr gut
Firewall Ports
WireGuard
WireGuard nutzt das UDP-Protokoll und kann auf allen beliebigen Ports konfiguriert werden. TCP kann es leider nicht. Ports können gerne als Highport gewählt werden. Der Standardport lautet 51820.
OpenVPN
Auch OpenVPN kann frei auf allen Ports konfiguriert werden. TCP und UDP stehen für den Betrieb zur Verfügung. Der Standardport lautet 1194.
IPsec IKEv2
IKEv2 verwendet Port UDP 500 für den ersten Schlüsselaustausch, Protokoll 50 für die IPSEC verschlüsselten Daten (ESP) und UDP 4500 für NAT-Traversal. Diese Ports sind leider fest definiert und können nicht ohne weiteres geändert werden.
Verschlüsselung
WireGuard
Aufgebaut auf ChaCha20 für symmetrische Verschlüsselung (RFC7539), Curve25519 für Elliptic-Curve Diffie-Hellman anonyme Schlüsselvereinbarung, BLAKE2s für Hashing (RFC7693), SipHash24 für Hashtable-Schlüssel und HKDF für die Schlüsselableitung (RFC5869).
OpenVPN
OpenVPN nutzt die OpenSSL Bibliothek und kann daher so fast alle gängigen Verschlüsselungsmethoden anwenden. AES, 3DES, RC5, Blowfish… alles findet man dort. Den Standard AES 256Bit natürlich auch.
IPsec IKEv2
Fast wie bei OpenVPN, alle gängigen Methoden können hier genutzt werden. Natürlich wie fast überall eingesetzt AES 256Bit mit GCM oder CBC ist hier problemlos einsetzbar.
Sicherheitslücken
WireGuard
WireGuard hat keine großen bekannten Schwachstellen. Es ist zwar noch relativ neu, aber trotzdem so schlank, dass auch ein einzelner Auditor das Produkt überprüfen kann. Bisher ist nichts negatives aufgefallen. Auch mit der Implementierung in den Linux Kernel > 5.6 wurde das nochmal überprüft und war fehlerfrei.
OpenVPN
Es sind keine größeren Fehler bekannt und kann als sicher eingestuft werden. Voraussetzung ist natürlich das wählen eines Verschlüsselungsalgorithmus, welcher als sicher eingestuft ist.
IPsec IKEv2
IPsec weist ebenfalls keine bekannten größeren Lücken auf und kann auch als sicher eingestuft werden. Nutzt einfach als sicher eingestufte Verschlüsselungsmethoden und ihr seit auf der sicheren Seite. Kleines Aber gibt es trotzdem. Die NSA hat da irgendwie seine Finger drin, aber schaut einfach mal selber. Link zu Präsentation
Und was ist jetzt das „beste“ von den drei? Ganz ehrlich keiner.. denn alle 3 haben meiner Meinung nach ihre Berechtigung und ihren perfekten Einsatzzweck. Folgendes sind lediglich Informationen hinsichtlich meiner eigenen Meinung.
Wann OpenVPN einsetzen?
Ich sehe OpenVPN als führend im Thema Client VPN. Also die Verbindung von Windows, Linux, Mac Geräten hin zu einem OpenVPN Server. Meine Erfahrungen haben gezeigt, dass genau diese Konstellation das richtige ist und super stabil und performant läuft. Eine ausreichende Verschlüsselungsstärke wählen und Ihr seit ganz sicher safe unterwegs.
Also OpenVPN für jegliche Clienten in der Umgebung.
Wann IPsec IKEv2 einsetzen?
Auch hier bin ich mir sehr sicher. IPsec sollte überall dort Einzug finden, wo ständige und dauerhafte Verbindungen bestehen sollen. Also Site to Site VPNs von den verschiedensten Geräten aus. Gleichzeitig gilt das Protokoll als sehr Stabil und Langzeit erprobt. Eine Routingprotokoll wie OSPF kann man ohne Probleme über die Leitung prügeln und das Netzwerk automatisieren.
IPSec IKEv2 für eure dauerhaften Site-to-Site VPNs.
Wann WireGuard einsetzen?
WireGuard ist recht neu, aber jetzt schon an vielen Stellen ein gesetztes Pferd. Es kombiniert Performance, Leichtigkeit und Sicherheit in einem. Hat Einzug in den Linux Kernel gefunden, also sind alle Weichen auf grün gestellt. Trotzdem ist die Einrichtung sehr trivial und könnte ein paar Einstellmöglichkeiten gebrauchen. Das würde es aber wieder unnötig komplex machen.
WireGuard für alle Testverbindungen und vielleicht wo wirklich sehr hohe Geschwindigkeiten gebraucht werden mit wenig Rechenkraft.
