
145971
03.06.2021
OpenVPN TCP vs UDP
Hallo 
ich habe openVPN im Einsatz.
Welches Protokoll würdet ihr mir empfehlen - TCP oder UDP ?
ich habe openVPN im Einsatz.
Welches Protokoll würdet ihr mir empfehlen - TCP oder UDP ?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667291
Url: https://administrator.de/forum/openvpn-tcp-vs-udp-667291.html
Ausgedruckt am: 03.04.2025 um 20:04 Uhr
23 Kommentare
Neuester Kommentar
Hallo,
UDP ist Standerdprotokoll + schneller
aber ..ich hatte schon Fälle wo UDP für einen instabilen Tunnel gesorgt hat! Auf TCP umgestellt und schon lief es (ist aber eher der Ausnahmefall) IIRR wenn UMTS im Spiel war oder der Endpunkt einen anderen Provider hatte hatte UDP gelegentlich "rumgespuckt".
und waren immer auch net-2-net Tunnel, wi es auffällig war.
l.g.
Fred
UDP ist Standerdprotokoll + schneller
aber ..ich hatte schon Fälle wo UDP für einen instabilen Tunnel gesorgt hat! Auf TCP umgestellt und schon lief es (ist aber eher der Ausnahmefall) IIRR wenn UMTS im Spiel war oder der Endpunkt einen anderen Provider hatte hatte UDP gelegentlich "rumgespuckt".
und waren immer auch net-2-net Tunnel, wi es auffällig war.
l.g.
Fred

TCP vs. UDP, OpenVPN vs. TCP, UDP vs. OpenVPN... Was genau ist der Unterschied?
TCP ist im Allgemeinen das am häufigsten verwendete Verbindungsprotokoll im Internet, da es eine Fehlerkorrektur bietet (und daher als "zustandsabhängiges Protokoll" bekannt ist). Immer wenn ein Computer ein Netzwerkpaket mit TCP sendet, wartet er auf die Bestätigung, dass das Paket angekommen ist, bevor er das Paket erneut sendet (wenn keine Bestätigung empfangen wird) oder das nächste Paket sendet (wenn eine Bestätigung empfangen wird).
Dies bedeutet, dass eine "garantierte Zustellung" aller Daten erfolgt, was das Protokoll sehr zuverlässig macht, aber es gibt einen beträchtlichen Overhead, da Pakete gesendet, bestätigt, erneut gesendet werden usw., was es ziemlich langsam macht.
UDP wird als "zustandsloses Protokoll" bezeichnet, da es keine solche Fehlerkorrektur durchführt, sondern einfach Pakete ohne Wiederholungen empfängt. Das macht es viel schneller, aber weniger zuverlässig.
TCP = zuverlässig
UDP = schnell
Was soll ich verwenden?
Welches Sie verwenden, hängt also davon ab, ob es Ihnen in erster Linie um Zuverlässigkeit oder Geschwindigkeit geht, und im Allgemeinen ist UDP besser für das Streaming von VoIP und das Spielen von Online-Spielen geeignet.
Wie stark TCP eine Verbindung in der Praxis tatsächlich verlangsamt, kann jedoch stark von anderen Netzwerkfaktoren abhängen, wobei die Entfernung der wichtigste Faktor ist. Je weiter Sie geografisch von Ihrem VPN-Server entfernt sind, desto weiter müssen die TCP-Pakete hin- und herlaufen, und desto langsamer wird Ihre Verbindung sei
TCP ist im Allgemeinen das am häufigsten verwendete Verbindungsprotokoll im Internet, da es eine Fehlerkorrektur bietet (und daher als "zustandsabhängiges Protokoll" bekannt ist). Immer wenn ein Computer ein Netzwerkpaket mit TCP sendet, wartet er auf die Bestätigung, dass das Paket angekommen ist, bevor er das Paket erneut sendet (wenn keine Bestätigung empfangen wird) oder das nächste Paket sendet (wenn eine Bestätigung empfangen wird).
Dies bedeutet, dass eine "garantierte Zustellung" aller Daten erfolgt, was das Protokoll sehr zuverlässig macht, aber es gibt einen beträchtlichen Overhead, da Pakete gesendet, bestätigt, erneut gesendet werden usw., was es ziemlich langsam macht.
UDP wird als "zustandsloses Protokoll" bezeichnet, da es keine solche Fehlerkorrektur durchführt, sondern einfach Pakete ohne Wiederholungen empfängt. Das macht es viel schneller, aber weniger zuverlässig.
