Mythos oder Fakt - WireGuard schneller als OpenVPN?

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
343
Punkte für Reaktionen
119
Punkte
43
Immer wieder lese ich hier im Forum, dass eine VPN-Verbindung über WireGuard schneller sei als über OpenVPN, so auch heute morgen in einem anderen Thread.
Leider werden keine Belege für diese Behauptung angegeben. Eigene Messungen wiederum haben ergeben, dass eine über OpenVPN gemappte SMB-Verbindung den vollen Up- und Downstream einer 100/50 VDSL-Verbindung ohne auffällige CPU-Last handeln kann. Dem gegenüber existiert das Problem, dass der WireGuard-Client unter Windows administrative Rechte zur Ausführung benötigt.
  • Wie sind eure Erfahrungen bzw. Messergebnisse mit den unterschiedlichen VPN-Verbindungen?
  • Was spricht aus eurer Sicht für das eine oder andere Produkt?
  • Wo gibt es Quellen für die angeblichen Performance-Unterschiede der beiden Produkte - oder sind die schlicht veraltet?
  • Sollte man die Behauptung "WireGuard ist schneller als OpenVPN" in Zukunft besser nicht mehr zitieren?
Welche sonstigen Pros und Contras fallen Euch ein?
 

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.976
Punkte für Reaktionen
791
Punkte
134
  • Like
Reaktionen: Hagen2000

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.648
Punkte für Reaktionen
5.820
Punkte
524
Fakt. Hatte beides im Einsatz, jetzt nur noch Wireguard.
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
OpenVPN:
  • Komplexere Konfiguration (Stichwort Zertifikate)
  • Höherer Ressourcenverbrauch / Schlechtere Performance (Architektur bedingt und mehr Overhead)
WireGuard:
  • Einfache Einrichtung (auf allen Clients!)
  • Schneller Verbindungsaufbau
  • Schlanke Architektur (nur ca. 4.000 Zeilen code (weniger ist hier mehr))

Findet sicherlich noch weiteres im Netz. Ich gebe WireGuard definitiv den Vorzug.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.874
Punkte für Reaktionen
1.153
Punkte
288
also ich weiss nicht was da gemeint ist mit einfacher Einrichtung

habe hier reingeschaut
https://www.wireguard.com/quickstart/

dies dann gleich wieder aufgegeben, diese Komplexität ist definitiv nichts für normale User
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.648
Punkte für Reaktionen
5.820
Punkte
524
Also ich finde die Einrichtung via Fritzbox und Mac sehr einfach.
 

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.976
Punkte für Reaktionen
791
Punkte
134
Ich denke, das ist ein Thema der Implementierung. Auf Fritzbox geht das wirklich sehr einfach. Wie bei allem ist die Installation auf der Linux Kommandozeile sehr aufwändig.

Wenn man aber sowas nimmt,

https://github.com/wg-easy/wg-easy

ist das wirklich easy.
 

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.152
Punkte für Reaktionen
740
Punkte
154
Oder wenn man das auf einem Raspi laufen lassen möchte, hilft PiVPN:
https://www.pivpn.io/

Vereinfacht das Ganze auch sehr...
 
  • Like
Reaktionen: Kachelkaiser

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.874
Punkte für Reaktionen
1.153
Punkte
288
das ist doch keine Vereinfachung, da muss zuerst ein Raspi her, dann muss man sich zuerst 6 ;Monate lang ausbilden drauf, sonst macht es gar nichts.
und dann wohl noch alles wieder kompliziert nach der Anleitung auf CLI konfigurieren.
Das ist doch keine Vereinfachung.
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
@ottosykora ich schrieb ja explizit Clients. Damit ist gemeint, wie die Configdateien zu dem jeweiligen Client kommen. Und da muss man letztlich sagen:
Die Sache mit dem QR-Code, der oftmals angeboten wird, ist schon die eleganteste Methode. IPSec, PPTP oder OpenVPN wurde mir das bislang nicht dargeboten.
 

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.942
Punkte für Reaktionen
1.265
Punkte
194
Ich nutze auch nur noch Wireguard, für LAN-LAN-Kopplung von Fritzboxen oder für die MacOS/iOS-Clients ist das recht einfach einzurichten. Mit einem Linux-System habe ich das auch noch nie ausprobiert. Das sah mir auch immer zu kompliziert aus, zumal ich meine Linuxsysteme (überwiegend Pi4 oder Pi5) ohnehin nicht außer Haus nutze.
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
343
Punkte für Reaktionen
119
Punkte
43
Schon mal vielen Dank soweit!
Der von @Kachelkaiser verlinkte Artikel bietet einen echten Geschwindigkeitsvergleich. Wobei mir doch ein paar Punkte aufgefallen sind, die mir nicht gefallen:
  • Einerseits benutzt der Autor eine Ethernetverbindung mit 500 Mbit/s, andererseits weist er für WireGuard ohne weiteren Kommentar Geschwindigkeiten bis 769 Mbit/s aus. Das ist für mich nicht konsistent.
  • Als VPN-Gegenstelle wird NordVPN an verschiedenen Standorten benutzt. Es bleibt offen, inwieweit diese Ergebnisse sich auf einen eigenen VPN-Server übertragen lassen.
  • Auf eine Messung der entstehenden CPU-Last hat er völlig verzichtet.
Die Einrichtung einer WireGuard VPN-Verbindung über die FRITZ!Box ist wirklich einfach gelöst. Ähnlich einfach funktioniert das übrigens auf einem geeigneten Speedport-Router. Letztlich ist ein niedrigschwelliger Zugang gerade für den Einstieg sehr hilfreich.
 
