Lesezeit ca. 12 Min.
arrow_back

Sicherer Handschlag


Logo von IT Administrator
IT Administrator - epaper ⋅ Ausgabe 7/2022 vom 30.06.2022

VPN auf Open-Source-Basis

Artikelbild für den Artikel "Sicherer Handschlag" aus der Ausgabe 7/2022 von IT Administrator. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: IT Administrator, Ausgabe 7/2022

D ie Zeiten überfüllter Büros sind vielerorts vorbei. Großkonzerne werben längst mit Remote-only-Arbeitsplätzen und stoßen auf große Nachfrage. Wer dieser Entwicklung nicht folgt, dürfte in absehbarer Zeit große Probleme bekommen, offene Positionen im Unternehmen zu besetzen – die Verweigerung hoher Home-Office-Anteile wird letztlich zum Problem in Sachen Personalakquise.

Besonders kleine und mittelständische Unternehmen stellt es aber vor große Herausforderungen, künftig Arbeitsplätze mit hohem Anteil an Telearbeit anzubieten. Nicht nur, dass sie sich an neue Kommunikationsregeln gewöhnen müssen, weil das Zurufen über den Schreibtisch nicht mehr klappt: Auch die Technik entwickelt sich zur Hürde. Wo Großkonzerne längst auf leistungsfähige VPN-Lösungen setzen oder gleich Zero-Trust-Prinzipien etablieren, fragen KMU sich, wie sich VPN möglichst kostengünstig und ...

Weiterlesen
epaper-Einzelheft 10,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von IT Administrator. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1050 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 7/2022 von Mobil bis der Musk kommt!. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Mobil bis der Musk kommt!
Titelbild der Ausgabe 7/2022 von Gefahr aus dem Browser. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Gefahr aus dem Browser
Titelbild der Ausgabe 7/2022 von Tunnelbauer. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Tunnelbauer
Titelbild der Ausgabe 7/2022 von Sicher angebunden. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Sicher angebunden
Mehr Lesetipps
Blättern im Magazin
Cloud? Aber sicher!
Vorheriger Artikel
Cloud? Aber sicher!
Verzettelte Angelegenheit
Nächster Artikel
Verzettelte Angelegenheit
Mehr Lesetipps

... Admin-freundlich umsetzen lässt.

Open-Source-Software eilt hier zu Hilfe.

Denn es existieren mehrere quelloffene Werkzeuge, die mit verhältnismäßig schmalbrüstiger Hardware auskommen und dennoch hohe Benutzerzahlen ebenso ermöglichen wie große Mengen parallel zu transportierender Daten. Einige der Tools setzen auf etablierte Standards, andere implementieren ein eigenes Protokoll. Zwischen den einzelnen Angeboten gibt es entsprechend Nuancen im Hinblick auf die unterstützten Funktionen. Fünf Ansätze stellt dieser Artikel vor: Neben LibreSwan und OpenVPN sind das Pritunl, SoftEther VPN und das noch relativ junge WireGuard.

Hardwareunterbau muss stimmen

Bevor es um die Software geht, dürfen ein paar Worte zur genutzten Hardware allerdings nicht fehlen. Denn die entscheidet logischerweise über Erfolg oder Misserfolg der genutzten Werkzeuge. Eher nebulös ist bei vielen Angeboten allerdings die auf der Website zu findende Angabe zu den Hardwareanforderungen. Doch so viel gleich vorweg: Auch kleine und mittelständische Unternehmen sollten sich mit dem Gedanken anfreunden, zumindest etwas Geld in die Hardware für die eigene VPN-Umsetzung zu investieren.

In der Theorie wäre es zwar möglich, ein VPN auf einem bereits bestehenden System mit anderen Aufgaben zu betreiben.

Dann knabbert das VPN-Werkzeug allerdings natürlich an dessen Ressourcen.

Obendrein entstehen möglicherweise Probleme im Security-Kontext. Denn ein VPN-Server muss unmittelbar vom Internet aus erreichbar sein, auch wenn es nur per Portweiterleitung ist. Im Sinne der Trennung der Verantwortlichkeiten ist es ratsam, dass Einbrecher in andere Dienste nicht zugleich Zugriff auf den VPN-Server erhalten, der ihnen letztlich den Zugang zum gesamten Netz ebnen würde.