TCP = zuverlässig
UDP = schnell
Was soll ich verwenden?
Welches Sie verwenden, hängt also davon ab, ob es Ihnen in erster Linie um Zuverlässigkeit oder Geschwindigkeit geht, und im Allgemeinen ist UDP besser für das Streaming von VoIP und das Spielen von Online-Spielen geeignet.
Wie stark TCP eine Verbindung in der Praxis tatsächlich verlangsamt, kann jedoch stark von anderen Netzwerkfaktoren abhängen, wobei die Entfernung der wichtigste Faktor ist. Je weiter Sie geografisch von Ihrem VPN-Server entfernt sind, desto weiter müssen die TCP-Pakete hin- und herlaufen, und desto langsamer wird Ihre Verbindung sei

Ich würde zudem WireGuard empfehlen, ist viel schneller und stabiler als OpenVPN.
Aber dies ist wie bei Android oder iOS, MacOS oder Windows oder Linux
eine Fanboy / Glaubensfrage.
Aber dies ist wie bei Android oder iOS, MacOS oder Windows oder Linux
Ich möchte hierzu noch auf eine Antwort in einem anderen Thema von aqui hinweisen: Client verhält sich im Home Office wie Gerät vor 10 Jahren
Evtl. hilft das bei der Entscheidungsfindung auch noch.
Evtl. hilft das bei der Entscheidungsfindung auch noch.
Kurz dazu:
TCP braucht man so gut wie nie, weil UDP sehr stabil und performant funktioniert.
Ich empfehle TCP nur dann, wenn Traffic-Shaping oder merkwürdige DDoS-Filter (ggf. beim Internetprovider) im Einsatz sind, die nicht umkonfiguriert werden können und OpenVPN dadurch stören oder UDP durch Firewalls gleich ganz blockiert wird.
In 99% der Fälle ist UDP vollkommen OK und die bessere Wahl.
TCP braucht man so gut wie nie, weil UDP sehr stabil und performant funktioniert.
Ich empfehle TCP nur dann, wenn Traffic-Shaping oder merkwürdige DDoS-Filter (ggf. beim Internetprovider) im Einsatz sind, die nicht umkonfiguriert werden können und OpenVPN dadurch stören oder UDP durch Firewalls gleich ganz blockiert wird.
In 99% der Fälle ist UDP vollkommen OK und die bessere Wahl.
Zitat von @146211:
Ich würde zudem WireGuard empfehlen, ist viel schneller und stabiler als OpenVPN.
Aber dies ist wie bei Android oder iOS, MacOS oder Windows oder Linux
eine Fanboy / Glaubensfrage.
Ich würde zudem WireGuard empfehlen, ist viel schneller und stabiler als OpenVPN.
Aber dies ist wie bei Android oder iOS, MacOS oder Windows oder Linux
Ich finde, Wireguard ist noch mindestens ein-zwei Jahre von der Marktreife entfernt. Vielleicht sind meine Ansprüche zu hoch, aber sowas simples wie eine Dead Peer Detection wäre ja schonmal schön. Beide Seiten haben keinerlei in Wireguard integrierte Mechanismen um zu prüfen, ob die Gegenstelle überhaupt noch erreichbar ist - in keinem der Betriebsmodi. "Stabiler" kann ich also schonmal nicht unterschreiben, denn zu "stabil" gehört nunmal auch, dass eine unterbrochene Verbindung erkannt wird.
Im Zusammenspiel mit dynamischen IP-Adressen ist das aus meiner Sicht sogar nicht unbedingt der Sicherheit förderlich, wenn Datenpakete dann schlechtestenfalls stundenlang weiterhin an IPs geschickt werden, die inzwischen jemand anderem zugewiesen ist... Fände ich als ungewollter Empfänger davon abgesehen auch nur so mittelmäßig gut.
Und Autoconfig durch den Server, um nicht per Sneakernet alle Clients zu aktualisieren wenn es mal einen anderen DNS-Server oder neue Routen gibt, ist auch so ein Ding, was in den 90ern schon lief, aber Wireguard auch einfach fehlt. Und das ist nichts, was nur in Firmen interessant wäre, sondern auch privat - da darf man dann für jede Änderung an Routen alle Clients (manuell) aktualisieren.
Zitat von @145971:
ich muss noch dazusagen, dass ich zwei Synologys miteinander verbunden habe (via openVPN), damit ich Datensicherungen standortübergreifend durchführen kann
ich muss noch dazusagen, dass ich zwei Synologys miteinander verbunden habe (via openVPN), damit ich Datensicherungen standortübergreifend durchführen kann
Wie gesagt: Nimm UDP, das ist in deinem Fall schneller. Und es gibt wirklich so gut wie nie einen Grund, dass man zwingend TCP bräuchte.
