WireGuard – Eine praktische Anleitung

WireGuard ist ein experimentelles VPN-Protokoll, das in der VPN-Welt für Aufregung sorgt.

Es ist extrem leicht (mit nur 3782 Codezeilen) und damit viel schneller als herkömmliche VPN-Protokolle wie OpenVPN und IPsec. Die Kürze des Codes erleichtert auch die Prüfung, und da er bewährte kryptografische Grundelemente verwendet, sollte er sehr sicher sein.

WireGuard hat daher ein großes Potenzial, befindet sich jedoch noch in der experimentellen und Entwicklungsphase. Es wurde noch nicht ordnungsgemäß auf Sicherheitsprobleme überprüft, und das Fehlen eines sicheren Systems zur gemeinsamen Nutzung von Schlüsseln auf allen Servern verhindert zu diesem Zeitpunkt eine weitverbreitete kommerzielle Einführung.

Dieses letzte Problem könnte gelöst werden, indem ein herkömmlicheres Kryptosystem mit öffentlichem Schlüssel wie RSA zum Verteilen von Schlüsseln verwendet wird. Dies würde jedoch die Komplexität erhöhen und somit viele der Vorteile des Einsatzes von WireGuard zunichte machen.

WireGuard ist daher noch in Arbeit. Es ist dennoch sehr interessant, dass einige Anbieter anfangen, mit dem neuen Protokoll zu experimentieren. Und mit besonderem Dank an NordVPN freuen wir uns sehr, die Gelegenheit zu haben, sie in die Hand zu nehmen.

Bitte beachten Sie auch Was ist das WireGuard VPN-Protokoll? Für einen genaueren Blick auf die Theorie hinter diesem neuen VPN-Protokoll.

WireGuard verwenden

Derzeit ist WireGuard offiziell für Android und Linux verfügbar, obwohl die Unterstützung für Windows und iOS in Kürze zugesagt wird. Es ist auch für die MacOS-Befehlszeile mit Homebrew oder MacPorts verfügbar.

Eine Alternative zu den offiziellen Kunden ist TunSafe. Dies wurde als Handelsunternehmen entwickelt, und seine Software war ursprünglich natürlich geschlossen. TunSafe bietet nach wie vor einen kommerziellen VPN-Dienst mit dem WireGuard-Protokoll an, der in alle seine Kunden integriert ist (wenn auch derzeit noch kostenlos)..

Die Software selbst wurde nun vollständig zu Open Source gemacht und kann mit Konfigurationsdateien von Drittanbietern eingerichtet werden.

Wie wir noch sehen werden, ist die TunSafe-Software häufig umfangreicher als die offiziellen Clients. Es ist in vollständiger GUI-Form für Windows, Android und iOS verfügbar.

Es kann auch von der Linux-, MacOS- oder FreeBSD-Kommandozeile ausgeführt werden. Dies erfordert das Kompilieren aus dem Quellcode, es werden jedoch einfache und leicht zu befolgende Anweisungen bereitgestellt.

Linux

Der offizielle WireGuard Client

WireGuard wurde speziell für den Linux-Kernel entwickelt. Der offizielle WireGuard-Client ist nur eine Befehlszeile und wird als Dienst im Terminal ausgeführt.

Abgesehen von der Notwendigkeit, einige Abhängigkeitsprobleme zu beheben ($ sudo apt install wireguard openresolv Linux-Header - $ (uname -r) wireguard-dkms wireguard-tools hat den Trick gemacht), ist die Installation und Verwendung sehr einfach.

Das WireGuard-Protokoll verfügt über ein vollständiges IPv4- und IPv6-Routing im VPN-Tunnel. Wir haben bei der Verwendung auf jeder Plattform keinerlei DNS-Lecks festgestellt, aber es wird berichtet, dass TunSafe für Windows IPv6 über die Tun-Schnittstelle lecken kann. (Mehr dazu später).

Es gibt keinen eingebauten Kill-Schalter als solchen, aber einer kann durch Hinzufügen von iptables-Befehlen zur Konfigurationsdatei erstellt werden.

