WireGuard hat auch einige Nachteile – Anonymität ist derzeit geschwächt

14 Kommentare Autor: Jürgen (jdo)

Das VPN-Protokoll WireGuard gefällt mir unglaublich gut. Der Handshake ist schnell, es kann Roaming  und so weiter. Kurz gesagt macht es echt Spaß, damit zu arbeiten. Das Etablieren eines VPN-Tunnels geht damit unglaublich schnell und in Windeseile bist Du mit einem anderen Land verbunden, holst Dir damit eine andere IP-Adresse und so weiter.

Eigentlich spricht derzeit alles für WireGuard, oder? Warum sollte man es nicht sofort einsetzen und warum zögern die VPN Provider?

Zögern ist der richtige Ausdruck, weil es bereits VPN-Anbieter gibt, die WireGuard zur Verfügung stellen. NordVPN* testet ebenfalls und ich durfte die WireGuard-Implementierung ausprobieren. Allerdings ist nicht alles Gold, das glänzt und der Begeisterung folgt oft Ernüchterung oder zumindest holt einen die Realität ein.

Aber keine Panik, ganz so schlimm ist es nun auch wieder nicht. Nachteile gibt es, aber es kommt wirklich darauf an, was Du machen möchtest.

WireGuard weiterhin experimentell

WireGuard weiterhin experimentell

Die Nachteile von WireGuard

Fangen wir beim Offensichtlichen an: Das VPN-Protokoll WireGuard ist noch nicht fertig. Die Software ist ausdrücklich als experimentell gekennzeichnet und es wird abgeraten, sie in produktiven Umgebungen einzusetzen. Persönlich habe ich bisher keine Probleme gehabt, aber eine Privatperson ist ein anderes Kaliber als Firmen oder ein VPN Provider. Es ist aber ein unfertiges Produkt und dessen solltest Du Dir bewusst sein.

Kein dynamisches Management der IP-Adressen

Ich mag AirVPN (ab 2 Euro)*, auch deswegen, weil sie nicht um den heißen Brei reden. Im Forum sprechen sie die Nachteile von WireGuard an und warum es derzeit nicht implementiert wird. Ein Grund ist, dass WireGuard derzeit die IP-Adressen nicht dynamisch verwalten kann. Der Client muss an eine IP-Adresse des VPNs gekoppelt werden, die vorher definiert wird.

Warum ist das problematisch? Das schwächt die Anonymität doch ein ordentliches Stück. Der VPN-Anbieter wüsste zu jeder Zeit, wer welche Verbindung hat. Nun könnte man die Zero-Logs-Richtlinien vieler Anbieter so oder so auf den Prüfstand stellen, aber das statische IP-Adressen-Management macht es nicht besser.

Ein VPN-Anbieter hat den Erschaffer von WireGuard, Jason Donenfeld, beauftragt: Er solle helfen, dass sie interne und externe IP-Adressen der Teilnehmer nicht einsehen können. Hat er mit Blind Operator Mode auch gemacht, aber rät selbst von diesem Code ab. Es sei nur Augenwischerei, weil es etliche Möglichkeiten gebe, das zu umgehen.

WireGuard verifiziert die Identität des Servers nicht

Die Funktion soll kommen, sobald die Software als stabil deklariert ist. Derzeit überprüft sie aber die Server-Identität nicht. Das ist ein Problem, da sich jemand anderes als der Server ausgeben kann. Damit hättest Du dann den berüchtigten MitM (Man in the Middle). Das ist der VPN-Anbieter in gewisser Weise auch, aber wir verwenden ihn ja, weil wir ihm vertrauen.

Derzeit keine Unterstützung für TCP

WireGuard läuft momentan nur via UDP und nicht TCP. Da hat OpenVPN natürlich die Nase weit vorne, weil das etablierte VPN-Protokoll sowohl mit UDP als auch mit TCP läuft. Für mache Anwendungsfälle reicht UDP aber nicht aus.

Allerdings muss man auch sehen, dass UDP nur für den Tunnel gilt. Innerhalb dieses Tunnels übertragen unsere Anwendungen vielleicht weiterhin TCP. Man kann also nicht pauschal sagen, dass UDP in diesem Fall unzuverlässiger ist. Anders gesagt wird den meisten Heimanwender UDP für das VPN reichen. Normalerweise kümmert sich die jeweilige Anwendung und die Datenintegrität und die Fehlerkorrektur. Schneller ist UDP auf jeden Fall, weil es weniger Overhead gibt.

TCP lässt sich auf der anderen Seite schlechter in einer Firewall sperren. Keiner wird die TCP Ports 80 oder 443 in einer Firewall sperren. Deswegen funktioniert auf SSTP oftmals, wenn OpenVPN blockiert wird. Es läuft via TCP 443.

Man kann sich nicht via Proxy verbinden oder authentifizieren

Für die Entwickler von AirVPN ist es außerdem ein Problem, dass man sich mittels WireGuard nicht via Proxy oder verschiedene Authentifizierungsmethoden mit dem VPN Server verbinden kann. Für viele Leute ist das ebenfalls keine Sorge, weil sie sich vielleicht nur in einem öffentlichen WLAN schützen wollen und so weiter.

WiFionICE würde ich nur mit VPN benutzen

WiFionICE würde ich nur mit VPN benutzen

Es läuft im Kernel

Ein plausibles Argument hat auch Perfect Privacy in einem Blog-Beitrag, wobei es nun speziell um die eigenen Funktionen NeuroRouting und TrackStop geht. Die beiden Funktionen sind sehr interessant. Sobald sich ein Anwender mit dem VPN-Netzwerk von Perfect Privacy verbindet, werden Einstellungen gemacht, um zufällig ausgehende IP-Adressen zu verwenden. Das erhöht die Anonymität natürlich enorm.

WireGuard läuft allerdings als Kernel-Modul und es gibt keine Hooks für den Userspace, um solche Einstellungen umsetzen zu können. Für WireGuard müsste der Anbieter deswegen NeuroRouting, TrackStop und so weiter deaktivieren. Das ist natürlich nicht wirklich wünschenswert.

Man käme um das Problem, spezielle Server für WireGuard zu benutzen. Allerdings ist das ein Mehraufwand, den der jeweilige Anbieter auch erst rechtfertigen muss.

Es kommt echt darauf an, was Du machen willst

Was ich bei der Diskussion nicht ganz kapiere ist, dass mich ja keiner zwingt, WireGuard einzusetzen. Aber hier ist es wahrscheinlich wieder so, dass der VPN-Anbieter die Leute vor sich selbst schützen muss.

Will ich nur Geoblocking umgehen, dann spricht überhaupt nichts gegen WireGuard. Befinde ich mich in einem Land, in dem zum Beispiel Facebook gesperrt ist und ich mache es via WireGuard wieder auf, dann bin ich ab dem Zeitpunkt nicht mehr anonym, an dem ich Facebook öffne. Selbiges gilt für Google, Dropbox und wie sie alle heißen. Deswegen benutze ich auch Nextcloud.

Bei Netflix muss ich mich ebenfalls anmelden und die wissen mit oder ohne VPN, dass ich Film XYZ streame. Entscheidend ist viel mehr, ob ich wegen Geoblocking oder wegen Anonymität ein VPN nutze. Einige VPN Provider wie zum Beispiel NordVPN haben sich auf das Umgehen von geografischen Sperren spezialisiert und sind auch wegen des günstigen Preises ein gutes Universal-VPN. Andere wie AirVPN sind in meinen Augen in Sachen Anonymität etwas vertrauenswürdiger.

Für die meisten Leute gilt wohl, dass sie sich nicht verstecken müssen, sich aber in einem Airbnb oder Hotel ausreichend schützen wollen.

