openvpn vs ipsec vs wireguard ikev2


Was sind VPN-Protokolle und warum müssen Sie die verschiedenen Optionen verstehen?

Da die meisten VPN-Anbieter eine Vielzahl von VPN-Protokollen zur Auswahl anbieten, ist es gut, die Vor- und Nachteile dieser verschiedenen Optionen zu kennen, damit Sie die für Ihre individuellen Anforderungen am besten geeignete auswählen können.

In diesem Handbuch werden die beiden beliebtesten VPN-Protokolle - OpenVPN und IPSec - sowie L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP und SSTP verglichen. Dies soll Ihnen einen kurzen Überblick über die Vor- und Nachteile der einzelnen VPN-Protokolle geben.

Tauchen wir also ein.

Was sind die verschiedenen VPN-Protokolle?

Was ist ein VPN-Protokoll??

Ein VPN-Protokoll besteht aus einer Reihe von Anweisungen zum Herstellen einer sicheren und verschlüsselten Verbindung zwischen Ihrem Gerät und einem VPN-Server für die Datenübertragung.

Die meisten kommerziellen VPN-Anbieter bieten verschiedene VPN-Protokolle an, die Sie im VPN-Client verwenden können. Im folgenden Screenshot teste ich beispielsweise ExpressVPN und habe die Option, OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec und PPTP auszuwählen.

openvpn l2tp sstp pptpDies sind die verschiedenen VPN-Protokolle im ExpressVPN-Client.

Nun werden wir uns verschiedene VPN-Protokolle genauer ansehen.

OpenVPN

OpenVPN ist ein vielseitiges Open-Source-VPN-Protokoll, das von OpenVPN Technologies entwickelt wurde. Es ist wahrscheinlich das sicherste und beliebteste VPN-Protokoll, das derzeit verwendet wird, und hat verschiedene Sicherheitsprüfungen von Drittanbietern bestanden.

OpenVPN gilt allgemein als Industriestandard, wenn es ordnungsgemäß implementiert ist und SSL / TLS für den Schlüsselaustausch verwendet. Es bietet vollständige Vertraulichkeit, Authentifizierung und Integrität und ist auch in verschiedenen Anwendungsfällen sehr flexibel.

openvpn

Installieren: OpenVPN erfordert eine spezielle Client-Software, anstatt in verschiedene Betriebssysteme integriert zu sein. Die meisten VPN-Dienste bieten benutzerdefinierte OpenVPN-Apps, die auf verschiedenen Betriebssystemen und Geräten verwendet werden können. Die Installation ist normalerweise schnell und einfach. OpenVPN kann auf allen wichtigen Plattformen über Clients von Drittanbietern verwendet werden: Windows, Mac OS, Linux, Apple iOS, Android und verschiedene Router (überprüfen Sie die Firmware auf Kompatibilität)..

Verschlüsselung: OpenVPN verwendet die OpenSSL-Bibliothek und TLS-Protokolle, um die Verschlüsselung bereitzustellen. OpenSSL unterstützt eine Reihe verschiedener Algorithmen und Chiffren, darunter AES, Blowfish, Camellia und ChaCha20.

Sicherheit: OpenVPN gilt als das sicherste verfügbare VPN-Protokoll, sofern es ordnungsgemäß implementiert ist. Es sind keine größeren Sicherheitslücken bekannt.

Performance: OpenVPN bietet eine gute Leistung, insbesondere wenn es über UDP (User Datagram Protocol) und nicht über TCP (Transmission Control Protocol) ausgeführt wird. OpenVPN ist auch stabil und zuverlässig, unabhängig davon, ob es über drahtlose oder zellulare Netzwerke verwendet wird. Wenn Sie Verbindungsprobleme haben, können Sie OpenVPN mit TCP verwenden. Dadurch werden alle gesendeten Pakete bestätigt, aber es wird langsamer.

Häfen: OpenVPN kann an jedem Port mit UDP oder TCP verwendet werden.

Urteil: Sehr empfehlenswert.

IPSec - Internet Protocol Security

Was ist IPSec??