Die gute Nachricht ist, dass für den Betrieb eines VPN-Servers keine hochperformante Hardware nötig ist. RAM und verfügbarer Speicherplatz sind beinahe egal; jede halbwegs aktuelle "Pizzabox" (also ein 1-HE-Server mit halber Bautiefe) sollte hier ebenso allen Anforderungen genügen wie Intel-NUCs oder ein Microserver von HP. NUC steht übrigens für "Next Unit of Computing", gemeint ist damit ein kleiner Formfaktor mit minimaler Standfläche. Etwas kniffeliger wird es bei der benötigten CPU: Die sollte je-denfalls halbwegs modern sein und einige Crypto-Algorithmen unterstützten, etwa AES-NI. OpenVPN gibt an, dass etwa 12

MHz pro MByte Datendurchsatz benötigt werden. Eine Vier-Kern-CPU mit 3 GHz könnte mithin 12.000 MHz insgesamt liefern, was in etwa 1000 MBit/s entspricht. Ein GBit/s Durchsatz dürfte für die meisten Unternehmen bereits ausreichen.

Ein Intel-NUC mit Core-i5-CPU, 16GByte RAM sowie 512 GByte Flash-basiertem Speicherplatz schlägt mit knappen 700 Euro zu Buche und wäre ein passender Kandidat. Praktisch: NUCs sind klein, leise und stromsparend, lassen sich also durchaus im Büro direkt betreiben und bleiben damit im örtlichen Zugriff – gerade bei VPNs ist das ein wichtiger Faktor.

Anschluss im Idealfall synchron

Nicht ganz unwichtig ist im VPN-Kontext die Leitung, mittels derer ein VPN-Gateway seine Verbindung zum Internet herstellt. Wenn das Gateway direkt im Büro steht, teilen sich VPN-Nutzer und die Menschen im Büro denselben Uplink, vor allem jedoch denselben Downlink. Im VPN-Kontext ist der mindestens so wichtig wie der Uplink, weil eingehende VPN-Daten ja erst einmal durch das VPN-Gateway ins Firmennetz kommen müssen.

Asymmetrisches DSL ist hier eigentlich nicht der richtige Ansatz, zumindest wenn der Uplink nicht entsprechend leistungsfähig ist. Synchrone Anschlüsse per Glasfaser mit fester IP wären das Nonplusultra. Eine generelle Empfehlung ist an dieser

Stelle nur schwer möglich. Administratoren sollten stattdessen festlegen, wie viele VPN-Clients sie maximal gleichzeitig bedienen müssen und welchen Durchsatz diese in Summe produzieren werden. Anhand dieser Information sollten sie sich dann um einen passenden Uplink kümmern.

LibreSwan: Der Altvordere

Los geht es nun endlich mit der eigentlichen Software. Wer bereits ein paar Jahre Erfahrung im Umgang mit Linux vorweisen kann, hat im VPN-Kontext garantiert schon einmal von Schwänen gehört:

StrongSwan, OpenSwan, LibreSwan [1].

Im Kern gehen diese alle auf das gleiche Ursprungsprojekt zurück, haben sich mit der Zeit aber aus technischen oder menschlichen Gründen voneinander abgespalten.

LibreSwan gilt heute als der Standard, der allen aktuellen Linux-Distributionen beiliegt. Im Kern handelt es sich hierbei um das klassische IPsec-Protokoll mit IKE v2, das viele Betriebssysteme ab Werk tatsächlich nutzen können (etwa macOS, Windows oder Android und natürlich die meisten Linux-Distributionen).

LibreSwan gilt als etablierter, stabiler und zuverlässiger Standard, kommt allerdings mit einem gewaltigen Haken daher: Die Software steht nicht gerade im Verdacht, herausragend angenehm in der Handhabung zu sein. Was nicht unbedingt nur LibreSwan zu verantworten hat, sondern zum Teil ganz banal am IPsec-Protokoll liegt. Das war von Anfang an etwa darauf ausgelegt, X.502-Zertifikate zu nutzen, statt die aus Anwendersicht deutlich freundlichere Variante mit der Authentifizierung über einen Benutzernamen und ein Passwort. Entsprechend kompliziert gestaltet sich die Inbetriebnahme eines LibreSwan-Servers unter Linux, im Beispiel etwa unter Ubuntu 22.04.

