VPN-Alternativen – WireGuard, OpenVPN und IPsec im Vergleich
Von der alten Schule zur modernen Basis: Welche VPN-Technologie eignet sich für welchen Anwendungsfall – und warum WireGuard die Zukunft gehört.
SerieRemote Access
Teil 4 von 6
Virtuelle Private Netzwerke (VPNs) gibt es seit den 1990er Jahren. Sie entstanden aus der Notwendigkeit, sichere Verbindungen über öffentliche Netzwerke aufzubauen – lange bevor Homeoffice zum Standard wurde. Heute sind VPNs unverzichtbar für Standortvernetzung, sichere Fernzugriffe und Datenschutz.
Doch VPN ist nicht gleich VPN. Drei Technologien dominieren: IPsec, der alte Standard in Routern und Firewalls. OpenVPN, der Klassiker für flexible Client-Server-Setups. Und WireGuard, der moderne Herausforderer, der alles anders macht – einfacher, schneller, sicherer.
Welche Technologie eignet sich für welchen Anwendungsfall? Und warum sagen viele: WireGuard ist die Zukunft?
Warum VPNs überhaupt entstanden sind
Anfang der 1990er Jahre wurden Unternehmen digitaler. E-Mail, Datei-Austausch und später Webanwendungen liefen über Netzwerke. Doch wie verbindet man Standorte sicher miteinander? Wie greifen Außendienstmitarbeitende auf Unternehmensressourcen zu?
Die Lösung waren dedizierte Leitungen – gemietete Verbindungen zwischen Standorten. Teuer, unflexibel und nur für große Unternehmen erschwinglich.
Mit dem Aufkommen des Internets entstand eine Alternative: Virtuelle Private Netzwerke. Die Idee: Man nutzt das öffentliche Internet, verschlüsselt den Datenverkehr und simuliert ein privates Netzwerk. Sicher, flexibel, kostengünstig.
Bedeutung für KMU heute
Für kleine und mittlere Unternehmen sind VPNs heute Standard für:
Standortvernetzung (Site-to-Site): Büros in Berlin und München verbinden, als wären sie ein Netzwerk.
Homeoffice-Zugriff (Client-to-Site): Mitarbeitende greifen von zuhause auf Unternehmensressourcen zu.
Sichere Fernwartung: IT-Dienstleister verbinden sich mit Kundenservern.
Datenschutz: Öffentliche WLANs werden sicher nutzbar.
Der Wandel: Von Hardware zu Software
Früher waren VPNs Hardware-basiert: Dedizierte VPN-Appliances von Cisco, Juniper oder Fortinet. Teuer, aber robust und für IT-Experten designed.
Heute gibt es eine Vielzahl softwarebasierter, flexibler Lösungen: OpenVPN läuft auf jeder Linux-VM. WireGuard ist in den Linux-Kernel integriert. Sogar Fritzboxen und Ubiquiti-Router bieten integrierte VPN-Funktionen.
Die Frage ist nicht mehr: “Brauchen wir ein VPN?”, sondern: “Welche VPN-Technologie passt zu unseren Anforderungen?”
Grundprinzip eines VPN – Was passiert technisch?
Bevor wir die Technologien vergleichen, ein kurzer Blick auf die Grundlagen.
Verschlüsselung, Authentifizierung, Tunnelmechanismus
Ein VPN tut drei Dinge:
Verschlüsselung: Daten werden verschlüsselt, bevor sie über das Internet geschickt werden. Selbst wenn jemand den Traffic abfängt, kann er ihn nicht lesen.
Authentifizierung: Beide Endpunkte müssen sich identifizieren. Nur autorisierte Geräte dürfen sich verbinden. Das geschieht über Zertifikate, Pre-Shared Keys oder moderne Identity-Provider.
Tunnelmechanismus: Der verschlüsselte Traffic wird in normale IP-Pakete „verpackt” und über das Internet transportiert. Am Ziel werden sie entpackt und entschlüsselt.
Site-to-Site vs. Client-to-Site
Site-to-Site VPN verbindet ganze Netzwerke miteinander. Typisch für Standortvernetzung. Beide Seiten haben einen VPN-Router oder Gateway, das permanent läuft.