IPSec ist eine sichere Netzwerkprotokollsuite, die über ein IP-Netzwerk gesendete Datenpakete authentifiziert und verschlüsselt. Es steht für Internet Protocol Security (IPSec) und wurde von der Internet Engineering Task Force entwickelt. Im Gegensatz zu SSL, das auf Anwendungsebene funktioniert, arbeitet IPSec auf Netzwerkebene und kann von Haus aus mit vielen Betriebssystemen verwendet werden. Da die meisten Betriebssysteme IPSec nativ unterstützen, kann es ohne Anwendungen von Drittanbietern verwendet werden (im Gegensatz zu OpenVPN)..

IPSec hat sich in Verbindung mit L2TP oder IKEv2 zu einem sehr beliebten Protokoll für die Verwendung mit VPNs entwickelt, auf das weiter unten näher eingegangen wird.

IPSec verschlüsselt das gesamte IP-Paket mit:

  • Authentication Header (AH), der für jedes Paket eine digitale Signatur erstellt; und
  • Encapsulating Security Protocol (ESP): Vertraulichkeit, Integrität und Authentifizierung des Pakets bei der Übertragung.

Durchgesickerte NSA-Präsentation - Eine Diskussion über IPSec wäre nicht vollständig, wenn nicht auf eine durchgesickerte NSA-Präsentation verwiesen würde, in der die NSA-Kompromittierung von IPSec-Protokollen (L2TP und IKE) erörtert wird. Es ist schwierig, auf der Grundlage vager Verweise in dieser datierten Präsentation konkrete Schlussfolgerungen zu ziehen. Wenn Ihr Bedrohungsmodell jedoch eine gezielte Überwachung durch hochentwickelte Akteure auf Bundesstaatsebene umfasst, sollten Sie ein sichereres Protokoll wie OpenVPN in Betracht ziehen. Positiv zu vermerken ist, dass IPSec-Protokolle nach wie vor als sicher gelten, wenn sie ordnungsgemäß implementiert werden.

Nun untersuchen wir, wie IPSec mit VPNs verwendet wird, wenn es mit L2TP und IKEv2 gekoppelt ist.

IKEv2 / IPSec

Was ist IKEv2 / IPSec??

IKEv2 ist ein in RFC 7296 standardisiertes Tunnelprotokoll und steht für Internet Key Exchange Version 2 (IKEv2). Es wurde als gemeinsames Projekt von Cisco und Microsoft entwickelt. Um für maximale Sicherheit mit VPNs verwendet zu werden, wird IKEv2 mit IPSec gekoppelt.

Die erste Version von IKE (Internet Key Exchange) wurde 1998 herausgebracht, und die Version 2 wurde sieben Jahre später im Dezember 2005 veröffentlicht. Im Vergleich zu anderen VPN-Protokollen bietet IKEv2 Vorteile in Bezug auf Geschwindigkeit, Sicherheit, Stabilität, CPU-Auslastung und die Fähigkeit, eine Verbindung wiederherzustellen. Dies macht es zu einer guten Wahl für mobile Benutzer, insbesondere für iOS (Apple) -Geräte, die IKEv2 nativ unterstützen.

Installieren: Die Einrichtung ist im Allgemeinen schnell und einfach. Sie müssen die Konfigurationsdateien für die Server, die Sie verwenden möchten, von Ihrem VPN-Anbieter importieren. (Siehe Beispiel mit Perfect Privacy.) IKEv2 wird nativ unter Windows 7+, Mac OS 10.11+, Blackberry und iOS (iPhone und iPad) sowie einigen Android-Geräten unterstützt. Einige Betriebssysteme unterstützen auch eine "Always-On" -Funktion, die den gesamten Internetverkehr durch den VPN-Tunnel zwingt und somit keine Datenlecks sicherstellt.

Verschlüsselung: IKEv2 verwendet eine große Auswahl an kryptografischen Algorithmen, darunter AES, Blowfish, Camellia und 3DES.

Sicherheit: Ein Nachteil von IKEv2 / IPSec ist, dass es sich um Closed Source handelt und von Cisco und Microsoft entwickelt wurde (es gibt jedoch Open Source-Versionen). Positiv ist zu vermerken, dass IKEv2 allgemein als eines der schnellsten und sichersten verfügbaren Protokolle gilt, was es bei VPN-Benutzern zu einer beliebten Wahl macht.

Performance: In vielen Fällen ist IKEv2 schneller als OpenVPN, da es weniger CPU-intensiv ist. Es gibt jedoch zahlreiche Variablen, die sich auf die Geschwindigkeit auswirken, sodass dies möglicherweise nicht in allen Anwendungsfällen zutrifft. Unter dem Gesichtspunkt der Leistung für mobile Benutzer ist IKEv2 möglicherweise die beste Option, da eine erneute Verbindung problemlos hergestellt werden kann.