Grafische Konfigurationswerkzeuge stehen nicht zur Verfügung, alle Vorgaben sind also in der Konfigurationsdatei "/etc/ipsec.conf " zu hinterlegen. Bevor der Administrator an diese aber auch nur denkt, setzt er im Idealfall eine private Certificate Authority (CA) für SSL auf, denn ohne die lässt sich IPsec wie beschrieben deutlich schwieriger sicher betreiben. Für jeden gewünschten Client ist dann ein Zertifikat auszustellen und an diesen auszuliefern. Im IPsec-Server ist die lokale CA gleichzeitig als Autorität für die Gültigkeit der Client-Zertifikate zu hinterlegen. Einmal so weit gekommen, ist der Rest der Konfiguration Schema F und recht einfach – wenn der Admin die Arbeit mit Dateien auf der Kommandozeile gewohnt ist.

Der große Vorteil von IPsec besteht wie beschrieben darin, dass praktisch alle gängigen Betriebssysteme am Markt bereits einen Client dafür mit an Bord haben. Der Admin erspart sich also die Arbeit, eine zusätzliche VPN-Software auf sämtlichen zu verwaltenden Geräten zu installieren.

Eine Anleitung in Textform oder die eigenhändig oder per Automation durchgeführte Konfiguration der Clients genügt, um diesen den Zugang zu VPN zu ermöglichen. Wer auf den Luxus einer grafischen Konfiguration verzichten kann und kein Problem mit dem Betrieb einer SSL-CA für die Zertifikate der Clients hat, bekommt in Form von LibreSwan ein stabiles, performantes und zuverlässiges Werkzeug.

OpenVPN: Der Langzeitstandard

Zum Gründungsmythos von OpenVPN [2] gehört bis heute, dass die Software entstanden ist, weil genervte Admins und genervte Nutzer die IPsec-Konfiguration mit den Vorgängern von LibreSwan nicht auf die Reihe bekamen. OpenVPN unterscheidet sich in mancherlei Hinsicht deutlich von IPsec, obwohl auch dieses Tool nur per Konfigurationsdatei mit den passenden Parametern zu versehen ist.

Immerhin ist die Konfigurationsdatei bei OpenVPN deutlich "lesbarer", kommentiert und mit Beispielen versehen, sodass Admins zumindest ungefähre Ansatzpunkte haben. Im Netz finden sich zudem etliche Anleitungen für die OpenVPN-Konfiguration. Praktisch: Der OpenVPN-Server steht sowohl für Linux als auch für alle UNIX-basierten und UNIX-artigen Betriebssysteme zur Verfügung. Ein Admin ist also nicht zwangsläufig auf ein Linux-Grundsystem festgenagelt.

Weniger praktisch: OpenVPN-Clients finden sich nicht durchgehend auf den gängigen Betriebssystemen. Manche Android-Smartphones kommen mit vorinstalliertem OpenVPN daher, auf Windows und macOS fehlt ein OpenVPN-Client hingegen ab Werk. Das lässt sich relativ leicht kompensieren: Tunnelblick für macOS etwa ist ebenso freie Software wie der offizielle OpenVPN-Client für Windows, und beide Programme lassen sich problemlos aus der Ferne oder per Automation ausrollen sowie mit einer Konfiguration versehen. Gerade letzterer Teil ist auch bei OpenVPN allerdings etwas mühsam, denn wie LibreSwan akzeptiert OpenVPN seine Settings ausschließlich in Form einer Konfigurationsdatei.

Front-Ends wie Tunnelblick versuchen das zum Teil abzufedern, für komplexere Einstellungen braucht der Netzwerkverantwortliche aber fast immer einen Editor.

Und davon gibt es in OpenVPN einige, denn der gebotene Funktionsumfang entspricht in weiten Teilen jenem von LibreSwan oder übersteigt diesen sogar. Benutzerauthentifizierung ohne Schlüssel sieht OpenVPN ebenso vor wie volle Unterstützung für X.501-Zertifikate. Auch Site-to-Site-Verbindungen, etwa um zwei Büros miteinander zu verbinden, sind kein Problem.

