openvpn vs ipsec vs wireguard ikev2


Vad är VPN-protokoll och varför behöver du förstå de olika alternativen??

Med de flesta VPN-leverantörer som erbjuder olika VPN-protokoll att välja mellan, är det bra att känna till för- och nackdelarna med dessa olika alternativ så att du kan välja den bästa passformen för dina unika behov.

I den här guiden jämför vi de två mest populära VPN-protokollen - OpenVPN vs IPSec - samt L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP och SSTP. Detta är avsett att ge dig en kort överblick över för- och nackdelarna med varje VPN-protokoll.

Så låt oss dyka in.

Vilka är de olika VPN-protokollen?

Vad är ett VPN-protokoll?

Ett VPN-protokoll är en uppsättning instruktioner för att upprätta en säker och krypterad anslutning mellan din enhet och en VPN-server för överföring av data.

De flesta kommersiella VPN-leverantörer erbjuder en mängd olika VPN-protokoll som du kan använda inom VPN-klienten. I skärmdumpen nedan testar jag till exempel ExpressVPN och har möjlighet att välja OpenVPN UDP, OpenVPN TCP, SSTP, L2TP / IPSec och PPTP.

openvpn l2tp sstp pptpDessa är de olika VPN-protokollen i ExpressVPN-klienten.

Nu kommer vi att titta närmare på olika VPN-protokoll.

OpenVPN

OpenVPN är ett mångsidigt VPN-protokoll med öppen källkod utvecklad av OpenVPN Technologies. Det är utan tvekan det säkraste och mest populära VPN-protokollet som används idag och har passerat olika säkerhetsrevisioner från tredje part.

OpenVPN anses generellt vara branschstandarden när den implementeras korrekt och använder SSL / TLS för nyckelutbyte. Det ger full konfidentialitet, autentisering och integritet och är också mycket flexibel med olika användningsfall.

openvpn

Uppstart: OpenVPN kräver speciell klientprogramvara istället för att byggas in i olika operativsystem. De flesta VPN-tjänster erbjuder anpassade OpenVPN-appar som kan användas på olika operativsystem och enheter. Installationen är vanligtvis snabb och enkel. OpenVPN kan användas på alla större plattformar via tredje parts klienter: Windows, Mac OS, Linux, Apple iOS, Android och olika routrar (kontrollera firmwarens kompatibilitet).

kryptering: OpenVPN använder OpenSSL-biblioteket och TLS-protokoll för att tillhandahålla kryptering. OpenSSL stöder ett antal olika algoritmer och chiffer, inklusive AES, Blowfish, Camellia och ChaCha20.

säkerhet: OpenVPN anses vara det säkraste VPN-protokollet som finns, förutsatt att det är korrekt implementerat. Det har inga kända större sårbarheter.

Prestanda: OpenVPN erbjuder bra prestanda, särskilt om du kör över UDP (User Datagram Protocol), snarare än TCP (Transmission Control Protocol). OpenVPN är också stabilt och pålitligt oavsett om det används i trådlösa eller mobila nätverk. Om du har anslutningsproblem kan du använda OpenVPN med TCP, vilket bekräftar alla skickade paket, men det går långsammare.

Hamnar: OpenVPN kan användas på valfri port med UDP eller TCP.

Dom: Högt rekommenderad.

IPSec - Internet Protocol Security

Vad är IPSec?

IPSec är en säker nätverksprotokollsvit som autentiserar och krypterar datapaket som skickats via ett IP-nätverk. Det står för Internet Protocol Security (IPSec) och utvecklades av Internet Engineering Task Force. Till skillnad från med SSL, som fungerar på applikationsnivå, fungerar IPSec på nätverksnivå och kan användas naturligt med många operativsystem. Eftersom de flesta operativsystem stöder IPSec nativt kan det användas utan appar från tredje part (till skillnad från OpenVPN).

IPSec har blivit ett mycket populärt protokoll att använda med VPN när det är parat med L2TP eller IKEv2, vilket vi kommer att diskutera mer nedan.

IPSec krypterar hela IP-paketet med:

  • Authentication Header (AH), som placerar en digital signatur på varje paket; och
  • Encapsulating Security Protocol (ESP), vilken konfidentialitet, integritet och autentisering av paketet som överförs.