  • Like
Reaktionen: Kachelkaiser

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.198
Punkte für Reaktionen
1.147
Punkte
194
Hallo Hagen2000 ,

also der Test mit NordVPN ist sicher eher unglücklich .

Aber WG ist wirklich schneller.
Das merkst wenn du nen langsamen VPN Server hast .
Bestes Beispiel ist da eine Fritzbox . Da schaffst es je nach Leitung schon mit einer OpenVPN Verbindung die Büchse an die Grenze zu bringen.
Mit WG hast da mehr Reserven und kannst ne höhere Datenrate drüber schieben.

ISt alles auch immer abhänig von der eingestellten Verschlüsselung.


Und die Einrichtung von WG ist schon einfacher . Vorallem wenn du mehrer Clients und Tunnel hast .
Aber das kommt wirklich auch bisl auf den VPN Server na wie da der Hersteller das gelöst hat
 
  • Like
Reaktionen: Hagen2000

coldjack

Benutzer
Mitglied seit
09. Apr 2016
Beiträge
145
Punkte für Reaktionen
5
Punkte
18
Ich würde auch gerne wireguard nutzen. Nur bei einem cgnat Anschluss hab ich bisher keine Konfiguration gefunden, die das konfigurieren einfach macht. Sodass ich bei openvpn geblieben bin. Da gibt es mehrere Anleitungen. Auch bei einem ipv6 ohne eigne ipv4 Adresse. Wenn jemand eine gute Anleitung findet, würde ich mich freuen. Da openvpn schon langsam ist.
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
343
Punkte für Reaktionen
119
Punkte
43
Das merkst wenn du nen langsamen VPN Server hast .
Stimmt - mein relativ altes NAS schafft es als OpenVPN-Client nämlich nicht, die Geschwindigkeit des Internetanschlusses auszureizen. Hier geht die CPU auf hohe Last, zumal dann auch noch ein scp verwendet wird, der seinerseits nochmals die Daten verschlüsselt und vermutlich macht die CPU das alles in Software.
Wenn man das mit den Zertifikaten erst einmal aufgesetzt hat, ist aber das Hinzufügen weiterer Clients auch kein Hexenwerk mehr. Für ein Mobilgerät muss dann nur noch eine einzelne Konfigurationsdatei in der jeweiligen App geladen werden.
 
Zuletzt bearbeitet:

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.102
Punkte für Reaktionen
2.067
Punkte
259
… Mit einem Linux-System habe ich das auch noch nie ausprobiert. Das sah mir auch immer zu kompliziert aus, zumal ich meine Linuxsysteme (überwiegend Pi4 oder Pi5) ohnehin nicht außer Haus nutze.
Allgemein für Linux kann ich es nicht sagen.

Auf Raspis ist WG einrichten ein Kinderspiel: Pi-VPN umfasst inzwischen 2 Teile, einen für OpenVPN, einen für WG. Damit ist es eine Minutenaktion, um auf einem Raspi einen VPN-Zugang einzurichten.

Streng genommen ist es kein VPN-Server, weil WG vom Konzept her Peer2Peer angelegt ist. Bei mir versorgt ein Raspi-4 das ganze Heimnetzwerk mit einem WG-VPN-Zugang. Er kommt dabei nicht mal groß ins Schwitzen, weil WG sehr effizient ist.

Weniger als einen Raspi-4 würde ich nicht nehmen. Die älteren haben keine unabhängige Netzwerkschnittstelle, erst ab Raspi 4 ist echtes Gigabit-Ethernet an Bord.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.198
Punkte für Reaktionen
1.147
Punkte
194
Stimmt - mein relatives altes NAS schafft es als OpenVPN-Client nämlich nicht, die Geschwindigkeit des Internetanschlusses auszureizen. Hier geht die CPU auf hohe Last, zumal dann auch noch ein scp verwendet wird, der seinerseits nochmals die Daten verschlüsselt und vermutlich macht die CPU das alles in Software.

ein NAS als VPN Server zu nehmen ist allgemein nicht so perfekt.

VPN sollte immer ein Gateway und ein einzelnes VPN Device sein. Allein aus Sicherheitsgründen.
 
Zuletzt bearbeitet von einem Moderator:

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
343
Punkte für Reaktionen
119
Punkte
43
Ist ja so: "... mein relatives altes NAS schafft es als OpenVPN-Client ..."
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.198
Punkte für Reaktionen
1.147
Punkte
194
ach sorry, ni richig gelesen
 

Oliver_

Benutzer
Mitglied seit
09. Mai 2021
Beiträge
8
Punkte für Reaktionen
0
Punkte
1
Ich würde auch gerne wireguard nutzen. Nur bei einem cgnat Anschluss hab ich bisher keine Konfiguration gefunden, die das konfigurieren einfach macht. Sodass ich bei openvpn geblieben bin. Da gibt es mehrere Anleitungen. Auch bei einem ipv6 ohne eigne ipv4 Adresse. Wenn jemand eine gute Anleitung findet, würde ich mich freuen. Da openvpn schon langsam ist.

Dem schliesse ich mich an.

Bis dahin läuft der VPN Server auf der 118. Die exportierte VPN Konfig habe ich mittels der App Passepartout auf alle iOS Clients gebracht.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat