Wireguard vs. OpenVPN

[blurrrr]

Ich wollte ja eigentlich nix dazu sagen, aber ja, IPSec fehlt mir auch und zusätzlich Hardware-Specs der eingesetzten Hardware, als auch Infos zur Verschlüsselung (ist ja auch nicht unerheblich), allerdings kann sowas dann auch recht schnell ausufern, deswegen hab ich nix gesagt

EDIT: Generell erstmal nett, dass sich jemand überhaupt die Mühe gemacht hat, das erstmal grundsätzlich so darzustellen!

 

[tiermutter]

und das liefert mir zur Zeit bei Android nur IPsec.

Ist ja bei Windows nicht anders, mich stört es aber nicht... bei WG stört mich momentan eher, dass ich auf der Sense WG-go verwende statt kmod. Den werde ich aber auch erst nehmen wenn er offiziell dabei ist.

IPsec habe ich noch nie verwendet, aber ich könnte ja mal testweise, exklusiv für Dich, ein IPsec VPN aufziehen und vergleichen
Guter Plan!

 

[tiermutter]

fehlt mir auch und zusätzlich Hardware-Specs der eingesetzten Hardware, als auch Infos zur Verschlüsselung

Das habe ich aus der Übersicht alles wieder rausgenommen... aber ja... ich trage mal nach

 

[blurrrr]

IPsec habe ich noch nie verwendet

EDIT: Noch nie einfach nur ein Fritzbox-VPN eingerichtet? (Das ist aber vermutlich auch die einfachste Art ein IPSec-VPN einzurichten )

 

[tiermutter]

Ich habe keine eine Fritzbox... und als ich noch eine hatte war IKEv1 schon so alt, dass ich mich gar nicht um VPN auf Fritte geschert habe

Hier nochmal mit ein paar weiteren Infos:

 

[tiermutter]

IPsec nervt mich jetzt schon
Welche Auth darf ich unter Win10 und Android denn verwenden?

 

[Barungar]

Am einfachsten dürfte ein IKEv2+PSK sein, da braucht es "nur" einen Preshared Key.



Diese drei Optionen bietet mir zumindest mein Android 13 an... MS-CHAP mag ich wegen dem "MS" nicht so. RSA braucht vermutlich Zertifiktate. Also PSK dürfte am simpelsten für den Test sein.

 

[blurrrr]

Hab grade mal ein bisschen gestöbert... schon interessant, wieviele Seiten immer wieder die gleichen Bilder mit Vergleichen zwischen OpenVPN und Wireguard für vermeintliche Vergleiche nutzen... IPSec wird eher selten dabei erwähnt (vermutlich weil OpenVPN und Wireguard "einfacher" einzurichten sind? Keine Ahnung...).

Von Thomas Krenn gibt es da bzgl. der OPNsense eine entsprechende Seite: https://www.thomas-krenn.com/de/wiki/OPNsense_WireGuard_Performance_Tests, dort heisst es dann allerdings auch recht weit unten:

Die generelle Geschwindigkeit von WireGuard-Go (welches bei OPNsense verwendet wird) ist deutlich höher als bei OpenVPN, sie reicht aber nicht an die Geschwindigkeit von IPsec heran.

Also bei einer OPNsense dann vermutlich doch besser auf IPSec setzen Bin mal gespannt, wie das mit der Wireguard-Geschichte so weiterläuft... Weiss nicht wer es war (Untangle oder so?), aber irgendwer der "grösseren" Hersteller hat es schon implementiert, aber so generell im "Enterprise"-Sektor ist davon nach wie vor keine Spur zu finden, weswegen das ganze für mich noch eher in die Richtung "Bastelkram" zu packen ist. Enterprise-ready würde zudem auch bedeuten, dass man das ganze noch irgendwo "andocken" kann zwecks authentifizierung und 2FA wäre halt auch noch so ein Punkt... von all diesen Dingen habe ich bisher auch noch nix gesehen bzw. wird sowas nirgends in den überall auftauchenden Anleitungen erwähnt. Insofern wundert mich das eigentlich garnicht, dass sowas für "privat" eine tolle Sache ist, aber im Business-Sektor eher untergeht... Wenn, werden sich eher Lösungen etablieren, welche das ganze Setup noch um entsprechende Funktionalitäten erweitern, wie z.B. Tailscale:

Tailscale builds on top of WireGuard by adding automatic mesh configuration, single sign-on (SSO), 2-factor/multi-factor authentication (2FA/MFA), NAT traversal, TCP transport, and centralized Access Control Lists (ACLs).