Client-to-Site VPN verbindet einzelne Geräte (Laptops, Smartphones) mit einem zentralen Netzwerk. Typisch für Homeoffice. Der Client muss sich aktiv einwählen.
Die meisten modernen Lösungen können beides.
WireGuard – der moderne Ansatz
WireGuard wurde 2015 von Jason A. Donenfeld entwickelt und 2020 in den Linux-Kernel integriert. Seitdem gilt es als die modernste VPN-Technologie.
Architektur: Minimalistisch und quelloffen
WireGuards Codebase umfasst etwa 4.000 Zeilen. Zum Vergleich: OpenVPN hat über 100.000 Zeilen, IPsec-Implementierungen noch mehr.
Warum ist das wichtig? Weniger Code bedeutet:
- Weniger Bugs
- Einfacher zu auditieren
- Schneller zu compilieren und zu aktualisieren
- Geringere Angriffsfläche
WireGuard nutzt moderne Kryptografie – nicht als Option, sondern als fest eingebauter Standard:
- ChaCha20 für Verschlüsselung
- Curve25519 für Schlüsselaustausch
- BLAKE2s für Hashing
Es gibt keine Konfigurationsoptionen für veraltete Algorithmen. Entweder State-of-the-Art-Krypto oder gar nichts.
Vorteile: Einfache Konfiguration, wenig Angriffsfläche
Eine WireGuard-Konfiguration ist trivial. Beispiel:
[Interface]
PrivateKey = <private-key>
Address = 10.0.0.2/24
[Peer]
PublicKey = <peer-public-key>
Endpoint = vpn.example.com:51820
AllowedIPs = 10.0.0.0/24Das war’s. Keine Zertifikate, keine komplexen Optionen, keine tausend Konfigurationszeilen.
Performance: WireGuard ist extrem schnell. Benchmarks zeigen, dass es in vielen Szenarien 2–3x schneller ist als OpenVPN und auch IPsec übertrifft.
Roaming: Wenn ein Client die IP-Adresse wechselt (z. B. von WLAN zu Mobilfunk), bleibt die Verbindung bestehen. Keine Re-Authentifizierung nötig.
Batteriefreundlich: Auf mobilen Geräten verbraucht WireGuard deutlich weniger Energie als OpenVPN.
Integration in moderne Systeme
WireGuard ist inzwischen überall:
- Linux: Direkt im Kernel
- Windows, macOS, iOS, Android: Offizielle Apps
- Router: Viele Router unterstützen WireGuard (Ubiquiti, MikroTik, GL.iNet)
- Cloud: WireGuard-VMs in AWS, Azure, GCP
Es gibt sogar Embedded-Implementierungen für IoT-Geräte.
Grenzen: Kein Benutzer-Management
WireGuard ist nur ein Protokoll. Es gibt keine zentrale Benutzerverwaltung, kein Dashboard, keine Rollen. Jeder Client braucht ein Schlüsselpaar, und diese müssen manuell verwaltet werden.
Für 3 Geräte ist das kein Problem. Für 50 wird es schnell unübersichtlich.
Lösung: Management-Layer wie Tailscale, Netbird oder Headscale bauen auf WireGuard auf und fügen zentrale Verwaltung, SSO-Integration und granulare ACLs hinzu. (Tailscale haben wir in Teil 3 dieser Serie ausführlich behandelt.)
OpenVPN – der etablierte Klassiker
OpenVPN wurde 2001 veröffentlicht und ist seitdem der De-facto-Standard für VPN-Software. Es läuft auf nahezu jeder Plattform und wird von zahllosen Unternehmen genutzt.
Stärken: Stabilität, Flexibilität, Server-Client-Struktur
OpenVPN basiert auf SSL/TLS – der gleichen Technologie, die HTTPS absichert. Das bedeutet:
- Hohe Kompatibilität: Funktioniert über Port 443 (HTTPS), läuft durch nahezu jede Firewall
- Flexible Authentifizierung: Zertifikate, Benutzername/Passwort, 2FA
- Bewährt: Über 20 Jahre im Einsatz, gut dokumentiert, große Community
OpenVPN unterstützt verschiedene Krypto-Optionen. Das ist Fluch und Segen: Man kann moderne Algorithmen wählen, aber auch veraltete. Viele Setups verwenden noch AES-256-CBC statt AES-256-GCM, was Performance kostet.
