WireGuard

notempty

Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty

Der Artikel für die neueste Version steht hier

notempty

Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht

Allgemeines
Allgemeines

Übersicht

Wireguard® ist ein modernes und einfaches VPN Protokoll, das zusätzlich durch seine Geschwindigkeit überzeugt.

Vorteile

Wireguard verzichtet auf einige aufwendige Verfahren zum Schlüsselaustausch und ist unter Anderem dadurch einfacher zu handhaben als IPSec

Durch die Integration in den Linux Kernel ist eine performante und Ressourcen schonendere Verarbeitung als bei OpenVPN möglich

Gut zu wissen
Auch die OpenVPN-Integration in der Securepoint UTM ist sehr performant.
Der Geschwindigkeitsnachteil von SSL-VPN-Verbindungen gegenüber WireGuard-Verbindungen fällt daher nicht so gravierend aus, wie dieses bei Mitbewerbern zu beobachten ist

Nachteile

Einstellungen wie Routen, DNS etc. lassen sich nicht wie bei OpenVPN "pushen"

Die Verwaltung von Roadwarriorn ist dadurch deutlich aufwändiger

Verbindung

Die Kommunikation erfolgt über einen frei wählbaren UDP Port und nutzt IPv4 und IPv6 zum Transport der Datenpakete.

Das Handling zwischen den beiden Peers ist sehr an OpenSSH angelehnt.
"Peers" müssen zunächst ihre PublicKeys austauschen und können dann im weiteren "einfach" Daten austauschen.
Dabei zählt der Austausch der PublicKeys explizit nicht zur Spezifikation von WireGuard und muss manuell erfolgen.

Ein PublicKey muss einen Peer eindeutig identifizieren.
Eine mehrfache Verwendung ist nicht praktikabel.
Zum bessern Schutz kann noch zusätzlich ein Preshared Key verwendet werden.

Der befehl wg show auf einer root-Konsole zeigt die aktiven Verbidnungen

NAT

WireGuard kann einen Keepalive schicken.
Dadurch werden Verbindungen auf NAT-Routern offen gehalten.

Da die Kommunikation nur über einen UDP-Port läuft ist WireGuard gegenüber NAT-Problematiken entsprechend nicht anfällig.

Artikel