Einleitenden Worte

Wer sich mit dem Thema VPN beschäftigt purzelt früher oder später immer über die Begriffe WireGuard, OpenVPN und IPsec. Alle haben den selben Hintergrund und stellen Verbindungen zwischen zwei entfernten Punkten sicher her. Trotzdem ist die Technik hinter allen ein wenig anders und alle haben Ihre Marktberechtigung. Komm, wir schauen was wie abschneidet.

Vergleich von WireGuard, OpenVPN & IPsec

Die ersten Worte

WireGuard

WireGuard ist ein extrem schnelles VPN Protokoll mit sehr wenig Payload und super aktuellen Verschlüsselung Methodiken.
Hauptaugenmerk liegen hier auf Einfachheit, Sicherheit und Performance. Die Einrichtung gestaltet sich von allen 3 Vergleich am einfachsten.

OpenVPN

OpenVPN ist von allen wohl das beliebteste und es gibt für so fast jeden Anwendungsfall eine Lösung. OpenVPN setzt auf die SSL/TLS Verschlüsselung für den Schlüsselaustausch. Ganz klar das Hauptprodukt in diesem Vergleich.

IPsec IKEv2

IPSec ist sozusagen das Standardprotokoll für eine sichere Kommunikation und bietet höchste Vertraulichkeit, Integrität und Authentifizierung. IKEv2 ist im RFC7296 Standardisiert. IPSec verbindet sehr häufig Hardware VPN Router mit anderen.

Geschwindigkeit

WireGuard

WireGuard ist im Vergleich mit den anderen klar der schnellste. Durch die sehr schnell gewählten Verschlüsselungen und die feste Integration in den Betriebssystemkernel sind hier hohe Geschwindigkeiten zu erwarten.

OpenVPN

Genau wie IPsec sind hier in Abhängigkeit von CPU Power und Verschlüsselungsstärke trotzdem sehr hohe Performance Werte zu erreichen.

IPsec IKEv2

Die Performance ist natürlich stark abhängig von der gewählten Verschlüsselungsmethode und Stärke. Weiter abhängig zu zur Verfügung stehender CPU Power des Gerätes. Hier sind wie bei OpenVPN hohe Geschwindigkeiten zu erwarten.

Konfiguration & Einrichtung

WireGuard

Wireguard klebt direkt im Linuxkernel (seit 5.6) und wird auch von dort direkt angesprochen. Die Konfiguration des Dienstes ist super einfach und es gibt sogar Konfigurationsgenerator im Internet. Die Einrichtung ist in wenigen Minuten erledigt.
Einrichtung: sehr leicht

OpenVPN

OpenVPN muss egal unter welchem System nachinstalliert werden oder ist bereits bei einer Appliance installiert. Zur Konfiguration gehört unteranderem das erstellen von entsprechenden Zertifikaten und Konfigurationen. Unerfahrene kommen hier häufig an Ihre Grenzen wenn die Anleitung selbstständige Schritte erfordert.
Einrichtung: leicht bis mittel

IPsec IKEv2

Die Leichtigkeit der Einrichtung ist davon abhängig wo dieser gemacht wird. In einer pfSense oder Mikrotik durchaus sehr einfach. Die Einstellungen lassen sich sehr einfach auswählen und sind von System zu System gleich.
Einrichtung: leicht bis mittel

Stabilität / Kompatibilität

WireGuard

Läuft sehr stabil und kaum Ausfälle. Es reicht ein offener Endpunkt um eine Verbindung herzustellen. Verwendet wie alle anderen Protokoll als Standard UDP. WireGuard kann auch ohne Probleme zwischen verschiedenen System eingerichtet werden.
Stabilität: sehr gut

OpenVPN

Ebenfalls sehr stabil und auch bestens geeignet für WLAN Verbindungen von Clienten aus. Kommt mit Paketverlusten sehr gut zurecht. Zur Not gibt es einen TCP Modus, welcher aber erheblich auf die Performance drückt.
Stabilität: sehr gut

IPsec IKEv2

Ähnlich wie WireGuard und OpenVPN sehr stabil und für Dauereinsatz zwischen den Endpunkten geeignet. Kann bei NAT Geräten zu Problemen kommen, aber ist heute auch kein großes Problem mehr.
Stabilität : sehr gut

Firewall Ports

WireGuard

WireGuard nutzt das UDP-Protokoll und kann auf allen beliebigen Ports konfiguriert werden. TCP kann es leider nicht. Ports können gerne als Highport gewählt werden. Der Standardport lautet 51820.