Häfen: IKEv2 verwendet die folgenden Ports: UDP 500 für den anfänglichen Schlüsselaustausch und UDP 4500 für NAT-Traversal.

Urteil: Empfohlen.

L2TP / IPSec

L2TP (Layer 2 Tunneling Protocol) in Verbindung mit IPSec ist auch ein beliebtes VPN-Protokoll, das von vielen Betriebssystemen nativ unterstützt wird. L2TP / IPSec ist in RFC 3193 standardisiert und bietet Vertraulichkeit, Authentifizierung und Integrität.

Installieren: Die Einrichtung von L2TP / IPSec ist im Allgemeinen schnell und einfach. Es wird nativ auf vielen Betriebssystemen unterstützt, einschließlich Windows 2000 / XP +, Mac OS 10.3+ sowie den meisten Android-Betriebssystemen. Genau wie bei IKEv2 / IPSec müssen Sie lediglich die Konfigurationsdateien von Ihrem VPN-Anbieter importieren.

Verschlüsselung: L2TP / IPSec kapselt Daten zweimal, wobei die Verschlüsselung über das Standard-IPSec-Protokoll erfolgt.

Sicherheit: L2TP / IPSec wird im Allgemeinen als sicher angesehen und weist keine größeren bekannten Probleme auf. Genau wie bei IKEv2 / IPSec wurde L2TP / IPSec jedoch auch von Cisco und Microsoft entwickelt, was Fragen zum Thema Vertrauen aufwirft.

Performance: In Bezug auf die Leistung kann L2TP / IPSec wirklich variieren. Zum einen erfolgt die Ver- / Entschlüsselung im Kernel und es wird auch Multithreading unterstützt, was die Geschwindigkeit verbessern sollte. Da Daten doppelt gekapselt werden, sind sie möglicherweise nicht so schnell wie andere Optionen.

Häfen: L2TP / IPSEC verwendet UDP 500 für den anfänglichen Schlüsselaustausch sowie UDP 1701 für die anfängliche L2TP-Konfiguration und UDP 4500 für NAT-Traversal. Aufgrund dieser Abhängigkeit von festen Protokollen und Ports ist das Blockieren einfacher als bei OpenVPN.

Urteil: L2TP / IPSec ist keine schlechte Wahl, aber Sie können sich für IKEv2 / IPSec oder OpenVPN entscheiden, falls verfügbar.

WireGuard - Ein neues und experimentelles VPN-Protokoll

WireGuard ist ein neues und experimentelles VPN-Protokoll, das eine bessere Leistung und mehr Sicherheit gegenüber vorhandenen Protokollen bieten soll.

Wireguard

Wie wir im Hauptleitfaden zu WireGuard VPN beschrieben haben, bietet das Protokoll einige interessante Vorteile in Bezug auf die Leistung, weist jedoch auch einige bemerkenswerte Nachteile auf. Die Hauptnachteile sind wie folgt:

  • WireGuard befindet sich weiterhin in starker Entwicklung und wurde noch nicht geprüft.
  • Viele VPN-Dienste haben Bedenken hinsichtlich der Fähigkeit von WireGuard geäußert, ohne Protokolle verwendet zu werden (Datenschutzmängel)..
  • Sehr eingeschränkte Akzeptanz durch die VPN-Branche (zumindest vorerst).
  • Keine Unterstützung für TCP.

Installieren: WireGuard ist in keinem Betriebssystem enthalten. Dies wird sich wahrscheinlich im Laufe der Zeit ändern, wenn es im Kernel für Linux, Mac OS und möglicherweise bei einigen mobilen Betriebssystemen enthalten ist. Eine sehr begrenzte Anzahl von VPNs unterstützt WireGuard. Wenden Sie sich an den Anbieter, um Anweisungen zur Einrichtung zu erhalten.

Verschlüsselung: WireGuard verwendet Curve25519 für den Schlüsselaustausch, ChaCha20 und Poly1305 für die Datenauthentifizierung und BLAKE2s für das Hashing.