Ebenfalls sehr hilfreich ist der Umstand, dass OpenVPN mit weitem Abstand zu den erprobtesten und alteingesessenen Werkzeugen am Markt gehört, sodass Admins wie Nutzer hier vor Überraschungen gefeit sind. In Summe präsentiert OpenVPN sich als stabiler, ausgereifter Helfer mit gewissen Defiziten bei der Handhabung insbesondere durch Endanwender. Clients stehen für alle gängigen Betriebssysteme zur Verfügung, müssen aber gegebenenfalls erst installiert werden. Wenn das kein Problem ist, finden Admins in OpenVPN eine zuverlässige VPN-Anwendung mit moderaten Hardwareanforderungen.

Pritunl: OpenVPN in schön

Der nächste Proband im Vergleich ist Pritunl [3] und unterscheidet sich von Libre-Swan wie von OpenVPN vor allem dadurch, besonders anwenderfreundlich sein zu wollen. Wo Admins bei den anderen beiden Werkzeugen zum Editor greifen, treffen sie bei Pritunl sowohl auf der Server- als auch auf der Clientseite auf eine grafische Anwendung, mittels derer sich die notwendigen Konfigurationseinstellungen schnell vornehmen lassen. Durchaus interessant: Unter der Haube bietet Pritunl gleich drei verschiedene VPN-Protokolle an, nämlich OpenVPN, IPsec oder WireGuard. Das Rad in Sachen VPN-Protokoll völlig neu erfunden haben die Pritunl-Entwickler nicht, doch fügen sie den etablierten Programmen allerlei schmückendes Beiwerk hinzu.

Gängigen Betriebssystemen und Linux-Distributionen liegt Pritunl in der Regel nicht bei. Der erste Weg des Administrators führt also auf die Website des Herstellers. Hier stehen sowohl Server- als auch Clientanwendungen für eine breite Auswahl an Systemen zur Verfügung. Mobile Clients für Android oder iOS (und tabletOS) finden sich in den App-Stores von Google und Apple.

Das Serversetup verläuft zunächst eher unerwartet: Pritunl benötigt nämlich MongoDB im Hintergrund, um überhaupt zu funktionieren. Der eine oder andere Admin wundert sich hier vermutlich, doch ist des Rätsels Lösung schnell gefunden:

Pritunl-Instanzen lassen sich zu einem Cluster mit Hochverfügbarkeitsfunktionen zusammenschalten. Dazu müssen sie sämtliche Details über verbundene Clients und die aktuelle Konfiguration untereinander synchron halten. Die Pritunl-Entwickler haben dafür aber keinen eigenen Mechanismus implementiert, sondern halten sich in Form von MongoDB an etablierte Software.

Praktisch: Nach der Installation des Pritunl-Servers begrüßt den Administrator ein Konfigurationsassistent. Mit diesem sind alle notwendigen Einstellungen schnell erledigt, zumal sich die Menge der Daten, die Pritunl erfragt, in Grenzen hält. Auch Pritunl bietet mehrere Möglichkeiten im Hinblick auf kryptografische Schlüssel und verwendbare Authentifizierungsmechanismen; eine lokale Datenbank aller aktiven Nutzer ist allerdings der Standard.

Ähnlich komfortabel gelingt die Installation der Clients, denn auch hier gibt es einen Konfigurationsassistenten. Insgesamt ist die Einrichtung von VPN-Verbindungen mit Pritunl so leicht, dass selbst unerfahrene Anwender sie meistens in den Griff bekommen sollten – zumindest mit einer entsprechenden Anleitung vom Admin. In Summe präsentiert Pritunl sich als äußerst benutzerfreundliche, zuverlässige VPN-Anwendung für Client-zu-Server- und für Server-zu-Server-Verbindungen.

Einen Haken hat die Sache allerdings: Zwar ist der Pritunl-Quelltext auf GitHub offen einsehbar. Die ausgelieferte Lizenz entspricht allerdings klar nicht den Kriterien quelloffener Software. Verboten sind etwa die Modifikation des Server-Quelltexts ebenso wie die Weitergabe modifizierter Quellen von Pritunl an Dritte.

Obendrein muss der Administrator sich bei der Pritunl-Nutzung gegebenenfalls mit dessen kommerziellem Geschäftsmodell befassen. Die "Free"-Edition von Pritunl ermöglicht zwar klassische VPN-Verbindungen zwischen einem Server und beliebig vielen Clients. Wer jedoch spezielle Funktionen braucht, muss zu den Bezahlvarianten greifen.

Wirklich interessant ist hier eigentlich nur die Enterprise-Variante, denn nur diese bietet Features wie Site-zu-Site-Verbindungen oder einen Bridging-VPN-Modus als Alternative zum klassischen NAT, das andernfalls zum Einsatz kommt. Die kostet dann allerdings knappe 800 US-Dollar pro Jahr, was das Budget kleiner Unternehmen vermutlich sprengt. Wer ohne diese Features leben kann, ist mit der kostenfreien Version aber gut bedient.

SoftEther VPN: Protokoll-Tausendsassa

Über seine Eigenschaft als Open-Source-Software gibt es bei SoftEther VPN [4] keine Zweifel – denn das Programm steht unter der Apache-Lizenz.

Das ist aber nicht der einzige Grund, Soft-Ether VPN in die Liste der potenziellen Werkzeuge für ein KMU-VPN aufzunehmen. Denn SoftEther VPN teilt sich mit Pritunl nicht nur einen großen Schatz an Funktionen, sondern bietet zum Teil sogar noch deutlich mehr Features.

Grundsätzlich unterteilte SoftEther VPN sich wie die anderen Tools in einen Clientund einen Serverteil. Der Serverteil beeindruckt durch die Vielzahl der unterstützten Protokolle. Einerseits kommt SoftEther VPN mit einem eigenen Protokoll daher, das virtuelles Layer-2-Ethernet über HTTPS herstellt. Das ist gerade dann besonders praktisch, wenn lokale Netzwerke, in denen Clients sich gerade befinden, nur bestimmte Ports zur Außenwelt geöffnet haben. In Hotel-WLANs findet sich ein derartiges Problem regelmäßig – die IPsec-Standardports oder jene von OpenVPN funktionieren dann nicht. Port 80 und Port 443 (HTTP und HTTPS) sind aber praktisch immer durchlässig, weil weite Teile des Internets andernfalls nicht nutzbar wären.

Der SoftEther-VPN-Server bietet zusätzlich klassisches IPsec per L2TP, Microsofts VPN-Konstrukt MS-SSTP sowie OpenVPN. Anwendern steht es also frei, den SoftEther-Client auf ihrem Gerät zu installieren, um das native SoftEther-Protokoll zu nutzen. Wer ein Betriebssystem mit einem bereits vorhandenen VPN-Client verwendet, setzt alternativ darauf und erspart sich die Installation zusätzlicher Software.

Nicht ganz so prall präsentiert sich bei SoftEther VPN dafür die Art und Weise, wie der Admin zu einer validen Konfiguration kommt. Ein rudimentäres UI zur Konfiguration per Browser existiert zwar, bietet bisher allerdings nicht sonderlich viele Features und sieht nicht gerade schick aus. Wesentlich komfortabler ist der Server Manager für SoftEther VPN, der allerdings nur unter Windows zur Verfügung steht. Wer den Server unter Linux betreiben will, sieht sich einmal mehr auf die Shell verwiesen. Immerhin: In einer ausführlichen Beispieldatei dokumentieren die Entwickler die einzelnen Optionen ausführlich. Grundsätzlich allerdings wäre hier durchaus Luft nach oben.

Insgesamt präsentiert SoftEther VPN sich als ausgesprochen vielseitige und sehr performante VPN-Implementierung mit breiter Unterstützung aller gängigen stationären sowie mobilen Betriebssysteme. Von der etwas hakeligen Servereinrichtung auf Linux abgesehen, ist die Software leicht und intuitiv zu bedienen. Auch SoftEther VPN verdient bei Bedarf also eine genauere Evaluation. Einen ausführlichen Workshop zu SoftEther rund um die Themen Server- und Client-Installation sowie Administration lesen Sie ab Seite 76.

WireGuard: Der junge Wilde

Zwar ist der Begriff WireGuard [5] bereits im Pritunl-Kontext gefallen, doch bedingt die Software, die zuvorderst ein VPN-Protokoll und weniger ein Programm ist, trotzdem einer genaueren Betrachtung. Anders als IPsec und OpenVPN hat das Protokoll nämlich erst ein paar Jahre auf dem Buckel, was kein Zufall ist: Wire-Guard ist nämlich exakt vor dem Hintergrund entstanden, dass seinen Erfindern IPsec zu alt, zu träge und zu kompliziert war und OpenVPN nach Meinung der WireGuard-Autoren nicht genug Dampf unter der Haube hat. Anders formuliert: WireGuard soll sowohl IPsec als auch OpenVPN gerade beim Thema Performance überflügeln, dabei aber leicht und intuitiv zu konfigurieren und universell einsetzbar sein.