OpenVPN

Auch OpenVPN kann frei auf allen Ports konfiguriert werden. TCP und UDP stehen für den Betrieb zur Verfügung. Der Standardport lautet 1194.

IPsec IKEv2

IKEv2 verwendet Port UDP 500 für den ersten Schlüsselaustausch, Protokoll 50 für die IPSEC verschlüsselten Daten (ESP) und UDP 4500 für NAT-Traversal. Diese Ports sind leider fest definiert und können nicht ohne weiteres geändert werden.

Verschlüsselung

WireGuard

Aufgebaut auf ChaCha20 für symmetrische Verschlüsselung (RFC7539), Curve25519 für Elliptic-Curve Diffie-Hellman anonyme Schlüsselvereinbarung, BLAKE2s für Hashing (RFC7693), SipHash24 für Hashtable-Schlüssel und HKDF für die Schlüsselableitung (RFC5869).

OpenVPN

OpenVPN nutzt die OpenSSL Bibliothek und kann daher so fast alle gängigen Verschlüsselungsmethoden anwenden. AES, 3DES, RC5, Blowfish… alles findet man dort. Den Standard AES 256Bit natürlich auch.

IPsec IKEv2

Fast wie bei OpenVPN, alle gängigen Methoden können hier genutzt werden. Natürlich wie fast überall eingesetzt AES 256Bit mit GCM oder CBC ist hier problemlos einsetzbar.

Sicherheitslücken

WireGuard

WireGuard hat keine großen bekannten Schwachstellen. Es ist zwar noch relativ neu, aber trotzdem so schlank, dass auch ein einzelner Auditor das Produkt überprüfen kann. Bisher ist nichts negatives aufgefallen. Auch mit der Implementierung in den Linux Kernel > 5.6 wurde das nochmal überprüft und war fehlerfrei.

OpenVPN

Es sind keine größeren Fehler bekannt und kann als sicher eingestuft werden. Voraussetzung ist natürlich das wählen eines Verschlüsselungsalgorithmus, welcher als sicher eingestuft ist.

IPsec IKEv2

IPsec weist ebenfalls keine bekannten größeren Lücken auf und kann auch als sicher eingestuft werden. Nutzt einfach als sicher eingestufte Verschlüsselungsmethoden und ihr seit auf der sicheren Seite. Kleines Aber gibt es trotzdem. Die NSA hat da irgendwie seine Finger drin, aber schaut einfach mal selber. Link zu Präsentation

Und was ist jetzt das “beste” von den drei? Ganz ehrlich keiner.. denn alle 3 haben meiner Meinung nach ihre Berechtigung und ihren perfekten Einsatzzweck. Folgendes sind lediglich Informationen hinsichtlich meiner eigenen Meinung.

Wann OpenVPN einsetzen?

Ich sehe OpenVPN als führend im Thema Client VPN. Also die Verbindung von Windows, Linux, Mac Geräten hin zu einem OpenVPN Server. Meine Erfahrungen haben gezeigt, dass genau diese Konstellation das richtige ist und super stabil und performant läuft. Eine ausreichende Verschlüsselungsstärke wählen und Ihr seit ganz sicher safe unterwegs.

Also OpenVPN für jegliche Clienten in der Umgebung.

Wann IPsec IKEv2 einsetzen?

Auch hier bin ich mir sehr sicher. IPsec sollte überall dort Einzug finden, wo ständige und dauerhafte Verbindungen bestehen sollen. Also Site to Site VPNs von den verschiedensten Geräten aus. Gleichzeitig gilt das Protokoll als sehr Stabil und Langzeit erprobt. Eine Routingprotokoll wie OSPF kann man ohne Probleme über die Leitung prügeln und das Netzwerk automatisieren.

IPSec IKEv2 für eure dauerhaften Site-to-Site VPNs.

Wann WireGuard einsetzen?

WireGuard ist recht neu, aber jetzt schon an vielen Stellen ein gesetztes Pferd. Es kombiniert Performance, Leichtigkeit und Sicherheit in einem. Hat Einzug in den Linux Kernel gefunden, also sind alle Weichen auf grün gestellt. Trotzdem ist die Einrichtung sehr trivial und könnte ein paar Einstellmöglichkeiten gebrauchen. Das würde es aber wieder unnötig komplex machen.

WireGuard für alle Testverbindungen und vielleicht wo wirklich sehr hohe Geschwindigkeiten gebraucht werden mit wenig Rechenkraft.