5. November 2021 um 20:35 Uhr
Das ist ein wirklich übersichtlicher Vergleich, vielen Dank dafür.
Ich kenne alle drei VPN Arten und möchte gerne von meinen eigenen Erfahrungen berichten. Wireguard läuft tatsächlich am schnellsten, allerdings kommt es ab und zu mal zu Abbrüchen bzw. hängen wenn ich Streame. Bei OpenVPN lief bis jetzt alles stabil, allerdings schwangt hier manchmal ziemlich stark die Internetverbindung. Ich habe meistens einen Geschwindigkeitsverlust von 10 Prozent. IKEV verwende ich kaum, allerdings habe ich hier festgestellt dass Öffentliche WLANs anscheinend diese Art von VPN Anbindung blockieren. Von daher verwende ich Wireguard oder OpenVPN.
7. November 2021 um 01:20 Uhr
Wireguard ist mit Abstand die schlechteste VPN Verbindung. Ich kann mich da dem Kommentator vor mir nur anschließen. Im Speedtest mag es zwar die schnellsten Werte liefern, aber fürs Streaming ist Wireguard Schrott.
Alleine schon auf YouTube hängt ein Video mit 480p, muss alle paar Sekunden puffern oder stürzt total ab. Bei OpenVPN hängt nichts, selbst bei 4K.Da merke ich fast keinen Unterschied zum normalen VPN.
6. Dezember 2021 um 10:42 Uhr
Tatsächlich kann ich mich da nicht anschließen. Streaming funktioniert einwandfrei in 1440p und 60 FPS. Ist ja auch abhängig, wie schnell die Peers arbeiten können. Ich kann für Wireguard sprechen, da ich keinerlei Probleme bei der Verwendung habe und die Konfiguration sowie Nutzererstellung auch sehr einfach abläuft. Auch bei der Benutzung vieler Clients zur selben zeit bleiben die Geschwindigkeiten sehr hoch und stabil.
27. Januar 2022 um 11:06 Uhr
Muss mich dieser Aussage anschließen. Verwende CyberGhost VPN und Wireguard bremst aus und ist sehr instabil im Verbindungsaufbau.
Dagegen Open VPN läuft absolut stabil und schnell und ist für das Streaming, die bessere Wahl.
Kann natürlich nicht ausschließen, das es auch mit der jeweils verwendeten VPN-Software zusammenhängt, oder wo die angewählten Server stehen.
14. November 2021 um 09:13 Uhr
Danke für diesen Vergleich. Hatte zunächst IPSec als Site to Site VPN zwischen zwei Digiboxen. Da ich eine gegen die DreamMachine getauscht habe musste ich leider umswitchen. Die DMP kann ich nicht dazu bewegen, mit der Igibox zu reden. Jetzt jäuft auf meinem Arbeitsrechner OpenVPN und der Diskstation hinter der Digibox. Stabil und hinreichend schnell. Streamen muss ich nicht, nur mal ein paar Dateien verschieben.
30. Dezember 2021 um 18:46 Uhr
Also ich nutze Wireguard schon länger anstelle von IKEv2 um im offenen Sbahn WLAN anonymer zu bleiben. Das funktioniert viel besser als IKEv2. Kann Streamer so gut es der AP halt her gibt. Auch vom der Arbeit nach Hause mit WG geht super.
18. Februar 2022 um 02:34 Uhr
Wireguard läuft halt durch die go Implementierung überall
Ja sicher gibt es ein „besseres“ Kernel Modul
Für mich ist aber gerade die Go Version ein Vorteil
Weil es läuft halt überall und im embedded Bereich hat man zum Beispiel meistens eine älteren Kernel oder aber es fehlen ipsec Module im Kernel.
Wie Dennis zu Recht schreibt haben alle 3 eine Daseinsberechtigung allerdings würde ich frech behaupten das es für openvpn etwas dünner wird
18. August 2022 um 10:44 Uhr
also ganz wichtige nachteile wurden vergessen.
wireguard bietet natürlich von der konfiguration her erheblichen mehraufwand. ip adressen müssen manuell am server bei den clients/peers gesetzt werden und natürlich auch am client.
openvpn hat natürlich dhcp. geht viel einfacher.
wireguard hat eben nur das „zertifikat“ bzw den „schlüssel“ zum authentifizieren.
möchte man dann doch etwas mehr haben… in richtung ldap oder radius authentifizierung und die user mit nem windows server abgleichen… geht das halt nur mit openvpn und nicht mit wireguard.