Schwächen: Komplexe Zertifikatsverwaltung, höhere Latenz
OpenVPN nutzt X.509-Zertifikate. Das bedeutet:
- Eine Certificate Authority (CA) muss aufgesetzt werden
- Zertifikate für Server und jeden Client müssen generiert werden
- Zertifikate haben eine Laufzeit und müssen erneuert werden
- Bei Kompromittierung muss eine Certificate Revocation List (CRL) gepflegt werden
Für erfahrene Admins ist das Routine. Für KMU ohne IT-Team ist es ein Wartungsaufwand.
Performance: OpenVPN läuft im Userspace, nicht im Kernel. Das bedeutet mehr Overhead und höhere Latenz als bei WireGuard oder IPsec. In der Praxis sind Geschwindigkeitsunterschiede von 30–50 % nicht ungewöhnlich.
Roaming: OpenVPN kann mit wechselnden IPs umgehen, aber nicht so elegant wie WireGuard. Manchmal kommt es zu Verbindungsabbrüchen.
Typische Einsatzszenarien in KMU
Trotz der Nachteile ist OpenVPN in vielen KMU im Einsatz:
- Legacy-Systeme: Viele bestehende VPN-Setups basieren auf OpenVPN, und Migration ist Aufwand.
- Firewall-Durchdringung: Port 443 funktioniert auch in restriktiven Netzwerken.
- Managed Services: Viele VPN-Provider nutzen OpenVPN.
- Router-Integration: pfSense, OPNsense und viele andere Firewalls haben OpenVPN integriert.
IPsec – die „alte Schule”
IPsec (Internet Protocol Security) ist kein einzelnes Protokoll, sondern eine Suite von Protokollen, die direkt auf IP-Ebene arbeiten. Es wurde in den 1990ern standardisiert und ist in nahezu jedem Router implementiert.
Vorteile: Hohe Kompatibilität, Standardisierung
Universelle Unterstützung: Fritzboxen, Cisco-Router, Juniper-Firewalls, Windows, macOS – alle unterstützen IPsec. Das macht es ideal für Standortvernetzung, wo beide Seiten IPsec-fähige Router haben.
Kernel-Level: IPsec läuft direkt im Betriebssystem-Kernel, nicht im Userspace. Das macht es schnell – theoretisch sogar schneller als OpenVPN.
Standardisierung: Als IETF-Standard ist IPsec herstellerunabhängig. Ein Cisco-Router kann problemlos mit einer Fritzbox kommunizieren (wenn die Konfiguration stimmt).
Nachteile: Schwer zu administrieren, komplizierte Fehlersuche
IPsec ist notorisch komplex. Es gibt zwei Modi:
Transport Mode: Nur die Payload wird verschlüsselt. Tunnel Mode: Gesamte IP-Pakete werden verschlüsselt und in neue Pakete verpackt.
Dazu kommen zwei Phasen:
IKE Phase 1: Aufbau eines sicheren Kanals (mit verschiedenen Modi: Main Mode, Aggressive Mode). IKE Phase 2: Aushandlung von Verschlüsselungsparametern (IPsec SA).
Die Konfiguration ist fehleranfällig. Bereits kleine Unstimmigkeiten (z. B. unterschiedliche Cipher-Suiten oder falsche Pre-Shared Keys) führen zu kryptischen Fehlermeldungen.
NAT-Problematik: IPsec und NAT (Network Address Translation) vertragen sich schlecht. NAT-Traversal (NAT-T) wurde nachträglich eingeführt, funktioniert aber nicht immer zuverlässig.
Debugging: Fehlersuche bei IPsec ist aufwendig. Logs sind oft kryptisch, und es gibt viele Fehlerquellen (Firewall-Regeln, Routing, MTU-Probleme).
Warum IPsec trotzdem relevant bleibt
Für Site-to-Site-VPNs zwischen Unternehmensstandorten ist IPsec oft die erste Wahl:
- Beide Standorte haben Router mit IPsec-Support
- Einmal konfiguriert, läuft es stabil
- Keine zusätzliche Software nötig
Für Client-to-Site (z. B. Homeoffice) ist IPsec weniger geeignet. Windows und macOS haben IPsec-Clients, aber die Konfiguration ist kompliziert.