Ein gutes Beispiel für die manuelle Ausführung, das für alle WireGuard-Konfigurationsdateien gelten sollte, finden Sie auf der WireGuard-Setup-Seite von Mullvad. Oder ein VPN-Anbieter kann die Befehle einfach zu seinen Standardkonfigurationsdateien hinzufügen.

Wie bereits erwähnt, kann der Basis-WireGuard-Client auch unter MacOS mit Homebrew oder MacPorts ausgeführt werden.

TunSafe

Um TunSafe unter Linux auszuführen, müssen Sie den Quellcode selbst kompilieren. Glücklicherweise ist dies bei weitem nicht so beängstigend, wie es sich anhört. Die Anweisungen auf der Website sind sehr klar und wir hatten den Befehlszeilendämon in nur wenigen Minuten zum Laufen gebracht.

Es muss jedoch gesagt werden, dass wir keinen Vorteil darin sehen können, TunSafe gegenüber dem offiziellen Linux-Client zu verwenden. TunSafe kann auch aus dem Quellcode für MacOS und FreeBSD kompiliert werden.

Android

Die offizielle WireGuard App

Die offizielle Android-App ist über die F-Droid-Website verfügbar.

Was der App an Funktionen fehlt (es gibt keine), wird durch die einfache Bedienung wieder wettgemacht. NordVPN hat uns nach unseren Vorstellungen Bilder mit QR-Codes für seine experimentellen WireGuard-Server zur Verfügung gestellt.

Alles, was wir tun mussten, war, diesen Code für jeden Server mit der Kamera unseres Telefons zu scannen, und ta-da! Setup war abgeschlossen. Es ist auch möglich, Setup-Dateien manuell hinzuzufügen oder sogar eigene zu erstellen.

Und das ist alles, was die App wirklich zu bieten hat. Einmal eingerichtet, stellte es sofort eine Verbindung her und funktionierte genau so, wie es sollte.

Die TunSafe VPN App

TunSafe ist jetzt Open Source und eine gute Alternative zur offiziellen Android-App. Die Kernfunktionalität der App ist nahezu identisch mit der offiziellen Open Source-App, auf der sie basiert. Daher kann es so konfiguriert werden, dass eine Verbindung zu einem beliebigen WireGuard-Server über QR-Code oder Konfigurationsdateien hergestellt oder aus neuen erstellt wird.

Der Hauptunterschied besteht darin, dass TunSafe auch einen VPN-Dienst ausführt, sodass Sie standardmäßig die Möglichkeit haben, eine Verbindung zu den VPN-Servern von TunSafe herzustellen. Obwohl es sich letztendlich um ein kommerzielles Unternehmen handelt, ist die Nutzung von TunSafe VPN derzeit zu 100% kostenlos. Nach 30 Tagen ist die Bandbreite für TunSafe-Server jedoch auf 1 GB / Tag begrenzt.

Bei der Verwendung von Konfigurationsdateien von Drittanbietern gibt es keine Einschränkungen, die über die Gebühren der Server-Betreiber hinausgehen. Laut Datenschutzbestimmungen ist TunSafe VPN ein No-Logs-Dienst.

Im Gegensatz zur offiziellen App verfügt TunSafe für Android über einen Kill-Switch und Split-Tunneling („ausgeschlossene Apps“). Es kann auch Ping-Zeiten für seine eigenen Server anzeigen, nicht jedoch für Server von Drittanbietern. Für fortgeschrittene Benutzer ist es möglich, einen WireGuard-Server selbst in Linux einzurichten.

Windows

TunSafe

Zum jetzigen Zeitpunkt ist die einzige Möglichkeit, WireGuard unter Windows auszuführen, die Verwendung von TunSafe. Wie OpenVPN benötigt TunSafe für Windows einen TAP-Ethernet-Adapter, um zu funktionieren.

Das Hauptproblem dabei ist, dass der TAP-Adapter IPv6-DNS-Anforderungen außerhalb der VPN-Schnittstelle verlieren kann. Es wird daher dringend empfohlen, IPv6 in Windows zu deaktivieren, wenn Sie TunSafe für Windows verwenden.

Ein weiteres Problem ist, dass die Verwendung eines TAP-Adapters die Einfachheit von WireGuard komplexer macht. Dies wirkt einem der Hauptvorteile von WireGuard etwas entgegen.