OpenVPN selber rät in der Doku klar von der Verwendung von TCP ab und empfiehlt ebenso UDP. Allein schon vom erheblich größeren Encapsulierungs Overhead und einhergehender schlechterer Transportperformance mit ggf. MTU und Fragmentierungsproblematiken spricht alles für UDP.
Die Kollegen oben haben ja schon alles gesagt dazu.
Die Kollegen oben haben ja schon alles gesagt dazu.
dass der VPN-Client ggfs. schon im Betriebssystem integriert ist.
Das ist bei allen Winblows Endgeräten, Apple Macs und den meisten Androiden und iPhones dann meist weniger OpenVPN sondern fast immer IPsec native (IKEv2) oder L2TP.Bei Windows kommt noch das MS proprietäre SSTP dazu.
https://justit.eu/mikrotik-sstp-vpn-fuer-windows-clients/
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Bei linuxoiden Rechnern ist ja so oder so "alles" immer mit drin...
Für OpenVPN muss man also fast immer den extra Client installieren. Gleiches gilt für Wireguard.

Zitat von @LordGurke:
Ich finde, Wireguard ist noch mindestens ein-zwei Jahre von der Marktreife entfernt. Vielleicht sind meine Ansprüche zu hoch, aber sowas simples wie eine Dead Peer Detection wäre ja schonmal schön. Beide Seiten haben keinerlei in Wireguard integrierte Mechanismen um zu prüfen, ob die Gegenstelle überhaupt noch erreichbar ist - in keinem der Betriebsmodi. "Stabiler" kann ich also schonmal nicht unterschreiben, denn zu "stabil" gehört nunmal auch, dass eine unterbrochene Verbindung erkannt wird.
Im Zusammenspiel mit dynamischen IP-Adressen ist das aus meiner Sicht sogar nicht unbedingt der Sicherheit förderlich, wenn Datenpakete dann schlechtestenfalls stundenlang weiterhin an IPs geschickt werden, die inzwischen jemand anderem zugewiesen ist... Fände ich als ungewollter Empfänger davon abgesehen auch nur so mittelmäßig gut.
Und Autoconfig durch den Server, um nicht per Sneakernet alle Clients zu aktualisieren wenn es mal einen anderen DNS-Server oder neue Routen gibt, ist auch so ein Ding, was in den 90ern schon lief, aber Wireguard auch einfach fehlt. Und das ist nichts, was nur in Firmen interessant wäre, sondern auch privat - da darf man dann für jede Änderung an Routen alle Clients (manuell) aktualisieren.
Ich finde, Wireguard ist noch mindestens ein-zwei Jahre von der Marktreife entfernt. Vielleicht sind meine Ansprüche zu hoch, aber sowas simples wie eine Dead Peer Detection wäre ja schonmal schön. Beide Seiten haben keinerlei in Wireguard integrierte Mechanismen um zu prüfen, ob die Gegenstelle überhaupt noch erreichbar ist - in keinem der Betriebsmodi. "Stabiler" kann ich also schonmal nicht unterschreiben, denn zu "stabil" gehört nunmal auch, dass eine unterbrochene Verbindung erkannt wird.
Im Zusammenspiel mit dynamischen IP-Adressen ist das aus meiner Sicht sogar nicht unbedingt der Sicherheit förderlich, wenn Datenpakete dann schlechtestenfalls stundenlang weiterhin an IPs geschickt werden, die inzwischen jemand anderem zugewiesen ist... Fände ich als ungewollter Empfänger davon abgesehen auch nur so mittelmäßig gut.
Und Autoconfig durch den Server, um nicht per Sneakernet alle Clients zu aktualisieren wenn es mal einen anderen DNS-Server oder neue Routen gibt, ist auch so ein Ding, was in den 90ern schon lief, aber Wireguard auch einfach fehlt. Und das ist nichts, was nur in Firmen interessant wäre, sondern auch privat - da darf man dann für jede Änderung an Routen alle Clients (manuell) aktualisieren.
Jedem das seine und mir das meiste
Wer setzt Dynamische IPs in einer Business Umgebung ein? Ich kenne keinen.
Wir nutzen WireGuard geschäftlich und bei unseren Kunden und dies ohne das geringste Problem. Wir setzten es in der Schweiz Lokal sowie auch International ein. Einzig mit China klappt es nie und da müssen wir auf andere Lösungen setzten.
