VPN mit WireGuard – Das taugt die neue Open-Source-Technologie

Manuela Lenz

Das Open-Source-VPN-Tool WireGuard erfährt aktuell gerade eine Art Hype. Laut Aussage der Entwickler steckt dahinter die Idee, VPN (Virtual Private Network) so einfach wie möglich zu machen. So soll die Software nicht nur schneller und nützlicher sein als IPSec & Co., sondern gleichzeitig auch wesentlich leichter zu konfigurieren sein.

Das bietet Potential für eine ganze Menge Einsatzmöglichkeiten. So können mit WireGuard beispielsweise Laptops und Smartphones von Außendienstmitarbeitern schnell und vor allem sicher mit dem Firmennetz verbunden werden. Aber auch Backbone-Router lassen sich mit Hilfe der Technologie standortübergreifend anbinden, ohne dass dafür eine spezielle Infrastruktur zur Zertifikatsverwaltung benötigt wird.

Im folgenden Artikel zeigen wir Ihnen, wie WireGuard im Detail funktioniert und was Sie bei der Implementierung grundsätzlich beachten sollten. Außerdem haben wir die wichtigsten Vor- und Nachteile des Open-Source-VPNs im Überblick für Sie zusammengestellt.

Was ist WireGuard?

WireGuard bezeichnet eine relativ junge Technologie zum Aufbau von sicheren VPN-Netzwerken, die vom US-Developer Jason A. Donenfeld als Alternative zu bekannten Lösungen wie IPSec, SSTP oder OpenVPN entwickelt wurde. Dabei handelt es sich um eine Mischung aus VPN-Protokoll und VPN-Software, die im Gegensatz zu anderen Lösungen nicht nur mit ihrer einfachen und unkomplizierten Konfiguration punktet, sondern auch durch einen deutlich schnelleren Verbindungsaufbau und ein besonders stabiles VPN-Tunneling (auch auf mobilen Clients) zu überzeugen weiß.

WireGuard arbeitet hoch performant auf dem Layer 3 des OSI-Schichtmodells und überstützt IPv4 und IPv6. Das Konzept basiert auf einer Peer-to-Peer-Architektur, die Software ist aber auch in der Lage, Client-Server-Architekturen zu simulieren. Die VPN-Verbindung wird (ähnlich wie bei SSH) über den Austausch von öffentlichen Schlüsseln aufgebaut.

Als Open-Source-Lösung befindet sich WireGuard teilweise noch im experimentellen Status und ist für unterschiedliche Plattformen (u.a. diverse Linux-Distributionen, Android, iOS) verfügbar. Auf Linux-Systemen wird der Code als Modul im Kernel ausgeführt.

Gut zu wissen:

VPN-Netzwerke auf dem OSI Layer 3 arbeiten im Kernel Space und nicht im User Space, weshalb WireGuard nicht als Windows Version verfügbar ist. Inzwischen existiert mit TunSafe zwar eine proprietäre Cloud-Source-Implementierung auf Basis des TUN/TAP-Treiber von OpenVPN, der WireGuard-Entwickler Donenfeld rät von deren Verwendung aus Sicherheitsgründen aber dringendst ab.

Welche Funktionen bietet WireGuard?

WireGuard schlüpft auf Ihrem System in die Rolle eines Netzwerkadapters: Es fügt eine oder mehrere Netzwerkschnittstellen hinzu, die analog zu wlan0 oder eth0 konfiguriert werden können (z.B. mit ipconfig oder route). Dabei beschränkt sich die Anwendung auf das Nötigste und wurde von den Entwicklern bewusst einfach gehalten. Der Programmcode umfasst lediglich 4000 Zeilen und lässt sich recht einfach lesen und verstehen.

Zum Vergleich: IPSec oder OpenVPN bestehen aus mehreren hunderttausend Zeilen Code.

Dadurch besitzt die WireGuard zwar weniger Konfigurations-Möglichkeiten, kann aber gleichzeitig auch leichter überprüft werden, was gerade bei sicherheitskritischen Anwendungen eine große Rolle spielt.  

Die VPN-Lösung von WireGuard nutzt drei Cipher-Grundfunktionen für die Verschlüsselung von Verbindungen:

  • Curve25519 mit Elliptic Curve Diffie-Hellman (ECDHE) für den Handshake (Schlüsselaustausch)
  • BLAKE2s als universelle Hashfunktion (beispielsweise zum Generieren von HMAC-Codes oder für Key-Ableitungen mit HKDF)
  • ChaCha20 und Poly1305 für die symmetrische Verschlüsselung und den Austausch der Daten

Das Prinzip ist dabei so simpel wie effektiv: Jedem Teilnehmer wird ein öffentlicher VPN-Schlüssel zugewiesen, über den er eindeutig identifiziert werden kann. Als Protokoll für das Public-Key-Authentifizierung-Verfahren kommt dabei Ed25519 zum Einsatz.

Die hohen Sicherheitsstandards bei der Datenverschlüsselung werden in WireGuard mit Hilfe moderner Krypto-Algorithmen geschaffen. Beim sogenannten Cryptokey-Routing erhalten Server und Client außerdem jeweils eine statische IP-Adresse, die in der Konfigurationsdatei des Servers hinterlegt wird. Bei Verbindungsaufbau werden diese zusammen mit dem öffentlichen Schlüssel abgeglichen und eine Anmeldung nur dann gestattet, wenn bei beiden Werten eine Überstimmung besteht.

Tipp:

Noch mehr Informationen zu WireGuard sowie Details zu den Protokollen und Verschlüsselungsmechanismen von finden Sie auch im entsprechenden Whitepaper.

Vor- und Nachteile von WireGuard im Überblick

Der größte Vorteil von WireGuard liegt natürlich in seiner einfachen Nutzbarkeit. Daneben bietet das Tool aber noch eine ganze Reihe weiterer Vorteile:

hohe Performance und stabiles VPN-Tunneling

hohe Sicherheit durch Verwendung aktueller kryptographischer Verfahren

überschaubarer Code, der kaum Angriffsfläche bietet

gut durchdachtes Gesamtkonzept

Wenn Sie planen, WireGuard einzusetzen, sollten Sie sich bewusst sein, dass es sich dabei um ein unfertiges Produkt handelt, das in seiner Funktionalität noch nicht ausgereift ist. Neben den zahlreichen Vorteilen besitzt das Tool daher auch einige signifikante Nachteile:

Software noch in der experimentellen Phase

kein dynamisches IP-Adressen-Management (Client muss an eine vorher definierte Adresse des VPN gekoppelt werden)

keine Verifikation des Servers

keine Verbindung und Authentifizierung über Proxy möglich

wird im Kernel ausgeführt

aktuell keine Unterstützung für TCP vorhanden

VPN Anbieter mit WireGuard-Unterstützung

Die meisten VPN-Anbieter experimentieren daher aktuell mit einer WireGuard Implementierung, einige Anbieter stellen Ihren Kunden bereits WireGuard zur Verfügung. Folgende Anbieter unterstützen WireGuard aktuell:

Filtern
Sortieren
Testsieger 2021
NordVPN Test
NordVPN
(452.763)
5400+ Server, 60 Länder
Exzellente Geschwindigkeiten
Keine Logs
6 Geräte gleichzeitig
Günstig im 2-Jahres-Paket
NordVPN vereint Geschwindigkeit, Benutzerfreundlichkeit und Funktionsumfang zu einem stimmigen Gesamtpaket, das noch dazu relativ erschwinglich ist.
Datenvolumen
unbegrenzt
Geräte
6
Protokolle
5
Laufzeit
1 - 24 Monate
+3 Monate
Sommerdeal
NordVPN 2-Jahres-Paket
2,93 €
mtl. Effektivpreis
zum Anbieter »
30 Tage Geld-zurück-Garantie
Testsieger
1,3
sehr gut
Surfshark VPN Test
Surfshark VPN
(70.107)
3200+ Server in 65 Ländern
Unbegrenzte Anzahl Geräte
Viele Apps (Linux, FireTV,...)
Speichert keine Logs
Sehr günstig im 24-Monats-Paket
Surfshark zählt zu den günstigsten Anbietern auf dem Markt, überzeugt aber auch abseits des Preises mit starkem Schutz, vielen Features und einem tollen Support mit 24/7 Live-Chat.
Datenvolumen
unbegrenzt
Geräte
unbegrenzt
Protokolle
3
Laufzeit
1 - 24 Monate
Surfshark 24 Monate
2,11 €
mtl. Effektivpreis
zum Anbieter »
83% Rabatt sichern
Testurteil
1,6
gut
hide.me VPN Test
hide.me VPN
(20.660)
1900+ Server
75+ Standorte in 47+ Ländern
Speichert keine Logs
14-Tage Geld-zurück-Garantie
mit kostenlosem Tarif
Datenvolumen
10 - ∞
Geräte
1 - 10
Protokolle
7
Laufzeit
0 - 24 Monate
hide.me Free
0,00 €
mtl. Effektivpreis
zum Anbieter »
30 Tage Geld-zurück-Garantie
Testurteil
1,8
gut
Private Internet Access Test
Private Internet Access
(55.624)
34.000+ Server in 75 Ländern
sehr guter VPN-Client
große Funktionsvielfalt
kein unabhängiger Sicherheits-Audit
schwache Leistung im Speedtest
Datenvolumen
unbegrenzt
Geräte
10
Protokolle
2
Laufzeit
1 - 24 Monate
Private Internet Access 2 Jahre
2,71 €
mtl. Effektivpreis
zum Anbieter »
Testurteil
1,9
gut
Windscribe VPN Test
Windscribe VPN
(72.674)
500+ Server in 60+ Ländern
Gratis-Version mit 10 GB Limit
Unbegrenzt Geräte verbinden
Gut für Video-Streaming und China-Reisen
Unternehmenssitz Kanada
Datenvolumen
unbegrenzt
Geräte
unbegrenzt
Protokolle
4
Laufzeit
1 - 18 Monate
Windscribe 18 Monate
2,06 €
mtl. Effektivpreis
zum Anbieter »
Kostenlos downloaden
Testurteil
2,1
gut
VyprVPN Test
VyprVPN
(57.341)
700+ Server in 70 Ländern
Speichert keine Logs (Audited)
Firmenstandort Schweiz
Premium: eigenes VPN Protokoll
Datenvolumen
unbegrenzt
Geräte
5
Protokolle
6
Laufzeit
1 - 36 Monate
VyprVPN 3 Jahre
1,39 €
mtl. Effektivpreis
zum Anbieter »
30 Tage Geld-zurück-Garantie
Testurteil
2,2
gut
Hotspot Shield VPN Test
Hotspot Shield VPN
(1.492.370)
3200+ Server
70+ Länder
Bietet kostenlose Version
Unterdurchschnittliche Performance
Unternehmen aus den USA
Datenvolumen
0,5 - ∞
Geräte
1 - 25
Protokolle
5
Laufzeit
0 - 12 Monate
Hotspot Shield Free
0,00 €
mtl. Effektivpreis
zum Anbieter »
Testurteil
2,3
gut
Mullvad VPN Test
Mullvad VPN
(172)
750+ Server in 36 Ländern
Anonyme Anmeldung / keine Logs
Unabhängiger Sicherheits-Audit
Exzellente Geschwindigkeiten
Sehr einfache Preisstruktur
Datenvolumen
unbegrenzt
Geräte
5
Protokolle
2
Laufzeit
1 Monat
Mullvad Flatrate
5,00 €
mtl. Effektivpreis
zum Anbieter »
Testurteil
2,3
gut
VPN Unlimited Test
VPN Unlimited
(35.667)
500+ Server in 50 Ländern
statische IPs verfügbar
bietet Lebenslang-Tarif
wenig Funktionen
Fragen beim Datenschutz
Datenvolumen
unbegrenzt
Geräte
5
Protokolle
6
Laufzeit
0 - 12 Monate
VPN Unlimited 1 Jahr
4,17 €
mtl. Effektivpreis
zum Anbieter »
Testurteil
2,3
gut
TorGuard VPN Test
TorGuard VPN
(5.911)
3.000+ Server in 50 Ländern
viele Einstellungsmöglichkeiten
schneller Support
klobige Benutzeroberfläche
kein unabhängiger Sicherheits-Audit
Datenvolumen
unbegrenzt
Geräte
8 - 12
Protokolle
2
Laufzeit
1 - 24 Monate
50%
Rabatt
Code:
EXPERTE
TorGuard 2 Jahre
3,47 €
mtl. Effektivpreis
zum Anbieter »
Testurteil
2,4
gut
Autor: Manuela Lenz
Manuela Lenz ist ausgebildete Fachinformatikerin und war 20 Jahre lang als System-Administratorin und Projektmanagerin für große Unternehmen tätig. Seit 2017 ist die ITlerin aus Leidenschaft als freie Autorin selbständig. Für EXPERTE.de schreibt sie rund um die Themen Projektmanagement, Software und IT-Security.
Weitere Sprachen:
English Italiano 
Mehr zum Thema VPN
VPN Anbieter Test - 22 Anbieter im Vergleich
VPN Speedtest - Wer ist der schnellste VPN-Anbieter?
PrivateVPN - VPN Anbieter im Test
Bester VPN für Disney+ - 22 Anbieter im Test
VPN kostenlos - TOP 5 Gratis-Anbieter + Alternativen
Avast SecureLine VPN im Test
Bester VPN für Italien - 22 Anbieter getestet
Bester VPN für Chrome - TOP 3 + Alternativen
Bester VPN für Prime Video - 22 Anbieter getestet
Bester Firefox VPN - TOP 3 Anbieter
Bester VPN für Österreich - 22 Anbieter getestet
ExpressVPN vs. NordVPN - Wer gewinnt den Vergleich?
TorGuard - VPN Anbieter im Test
Bester VPN für die Schweiz - 22 Anbieter getestet
Private Internet Access - VPN im Test
KeepSolid VPN Unlimited im Test
Bester VPN für Netflix - 22 Anbieter im Test
Bester VPN für Deutschland - 22 Anbieter getestet
Bester VPN für Frankreich - 22 Anbieter getestet
Bester VPN für die USA - 22 Anbieter getestet
Bester VPN für China - 22 Anbieter getestet
Hotspot Shield VPN im Test
CyberGhost VPN Test
VyprVPN Test - Schweizer VPN Anbieter
Mullvad - Der anonyme VPN im Test
PureVPN Test
IPVanish VPN Test - Anbieter empfehlenswert?
ZenMate VPN Test
ProtonVPN Test - Der sichere VPN
Windscribe Test - Der kanadische VPN Anbieter
HideMyAss! VPN Test
Surfshark Test - Unser Preis-Leistungs-Sieger
Avira Phantom VPN im Test
ExpressVPN Test - Unser 2. Platz
TunnelBear Test - Der sympatische VPN Anbieter
hide.me VPN Test
NordVPN Test - Unser Testsieger
Perfect Privacy Test
VPN unter Windows 10 einrichten - Ganz einfach!
VPN auf dem Raspberry Pi - So einfach geht's!
VPN am iPhone einrichten - So geht's
Anonym surfen - so bewegen Sie sich anonym im Netz
VPN einrichten am Android Smartphone - Wir zeigen Ihnen wie
IP-Adresse verbergen - Welche Möglichkeiten?
VPN Protokolle - Eine ausführliche Übersicht
VPN einrichten unter MacOS - sichere Verbindung am Mac
VPN auf Ihrer FritzBox einrichten - Schritt für Schritt