WireGuard – Eine praktische Anleitung

WireGuard ist ein experimentelles VPN-Protokoll, das in der VPN-Welt für ziemlich viel Aufregung sorgt.

Es ist extrem leicht (mit nur 3782 Codezeilen), was es viel schneller macht als herkömmliche VPN-Protokolle wie OpenVPN und IPsec. Die Kürze des Codes erleichtert auch die Prüfung, und da er bewährte kryptografische Primitive verwendet, sollte er sehr sicher sein.

WireGuard hat daher ein großes Potenzial, befindet sich aber noch in der Versuchs- und Entwicklungsphase. Es wurde noch nicht ordnungsgemäß auf Sicherheitsprobleme geprüft, und das Fehlen eines sicheren Schlüsselfreigabesystems über Server hinweg verhindert derzeit eine weit verbreitete kommerzielle Einführung.

Dieses letzte Problem könnte gelöst werden, indem ein herkömmlicheres Kryptosystem mit öffentlichem Schlüssel wie RSA verwendet wird, um Schlüssel zu verteilen. Dies würde jedoch die Komplexität erhöhen und somit viele der Vorteile der Verwendung von WireGuard von vornherein zunichte machen.

WireGuard ist daher ein Work in Progress. Dennoch ist es sehr interessant, dass einige Anbieter beginnen, mit dem neuen Protokoll zu experimentieren. Und mit besonderem Dank an NordVPN freuen wir uns sehr, die Gelegenheit zu haben, einen praktischen Blick darauf zu werfen.

Bitte lesen Sie auch Was ist das WireGuard VPN-Protokoll? für einen detaillierteren Blick auf die Theorie hinter diesem neuen VPN-Protokoll.

Verwenden von WireGuard

Derzeit ist WireGuard offiziell für Android und Linux verfügbar, obwohl eine baldige Unterstützung für Windows und iOS versprochen wird. Es ist auch für die macOS-Befehlszeile mit Homebrew oder MacPorts verfügbar.

Eine Alternative zu den offiziellen Clients ist TunSafe. Dies wurde als Handelsunternehmen entwickelt, und seine Software war ursprünglich natürlich geschlossen. TunSafe bietet immer noch einen kommerziellen VPN-Dienst mit dem WireGuard-Protokoll an, das in alle seine Clients integriert ist (wenn auch derzeit kostenlos).

Die Software selbst wurde jedoch jetzt vollständig Open Source und kann mit beliebigen Konfigurationsdateien von Drittanbietern eingerichtet werden.

Wie wir sehen werden, ist die TunSafe-Software oft umfassender ausgestattet als die offiziellen Clients. Es ist in vollständiger GUI-Form für Windows, Android und iOS verfügbar.

Es kann auch über die Linux-, macOS- oder FreeBSD-Befehlszeile ausgeführt werden. Dies erfordert das Kompilieren aus der Quelle, aber dafür werden einfache und leicht verständliche Anweisungen bereitgestellt.

Linux

Der offizielle WireGuard-Client

WireGuard wurde speziell für den Linux-Kernel entwickelt. Der offizielle WireGuard-Client ist nur eine Befehlszeile und wird als Dienst im Terminal ausgeführt.

Abgesehen davon, dass einige Abhängigkeitsprobleme behoben werden müssen ($ sudo apt install wireguard openresolv linux-headers-$(uname -r) wireguard-dkms wireguard-tools hat es geschafft), ist die Installation und Verwendung sehr einfach.

Das WireGuard-Protokoll verfügt über vollständiges IPv4- und IPv6-Routing innerhalb des VPN-Tunnels. Wir haben keinerlei DNS-Lecks festgestellt, wenn es auf irgendeiner Plattform verwendet wird, aber es wird berichtet, dass TunSafe für Windows IPv6 über die Tun-Schnittstelle lecken kann (dazu später mehr).

Es gibt keinen integrierten Kill-Switch als solchen, aber einer kann erstellt werden, indem iptables-Befehle zur Konfigurationsdatei hinzugefügt werden.

Ein gutes Beispiel dafür, wie man dies manuell macht, das für alle WireGuard-Konfigurationsdateien gelten sollte, findet sich auf Mullvads WireGuard-Setup-Seite. Oder ein VPN-Anbieter kann die Befehle einfach zu seinen Standard-Konfigurationsdateien hinzufügen.

