openvpn vs ipsec vs wireguard ikev2


Wat zijn VPN-protocollen en waarom moet u de verschillende opties begrijpen?

Met de meeste VPN-providers die een verscheidenheid aan VPN-protocollen bieden om uit te kiezen, is het goed om de voor- en nadelen van deze verschillende opties te kennen, zodat u de beste keuze voor uw unieke behoeften kunt selecteren.

In deze gids vergelijken we de twee meest populaire VPN-protocollen - OpenVPN versus IPSec - evenals L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP en SSTP. Dit is bedoeld om u een kort overzicht te geven van de voor- en nadelen van elk VPN-protocol.

Dus laten we erin duiken.

Wat zijn de verschillende VPN-protocollen?

Wat is een VPN-protocol?

Een VPN-protocol is een set instructies om een ​​veilige en gecodeerde verbinding tot stand te brengen tussen uw apparaat en een VPN-server voor de overdracht van gegevens.

De meeste commerciële VPN-providers bieden een verscheidenheid aan verschillende VPN-protocollen die u kunt gebruiken binnen de VPN-client. In de onderstaande schermafbeelding test ik bijvoorbeeld ExpressVPN en heb ik de optie om OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec en PPTP te selecteren.

openvpn l2tp sstp pptpDit zijn de verschillende VPN-protocollen in de ExpressVPN-client.

Nu zullen we verschillende VPN-protocollen nader bekijken.

OpenVPN

OpenVPN is een veelzijdig, open source VPN-protocol ontwikkeld door OpenVPN Technologies. Het is misschien wel het veiligste en populairste VPN-protocol dat tegenwoordig wordt gebruikt en heeft verschillende beveiligingsaudits van derden doorstaan.

OpenVPN wordt algemeen beschouwd als de industriestandaard wanneer het correct is geïmplementeerd en SSL / TLS gebruikt voor sleuteluitwisseling. Het biedt volledige vertrouwelijkheid, authenticatie en integriteit en is ook zeer flexibel met verschillende gebruikssituaties.

openvpn

Opstelling: OpenVPN vereist speciale clientsoftware om te gebruiken in plaats van te worden ingebouwd in verschillende besturingssystemen. De meeste VPN-services bieden aangepaste OpenVPN-apps, die op verschillende besturingssystemen en apparaten kunnen worden gebruikt. Installatie is meestal snel en eenvoudig. OpenVPN kan op alle belangrijke platforms worden gebruikt via externe clients: Windows, Mac OS, Linux, Apple iOS, Android en verschillende routers (controleer de firmware op compatibiliteit).

Encryption: OpenVPN gebruikt de OpenSSL-bibliotheek en TLS-protocollen om codering te bieden. OpenSSL ondersteunt een aantal verschillende algoritmen en cijfers, waaronder AES, Blowfish, Camellia en ChaCha20.

Veiligheid: OpenVPN wordt beschouwd als het veiligste VPN-protocol dat beschikbaar is, op voorwaarde dat het correct wordt geïmplementeerd. Het heeft geen bekende grote kwetsbaarheden.

Prestatie: OpenVPN biedt goede prestaties, vooral als het wordt uitgevoerd via UDP (User Datagram Protocol), in plaats van TCP (Transmission Control Protocol). OpenVPN is ook stabiel en betrouwbaar, ongeacht of het via draadloze of mobiele netwerken wordt gebruikt. Als u verbindingsproblemen ondervindt, kunt u OpenVPN gebruiken met TCP, dat alle verzonden pakketten bevestigt, maar het zal langzamer zijn.

ports: OpenVPN kan op elke poort worden gebruikt met UDP of TCP.

Vonnis: Sterk aanbevolen.

IPSec - Internetprotocolbeveiliging

Wat is IPSec?