Das beste VPN für Alles gibt es nicht – meine Meinung

Bin ich unterwegs, dann schätze ich bei NordVPN zum Beispiel die Android App. Die bietet auch verschleierte Server und ich kann Zensur in Ländern wie Ägypten umgehen. Benutze ich da mein VPN, kann ich auch via mobilem Internet VoIP Services nutzen, die sonst zum Teil gesperrt sind. AirVPN bietet mir hingegen derzeit keinen dedizierten Android Client und da müsste ich alle Verbindungen manuell einrichten. Mir reicht aber Dicke, was NordVPN zu bieten hat.

Es ehrt einen Anbieter natürlich, wenn er nicht sofort auf den neuesten Hype aus Marketing-Gründen aufspringt. Ich kann die Nachteile von WireGuard auch sehen und mich würde in erster Linie das experimentell stören. Werde ich darauf hingewiesen, dass es in Sachen Anonymität problematisch sein kann, dann ist es mein eigenes Vergnügen, das Risiko einzugehen. Das finde ich zumindest. Bei einem Motorrad sagt man mir ja auch, dass ich über 200 damit fahren könnte, aber dass es gefährlich ist.

Verschiedene Anwendungsfälle verlangen ganz einfach verschiedene Lösungen. Deswegen habe ich mehrere VPNs im Einsatz und mir die Apps und Verbindungen eben so zurecht gelegt, wie sie mir gerade in den Kram passen. Will ich aus dem Ausland deutsches Fernsehen gucken, muss die Schweiz als Einwahlknoten herhalten. Klingt komisch, ist aber so!

Befinde ich mich auf Reisen und könnte mich zu einem Raspberry Pi in meinem Heim-Netz via WireGuard verbinden, um damit Zensur und andere Unannehmlichkeiten zu verhindern, reicht das in den meisten Fällen schon komplett aus. Je näher sich der VPN-Server aber an Deinem Standort befindet, desto schneller ist die Performance. Ist zwar in der heutigen Zeit nicht mehr ganz so relevant, aber so Kleinigkeiten summieren sich ebenfalls. Das gilt vor allen Dingen für Anwendungen, bei denen Latenz eine Rolle spielt.

Werden die Nachteile von WireGuard adressiert?

Sobald das VPN-Protokoll fertig ist, werden sicher einige der Probleme und Nachteile noch angegangen. Ich bezweifle aber, dass die Entwickler daraus eine eierlegende Wollmilchsau machen wollen.

So wie es im Moment ist, hat WireGuard bereits eine Existenzberechtigung. Es gibt genügend Anwendungsfälle, bei denen ein Einsatz denkbar und vorteilhaft ist. Dass sich nicht alle Situationen damit erschlagen lassen, verlangt irgendwie auch keiner. Es gibt ja genügen Alternativen.

NordVPN bietet mit NordLynx übrigens WireGuard in seinem Linux-Client an, auch für den Raspberry Pi. Du kannst es risikofrei testen, da es eine 30-tägige Geld-Zurück-Garantie gibt. Ein Speedtest hat gezeigt, dass WireGuard (NordLynx) durchaus schneller als OpenVPN ist.

NordVPN mit WireGuard testen!*




 Alle Kommentare als Feed abonnieren

14 Kommentare zu “WireGuard hat auch einige Nachteile – Anonymität ist derzeit geschwächt”

  1. Gast says:

    Ich verfolge deine Artikel zu Wireguard schon seit einiger Zeit mit Interesse, gerade auch, weil du offensichtlich sehr ausgiebig testest und mir im Moment einfach die dafür nötige Zeit fehlt. Mit Hilfe deiner Beiträge kann ich so trotzdem einigermaßen auf dem Laufenden bleiben.
    Eine Kritik muß ich dennoch loswerden:
    In deinen Beiträgen verlinkst du desöfteren mit Refferal-Links. Das ist grundsätzlich legitim und ich bin der letzte, der nicht auch gern auf diese Weise Unterstützung leistet...Allerdings solltest du die Refferals auch als solche kennzeichnen, sonst wirkt das irgendwie "untergeschoben".
    Unabhängig davon ein dickes Dankeschön für deine Artikel zu diesem Thema...Bleib bitte am Ball und berichte weiter!

