Was müssen Sie über VPN-Protokolle wissen? OpenVPN, WireGuard & Co.

VPN protocol Artikel

Sie interessieren sich für VPN-Lösungen, wissen aber nicht viel über Begriffe wie IPSec, OpenVPN und WireGuard? VPNheroes erklärt, was sich dahinter verbirgt!

Viele kommerzielle Anbieter von VPN-Diensten unterstützen in der Regel mehrere VPN-Protokolle, um die Kommunikation zwischen Heimcomputer und Internet-Server abzusichern. VPN-Protokolle sind das Herzstück eines virtuellen privaten Netzwerks (VPN) und ermöglichen sichere und anonyme Internetverbindungen.

Die Vielzahl der verwendeten Protokolle und Standards macht es nicht leicht, den Überblick zu behalten. VPNheroes hilft und stellt die gängigsten VPN-Protokolle vor.

Beste VPN-Dienste

NordVPN

ExpressVPN

Surfshark

VPN Bewertung: 4,8

VPN Bewertung: 4,5

VPN Bewertung: 4,5

  • 3,99 $ / Monat

  • Premium Sicherheit

  • Geschwindigkeit 6730+ Mbps

  • VPN-Server 5400+

  •  WireGuard

  • Anzahl der Geräte: 6

  • Rabatt: 51%

  • 6,76 $ / Monat

  • Premium Sicherheit

  • Geschwindigkeit 2220+ Mbps

  • VPN-Server 3000+

  • OpenVPN

  • Anzahl der Geräte: 5

  • Rabatt: 49%

  • 2,49 $ / Monat

  • Hohe Sicherheit

  • Geschwindigkeit 58,46 Mbps

  • VPN-Server 3200+

  • WireGuard

  • Anzahl der Geräte: Unbegrenzt

  • Rabatt: 82%

Was ist ein VPN-Protokoll?

Für die Kommunikation zwischen zwei Computern oder zwischen Client und Server ist es notwendig, sich auf eine gemeinsame Sprache zu einigen. Befehle und Abläufe bilden verschiedene Regelwerke, die in einem Protokoll zusammengefasst werden. Das Protokoll bildet somit die Grundlage für eine geordnete Konversation zwischen Ihrem Heim-PC und z.B. einem Internet-Server.

Die Besonderheit von VPN-Protokollen gegenüber anderen Regelwerken besteht darin, dass die “VPN-Sprache” zusätzliche Werkzeuge zur Verfügung stellt, um Daten mit kryptographischen Verfahren zu verschlüsseln. Wie in einem Tunnel wird dadurch die gegenseitige Kommunikation der Teilnehmer für Außenstehende unsichtbar.

OpenVPN: Der Industriestandard

OpenVPN ist eine kostenlose Software, die von den meisten VPN-Anbietern verwendet wird und eines der beliebtesten VPN-Protokolle ist. Es hat sich als De-facto-Standard etabliert und ist für die meisten Anwendungsfälle geeignet.

Als Open-Source-Projekt profitiert es zudem von der Expertise einer großen und vor allem freien Entwicklergemeinde, die den sehr umfangreichen Programmcode kontinuierlich auf Lücken prüft und die Leistung verbessert. Darüber hinaus ist der Prozess transparent und erlaubt die Überprüfung der Codezeilen durch Dritte.

OpenVPN unter iOS

OpenVPN ios

OpenVPN unter Windows

OpenVPN Windows

Um ein virtuelles privates Netzwerk aufzubauen, verwendet OpenVPN die OpenSSL-Bibliothek, unterstützt aber auch Verbindungen mit TLS. OpenVPN arbeitet mit verschiedenen Verschlüsselungsalgorithmen, darunter 3DES, AES, RC5 und Blowfish.

Richtig implementiert, bietet OpenVPN ein sehr hohes Maß an Sicherheit und Stabilität in verschiedenen Netzen, wie (W)LAN und Mobilfunk. Für den Datentransport verwendet OpenVPN entweder TCP oder UDP, was eine flexible Datenübertragung gewährleistet. Darüber hinaus arbeitet das VPN-Protokoll sehr gut mit Firewalls zusammen.

Als Authentifizierungsmethoden werden entweder Passwörter oder Zertifikate verwendet. Außerdem ist OpenVPN auf vielen Plattformen verfügbar und wird von allen gängigen Betriebssystemen unterstützt, darunter Windows, macOS, Linux, Unix, Android und iOS. Bevor es jedoch auf einem System verwendet werden kann, sind in der Regel zusätzliche Software und weitere Konfigurationen erforderlich.