Wie bereits erwähnt, kann der grundlegende WireGuard-Client auch unter macOS mit Homebrew oder MacPorts ausgeführt werden.

TunSafe

Um TunSafe unter Linux auszuführen, müssen Sie den Quellcode selbst kompilieren. Glücklicherweise ist dies bei weitem nicht so beängstigend, wie es sich anhört. Die Anweisungen auf der Website sind sehr klar, und wir hatten den Befehlszeilen-Daemon in nur wenigen Minuten zum Laufen gebracht.

Es muss jedoch gesagt werden, dass wir keinen Vorteil darin sehen, TunSafe gegenüber dem offiziellen Linux-Client zu verwenden. TunSafe kann auch aus dem Quellcode für macOS und FreeBSD kompiliert werden.

Android

Die offizielle WireGuard-App

Die offizielle Android-App ist über die F-Droid-Website verfügbar.

Was der App an Funktionen fehlt (sie hat nicht wirklich welche), macht sie durch die Benutzerfreundlichkeit wieder wett. Mit dem, was wir uns vorstellen, wird die Standardmethode zur Konfiguration von WireGuard-Einstellungen, NordVPN lieferte uns Bilder mit QR-Codes für seine experimentellen WireGuard-Server.

Alles, was wir tun mussten, war, diesen Code für jeden Server mit der Kamera unseres Telefons zu scannen, und ta-da! Die Einrichtung war abgeschlossen. Es ist auch möglich, Setup-Dateien manuell hinzuzufügen oder sogar eigene zu erstellen.

Und das ist wirklich alles, was die App zu bieten hat. Einmal eingerichtet, wurde es sofort verbunden und funktionierte genau so, wie es sollte.

Die TunSafe VPN-App

Jetzt, da es Open Source ist, ist TunSafe eine gute Alternative zur offiziellen Android-App. Die Kernfunktionalität der App ist nahezu identisch mit der offiziellen Open-Source-App, auf der sie basiert. Als solches kann es so konfiguriert werden, dass es über QR-Code und Konfigurationsdateien eine Verbindung zu beliebigen WireGuard-Servern herstellt oder von neuem erstellt.

Der Hauptunterschied besteht darin, dass TunSafe auch einen VPN-Dienst betreibt, sodass Sie standardmäßig die Möglichkeit haben, sich mit den VPN-Servern von TunSafe zu verbinden. Obwohl es sich letztendlich um ein kommerzielles Unternehmen handelt, ist TunSafe VPN derzeit zu 100 % kostenlos nutzbar. Nach 30 Tagen ist die Bandbreite für TunSafe-Server jedoch auf 1 GB/Tag begrenzt.

Es gibt keine Begrenzung bei der Verwendung von Konfigurationsdateien von Drittanbietern, die über die Gebühren der Serverbetreiber hinausgehen. Gemäß seiner Datenschutzrichtlinie ist TunSafe VPN ein No-Logs-Dienst.

Im Gegensatz zur offiziellen App verfügt TunSafe für Android über einen Kill-Switch und Split-Tunneling („ausgeschlossene Apps“). Es kann auch Ping-Zeiten zu seinen eigenen Servern anzeigen, aber nicht zu denen von Drittanbietern. Für fortgeschrittene Benutzer ist es möglich, selbst einen WireGuard-Server unter Linux einzurichten.

Windows

TunSafe

Zum Zeitpunkt des Schreibens ist die einzige Möglichkeit, WireGuard unter Windows auszuführen, die Verwendung von TunSafe. Wie OpenVPN benötigt TunSafe für Windows einen TAP-Ethernet-Adapter, um zu funktionieren.

Das Hauptproblem dabei ist, dass der TAP-Adapter IPv6-DNS-Anfragen außerhalb der VPN-Schnittstelle durchsickern lassen kann. Es wird daher dringend empfohlen, IPv6 in Windows zu deaktivieren, wenn Sie TunSafe für Windows verwenden.

Ein weiteres Problem ist, dass die Verwendung eines TAP-Adapters die Einfachheit von WireGuard noch komplexer macht. Was einem der Hauptvorteile der Verwendung von WireGuard etwas entgegenwirkt.