Sicherheit: Das größte Sicherheitsproblem bei WireGuard ist, dass es noch nicht geprüft wurde und sich noch in einer intensiven Entwicklung befindet. Es gibt bereits eine Handvoll VPNs, die ihren Benutzern WireGuard zum Testen anbieten. In Anbetracht des Projektstatus sollte WireGuard jedoch nicht verwendet werden, wenn Datenschutz und Sicherheit wichtig sind.

Performance: WireGuard sollte theoretisch eine hervorragende Leistung in Bezug auf Geschwindigkeit, Zuverlässigkeit und Batterieverbrauch bieten. Dies ist möglicherweise das ideale Protokoll für mobile Benutzer, da Sie zwischen Netzwerkschnittstellen wechseln können, ohne die Verbindung zu verlieren. Das erneute Verbinden soll auch viel schneller gehen als mit OpenVPN und IPSec.

Häfen: WireGuard verwendet UDP und kann an jedem Port konfiguriert werden. Leider gibt es keine Unterstützung für TCP, was das Blockieren erleichtert.

Urteil: (Noch) nicht empfohlen, aber ich werde die Entwicklung des Projekts im Auge behalten.

PPTP - Veraltet und nicht sicher

PPTP steht für Point-to-Point-Tunneling-Protokoll und ist eines der ältesten heute noch verwendeten VPN-Protokolle. Es läuft auf TCP-Port 1723 und wurde ursprünglich von Microsoft entwickelt.

PPTP ist aufgrund schwerwiegender Sicherheitslücken mittlerweile im Wesentlichen veraltet. Wir werden nicht zu viel Zeit damit verbringen, über PPTP zu diskutieren, da die meisten Leute es nicht einmal mehr benutzen.

PPTP wird von Haus aus unter allen Windows-Versionen und den meisten Betriebssystemen unterstützt. Obwohl PPTP relativ schnell ist, ist es nicht so zuverlässig und erholt sich nach einem Verbindungsabbruch nicht so schnell wie OpenVPN.

Insgesamt sollte PPTP nicht in Situationen eingesetzt werden, in denen Sicherheit und Datenschutz wichtig sind. Wenn Sie nur ein VPN zum Entsperren von Inhalten verwenden, ist PPTP zwar keine schlechte Wahl, es gibt jedoch sicherere Optionen, die Sie in Betracht ziehen sollten.

Urteil: Nicht empfohlen

SSTP - Ein VPN-Protokoll für Windows, aber nicht sehr verbreitet

Ähnlich wie PPTP ist SSTP in der VPN-Branche nicht weit verbreitet, hat jedoch im Gegensatz zu PPTP keine größeren bekannten Sicherheitsprobleme.

SSTP steht für Secure Socket Tunneling-Protokoll und ist ein Microsoft-Produkt, das nur für Windows verfügbar ist. Die Tatsache, dass es sich um ein Closed-Source-Produkt von Microsoft handelt, ist ein offensichtlicher Nachteil, obwohl SSTP auch als ziemlich sicher angesehen wird.

SSTP transportiert den Datenverkehr über das SSL-Protokoll (Secure Socket Layer) über den TCP-Port 443. Dies macht es zu einem nützlichen Protokoll für eingeschränkte Netzwerksituationen, z. B. wenn Sie ein VPN für China benötigen. Abgesehen von Windows werden auch andere Betriebssysteme unterstützt, dies ist jedoch nicht weit verbreitet.

Da es sich bei SSTP um eine Closed-Source-Software handelt, die vollständig im Besitz von Microsoft ist und von Microsoft gewartet wird, sollten Sie andere Optionen in Betracht ziehen. Natürlich ist SSTP immer noch die beste Option, wenn alle anderen Protokolle in Ihrem Netzwerk blockiert werden.

In Bezug auf die Leistung ist SSTP gut und schnell, stabil und sicher. Leider unterstützen nur sehr wenige VPN-Anbieter SSTP. Seit vielen Jahren unterstützt ExpressVPN SSTP im Windows-Client, wird aber heute nicht mehr unterstützt.

Urteil: SSTP kann nützlich sein, wenn andere VPN-Protokolle blockiert werden, OpenVPN ist jedoch die bessere Wahl (falls verfügbar). Die meisten VPNs bieten keine Unterstützung für SSTP.

OpenVPN UDP gegen OpenVPN TCP

Da OpenVPN das beliebteste VPN-Protokoll ist, können Sie normalerweise zwischen zwei Varianten wählen: OpenVPN UDP oder OpenVPN TCP. Also was soll ich wählen?

