WireGuard könnte OpenVPN und IPSec bei VPN ablösen – nur: Wann?

Kein Kommentar Autor: Jürgen (jdo)

Derzeit macht WireGuard wieder kleine Schlagzeilen in der VPN-Szene, weil kein geringerer als Linus Torvalds die moderne VPN-Technologie in doch recht hohen Tönen gelobt hat. Damit ist der Linux-Vater nach Greg Kroah-Hartman der zweite hochrangige Kernel-Entwickler, der sich positiv über das Projekt geäußert hat. Linus Torvalds hat die Technologie verglichen mit dem Grauen in Gestalt von OpenVPN und IPSec als Kunstwerk gelobt.

Was ist WireGuard?

WireGuard^® ist eine VPN-Technologie, die einfacher, schneller und schnörkelloser als IPSec ist. Weiterhin ist WireGuard performanter als OpenVPN. Im Endeffekt wurde WireGuard ins Leben gerufen, um auf Embedded Interfaces aber auch Supercomputern laufen zu können. Zunächst wurde die Technologie für den Linux-Kernel entwickelt, nun ist sie aber plattformübergreifend verfügbar.

Bei WireGuard werden im Endeffekt wie bei SSH lediglich die öffentlichen Schlüssel ausgetauscht und ein sicherer VPN-Tunnel wird etabliert. Ab hier übernimmt dann WireGuard. Mit der Technologie ist sogar Roaming zwischen IP-Adressen möglich, wie das Mosh (Mobile Shell) auch handhaben kann.

Du als Anwender musst Dich um nichts mehr kümmern, sobald die Verbindung aufgebaut ist. Tolle Sache! Ein weiterer Vorteil ist, dass WireGuard auf Kernel-Ebene und nicht wie OpenVPN im Userspace läuft. WireGuard läuft übrigens über UDP und nicht TCP.

Tipp: Wer ganz genau wissen möchte, wie das interessante Protokoll funktioniert, kann sich das Whitepaper (PDF) durchlesen.

Das ist super – ich brauche es sofort!

Leider muss ich an dieser Stelle stark auf die Bremse drücken. WireGuard befindet sich noch in der Entwicklung und eine Benutzung ist eher kompliziert. Du musst schon ein kleiner Kommandozeilen-Ninja sein, damit Du es zum Laufen bekommst. Überzeugen, wie komplex die Sache im Moment ist, findest Du in der Schnellstartanleitung des Projekts.

WireGuard ist noch nichts für die breite Masse, aber das könnte sich bald ändern

Es gibt auch einen Demo-Server, der allerdings eine sehr unsichere Verbindung benutzt. Es reicht aber, wenn Du die Technologie auf einem Client installieren und testen möchtest.

WireGuard kann auch mit NAT oder Firewalls umgehen

Die Entwickler schreiben, dass WireGuard so leise wie möglich sein will. Das VPN-Protokoll ist also nicht sehr geschwätzig. Meist werden wirklich nur dann Daten transportiert, wenn auch welche angefragt werden. Sind NAT oder eine Firewall im Spiel, funktioniert das aber vielleicht nicht.

Das hat etwas mit dem Verbindungs-Mapping zu tun. Warum das genau so ist, würde nun etwas zu weit führen. Auf jeden Fall schickt WireGuard in diesem Fall sogenannte persistent keepalives und wird natürlich etwas gesprächiger.

Warum ist das wichtig? Sollte sich die Technologie auch für VPN-Verbindungen in Verbrauchermarkt durchsetzen, befinden sich viele Anwender häufig hinter NAT (Heim-Router) oder einer Firewall. In so einem Fall bietet WireGuard die Option, die Verbindung in den Augen von NAT offen zu halten.

Ist WireGuard sicher?

Zunächst einmal ist WireGuard wesentlich übersichtlicher. Bei OpenVPN sind zirka 100.000 Zeilen Code involviert und IPSec umfasst doch recht ordentliche 400.000 Zeilen. WireGuard hat derzeit nur zirka 4.000 Zeilen Code. Die sind schon mehrfach von unabhängigen Experten unter die Lupe genommen und als sicher bezeichnet worden, auch wenn es tatsächlich Nachteile gibt.

Nun gibt es sogar einen Pull Request, dass WireGuard in den Linux Kernel aufgenommen werden soll. Das sind fantastische Nachrichten, denn somit hätte eigentlich jede Linux-Distribution und vielleicht auch eine kommende Android-Version einen eingebauten VPN-Mechanismus, der sehr schnell und sehr sicher ist. Auch hier muss ich die Begeisterung etwas bremsen, denn ein Client braucht natürlich auch immer ein Gegenstück.

Natürlich könntest Du Dir selbst einen Server mieten oder WireGuard irgendwo im Heimnetzwerk betreiben und Dich daran anmelden. Für den Datenschutz in öffentlichen WLANs, auf Reisen oder im Ausland reicht das wahrscheinlich aus. Bist Du allerdings weit weg, könnte die Latenz ein Problem werden, wobei das bei den heutigen Leitungen ein immer geringeres Problem wird. Bei Distanz ist es möglicherweise geschickter, einen VPN-Provider mit einem Server in der Nähe zu nehmen. AirVPN (ab 2 Euro)* betreibt zum Beispiel VPN-Server um den Erdball verteilt. Wobei es sich zeigen muss, ob die höhere Performance gegenüber OpenVPN nicht ein Vorteil ist.

Ganz ehrlich rechne ich damit, dass die VPN-Anbieter anfangen werden, die Technologie zu adaptieren und auf den Servern bereitzustellen. Mehr Geschwindigkeit und höhere Performance ist immer gut und viele VPN-Server dürften sowieso mit Linux laufen. Allerdings wird es eine Zeit lang dauern, bis die Server umgerüstet und die Clients angepasst sind.

Wir müssen Geduld haben

Die Geeks unter uns können mit der Entwicklerversion bereits spielen, denn der Quellcode liegt bei GitHub. Das Projekt ist Open Source und wir unter der GPLv2 entwickelt

Von daher steht einer Aufnahme in den Linux-Kernel nichts entgegen. Welcher Kernel das wird, lässt sich noch nicht mit Sicherheit sagen. Hier hat Linus Torvalds das letzte Wort. Bis die Technologie für die breite Masse taugt, müssen wir mit den herkömmlichen Methoden unsere IP-Adresse oder den digitalen Standort ändern.

Ich bleibe auf jeden Fall dran, weil es ist schon einige Zeit her, dass sich auf dem VPN-Markt etwas bahnbrechendes getan hat. WireGuard hat auf jeden Fall das Zeug dazu.