IPSec is een veilig netwerkprotocolpakket dat datapakketten verifieert en codeert die via een IP-netwerk worden verzonden. Het staat voor Internet Protocol Security (IPSec) en is ontwikkeld door de Internet Engineering Task Force. In tegenstelling tot SSL, dat op applicatieniveau werkt, werkt IPSec op netwerkniveau en kan het native worden gebruikt met veel besturingssystemen. Omdat de meeste besturingssystemen native IPSec ondersteunen, kan het worden gebruikt zonder apps van derden (in tegenstelling tot OpenVPN).

IPSec is een zeer populair protocol geworden om te gebruiken met VPN's in combinatie met L2TP of IKEv2, waarover we hieronder meer zullen bespreken.

IPSec codeert het volledige IP-pakket met behulp van:

  • Authentication Header (AH), die een digitale handtekening op elk pakket plaatst; en
  • Encapsulating Security Protocol (ESP), die vertrouwelijkheid, integriteit en authenticatie van het pakket in verzending.

Gelekte NSA-presentatie - Een bespreking van IPSec zou niet compleet zijn zonder te verwijzen naar een gelekte NSA-presentatie waarin de NSA wordt beschreven die IPSec-protocollen (L2TP en IKE) in gevaar brengt. Het is moeilijk om tot concrete conclusies te komen op basis van vage verwijzingen in deze gedateerde presentatie. Als uw dreigingsmodel echter gericht toezicht van geavanceerde actoren op staatsniveau omvat, wilt u misschien een veiliger protocol overwegen, zoals OpenVPN. Positief is dat IPSec-protocollen nog steeds algemeen als veilig worden beschouwd als ze correct worden geïmplementeerd.

Nu zullen we onderzoeken hoe IPSec wordt gebruikt met VPN's in combinatie met L2TP en IKEv2.

IKEv2 / IPSec

Wat is IKEv2 / IPSec?

IKEv2 is een tunnelingprotocol dat is gestandaardiseerd in RFC 7296 en staat voor Internet Key Exchange versie 2 (IKEv2). Het werd ontwikkeld als een gezamenlijk project tussen Cisco en Microsoft. Voor gebruik met VPN's voor maximale beveiliging, is IKEv2 gekoppeld met IPSec.

De eerste versie van IKE (Internet Key Exchange) kwam uit in 1998, versie 2 werd zeven jaar later uitgebracht in december 2005. In vergelijking met andere VPN-protocollen biedt IKEv2 voordelen op het gebied van snelheid, beveiliging, stabiliteit, CPU-gebruik en de mogelijkheid om een ​​verbinding tot stand te brengen. Dit maakt het een goede keuze voor mobiele gebruikers, met name met iOS-apparaten (Apple) die IKEv2 ondersteunen.

Opstelling: Setup is over het algemeen snel en eenvoudig en vereist dat u de configuratiebestanden voor de servers die u wilt gebruiken van uw VPN-provider importeert. (Zie voorbeeld met Perfect Privacy.) IKEv2 wordt native ondersteund op Windows 7+, Mac OS 10.11+, Blackberry en iOS (iPhone en iPad), en sommige Android-apparaten. Sommige besturingssystemen ondersteunen ook een "altijd aan" -functie, die al het internetverkeer door de VPN-tunnel dwingt, waardoor er geen gegevenslekken zijn.

Encryption: IKEv2 gebruikt een grote selectie cryptografische algoritmen, waaronder AES, Blowfish, Camellia en 3DES.

Veiligheid: Een nadeel van IKEv2 / IPSec is dat het een gesloten bron is en is ontwikkeld door Cisco en Microsoft (maar er bestaan ​​wel open source-versies). Positief is dat IKEv2 algemeen wordt beschouwd als een van de snelste en veiligste protocollen die beschikbaar zijn, waardoor het een populaire keuze is bij VPN-gebruikers.