 

[Barungar]

@blurrrr Oha, den Teil mit "Die Performace reicht aber nicht an IPsec heran".. würde implizieren, dass IPsec schneller Wireguard und OpenVPN wäre?! Mal sehen, was unser @tiermutter so nachmisst.

 

[tiermutter]

von all diesen Dingen habe ich bisher auch noch nix gesehen bzw. wird sowas nirgends in den überall auftauchenden Anleitungen erwähnt.

Gibts auch nichts... einmal eingerichtet reicht ein Klick um sich mit dem VPN zu verbinden, daher käme mir das auf Arbeit auch nicht in die Tüte.

dort heisst es dann allerdings auch recht weit unten:

Naja das testen wir hier ja schon bald um aussagekräftigere Ergebnisse zu bekommen

Am einfachsten dürfte ein IKEv2+PSK sein

Ok, dann muss ich mal schauen was ich verkehrt mache, weder Android noch Windows wollen sich verbinden, aber ich habe mich auch noch nicht wirklich damit auseinandergesetzt...

 

[Barungar]

Du musst in der Firewall die Protokolle ESP und UDP durchlassen, bei UDP sind es die Ports 500 imd 4500.

Encapsulating Security Payload (ESP) stellt Mechanismen zur Sicherstellung der Authentizität, Integrität und Vertraulichkeit der übertragenen IP-Pakete bereit. Im Unterschied zum AH wird der Kopf des IP-Paketes vom ICV (Integrity check value) nicht berücksichtigt, jedoch werden die Nutzdaten verschlüsselt übertragen. ESP basiert direkt auf IP und verwendet die Internet-Protokoll Nummer 50.

Also IP/UDP und IP/ESP.

 

[tiermutter]

Jo die sind offen... es kommt auch was, aber die Auth schlägt wohl fehl...

2022-08-10T14:46:02 Informational charon 11[ENC] <22> generating INFORMATIONAL_V1 request 1227217559 [ N(NO_PROP) ]
2022-08-10T14:46:02 Informational charon 11[IKE] <22> no IKE config found for (WAN IP) ... (CLIENT IP), sending NO_PROPOSAL_CHOSEN

 

[blurrrr]

@Barungar da haste ja nu was angerichtet....

EDIT: @tiermutter Die Einstellungen müssen (je Phase) auf beiden Seiten übereinstimmen, sonst wird das nix
EDIT2: Die "richtigen" Tänze beginnen dann, wenn man 2 unterschiedliche Systeme miteinander verknuspern muss und diese teilweise nur recht unterschiedliche Dinge unterstützen und/oder die Infos nicht vernünftig rausgeben (AVM konnte das seeeeehr lange seeeeehr gut )

 

[UdoAA]

Ich hatte mal testweise auf meiner 2nd level Firewall IPsec mit IKEv2 eingerichtet unter Linux.
Durch die Firewall aus dem WAN (bzw. genauer der DMZ) habe ich auf einem Core i3 7100U eine Transferrate von 800 Mbit/s erreicht zu meinem Haupt-NAS. mit AES256.
War schon recht beeindruckend.

 

[Barungar]

Die Herausforderung ist halt, wie @tiermutter beweist, es bedarf ein bisschen mehr Anstrenung als ein Wireguard bzw. OpenVPN. Allein schon durch die mehrphasige Initialisierung.

 

[tiermutter]

Ich komme nicht damit zurecht welche Verfahren nun wo (Android und Windows) unterstützt werden. Hatte weder mit MSCHAPv2 noch mit PSK Erfolg
Irgendwie fehlt auch etwas die Muße mich da reinzuarbeiten

 

[hoitschau]

Hab noch eine Anmerkung was mich von OpenVPN zu Wireguard gebracht hat.
Unter Android scheint es so, als dass die gratis OpenVPN-Clients nicht den gesammten Traffic des Geräts Tunneln kann.
Hab gelesen dass die gratis OpenVPN-Clients den standard OpenVPN-Stack von Android nutzen, und dieser das nicht kann.
Kostenpflichtige OpenVPN-Clients bringen anscheinend einen eigenen OpenVPN-Stack mit, damit sie das können.