    • jdo says:

      Die nach außen gehenden Links sind alle als nach außen gehend gekennzeichnet. Außerdem hat niemand auch nur irgendeinen Nachteil von den Links. Es gibt keine Preisunterschiede und so weiter. Ich benutze die Sachen wenigstens, auf die ich verlinke (die ich empfehle) und mache das nicht wie viele andere nur weil es geht. Es wäre in der Tat "untergeschoben", würde ich das Zeug nicht selbst benutzen oder könnte ich es nicht mit gutem Gewissen empfehlen. Das ist aber nicht der Fall.

      Im letzten Jahr kamen über die Website keine 100 Euro an Spenden zusammen. Damit sind nicht einmal die Hosting-Kosten gedeckt. Hätte ich keine solchen Links oder anderweitig Werbung, würde ich meine Beiträge entweder gar nicht mehr schreiben oder für andere Websites, die ansonsten was weiß ich vom Himmel erzählen. Ich wurde schon des Öfteren gefragt, für diverse "VPN-Testseiten" Beiträge zu verfassen, lehne das aber ab, da die oft großen Blödsinn erzählen. Ich bin tatsächlich oftmals nicht weit weg von "mach die Butze zu und mach Copy Writer für die ganzen Dampfplauderer und lasse Dich halbwegs anständig dafür bezahlen". Geht mir aber auch irgendwie gegen den Strich ...

      Tests sowie Recherche kosten Zeit und Hardware sowie Services und teilweise auch Software Geld.

      Sollte ich irgendwann im Lotto gewinnen, dann werde ich es zum reinen Vergnügen machen. Ein unabhängiger, kleiner Blog zu bleiben, ist nicht immer einfach oder einfach zu rechtfertigen, zumal die Werbung immer weiter einbricht und ich habe vollstes Verständnis dafür, dass sich die Leute gegen die ganze Datensammelei wehren.

  2. Gast says:

    Hey, das sollte jetzt in keinster Weise ein Angriff gegen dich sein! Ich hab auch nie behauptet, daß durch das Klicken deiner Verlinkungen irgendwelche Nachteile entstehen könnten. Aber es sind Refferals und du hast (hoffentlich) irgendwelche Vorteile dadurch und nur darauf wollte ich hinaus.

    Zu deinen grundsätzlichen Ausführungen:
    Ich mag solche Blogs wie deinen, wo gezielt diverse Sachen thematisiert und durch eigene Erfahrungen gestützt werden.
    Diese Art des Bloggings vermittelt okkupierbares Wissen und ist mir wesentlich lieber als die meisten Blogs, die nur per Copy/Paste hundertfach das wiederholen, was schon in anderen Blogs gepostet wurde.
    Nicht umsonst schaue ich regelmäßig bei dir vorbei. 😉

    • jdo says:

      "untergeschoben" suggeriert aber ... 😉

      Meine Erklärungen klingen vielleicht etwas wie ein Gegenangriff, aber im Grunde genommen wollte einfach nur darauf hinweisen, dass man sich oftmals schon sehr selbst motivieren muss, weil Geld in diesem Fall wirklich kein Anreiz ist.

      Das Problem von Blogs wie meinen ist aber auch, dass wir von den anderen einfach weg-geSEOt werden, weil die eben sehr aggressiv mit "teilen hier" "share da" vorgehen ... das Web ist nicht fair, aber so ist es eben nun Mal 🙂

  3. Also "untergeschoben" trifft es eigentlich schon ganz gut. Die Kritik war auch nicht das du Affiliate Links verwendest sonder warum dieses nicht einfach also solche gekennzeichnet sind. Darauf bist du in deiner Antwort leider nicht eingegangen sondern hast dichblediglich dafür gerechtfertigt warum du sie benutzt.