Prestatie: In veel gevallen is IKEv2 sneller dan OpenVPN omdat het minder CPU-intensief is. Er zijn echter tal van variabelen die de snelheid beïnvloeden, dus dit is mogelijk niet in alle gevallen van toepassing. Vanuit een oogpunt van prestaties bij mobiele gebruikers is IKEv2 misschien de beste optie, omdat het een goede verbinding tot stand brengt.

ports: IKEv2 gebruikt de volgende poorten: UDP 500 voor de initiële sleuteluitwisseling en UDP 4500 voor NAT-traversal.

Vonnis: Aanbevolen.

L2TP / IPSec

Layer 2 Tunneling Protocol (L2TP) gekoppeld aan IPSec is ook een populair VPN-protocol dat native wordt ondersteund door veel besturingssystemen. L2TP / IPSec is gestandaardiseerd in RFC 3193 en biedt vertrouwelijkheid, authenticatie en integriteit.

Opstelling: Het instellen van L2TP / IPSec is over het algemeen snel en eenvoudig. Het wordt native ondersteund op veel besturingssystemen, waaronder Windows 2000 / XP +, Mac OS 10.3+ en de meeste Android-besturingssystemen. Net als bij IKEv2 / IPSec, moet u gewoon de configuratiebestanden van uw VPN-provider importeren.

Encryption: L2TP / IPSec inkapselt gegevens tweemaal met codering die via het standaard IPSec-protocol komt.

Veiligheid: L2TP / IPSec wordt over het algemeen als veilig beschouwd en heeft geen bekende bekende problemen. Net als bij IKEv2 / IPSec werd L2TP / IPSec echter ook ontwikkeld door Cisco en Microsoft, wat vragen oproept over vertrouwen.

Prestatie: Qua prestaties kan L2TP / IPSec erg variëren. Enerzijds vindt encryptie / decryptie plaats in de kernel en het ondersteunt ook multi-threading, wat de snelheid zou moeten verbeteren. Maar aan de andere kant, omdat het gegevens dubbel inkapselt, is het misschien niet zo snel als andere opties.

ports: L2TP / IPSEC gebruikt UDP 500 voor de initiële sleuteluitwisseling, evenals UDP 1701 voor de initiële L2TP-configuratie en UDP 4500 voor NAT-traversal. Vanwege deze afhankelijkheid van vaste protocollen en poorten, is het gemakkelijker te blokkeren dan OpenVPN.

Vonnis: L2TP / IPSec is geen slechte keuze, maar u wilt misschien kiezen voor IKEv2 / IPSec of OpenVPN indien beschikbaar.

WireGuard - Een nieuw en experimenteel VPN-protocol

WireGuard is een nieuw en experimenteel VPN-protocol dat streeft naar betere prestaties en meer beveiliging dan bestaande protocollen.

wireguard

Zoals we in de belangrijkste WireGuard VPN-gids hebben behandeld, heeft het protocol een aantal interessante voordelen op het gebied van prestaties, maar het heeft ook een paar opmerkelijke nadelen. De belangrijkste nadelen zijn:

  • WireGuard is nog volop in ontwikkeling en is nog niet gecontroleerd.
  • Veel VPN-services hebben zorgen geuit over het vermogen van WireGuard om zonder logs te worden gebruikt (nadelen van privacy).
  • Zeer beperkte acceptatie door de VPN-industrie (althans voorlopig).
  • Geen ondersteuning voor TCP.

Opstelling: WireGuard is in geen enkel besturingssysteem opgenomen. Dit zal waarschijnlijk in de loop van de tijd veranderen wanneer het is opgenomen in de kernel voor Linux, Mac OS en misschien bij sommige mobiele besturingssystemen. Een zeer beperkt aantal VPN's ondersteunt WireGuard - neem contact op met de provider voor installatie-instructies.

Encryption: WireGuard gebruikt Curve25519 voor sleuteluitwisseling, ChaCha20 en Poly1305 voor gegevensauthenticatie en BLAKE2s voor hashing.