Der Client verwendet eine einfache GUI, die das Importieren einer WireGuard .conf-Datei sehr einfach macht. Es gibt keine Möglichkeit, Dateien per QR-Code zu importieren, aber das ist verständlich, da viele Windows-PCs keine Kameras haben.

Es bietet auch einen Killswitch, der entweder (Client-basierte) Routing-Regeln oder (System-)Firewall-Regeln verwenden kann, um zu arbeiten. Oder beides. Was sehr praktisch ist.

GUI Pre-Alpha

Im Mai 2022 Edge Security angekündigt Die offizielle Pre-Alpha von WireGuard für Windows ist noch ganz am Anfang, aber der GUI-Client zeigt die Richtung, in die das Projekt geht.

Das Wichtigste ist, dass im Gegensatz zum TunSafe-Client kein OpenVPN-TAP-Adapter benötigt wird. Der Client verwendet stattdessen Wintun, einen minimalen Layer-3-TUN-Treiber für Windows, der ebenfalls vom WireGuard-Team entwickelt wurde.

Ebenfalls bemerkenswert (und aus der GUI nicht sofort ersichtlich) ist, dass der Client über einen eingebauten automatischen „Kill-Switch“ verfügt, um den Datenverkehr außerhalb des VPN-Tunnels zu blockieren.

Darüber hinaus können wir bestätigen, dass der Wechsel zwischen den Tunneln ein sehr reibungsloser Prozess ist. Es sieht also alles sehr vielversprechend aus!

Geschwindigkeitstests

Neben der Einfachheit um seiner selbst willen besteht einer der größten Vorteile von WireGuard gegenüber OpenVPN darin, dass die zusätzliche Einfachheit WireGuard auch viel schneller machen sollte. Also haben wir einige Tests durchgeführt …

Wir haben uns dafür entschieden, Mullvad dafür zu verwenden, weil Mullvad Linux vollständig unterstützt. Es unterstützt auch WireGuard und OpenVPN auf denselben Servern (oder zumindest sehr ähnlichen Serverstandorten), was einen guten Like-for-Like-Vergleich ermöglicht.

Die Tests wurden mit speedtest.net durchgeführt, da unser eigenes Geschwindigkeitstestsystem OpenVPN-Dateien benötigt, um zu funktionieren. Alle Tests wurden in Großbritannien durchgeführt. Durchschnittliche Ping- (Latenz-) Raten sind in Klammern angegeben.

WireGuard sollte theoretisch viel schneller sein als OpenVPN. Aber das wird durch diese Tests nicht bestätigt. Es sollte jedoch daran erinnert werden, dass dies für die tatsächliche Implementierung von WireGuard noch sehr früh ist und dass Mullvad in Bezug auf die OpenVPN-Leistung blitzschnell ist.

Fazit

WireGuard ist derzeit noch nicht ausreichend auditiert und penetrationsgetestet, um es als ernsthafte Alternative zu sicheren VPN-Protokollen wie OpenVPN und IKEv2 zu empfehlen. Aber es sieht in der Tat sehr vielversprechend aus.

Es ist einfach einzurichten und zu verwenden, und in unseren Tests hat es sich schnell verbunden und eine sehr stabile Verbindung aufrechterhalten.

Auf dem Papier ist WireGuard viel funktionaler als OpenVPN. Unsere Testergebnisse können darauf zurückzuführen sein, dass sich die vollständige Implementierung noch im Prototypenstadium befindet, oder es kann an den Einschränkungen unserer Testumgebung liegen.

Sie wurden über WiFi ausgeführt, und der einzige WiFi-Anschluss, den wir derzeit haben, der mit Linux kompatibel ist, ist (etwas ironischerweise) ein sehr billiger 802.11g-Dongle, der etwa 5 US-Dollar kostet.

Machen Sie also aus unseren Geschwindigkeitstestergebnissen, was Sie wollen. Abgesehen davon waren wir sehr beeindruckt von den Fortschritten von WireGuard und können es kaum erwarten, weitere Verbesserungstests zu durchlaufen. Wer diese Begeisterung teilt, dem sind Spenden für das Projekt sehr willkommen.