Kommt halt immer auf die Personen an die so etwas einrichten, konfigurieren, updaten und die Infrastruktur die man betreibt.
Zitat von @146211:
Wer setzt Dynamische IPs in einer Business Umgebung ein? Ich kenne keinen.
Wer setzt Dynamische IPs in einer Business Umgebung ein? Ich kenne keinen.
Ihr arbeitet aber nicht unter Windows, oder? Zumindest bis kürzlich gab es da keinen Client, der ohne Admin-Rechte arbeitet und, wenn ich nicht irre, muss bis heute jeder zumindest Network Configuration Operator sein. Wer gibt, noch dazu in einer Business-Umgebung, seinen Usern Admin- oder Network-Admin-Rechte? (An alle Praxisbetreuer: Arztpraxen nehme ich mal aus
Kommt halt immer auf die Personen an die so etwas einrichten, konfigurieren, updaten und die Infrastruktur die man betreibt.
Bist Du so nett und hilfst uns auf die Sprünge, wie Du das gelöst hast?Danke, commodity
muss bis heute jeder zumindest Network Configuration Operator sein.
Nöö, nicht wenn man sinnvollerweise die Windows bordeigenen VPN Clients benutzt mit den Protokollen IKEv2, L2TP oder SSTP !PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
https://justit.eu/mikrotik-sstp-vpn-fuer-windows-clients/

Moin Aqui,
Alles gut bei dir? Du hast "Windows" gesagt!
sonnige Grüße
C.C.
Alles gut bei dir? Du hast "Windows" gesagt!
diskutil eraseDisk FILE_SYSTEM DISK_NAME DISK_IDENTIFIER
sonnige Grüße
C.C.
Mensch @aqui !! - lies doch mal nicht so huschig. Ist Wochenende! 
Es ging doch gerade um "wireguard", nicht um Windows. Klar, wenn man nur meinen Post liest ist das missverständlich. Werde an meiner Sprache arbeiten
Und ich warte immer noch auf die Erläuterungen von @146211, wie man das sicher unter Windows einsetzt. Bislang bin ich da voll bei dem Kollegen @LordGurke
Es ging doch gerade um "wireguard", nicht um Windows. Klar, wenn man nur meinen Post liest ist das missverständlich. Werde an meiner Sprache arbeiten
Und ich warte immer noch auf die Erläuterungen von @146211, wie man das sicher unter Windows einsetzt. Bislang bin ich da voll bei dem Kollegen @LordGurke
Na, das konnte man doch als "Dienst" auch anders hinterlegen. Aber ist das mittlerweile mit den Updates nicht sowieso Geschichte?!
Wie auch immer. Auch wenn mir - im direkten Vergleich die Windows-integrierten VPNs - schon lieber sind, finde ich Wireguard durchaus faszinierend.
Ich habe hier nach nem halben Jahr im Homeoffice nen Laptop zurückbekommen und als er wieder an die MA rausging musste ich Ihr erst erläutern, dass sie VPN neu aktivieren muss - vor dem RDP-Zugang. Das hat sie seit November 20 nie wieder machen müssen. Die VPN lief trotz Updates, Neustarts, Schlafmodus und allem anderem einfach stabil durch.
Mag aber hier auch eine besondere Situation gewesen sein. In nem neueren Setup würde ich wohl trotzdem eher Site2Site mit Wireguard und Client2Site mit "Client-kompatiblen" Alternativen bevorzugen. Da spielt dann auch der in WG fehlende DHCP keine Rolle mehr.
Viele Grüße
Wie auch immer. Auch wenn mir - im direkten Vergleich die Windows-integrierten VPNs - schon lieber sind, finde ich Wireguard durchaus faszinierend.
Ich habe hier nach nem halben Jahr im Homeoffice nen Laptop zurückbekommen und als er wieder an die MA rausging musste ich Ihr erst erläutern, dass sie VPN neu aktivieren muss - vor dem RDP-Zugang. Das hat sie seit November 20 nie wieder machen müssen. Die VPN lief trotz Updates, Neustarts, Schlafmodus und allem anderem einfach stabil durch.
Mag aber hier auch eine besondere Situation gewesen sein. In nem neueren Setup würde ich wohl trotzdem eher Site2Site mit Wireguard und Client2Site mit "Client-kompatiblen" Alternativen bevorzugen. Da spielt dann auch der in WG fehlende DHCP keine Rolle mehr.
Viele Grüße