Veiligheid: Het belangrijkste beveiligingsprobleem met WireGuard is dat het nog niet is gecontroleerd en nog steeds in ontwikkeling is. Er zijn een handvol VPN's die WireGuard al aan gebruikers aanbieden voor "testdoeleinden", maar gezien de staat van het project mag WireGuard niet worden gebruikt wanneer privacy en veiligheid belangrijk zijn.

Prestatie: WireGuard moet theoretisch uitstekende prestaties bieden op het gebied van snelheid, betrouwbaarheid en ook batterijverbruik. Het is misschien het ideale protocol voor mobiele gebruikers omdat u hiermee kunt schakelen tussen netwerkinterfaces zonder de verbinding te verliezen. Het opnieuw verbinden zou ook veel sneller moeten gaan dan met OpenVPN en IPSec.

ports: WireGuard maakt gebruik van UDP en kan op elke poort worden geconfigureerd. Helaas is er geen ondersteuning voor TCP, wat het gemakkelijker maakt om te blokkeren.

Vonnis: (Nog) niet aanbevolen, maar ik zal de ontwikkeling van het project in de gaten houden.

PPTP - verouderd en niet veilig

PPTP staat voor Point-to-Point Tunneling Protocol en is een van de oudste VPN-protocollen die nog steeds in gebruik zijn. Het draait op TCP-poort 1723 en werd aanvankelijk ontwikkeld door Microsoft.

PPTP is nu in wezen verouderd vanwege ernstige beveiligingsproblemen. We zullen niet te veel tijd besteden aan het bespreken van PPTP omdat de meeste mensen het niet eens meer gebruiken.

PPTP wordt native ondersteund op alle versies van Windows en de meeste besturingssystemen. Hoewel het relatief snel is, is PPTP niet zo betrouwbaar en herstelt het niet zo snel van verbroken verbindingen als OpenVPN.

Over het algemeen mag PPTP niet worden gebruikt in situaties waarin beveiliging en privacy belangrijk zijn. Als u alleen een VPN gebruikt om inhoud te deblokkeren, is PPTP misschien geen slechte keuze, maar er zijn veiligere opties die het overwegen waard zijn.

Vonnis: Niet aangeraden

SSTP - Een VPN-protocol voor Windows, maar niet erg gebruikelijk

Net als PPTP wordt SSTP niet veel gebruikt in de VPN-industrie, maar in tegenstelling tot PPTP heeft het geen grote bekende beveiligingsproblemen.

SSTP staat voor Secure Socket Tunneling Protocol en is een Microsoft-product dat alleen beschikbaar is voor Windows. Het feit dat het een closed source-product van Microsoft is, is een duidelijk nadeel, hoewel SSTP ook als vrij veilig wordt beschouwd.

SSTP transporteert verkeer via het SSL-protocol (Secure Socket Layer) via TCP-poort 443. Dit maakt het een handig protocol om te gebruiken in beperkte netwerksituaties, bijvoorbeeld als u een VPN nodig hebt voor China. Er is ook ondersteuning voor andere besturingssystemen, afgezien van Windows, maar het wordt niet veel gebruikt.

Omdat SSTP een gesloten bron is en volledig onder eigendom en onderhoud van Microsoft blijft, kunt u overwegen andere opties te overwegen. Natuurlijk kan SSTP nog steeds de beste optie zijn als alle andere protocollen op uw netwerk worden geblokkeerd.

Qua prestaties doet SSTP het goed en is snel, stabiel en veilig. Helaas ondersteunen zeer weinig VPN-providers SSTP. Jarenlang ondersteunde ExpressVPN SSTP in de Windows-client, maar het wordt vandaag niet meer ondersteund.

Vonnis: SSTP kan nuttig zijn als andere VPN-protocollen worden geblokkeerd, maar OpenVPN zou een betere keuze zijn (indien beschikbaar). De meeste VPN's bieden geen ondersteuning voor SSTP.

OpenVPN UDP versus OpenVPN TCP

Omdat OpenVPN het populairste VPN-protocol is, kunt u meestal kiezen uit twee varianten: OpenVPN UDP of OpenVPN TCP. Dus welke te kiezen?

Hieronder test ik NordVPN, wat me de optie geeft om TCP- of UDP-protocollen te selecteren.

openvpn udp vs openvpn tcp

Hier is een kort overzicht van beide protocollen:

  • TCP (Transmission Control Protocol): TCP is de betrouwbaardere optie van de twee, maar het heeft enkele nadelen op het gebied van prestaties. Met TCP worden pakketten alleen verzonden nadat is bevestigd dat het laatste pakket is aangekomen, waardoor de zaken worden vertraagd. Als er geen bevestiging wordt ontvangen, wordt een pakket eenvoudig opnieuw verzonden - wat bekend staat als foutcorrectie.
  • UDP (User Datagram Protocol): UDP is de snelste van de twee opties. Pakketten worden zonder bevestiging verzonden, wat de snelheid verbetert, maar mogelijk ook minder betrouwbaar is.

Standaard is OpenVPN UDP de betere keuze, omdat het superieure prestaties biedt ten opzichte van OpenVPN TCP. Als u echter verbindingsproblemen ondervindt, schakelt u over naar TCP voor meer betrouwbaarheid.

TCP wordt vaak gebruikt om VPN-verkeer te verdoezelen om op regulier HTTPS-verkeer te lijken. Dit kan worden gedaan met OpenVPN TCP op poort 443, waarbij het verkeer wordt gerouteerd in TLS-codering. Veel VPN-providers bieden verschillende vormen van verduistering om VPN-blokken te verslaan, en de meeste gebruiken OpenVPN TCP.

Wat is het beste VPN-protocol?

Zoals vermeld in mijn overzicht van de beste VPN-services, is er geen eenduidige oplossing voor iedereen. Dit geldt voor het kiezen van een VPN-service en het selecteren van een VPN-protocol. Het beste protocol voor uw situatie hangt af van een paar verschillende factoren:

  • De apparaat u gebruikt - verschillende apparaten ondersteunen verschillende protocollen.
  • Uw netwerk - als u zich in een beperkte netwerksituatie bevindt, zoals in China of met school- en werknetwerken, komen sommige protocollen mogelijk niet door. Sommige VPN-providers bieden speciale VPN-protocollen voor deze situaties - zie de VPN voor China-gids voor meer informatie over dit onderwerp.
  • Prestatie - Sommige protocollen bieden grote voordelen op het gebied van prestaties, vooral op mobiele apparaten die de connectiviteit in- en uitschakelen.
  • Bedreigingsmodel - Sommige protocollen zijn zwakker en minder veilig dan andere. Kies het beste VPN-protocol voor uw beveiligings- en privacybehoeften, gezien uw dreigingsmodel.

Als algemene vuistregel echter, OpenVPN is aantoonbaar de beste all-round VPN-protocol. Het is zeer veilig, vertrouwd, wordt veel gebruikt in de industrie en biedt een goede snelheid en betrouwbaarheid. Als OpenVPN geen optie is voor uw situatie, overweeg dan gewoon de alternatieven.

Met de meeste VPN-services is OpenVPN over het algemeen het standaardprotocol dat in hun apps wordt gebruikt, hoewel L2TP / IPSec en IKEv2 / IPSec gebruikelijk zijn bij mobiele VPN-clients.

Conclusie van VPN-protocollen

Deze handleiding voor VPN-protocollen is bedoeld als een basisoverzicht van de belangrijkste VPN-protocollen die vandaag worden gebruikt: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP en SSTP.

Voor meer diepgaande informatie over elk protocol kunt u referenties van de respectieve ontwikkelaars onderzoeken.

Deze handleiding zal worden bijgewerkt naarmate de ontwikkeling doorgaat met deze verschillende VPN-protocollen.

Laatst bijgewerkt op 13 augustus 2019.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me