Profis

  • Sehr sicher
  • Offene Quelle
  • Verfügbar auf vielen Plattformen und Betriebssystemen
  • Stabile Verbindungen
  • Firewall-kompatibel

Nachteile

  • Hoher Aufwand bei der Fehlersuche
  • Nicht “out of the box” nutzbar

IKEv2/IPSec: Stabil in Bewegung

Die erste Version von Internet Key Exchange (IKEv1) wurde vom Telekommunikationsunternehmen Cisco Systems mitentwickelt, während Version 2 (IKEv2) in Zusammenarbeit mit Microsoft entstand. Interessantes Detail: IKEv1 basiert zum Teil auf dem Internet Security Association and Key Management Protocol (ISAKMP), das auch von der amerikanischen National Security Agency (NSA) mitentwickelt wurde.

IKEv2 ist Teil der IPSec-Protokollsammlung und gewährleistet den sicheren Austausch der für IPSec verwendeten Schlüssel. IPSec (Internet Protocol Security) unterstützt eine Reihe verschiedener Verschlüsselungsalgorithmen, darunter 3DES, AES, Blowfish und Camellia.

Die Systemkonfiguration von IKEv2/IPSec ist serverseitig komplex und verwendet einen festen UDP-Port für die Kommunikation, was nicht selten zu Konflikten mit Firewalls führt. IPSec ist Teil des IPv4- und IPv6-Internetprotokolls und gilt allgemein als sicheres und sehr schnelles VPN-Protokoll.

Allerdings gab es in der Vergangenheit Behauptungen, dass die NSA den zugrunde liegenden Verschlüsselungsalgorithmus im Rahmen des so genannten Bullrun-Programms geknackt hat.

Dies wurde von Experten jedoch nie bestätigt, und die zugrunde liegende Sicherheitslücke wurde inzwischen behoben. IKEv2 eignet sich sehr gut für mobile Verbindungen, da die Verbindung automatisch wiederhergestellt wird, wenn die Internetverbindung vorübergehend unterbrochen wird, z. B. beim Betreten eines Aufzugs oder bei der Fahrt durch einen Tunnel.

Profis

  • Sehr schnell
  • Auf vielen Plattformen verfügbar
  • Sicher
  • Stabile Verbindungen, stark im mobilen Einsatz

Nachteile

  • Komplexe Konfiguration auf der Serverseite
  • Fester UDP-Port führt zu Firewall-Konflikten

WireGuard: Der Hoffnungsträger

Unter den aktuellen VPN-Protokollen ist WireGuard der jüngste und auch der vielversprechendste Vertreter in der Runde, befindet sich aber nach Angaben des Entwicklers noch in einem frühen Stadium. Das Open-Source-Projekt erhebt den Anspruch, ein besonders einfaches, sicheres und vor allem schnelles VPN-Protokoll anzubieten.

Die Besonderheit von WireGuard ist, dass das Protokoll Teil des Linux-Kernels ist und eine sehr geringe Codegröße hat. Die Entwickler versprechen sich davon deutliche Vorteile bei der Wartung und Fehlersuche im Programmcode sowie eine deutlich höhere Verarbeitungsgeschwindigkeit. Darüber hinaus soll die Linux-Integration den Rechenaufwand und damit den Energiebedarf spürbar reduzieren, was besonders für mobile Geräte interessant ist.

WireGuard verwendet zur Datenverschlüsselung einen Algorithmus namens ChaCha20. Obwohl das VPN-Protokoll ursprünglich für Linux entwickelt wurde, ist es auch für andere Plattformen verfügbar, darunter Windows, macOS, Android und iOS. Trotz seines Entwicklungsstatus wird WireGuard bereits von einigen kommerziellen VPN-Anbietern verwendet, darunter Hide.me, Mullvad VPN, NordVPN und Surfshark.

NordVPN umgeht das Problem der statischen IP-Adressen in seiner WireGuard-Lösung mit einem zusätzlichen NAT-Server, der dynamische IP-Adressen verteilt.

Im Moment ist WireGuard noch eine Baustelle, an der fleißig gearbeitet wird. Dennoch kann man sich schon jetzt ein gutes Bild davon machen, wie das Krypto-Vehikel am Ende aussehen wird.

Ein Problem ist derzeit noch die vergleichsweise schlechtere Anonymität, da WireGuard mit festen IP-Adressen arbeitet. Die Zukunft wird zeigen, in welche Richtung sich der Newcomer entwickeln und wie er sich in der Praxis schlagen wird – und ob die Vorschusslorbeeren letztlich gerechtfertigt sind.

Profis

  • Sehr stabil, auch bei Netzwechsel
  • Extrem schnell
  • Offene Quelle
  • Teil des Linux-Kernels
  • Verfügbar für viele Plattformen

Nachteile

  • Frühes Stadium der Entwicklung
  • Anonymität nur mit zusätzlichen Lösungen gewährleistet

SoftEther VPN: Masterarbeit aus Japan

SoftEther wurde an der japanischen Universität Tsukuba im Rahmen einer Masterarbeit des Studenten Daiyuu Nobori entwickelt und steht seit 2013 zum kostenlosen Download bereit. Das VPN-Protokoll überwindet Firewalls und gilt als immun gegen die sogenannte Deep Packet Inspection (DPI), eine Technik, die auch von autoritären Regimen zur Kontrolle des individuellen Datenverkehrs eingesetzt wird.

Datenpakete, die einen VPN-Tunnel durchlaufen, tragen in der Regel den VPN-Stempel in großen Buchstaben. Obwohl die Daten in den Paketen geschützt bleiben, können Behörden und Internet-Provider diese VPN-Pakete leicht herausfiltern und blockieren. Dies ist zum Beispiel in China, Iran und Russland üblich, wo der Datenstrom von VPN-Diensten weitgehend blockiert wird.

Das Protokoll ist Teil der SoftEther VPN-Software und wird wie OpenVPN und WireGuard unter einer Open-Source-Lizenz veröffentlicht. Das Softwarepaket kann mehrere VPN-Protokolle verarbeiten und läuft auf verschiedenen Plattformen wie Windows, macOS, Linux, FreeBSD und Solaris.

Sie wird als separate Client- und Server-Software installiert und eignet sich auch für Anwender, die ihr eigenes VPN betreiben wollen. Die japanische Lösung ist einer der weniger bekannten Vertreter unter den VPN-Protokollen. Derzeit ist Hide.me der einzige kommerzielle VPN-Anbieter, der SoftEther nutzt.

Profis

  • Offene Quelle
  • Überwindet Firewalls
  • Verfügbar für viele Plattformen und vielseitig

Nachteile

  • Nicht sehr weit verbreitet

Katapult Hydra und Chameleon: Die Heimwerker

Catapult Hydra, der Name klingt schneidig und geheimnisvoll zugleich und erinnert ein wenig an die Geheimorganisation aus den Marvel-Comics. Das VPN-Protokoll ist eine Eigenentwicklung der amerikanischen Softwarefirma AnchorFree (heute: Aura) und wird unter anderem in Hotspot Shield, dem VPN-Dienst des Herstellers, eingesetzt.

Catapult Hydra basiert auf dem weit verbreiteten Verschlüsselungsprotokoll Transport Layer Security (TLS). Der Hersteller verspricht eine deutlich erhöhte Geschwindigkeit im Vergleich zu herkömmlichen VPN-Lösungen auf Basis von TLS. Mit Details zu Catapult Hydra hält sich der Hersteller jedoch auffallend zurück.

Ein transparenter Audit-Prozess, wie er bei Open-Source-Projekten wie OpenVPN und WireGuard üblich ist, findet bei dem patentrechtlich geschützten Catapult Hydra nicht statt. Damit bleibt das VPN-Protokoll für Außenstehende zu Audit-Zwecken verschlossen. Dennoch setzen auch andere VPN-Anbieter wie Kaspersky und Bitdefender Catapult Hydra in ihren Produkten ein.

Chameleon gehört wie Catapult Hydra zu den proprietären VPN-Protokollen und wird derzeit nur von einem Hersteller verwendet. Die Entwickler von Golden Frog versprechen für ihren VPN-Dienst VyprVPN, dass VPN-Daten, die über Deep Packet Inspection (DPI) identifiziert werden, nicht mehr blockiert werden können.

Das auf OpenVPN basierende Chameleon-Protokoll versucht an dieser Stelle, seine Gestalt zu verändern und sich seiner Umgebung anzupassen, indem es so unauffällig wie die unverschlüsselten Pakete im großen Datenstrom des Internets erscheint. Diese Verschleierungsfunktionen – mit alternativen Proxy-basierten Techniken – sind jedoch auch bei anderen VPN-Anbietern wie NordVPN, Surfshark und Hide.me verfügbar.