    Auch wenn es in Deutschland keine eindeutigen Rechtsprechung und damit auch keine direkte Pflicht zur Kennzeichnung von Affiliate Links als Werbung gibt, ist das für mich trotzdem nichts anderes als "untergeschoben" und eine unsaubere und absolut untransparente Vorgehensweise.

    Gerade wenn man sich als Open Source Blog und seine Artikel über ein Open Source Netzwerk verteilt sollte man sich eventuell mit der Frage beschäftigen was Open den eigentlich bedeutet. Und auch dazu kann ich nur für mich sprechen, aber für mich gehört dazu auch Transparenz. Es geht nicht darum das bei Open Source oder Blogs alles kostenlos sein muss, aber ich erwarte Transparenz und ich entscheide wen oder was ich unterstütze und in welcher Form ich das tue.

    https://www.affiliate-marketing-tipps.de/affiliate-links/muessen-affiliate-links-als-werbung-gekennzeichnet-werden/100298/

    Zu deinen Kosten? Du zahlst mehr als 100€ im Jahr für das Hosten eines einfachen Blogs? Wie das? Entweder du hostest auf dem System noch andere sachen und hast deswegen etwas größere als Unterbau oder bezahlst (freiwillig) mehr als nötig wäre.

    • jdo says:

      Soso, Du erwartest. Na dann ... Schön, dass die Kommentare zu dem Beitrag komplett nah am Thema sind und man sich für seine Mühen und Arbeit auch noch belehren lassen darf. Glaube es oder nicht, aber gerade eben habe ich wieder so einen Moment, einfach das Scheissding dicht zu machen und eben für die ganzen anderen Laberer zu bloggen. Statt Lob und Ermunterung wird man in Deutschland zu 90% gelehrmeistert, was man zu tun und zu lassen hat. Unglaublich motivierend ist das Ganze.

      Open ist für mich auch, dass meine Beiträge eben nicht wie bei vielen anderen von Werbung unterbrochen werden und dass es auch keine Paywall oder anderweitige Dinge gibt. Aber gut, dann frickel ich das mit dem Sternchen irgendwie ein, weil ich nämlich sowieso so viel Zeit habe. Damit der Herr zufrieden ist, den ich auch gezwungen haben, meinen Blog zu lesen? Denn wenn der Herr erwartet, dann muss man dem natürlich Folge leisten ... Es ist ja auch nicht so, dass Du bei Lesen des Beitrags gezwungen wirst, das Angebot, auf das verlinkt wird zu nutzen beziehungsweise darauf zu klicken.

      100 Euro sind meine 8,99 Euro pro Monat für Contabo, ohne deren Hosting ich auch nicht so viel über Nextcloud oder andere Server- / Administrations-Sachen bloggen könnte. Aber hier hast Du sicher auch einen lehrmeisterischen Vorschlag, dass das so nicht notwendig ist und ... oder? Würde ich nur 50 Euro im Jahr bezahlen, würde sich der Aufwand dann rechtfertigen lassen? Vielleicht hier noch eine Belehrung vorrätig?

      Hoffentlich ist mit dem beschissenen Sternchen dann diese dämliche und leidige Diskussion durch. Oder passt Dir sonst noch irgendwas nicht?

      • Es tut mir leid das dich der Kommentar persönlich angegriffen hat das war nicht die Intention, geschweige denn dich zu demotivieren. Ich finde es schade das eine konstruktive Meinung in der ich ausführlich erklärt habe wieso ich so denke und wie ich zu meinem Standpunkt komme also Beleidigung und Abwertung deiner Arbeit gewertet wird.