16. Oktober 2022 um 20:50 Uhr
Ich habe sowohl im Büro, als auch zu Hause die Fritzbox entfernt. Wobei im Büro stellt die Fritz 7490 lediglich die Verbindung ins Internet, da meine eigene Hardware Firewall nicht mit DSL umgehen kann. Zu Hause übernimmt die gleiche Hardware Firewall die Einwahl ins Internet über Glassfaser. Läuft alles wunderbar.
VPN Site-to-Site wird mit IPsec realisiert. Nun war ich auf der Suche nach einer schnellen Lösung für Laptop, um sich mit dem Firmennetzwerk zu verbinden. Würdet ihr Wireguard oder OpenVPN empfehlen? Ich könnte dies parallel zu IPSec auf meiner Hardware laufen lassen. Oder gibt es eine schnelle und einfache Lösung mit Client per IPSec zu verbinden?
14. Februar 2023 um 02:06 Uhr
Eine tolle Webseite, vor allem in den gemütlichen Winterzeiten ist es schön solche tolle Blogs zu entdecken.
Lieben Gruß Mia
5. Juni 2023 um 14:51 Uhr
Also eine indirekte Sicherheitslücke gibt´s bei WireGuard dann doch: Ausführung (Windows) nur für User die in der Gruppe der lokalen Administratoren sind!
Wer arbeitet heute noch mit einem Konto mit Administrator-Rechten?
15. Juli 2023 um 15:32 Uhr
Hallo,
zu dem Thema Administratorberechtigungen gibt es seit Jahren Artikel:
z. B. „Windows: WireGuard-VPN für Standardbenutzer“ vom 22.10.2021
25. September 2023 um 15:44 Uhr
Toller, schneller Vergleich. Die Konfiguration mit OpenVPN ist meiner Meinung nach nicht ganz so trivial, wenn man nicht mit der Materie gut vertraut ist und etwas vom Standard abweicht und nicht PiVPN nutzt.
OpenVPN bietet einen hohen Grad an Individualisierung, aber eben auch Komplexität.
Wenn ich wechseln würde, was fehlt Wireguard im vergleich zu OpenVPN? Ich nutze OpenVPN mit IPv4 und IPv6, Site-2-Site, feste Vergabe der IPs, Kommunikation innerhalb der Netze und gesamter Traffic durch den Tunnel.
25. November 2023 um 10:45 Uhr
Tolle Seite aber ich nutze nur openvpn! Ikev2 ist auch sehr gut das stimmt aber blockt viel sogar willhaben nur ein Beispiel!!
Wireguard kommt bei mir nicht in Frage da es noch zu unsicher ist und ip mit sendet und stimmt beim streaming versagt es das Problem kenne ich von openvpn nicht !
Mit 150/50 komme ich oft auf 140/40 und ab und zu 145/80 sogar und etc Beweis in 4pda von mir bei hidemy Name vpn! Wohl Speed Test sind immer so eine Sache wichtig ist es läuft stabil der Rest eigentlich egal ! Udp ist schon was feines mit fast-io dazu in der config!
Bis wireguard sicher ist bzw stabil wird es noch Jahre dauern und eine Firma nutz sowas e nicht !!schnell bringt es alleine nicht viel wenn der Rest nicht passt und unsicher noch ist !!
Aber jeder muss selbst entscheiden was er will
P.s. hier Mal ein kleiner Absatz von wireguard solange es nicht mit runet läuft wird es hidemy nicht machen zu unsicher und alles noch Experiment bei wireguard!
Nachteile gibt es im Bereich der Datenminimierung (zufolge Art. 5 (1) c DSGVO) bzw. Anonymisierung: Es braucht sowohl Logging als auch eine feste IP-Adresse für den Client
Auf Sicherheitsebene spielt WireGuard ganz vorne mit. Anders sieht es mit der beim Thema VPN ebenso wichtigen Anonymität aus. Hier ist WireGuard Protokollen wie OpenVPN und IPsec gegenüber (noch) im Nachteil. Denn beim Cryptokey Routing erhalten Server und Client eine statische IP-Adresse, die in der Konfigurationsdatei des Servers hinterlegt wird. Damit lassen sich grundsätzlich Rückschlüsse auf die Identität des Nutzers ziehen, was zwangsläufig mit der No-Log-Policy vieler VPN-Anbieter kollidiert. Findige Hersteller wie NordVPN oder Surfshark haben aber bereits eigene Wege gefunden, diese Achillesferse zu umgehen. Einige Dienste stellen wir Ihnen nachfolgend vor.
4. Dezember 2024 um 20:16 Uhr
Vielen Dank für den übersichtlichen Vergleich der VPN-Protokolle! Mich würde interessieren, ob es bestimmte Anwendungsfälle gibt, bei denen OpenVPN trotz der Vorteile von WireGuard oder IKEv2 die bessere Wahl ist. Kannst du da Beispiele nennen?