Der Client verwendet eine einfache GUI, wodurch der Import einer WireGuard .conf-Datei sehr einfach ist. Es gibt keine Möglichkeit, Dateien über QR-Code zu importieren. Dies ist jedoch verständlich, da auf vielen Windows-PCs keine Kameras vorhanden sind.

Es bietet auch einen Killswitch, der entweder (clientbasierte) Routing-Regeln oder (System-) Firewall-Regeln verwenden kann. Oder beides. Welches ist sehr praktisch.

GUI Pre-Alpha

Im Mai 2020 kündigte Edge Security die offizielle Pre-Alpha-Version von WireGuard für Windows an. Es ist noch sehr früh, aber der GUI-Client zeigt die Richtung an, in die das Projekt geleitet wird.

Das Wichtigste ist, dass im Gegensatz zum TunSafe-Client kein OpenVPN-TAP-Adapter erforderlich ist. Der Client verwendet stattdessen Wintun, einen minimalen Layer 3 TUN-Treiber für Windows, der ebenfalls vom WireGuard-Team entwickelt wurde.

Bemerkenswert ist auch, dass der Client über eine eingebaute Automatik verfügt (und auf der Benutzeroberfläche nicht sofort erkennbar ist) "Notausschalter" Verkehr außerhalb des VPN-Tunnels zu blockieren.

Darüber hinaus können wir bestätigen, dass das Wechseln zwischen Tunneln ein sehr reibungsloser Prozess ist. Alles sieht also sehr vielversprechend aus!

Geschwindigkeitstests

Neben der Einfachheit ist einer der größten Vorteile von WireGuard gegenüber OpenVPN, dass WireGuard durch die zusätzliche Einfachheit auch viel schneller wird. Daher haben wir einige Tests durchgeführt...

Wir haben uns für Mullvad entschieden, da Mullvad Linux vollständig unterstützt. Es unterstützt auch WireGuard und OpenVPN auf denselben Servern (oder zumindest an sehr ähnlichen Serverstandorten), was einen guten Vergleich zwischen zwei Servern ermöglicht.

Die Tests wurden mit speedtest.net durchgeführt, da für unser eigenes Geschwindigkeitstestsystem OpenVPN-Dateien erforderlich sind. Alle Tests wurden aus Großbritannien durchgeführt. Durchschnittliche Ping-Raten (Latenz) sind in Klammern angegeben.

Theoretisch sollte WireGuard viel schneller sein als OpenVPN. Dies wird durch diese Tests jedoch nicht bestätigt. Es sollte jedoch beachtet werden, dass dies noch sehr früh für die eigentliche Implementierung von WireGuard ist und dass Mullvad in Bezug auf die OpenVPN-Leistung sehr schnell ist.

Fazit

WireGuard wurde noch nicht ausreichend geprüft und auf Durchdringung getestet, um derzeit als ernstzunehmende Alternative zu sicheren VPN-Protokollen wie OpenVPN und IKEv2 zu empfehlen. Aber es sieht in der Tat sehr vielversprechend aus.

Es ist einfach einzurichten und zu verwenden und hat sich in unseren Tests schnell verbunden und eine sehr stabile Verbindung aufrechterhalten.

Auf dem Papier ist WireGuard viel funktionaler als OpenVPN. Unsere Testergebnisse sind möglicherweise darauf zurückzuführen, dass sich die vollständige Implementierung noch im Prototypenstadium befindet, oder auf die Einschränkungen unserer Testumgebung.

Sie wurden über WLAN durchgeführt, und der einzige WLAN-Anschluss, über den wir derzeit verfügen und der mit Linux kompatibel ist, ist (ironischerweise) ein sehr billiger 802.11g-Dongle, der etwa 5 US-Dollar kostet.

Machen Sie also aus unseren Geschwindigkeitstestergebnissen, was Sie wollen. Abgesehen davon waren wir sehr beeindruckt von den Fortschritten von WireGuard und können es kaum erwarten, weitere Verbesserungstests durchzuführen. Für alle, die diese Begeisterung teilen, sind Spenden an das Projekt sehr willkommen.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me