        Das "ich erwarte" bezieht sich nicht explizit auf deinen Blog, du kannst da selbstverständlich tun und lassen wie du möchtest. Sondern es bezieht sich auf meine generelle Erwartungen was Open Source angeht.

        • jdo says:

          Das ist aber nicht der Punkt. Kommentare wie Deine klingen in meinen Ohren, als würde ich Leute mutwillig über den Tisch ziehen wollen. Ich betone noch einmal, dass ich im Gegensatz zu vielen anderen Seiten die Dinge, die ich empfehle, in der Regel auch selbst verwende oder benutzt habe.

          Solche Diskussionen sind absolute Sargnägel, das kann ich Dir mit Sicherheit sagen.

  4. Gut ich habe es gerade nochmal sachlich probiert aber anscheinend besteht kein Interesse an einem Dialog was ich schade finde.

    Abschließend nochmal: Es spricht nichts gegen Affiliate Links und es geht nicht darum böse Absicht zu unterstellen. Es geht um die sachliche Aussage dass es (wiederum für mich) schöner ist wenn ich es als Leser erkennen kann. Mehr nicht. Diese persönliche Meinung habe ich dir unterbreitet und das auf eine freundliche sachliche Art ohne Beleidigung, ohne Aufforderung das zu Ändern oder sonstige erpresserische Aussagen. Es war ein Dialoganstoß weil ich finde das auch das zu einen Blog dazu gehört.

    • jdo says:

      Versuche es Mal weniger Deutsch und lass den erhobenen Zeigefinger weg - dann wird es konstruktiv. Alles andere ist destruktiv - das ist meine sachliche Meinung dazu.

      "Auch wenn es in Deutschland keine eindeutigen Rechtsprechung und damit auch keine direkte Pflicht zur Kennzeichnung von Affiliate Links als Werbung gibt, ist das für mich trotzdem nichts anderes als "untergeschoben" und eine unsaubere und absolut untransparente Vorgehensweise." <- da fehlt eigentlich nur noch "Du Schuft" am Ende des Satzes.

  5. Ich jedenfalls, wünsche mir für meinen Blog Diskussionen und Kritik jeglicher Art so lange sie nicht beleidigend oder ausfallend sind. Ich bin froh über eine Reaktion jeglicher Art und dankbar für (kritische) Kommentare, weil ein Denkanstoß sind und mich selbst kritisch Dinge hinterfragen lassen, über die ich vielleicht noch nicht nachgedacht habe.

    • jdo says:

      Das tue ich auch, sonst würde ich die kritischen Kommentare nicht freigeben. Kritik ist gut und gehört dazu. Aber de Ton macht nun Mal die Musik und ich reagiere echt empfindlich, wenn man mich unterschwellig als Schuft bezeichnet und wen ich Dinge wie "ich erwarte" lese, das Du zugegeben abgeschwächt hast - aber im ersten Augenblick bringen mich solche "Forderungen" echt auf die Palme.

  6. Ich habe mich entschuldigt und mehrfach darauf hingewiesen, dass es nicht so gemeint war, wie du es dir gerade zurechtlegst. Du bist aber nicht bereit das anzunehmen, sondern reitest weiter auf dieser für dich so furchtbar bösen Unterstellung rum. Aber sei es drum...

  7. struppi says:

    Kann ich nachvollziehen.

    Mich stören Werbelinks nicht. Kennzeichnungen braucht in so einem Fall kein Mensch, was soll das bringen? Wobei umgekehrt vielleicht mehr draufklicken, wenn die wissen das man dich damit unterstützt?

    Mal so, als überlegung....

    100 Euro im Jahr finde ich auch nicht die Welt. Bei den Ubernauten - wo der Kollege ist- kann man ja die höhe des Beitrags selbst bestimmen. Ich zahle da auch 7/Monat für eine kleine WordPressseite. (+ email Adressen, die ziehe ich aber mit POP3 immer weg)