Sicherheitsbewertung – Welche Technologie ist die sicherste?
Alle drei Technologien können sicher sein – wenn sie richtig konfiguriert werden.
Kryptostandards und Algorithmen
| Technologie | Verschlüsselung | Schlüsselaustausch | Hashing | Bewertung |
|---|---|---|---|---|
| WireGuard | ChaCha20 | Curve25519 | BLAKE2s | ✅ Modern, keine veralteten Optionen |
| OpenVPN | AES-256-GCM | RSA/ECDH | SHA-256/512 | ✅ Sicher, wenn richtig konfiguriert |
| IPsec | AES-256 | DH/ECDH | SHA-256/512 | ✅ Sicher, aber komplexe Config |
WireGuard hat den Vorteil, dass es keine unsicheren Optionen gibt. Es ist unmöglich, versehentlich veraltete Algorithmen zu verwenden.
OpenVPN und IPsec bieten Flexibilität – aber das ist auch ein Risiko. Viele Setups nutzen noch veraltete Cipher-Suiten wie 3DES oder SHA-1, weil alte Konfigurationen nicht aktualisiert wurden.
Authentifizierungsmechanismen
WireGuard: Public-Key-basiert. Jedes Gerät hat ein Schlüsselpaar. Einfach, aber keine Benutzerverwaltung.
OpenVPN: Zertifikate + optional Benutzername/Passwort. Flexibel, aber Zertifikatsverwaltung ist Aufwand.
IPsec: Pre-Shared Keys oder Zertifikate. PSKs sind einfach, aber unsicher für große Deployments. Zertifikate sind besser, aber komplex.
Angriffsfläche und Protokollstabilität
WireGuard: Minimale Codebase = minimale Angriffsfläche. Bisher keine kritischen Sicherheitslücken.
OpenVPN: Große Codebase, aber gut auditiert. Gelegentliche Sicherheitsupdates erforderlich.
IPsec: Komplexe Implementierung, historisch mehrere Sicherheitslücken. Moderne Implementierungen sind sicher, aber die Komplexität bleibt.
MFA und Zertifikate richtig nutzen
Egal welche Technologie: Multi-Faktor-Authentifizierung sollte aktiviert sein.
- OpenVPN: 2FA über TOTP (Google Authenticator) oder RADIUS
- IPsec: 2FA über RADIUS oder Hardware-Tokens
- WireGuard: 2FA über Management-Layer (Tailscale, Netbird)
Zertifikate sollten kurze Laufzeiten haben und regelmäßig rotiert werden.
Performance- und Wartungsvergleich
Geschwindigkeit und Energieverbrauch
Benchmarks (typische Werte bei 1 Gbit/s-Verbindung):
| Technologie | Durchsatz | Latenz | CPU-Last |
|---|---|---|---|
| WireGuard | ~950 Mbit/s | +1–2 ms | Niedrig |
| OpenVPN | ~600–700 Mbit/s | +5–10 ms | Mittel-Hoch |
| IPsec | ~850 Mbit/s | +2–4 ms | Mittel |
WireGuard ist der klare Gewinner bei Performance. Der geringe Overhead macht es ideal für mobile Geräte (Batterieverbrauch) und Hochgeschwindigkeitsverbindungen.
Skalierbarkeit
WireGuard: Skaliert hervorragend auf Servern mit vielen Clients, weil es im Kernel läuft und wenig Overhead hat.
OpenVPN: Skalierung begrenzt durch Userspace-Architektur. Für hunderte gleichzeitige Verbindungen ist leistungsfähige Hardware nötig.
IPsec: Skaliert gut auf dedizierten Appliances, aber weniger gut auf Standard-Servern.
Wartungsaufwand und Konfiguration
| Aspekt | WireGuard | OpenVPN | IPsec |
|---|---|---|---|
| Initiale Einrichtung | ⭐⭐⭐⭐⭐ Sehr einfach | ⭐⭐⭐ Mittel | ⭐⭐ Komplex |
| Zertifikatsverwaltung | ⭐⭐⭐⭐⭐ Keine | ⭐⭐ Aufwändig | ⭐⭐ Aufwändig |
| Updates | ⭐⭐⭐⭐⭐ Kernel-integriert | ⭐⭐⭐ Regelmäßig nötig | ⭐⭐⭐ Firmware-abhängig |
| Debugging | ⭐⭐⭐⭐ Einfache Logs | ⭐⭐⭐ OK | ⭐⭐ Kryptisch |
| Benutzerverwaltung | ⭐⭐ Keine (ohne Tools) | ⭐⭐⭐⭐ Gut | ⭐⭐⭐ OK |
WireGuard als moderne Basis – mit Management-Layern
WireGuard hat sich als technologisch überlegen erwiesen, hat aber eine Schwäche: Fehlendes Benutzer-Management.
Die Lösung: Management-Layer wie:
- Tailscale: Kommerziell, einfachste Lösung (siehe Teil 3)
- Netbird: Open-Source-Alternative mit Self-Hosting-Option
- Headscale: Self-hosted Tailscale-kompatible Koordination
- Firezone: Open-Source-VPN-Portal mit WireGuard
Diese Tools fügen hinzu:
- Zentrale Verwaltung
- SSO-Integration
- Granulare ACLs
- Web-Dashboard
- Automatisches Key-Management
Empfehlung: Für neue VPN-Projekte sollte WireGuard mit einem Management-Layer die erste Wahl sein.
OpenVPN und IPsec bleiben relevant
Trotz der Vorteile von WireGuard haben OpenVPN und IPsec ihre Daseinsberechtigung:
OpenVPN bleibt sinnvoll für:
- Bestehende Infrastrukturen: Migration ist Aufwand, und “never change a running system” gilt.
- Compliance-Anforderungen: Manche Zertifizierungen fordern explizit OpenVPN.
- Firewall-Durchdringung: Port 443 funktioniert überall.
- Managed-VPN-Anbieter: Viele kommerzielle VPN-Dienste nutzen OpenVPN.
IPsec bleibt sinnvoll für:
- Site-to-Site zwischen Routern: Wenn beide Standorte bereits IPsec-fähige Router haben.
- Legacy-Hardware: Ältere Geräte unterstützen oft nur IPsec.
- Enterprise-Appliances: Cisco, Fortinet, Palo Alto – alle nutzen IPsec.
Empfehlung für KMU nach Einsatzgebiet
Homeoffice-Zugriff (Client-to-Site)
Erste Wahl: WireGuard mit Tailscale oder Netbird
- Einfachste Einrichtung
- Beste Performance
- Geringster Wartungsaufwand
Alternative: OpenVPN
- Wenn bereits vorhanden
- Wenn Port 443 zwingend nötig
Nicht empfohlen: IPsec (zu komplex für Client-Setups)
Standortvernetzung (Site-to-Site)
Erste Wahl: WireGuard (wenn Router kompatibel) oder IPsec
- WireGuard, wenn moderne Router (Ubiquiti, MikroTik, GL.iNet)
- IPsec, wenn beide Standorte bereits IPsec-Router haben
Alternative: OpenVPN
- Wenn Router keine nativen VPN-Funktionen haben, aber Linux-VMs möglich sind
Fernwartung und IT-Administration
Erste Wahl: Tailscale (WireGuard-basiert)
- Zero-Config
- Granulare ACLs
- Perfect für verteilte Teams
Alternative: OpenVPN mit 2FA
- Wenn zentrale Kontrolle über VPN-Server gewünscht
WireGuard ist die Zukunft – mit gutem Grund
Die VPN-Landschaft hat sich dramatisch verändert. WireGuard hat gezeigt, dass Netzwerksicherheit nicht komplex sein muss. Es ist schneller, einfacher und sicherer als die Alternativen – und das bei minimaler Codegröße.
Für neue Projekte sollte WireGuard die erste Wahl sein, idealerweise mit einem Management-Layer wie Tailscale oder Netbird.
OpenVPN und IPsec bleiben relevant für bestehende Infrastrukturen und spezifische Anforderungen, aber für grüne Wiese-Projekte gibt es kaum noch Gründe, sie zu wählen.
Die Zukunft sicherer Remote-Access-Lösungen ist modern, einfach und performant – und diese Zukunft hat bereits begonnen.
Diese Serie wird fortgesetzt.