Profis

  • Optimal auf den Dienst zugeschnitten
  • Schnelle Geschwindigkeiten

Nachteile

  • Code kann nicht auf Schwachstellen geprüft werden

L2TP/IPSec, PPTP, SSTP: Die alte Garde

Das Layer 2 Tunneling Protocol (L2TP) wird häufig mit IPSec zur Verschlüsselung kombiniert, da L2TP kein eigenes Kryptoverfahren für den Datenstrom bereitstellt. Daher können alle Aussagen zur Sicherheit von IPSec prinzipiell auch auf L2TP angewendet werden.

L2TP/IPSec unterstützt mit 3DES und AES sehr gute Verschlüsselungsalgorithmen, ist aber nicht unbedingt einer der schnellsten Vertreter unter den VPN-Protokollen. Zudem kollidiert es oft mit den Sicherheitseinstellungen der Firewall, die den von L2TP/IPSec verwendeten UDP-Port blockiert. Es ist auf vielen Plattformen verfügbar, steht aber im Verdacht, vom amerikanischen Geheimdienst NSA kompromittiert zu sein.

Das Point-to-Point Tunneling Protocol (PPTP) wurde lange Zeit von Microsoft für firmeninterne VPNs verwendet und war das erste von Windows unterstützte VPN-Protokoll, weshalb es sehr weit verbreitet war. Aufgrund schwerwiegender Sicherheitslücken im Protokoll und der Anfälligkeit der eingebauten Verschlüsselungsmethoden wird heute generell von der Verwendung von PPTP als VPN-Protokoll abgeraten.

Das Secure Socket Tunneling Protocol (SSTP) stammt ebenfalls von Microsoft und wurde speziell für den Einsatz in sogenannten End-to-Site-Szenarien entwickelt. In diesem Fall soll der Computer eines Mitarbeiters von zu Hause aus, geschützt durch einen VPN-Tunnel, Zugriff auf das Firmennetzwerk erhalten.

SSTP nutzt zur Verschlüsselung die in TLS verfügbaren kryptografischen Verfahren wie AES und ChaCha20. SSTP gilt als sehr sicher und ermöglicht Clients den Zugang zu einem Netzwerk hinter einer Firewall. Es leidet daher nicht unter den typischen Problemen anderer VPN-Protokolle wie IPSec und PPTP. Allerdings führt die Spezialisierung auf ein einziges Nutzungsszenario auch zu einer eher geringen Bedeutung im Wettbewerb der VPN-Protokolle.

VPN-Protokolle: auch eine Frage des Vertrauens

Bei VPN-Diensten, den verwendeten Protokollen und Verschlüsselungsmethoden geht es in erster Linie um Vertrauen. Man muss darauf vertrauen, dass der Dienst genau das tut, was er vorgibt zu tun, und man muss darauf bauen, dass die Schutzmaßnahmen auf dem neuesten Stand der Technik sind. Doch welches VPN-Protokoll ist nun das richtige für Sie?

Ist das Protokoll, das einem kontinuierlichen und transparenten Audit-Prozess unterliegt, wie es bei Open-Source-Projekten üblich ist, vertrauenswürdiger? Oder setzen Sie auf das proprietäre Protokoll eines einzelnen Herstellers, das zwar genau auf den jeweiligen VPN-Dienst zugeschnitten ist, aber gleichzeitig hinter verschlossenen Türen entwickelt, optimiert und kontrolliert wird? Wenn es um reine Vertrauenswürdigkeit geht, haben Open-Source-basierte Lösungen aufgrund ihrer hohen Transparenz die Nase vorn.

Welches ist das beste VPN-Protokoll?

Die Frage nach dem besten Protokoll ist nicht so einfach zu beantworten. Grundsätzlich ist eine Auswahl zwischen mehreren Protokollen ideal, da der Nutzer so je nach Anwendungsfall mehrere Optionen hat. OpenVPN bietet den besten Kompromiss aus Stabilität, Sicherheit und Geschwindigkeit und ist für viele Anwendungsszenarien geeignet. Dicht gefolgt von dem zukunftsträchtigen WireGuard, das mit ausgefeilten Sicherheitsmerkmalen und einer rasanten Geschwindigkeit punktet.

Viele VPN-Anbieter haben die Schwachstelle mit statischen IP-Adressen bereits überbrückt. Dennoch sollten Sie bedenken, dass WireGuard noch nicht ganz ausgereift ist. IKEv2 eignet sich besonders für mobile Verbindungen, zum Beispiel mit einem Smartphone. Langfristig könnte WireGuard jedoch IKEv2 überlegen sein, denn eine der Stärken von WireGuard ist der Schutz vor plötzlichen Netzwechseln, etwa von WLAN zu LTE.

David West
Autor bewerten
VPN heroes