Konkret bedeutet das: Ein WireGuard-Server kann nicht nur in der Theorie deutlich mehr Clients gleichzeitig bedienen, als es bei IPsec oder OpenVPN der Fall wäre, sondern auch in der Praxis. Dazu setzt das Werkzeug auf eine Kombination aus optimiertem Code, besserer Nutzung vorhandener Hardware und auf deutlich effizientere Algorithmen zur Verschlüsselung.

Grundsätzlich anders als bei den etablierten Angeboten funktioniert bei Wire-Guard zudem das Handling von Paketen und ihre Verschlüsselung. Das Tool setzt dabei auf ein Prinzip, das jenem von SSH sehr ähnlich ist: Clients werden mit dem öffentlichen Teil ihres kryptografischen Schlüssels und einer fixen, privaten IP-Adresse statisch in der Konfigurationsdatei vermerkt. Beim Senden von Paketen an den Server nutzen sie den privaten Schlüssel. Stellt der Server erfolgreich eine Verbindung zwischen Schlüssel und eingehender IP-Adresse her, nimmt er das Paket an und leitet es weiter, muss es selbst jedoch nicht entschlüsseln. So entsteht eine Art VPN-Mesh. Obendrein ist WireGuard ausschließlich UDP-basiert, sodass Clients bei der Kommunikation mit dem Server gar keine persistierende Verbindung aufbauen. WireGuard wird dann "stateless", selbst wenn das bei genauerer Betrachtung nur zum Teil stimmt. Davon profitieren sowohl Latenz als auch Bandbreite deutlich.

Ursprünglich haben seine Entwickler WireGuard zwar für Linux erdacht, doch stehen mittlerweile eine Version für Windows, eine für macOS und sogar etliche Versionen für verschiedene BSD-Derivate zur Verfügung. Die Konfigurationsdatei ist nicht sehr komplex, doch sieht der Administrator sich einmal mehr auf die Kommandozeile statt auf ansehnliche UIs zurückgeworfen. Ausnahmen davon bilden naturgemäß die Clients, die meist ein zumindest rudimentäres GUI an Bord haben und darüber die Konfiguration möglich machen. Besonders elegant ist das in macOS gelöst, wo sich eine Verbindung per WireGuard einfach als VPN-Verbindung über die klassische Systemsteuerung einrichten lässt.

In Summe hinterlässt WireGuard einen guten Eindruck. Technisch ist das Werkzeug mit Abstand das modernste am Markt, was sich bei Performance und Sicherheit bemerkbar macht. Luft nach oben gibt es bei der Konfiguration insbesondere des Servers, der sich selbst unter Windows nur per Textdatei und Kommandozeile einrichten lässt. Falls das keine Hürde für das ausführende Personal darstellt, ist WireGuard aber als Alternative zu IPsec oder OpenVPN einen Blick wert.

Fazit

KMU sind in der komfortablen Situation, aus einer Vielzahl von Möglichkeiten für das eigene VPN wählen zu können. Libre-Swan dürfte dabei wegen seiner Komplexität noch am ehesten ins Hintertreffen geraten. Selbst OpenVPN, das ebenfalls keine GUIs bietet, ist in Summe nämlich deutlich einfacher einzurichten. Pritunl glänzt mit vielen Features, das Preismodell und die nicht ganz offene Lizenz stoßen manche Anwender aber möglicherweise ab. Soft-Ether VPN präsentiert sich als ebenso robustes wie leicht handhabbares Werkzeug für gleich mehrere VPN-Protokolle.

WireGuard schließlich dürfte sich als VPN der Zukunft etablieren, weil das Protokoll schlank und elegant ist und deutlich mehr Performance bei weniger Hardwarebedarf bietet. Wer also keine teure VPN-Appliance kaufen möchte, muss das definitiv auch nicht tun und findet in der Open-Source-Community gute, belastbare Alternativen. (ln)

Link-Codes

[1] LibreSwan m7z51

[2] OpenVPN m7z52

[3] Pritunl m7z53

[4] SoftEther VPN m7z91

[5] WireGuard m7z55