Läckt NSA-presentation - En diskussion om IPSec skulle inte vara fullständig utan att hänvisa till en läckt NSA-presentation som diskuterar NSA-komprometterande IPSec-protokoll (L2TP och IKE). Det är svårt att komma till några konkreta slutsatser baserade på vaga referenser i denna daterade presentation. Ändå, om din hotmodell innehåller riktad övervakning från sofistikerade aktörer på statlig nivå, kanske du vill överväga ett säkrare protokoll, till exempel OpenVPN. På ett positivt sätt anses IPSec-protokoll fortfarande vara säkert om de implementeras korrekt.

Nu ska vi undersöka hur IPSec används med VPN när de är parade med L2TP och IKEv2.

IKEv2 / IPSec

Vad är IKEv2 / IPSec?

IKEv2 är ett tunnelprotokoll som är standardiserat i RFC 7296 och det står för Internet Key Exchange version 2 (IKEv2). Det utvecklades som ett gemensamt projekt mellan Cisco och Microsoft. För att användas med VPN för maximal säkerhet är IKEv2 parat med IPSec.

Den första versionen av IKE (Internet Key Exchange) kom ut 1998, med version 2 som släpptes sju år senare i december 2005. IKEV2 har jämfört med andra VPN-protokoll fördelar med avseende på hastighet, säkerhet, stabilitet, CPU-användning och förmågan att återupprätta en anslutning. Detta gör det till ett bra val för mobilanvändare, särskilt med iOS-enheter (Apple) som stöder IKEv2.

Uppstart: Inställningen är i allmänhet snabb och enkel, vilket kräver att du importerar konfigurationsfilerna för servrarna du vill använda från din VPN-leverantör. (Se exempel med perfekt integritet.) IKEv2 stöds naturligt på Windows 7+, Mac OS 10.11+, Blackberry och iOS (iPhone och iPad) och vissa Android-enheter. Vissa operativsystem stöder också en "alltid på" -funktion, som tvingar all internettrafik genom VPN-tunneln, vilket därför garanterar inga dataläckage.

kryptering: IKEv2 använder ett stort urval av kryptografiska algoritmer, inklusive AES, Blowfish, Camellia och 3DES.

säkerhet: En nackdel med IKEv2 / IPSec är att den är sluten och har utvecklats av Cisco och Microsoft (men öppen källkodversioner finns). På ett positivt sätt är IKEv2 allmänt ansett vara bland de snabbaste och säkraste protokoll som finns, vilket gör det till ett populärt val bland VPN-användare.

PrestandaI många fall är IKEv2 snabbare än OpenVPN eftersom den är mindre CPU-intensiv. Det finns emellertid många variabler som påverkar hastigheten, så detta kanske inte gäller i alla fall. Från en prestandasynpunkt med mobilanvändare kan IKEv2 vara det bästa alternativet eftersom det gör det bra att skapa en återanslutning.

Hamnar: IKEv2 använder följande portar: UDP 500 för det initiala nyckelutbytet och UDP 4500 för NAT-genomgång.

Dom: Rekommenderas.

L2TP / IPSec

Layer 2 Tunneling Protocol (L2TP) parat med IPSec är också ett populärt VPN-protokoll som stöds av många operativsystem. L2TP / IPSec är standardiserad i RFC 3193 och ger konfidentialitet, autentisering och integritet.

Uppstart: Att installera L2TP / IPSec är i allmänhet snabbt och enkelt. Det stöds naturligtvis på många operativsystem, inklusive Windows 2000 / XP +, Mac OS 10.3+ och de flesta Android-operativsystem. Precis som med IKEv2 / IPSec, behöver du helt enkelt importera konfigurationsfilerna från din VPN-leverantör.

kryptering: L2TP / IPSec kapslar in data två gånger med kryptering som kommer via standard IPSec-protokollet.

säkerhet: L2TP / IPSec anses allmänt säkert och har inga större kända problem. Precis som med IKEv2 / IPSec, utvecklades L2TP / IPSec också av Cisco och Microsoft, vilket väcker frågor om förtroende.

Prestanda: När det gäller prestanda kan L2TP / IPSec verkligen variera. Å ena sidan kryptering / dekryptering inträffar i kärnan och den stöder också flera trådar, vilket skulle förbättra hastigheterna. Men å andra sidan, eftersom det dubbelkapslar data, kanske det inte går lika snabbt som andra alternativ.

Hamnar: L2TP / IPSEC använder UDP 500 för det initiala nyckelutbytet samt UDP 1701 för den initiala L2TP-konfigurationen och UDP 4500 för NAT-genomgång. På grund av detta beroende av fasta protokoll och portar är det lättare att blockera än OpenVPN.

Dom: L2TP / IPSec är inte ett dåligt val, men du kanske vill välja IKEv2 / IPSec eller OpenVPN om tillgängligt.

WireGuard - Ett nytt och experimentellt VPN-protokoll

WireGuard är ett nytt och experimentellt VPN-protokoll som försöker ge bättre prestanda och mer säkerhet över befintliga protokoll.

wireguard

Som vi behandlade i den viktigaste WireGuard VPN-guiden har protokollet några intressanta fördelar när det gäller prestanda, men det kommer också med några anmärkningsvärda nackdelar. De viktigaste nackdelarna är följande:

  • WireGuard förblir under kraftig utveckling och har ännu inte granskats.
  • Många VPN-tjänster har väckt oro över WireGuards förmåga att användas utan loggar (nackdelar med sekretess).
  • Mycket begränsad adoption av VPN-branschen (åtminstone för nu).
  • Inget stöd för TCP.

Uppstart: WireGuard ingår inte i något operativsystem. Detta kommer sannolikt att förändras över tid när det ingår i kärnan för Linux, Mac OS och kanske med vissa mobila operativsystem. Ett mycket begränsat antal VPN stöder WireGuard - kontakta leverantören för installationsinstruktioner.

kryptering: WireGuard använder Curve25519 för nyckelutbyte, ChaCha20 och Poly1305 för dataverifiering och BLAKE2 för hashing.

säkerhet: Den största säkerhetsfrågan med WireGuard är att den ännu inte är granskad och förblir under kraftig utveckling. Det finns en handfull VPN som redan erbjuder WireGuard till sina användare för "testning", men med tanke på projektets tillstånd bör WireGuard inte användas när integritet och säkerhet är viktigt.

Prestanda: WireGuard bör teoretiskt erbjuda utmärkta prestanda när det gäller hastighet, tillförlitlighet och även batteriförbrukning. Det kan vara det perfekta protokollet för mobilanvändare eftersom det låter dig växla mellan nätverksgränssnitt utan att tappa anslutningen. Återanslutning ska också hända mycket snabbare än med OpenVPN och IPSec.

Hamnar: WireGuard använder UDP och kan konfigureras i valfri port. Tyvärr finns det inget stöd för TCP, vilket gör det lättare att blockera.

Dom: Inte rekommenderat (ännu), men jag kommer att hålla ett öga på projektets utveckling.

PPTP - Föråldrad och inte säker

PPTP står för Point-to-Point Tunneling Protocol och är ett av de äldsta VPN-protokollen som fortfarande används idag. Den körs på TCP-port 1723 och utvecklades ursprungligen av Microsoft.

PPTP är nu väsentligen föråldrad på grund av allvarliga säkerhetsproblem. Vi kommer inte att spendera för mycket tid på att diskutera PPTP eftersom de flesta människor inte ens använder det längre.

PPTP stöds naturligt på alla versioner av Windows och de flesta operativsystem. Även om det är relativt snabbt är PPTP inte lika tillförlitligt och återhämtar sig inte lika snabbt från tappade anslutningar som OpenVPN.

Totalt sett ska PPTP inte användas i någon situation där säkerhet och integritet är viktigt. Om du bara använder ett VPN för att avblockera innehåll, kanske PPTP inte är ett dåligt val, men det finns säkrare alternativ värda att överväga.

Dom: Rekommenderas inte

SSTP - Ett VPN-protokoll för Windows, men inte särskilt vanligt

Liksom PPTP används SSTP inte i stor utsträckning i VPN-industrin, men till skillnad från PPTP har den inte några stora kända säkerhetsproblem.

SSTP står för Säkert Socket Tunneling Protocol och är en Microsoft-produkt som endast är tillgänglig för Windows. Det faktum att det är en stängd produkt från Microsoft är en uppenbar nackdel, även om SSTP också anses vara ganska säkert.

SSTP transporterar trafik genom SSL-protokollet (Secure Socket Layer) över TCP-port 443. Detta gör det till ett användbart protokoll att använda i begränsade nätverkssituationer, till exempel om du behöver en VPN för Kina. Det finns också stöd för andra operativsystem, förutom Windows, men det används inte ofta.

Eftersom SSTP är en stängd källa och förblir helt under ägande och underhåll av Microsoft, kanske du vill överväga andra alternativ. Naturligtvis kan SSTP fortfarande vara det bästa alternativet om alla andra protokoll blockeras i ditt nätverk.

När det gäller prestanda gör SSTP bra och är snabbt, stabilt och säkert. Tyvärr stöder mycket få VPN-leverantörer SSTP. Under många år har ExpressVPN stöttat SSTP i Windows-klienten, men det stöds inte längre idag.

Dom: SSTP kan vara användbart om andra VPN-protokoll blockeras, men OpenVPN skulle vara ett bättre val (om det finns tillgängligt). De flesta VPN erbjuder inget stöd för SSTP.

OpenVPN UDP vs OpenVPN TCP

Med OpenVPN som det mest populära VPN-protokollet kan du vanligtvis välja mellan två varianter: OpenVPN UDP eller OpenVPN TCP. Så vilken att välja?

Nedan testar jag NordVPN, vilket ger mig möjligheten att välja TCP- eller UDP-protokoll.

openvpn udp vs openvpn tcp

Här är en kort översikt över båda protokollen:

  • TCP (Transmission Control Protocol): TCP är det mer pålitliga alternativet för de två, men det har vissa prestanda nackdelar. Med TCP skickas paket först efter det att det sista paketet har bekräftats ha kommit, vilket gör att saker och ting saknar ner. Om bekräftelse inte mottas kommer ett paket helt enkelt att skickas igen - det som kallas felkorrigering.
  • UDP (User Datagram Protocol): UDP är det snabbaste av de två alternativen. Paket skickas utan någon bekräftelse, vilket förbättrar hastigheten men kanske inte är lika pålitlig.

Som standard är OpenVPN UDP det bättre valet eftersom det erbjuder överlägsen prestanda jämfört med OpenVPN TCP. Om du har anslutningsproblem byter du dock till TCP för mer tillförlitlighet.

TCP används ofta för att dölja VPN-trafik för att se ut som vanlig HTTPS-trafik. Detta kan göras med hjälp av OpenVPN TCP på port 443, med trafiken dirigerad i TLS-kryptering. Många VPN-leverantörer erbjuder olika former av beläggning för att besegra VPN-block, och de flesta använder OpenVPN TCP.

Vad är det bästa VPN-protokollet?

Som jag noterade i min översikt över de bästa VPN-tjänsterna finns det ingen lösning för alla storlekar som passar alla. Detta gäller för att välja en VPN-tjänst och även välja ett VPN-protokoll. Det bästa protokollet för din situation beror på några olika faktorer:

  • De enhet du använder - olika enheter stöder olika protokoll.
  • Din nätverk - Om du befinner dig i en begränsad nätverkssituation, till exempel i Kina eller med skol- och arbetsnätverk, kanske vissa protokoll inte kommer igenom. Vissa VPN-leverantörer erbjuder specifika VPN-protokoll för dessa situationer - se VPN för Kina-guiden för mer diskussion om detta ämne..
  • Prestanda - Vissa protokoll erbjuder stora fördelar när det gäller prestanda, särskilt på mobila enheter som går in och ut ur anslutningen.
  • Hotmodell - Vissa protokoll är svagare och mindre säkra än andra. Välj det bästa VPN-protokollet för dina säkerhets- och integritetsbehov, med tanke på din hotmodell.

Som en allmän tumregel, dock, OpenVPN är utan tvekan den bästa VPN-protokollet. Det är mycket säkert, pålitligt, allmänt använt i branschen, och det erbjuder bra hastighet och pålitlighet. Om OpenVPN inte är ett alternativ för din situation kan du bara överväga alternativen.

Med de flesta VPN-tjänster är OpenVPN i allmänhet standardprotokollet som används i deras appar, även om L2TP / IPSec och IKEv2 / IPSec är vanliga med mobila VPN-klienter..

VPN-protokolls slutsats

Denna VPN-protokollguide är tänkt att fungera som en grundöversikt över de viktigaste VPN-protokollen som används idag: OpenVPN, L2TP / IPSec, IKEv2 / IPSec, WireGuard, PPTP och SSTP.

För mer djupgående information om varje protokoll kan du granska referenser från respektive utvecklare.

Den här guiden kommer att fortsätta uppdateras när utvecklingen fortsätter med dessa olika VPN-protokoll.

Senast uppdaterad 13 augusti 2019.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me