Kann das jemand bestätigen oder dementieren?

 

[tiermutter]

Kann das jemand bestätigen oder dementieren?

Bei mir geht über OVPN alles durch den Tunnel, da kommt nichts dran vorbei, zumindest habe ich noch nicht mitbekommen, dass etwas über andere Wege läuft, auch DNS leakt nicht.
Ich verwende OpenVPN for Android von Arne, der ja Coremember im OVPN Projekt ist, von daher wird diese Version sicherlich nicht abgespeckt sein.

 

[blurrrr]

Warum nicht direkt via IKEv2? Wesentlich flotterer Verbindungsaufbau als via IKEv1, dazu noch on-demand (im besten Fall alles via MDM ausgerollt) und die Welt (des Admins) ist wieder ein Stückchen besser geworden

Kann das jemand bestätigen oder dementieren?

Also mir persönlich wäre das jetzt neu... bzw. anders formuliert: Ist mir so noch nicht untergekommen, aber ich nutze VPN i.d.R. auch eher so, dass ich mich nicht selbst künstlich limitiere (durch irgendwelche VPN-Routing-Geschichten, die dann noch über div. andere Standorte gehen). Hat man eine entsprechende Infrastruktur, wo bestimmte Auflagen erfüllt sein "müssen", sieht das sicherlich anders aus (s. z.B. Konzernwesen), aber so .... davon ab, stehen dann auch entsprechende Bandbreiten zur Verfügung und wie kleinere Kunden halt auch nunmal so sind (verständlicherweise)... mal so 1300€/Monat für 1Gbit synchron... haben die meisten kein Bock drauf und auch bei 100Mbit bei ~400€/Monat sehen die meisten das nicht ein. Also schluckt man dann das Upload-Limit des VPN-Gateway-Standortes.

Macht also nicht so wirklich Sinn, denn was nicht durch den Tunnel "muss" (ganz ganz zwingend), das "muss" auch nicht durch den Tunnel. Anders sieht es mitunter aus, wenn Du sagst: reines Firmenhandy, nix mit irgendwas, nur Mail und ggf. eigene interne Software (oder extern via FQDN/Domain/IP) und jut.

Nur damit ich hier nicht falsch verstanden werde... Nur weil man etwas machen "kann", heisst es nicht, dass man es machen "muss" und es heisst auch noch lange nicht, dass es Dinge "besser" macht. Könnte mir beim Autofahren sicherlich auch einen Integral-Helm aufsetzen, wenn ich etwas schneller fahre, haben die Rennfahrer ja auch! Macht es irgendwas "besser" (abgesehen davon bei normalen Geschwindigkeiten einfach nur tierisch zu stören)? Klar, der Kopf ist besser geschützt... das bringt es auch total, wenn der restliche Teil des Körpers überall verstreut ist... mh...... ich weiss ja nicht, ich weiss ja nicht...

Davon ab würde so ein Routing über einen bestimmten Standort natürlich noch bedingen, dass dort auch entsprechende Mechanismen vorhanden sind. Proxy wäre z.B. so ein Thema, etc. ansonsten bringt das alles nix und ist nur reine Verschwendung von Ressourcen/Bandbreiten. Einfach "nur" ein bisschen Firewall auf Layer 3/4 macht die ganze Nummer definitiv nicht sicherer für den Client. Aber: Kommt auch immer auf die Umgebung und die Umstände an (und natürlich auf: "Ist mir alles egal, ich will das einfach so machen, basta!")

 

[tiermutter]

Deja vu? Das hab ich grad schonmal gelesen
Kommt für mich nicht in Frage, weil ich es nicht hinkriege
Ich bin halt OVPN gewohnt, WG war eigentlich nur ein Test und da gefällt mir halt die Geschwindigkeit... Hab ja den Vergleich mit ipsec nicht hinbekommen