Im Folgenden teste ich NordVPN, wobei ich die Möglichkeit habe, zwischen TCP- und UDP-Protokollen zu wählen.

openvpn udp vs openvpn tcp

Hier ist eine kurze Übersicht über beide Protokolle:

  • TCP (Übertragungssteuerungsprotokoll): TCP ist die zuverlässigere Option der beiden, weist jedoch einige Leistungsnachteile auf. Bei TCP werden Pakete erst gesendet, nachdem bestätigt wurde, dass das letzte Paket angekommen ist, was die Verarbeitung verlangsamt. Wenn keine Bestätigung eingeht, wird ein Paket einfach erneut gesendet - was als Fehlerkorrektur bezeichnet wird.
  • UDP (User Datagram Protocol): UDP ist die schnellste der beiden Optionen. Pakete werden ohne Bestätigung gesendet, was die Geschwindigkeit verbessert, aber möglicherweise auch nicht so zuverlässig ist.

Standardmäßig ist OpenVPN UDP die bessere Wahl, da es eine überlegene Leistung gegenüber OpenVPN TCP bietet. Wenn Sie jedoch Verbindungsprobleme haben, sollten Sie aus Gründen der Zuverlässigkeit auf TCP umsteigen.

TCP wird häufig verwendet, um den VPN-Verkehr so ​​zu verschleiern, dass er wie normaler HTTPS-Verkehr aussieht. Dies kann mithilfe von OpenVPN TCP an Port 443 erfolgen, wobei der Datenverkehr in TLS-Verschlüsselung weitergeleitet wird. Viele VPN-Anbieter bieten verschiedene Arten der Verschleierung an, um VPN-Blöcke zu beseitigen, und die meisten verwenden OpenVPN TCP.

Was ist das beste VPN-Protokoll?

Wie in meiner Übersicht über die besten VPN-Dienste erwähnt, gibt es keine einheitliche Lösung für jede Person. Dies gilt sowohl für die Auswahl eines VPN-Dienstes als auch für die Auswahl eines VPN-Protokolls. Das beste Protokoll für Ihre Situation hängt von verschiedenen Faktoren ab:

  • Das Gerät Sie verwenden - verschiedene Geräte unterstützen verschiedene Protokolle.
  • Ihre Netzwerk - Wenn Sie sich in einer eingeschränkten Netzwerksituation wie in China oder mit Schul- und Arbeitsnetzwerken befinden, können einige Protokolle möglicherweise nicht durchkommen. Einige VPN-Anbieter bieten bestimmte VPN-Protokolle für diese Situationen an. Weitere Informationen zu diesem Thema finden Sie im VPN für China-Handbuch.
  • Performance - Einige Protokolle bieten große Vorteile in Bezug auf die Leistung, insbesondere auf Mobilgeräten, bei denen die Konnektivität ein- und ausgeht.
  • Bedrohungsmodell - Einige Protokolle sind schwächer und weniger sicher als andere. Wählen Sie das für Ihre Sicherheits- und Datenschutzanforderungen am besten geeignete VPN-Protokoll für Ihr Bedrohungsmodell.

Als Faustregel gilt jedoch, OpenVPN ist wohl die bestes Allround-VPN-Protokoll. Es ist sehr sicher, vertrauenswürdig, in der Branche weit verbreitet und bietet eine gute Geschwindigkeit und Zuverlässigkeit. Wenn OpenVPN für Ihre Situation keine Option ist, ziehen Sie einfach die Alternativen in Betracht.

Bei den meisten VPN-Diensten ist OpenVPN im Allgemeinen das in ihren Apps verwendete Standardprotokoll, obwohl L2TP / IPSec und IKEv2 / IPSec bei mobilen VPN-Clients üblich sind.

Abschluss der VPN-Protokolle

Dieses Handbuch zu VPN-Protokollen soll einen grundlegenden Überblick über die wichtigsten derzeit verwendeten VPN-Protokolle geben: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP und SSTP.

Weitere Informationen zu den einzelnen Protokollen finden Sie in den Referenzen der jeweiligen Entwickler.

Dieses Handbuch wird weiterhin aktualisiert, wenn die Entwicklung mit diesen verschiedenen VPN-Protokollen fortgesetzt wird.

Zuletzt aktualisiert am 13. August 2019.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me