145971
Jun 03, 2021
10088
23
0
OpenVPN TCP vs UDP
Hallo 
ich habe openVPN im Einsatz.
Welches Protokoll würdet ihr mir empfehlen - TCP oder UDP ?
ich habe openVPN im Einsatz.
Welches Protokoll würdet ihr mir empfehlen - TCP oder UDP ?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 667291
Url: https://administrator.de/contentid/667291
Printed on: April 20, 2024 at 00:04 o'clock
23 Comments
Latest comment
Hallo,
UDP ist Standerdprotokoll + schneller
aber ..ich hatte schon Fälle wo UDP für einen instabilen Tunnel gesorgt hat! Auf TCP umgestellt und schon lief es (ist aber eher der Ausnahmefall) IIRR wenn UMTS im Spiel war oder der Endpunkt einen anderen Provider hatte hatte UDP gelegentlich "rumgespuckt".
und waren immer auch net-2-net Tunnel, wi es auffällig war.
l.g.
Fred
UDP ist Standerdprotokoll + schneller
aber ..ich hatte schon Fälle wo UDP für einen instabilen Tunnel gesorgt hat! Auf TCP umgestellt und schon lief es (ist aber eher der Ausnahmefall) IIRR wenn UMTS im Spiel war oder der Endpunkt einen anderen Provider hatte hatte UDP gelegentlich "rumgespuckt".
und waren immer auch net-2-net Tunnel, wi es auffällig war.
l.g.
Fred
moin...
frank
Zitat von @145971:
Hallo
ich habe openVPN im Einsatz.
Welches Protokoll würdet ihr mir empfehlen - TCP oder UDP ?
für was genau?Hallo
ich habe openVPN im Einsatz.
Welches Protokoll würdet ihr mir empfehlen - TCP oder UDP ?
frank
@Vision2015
Verbindung von iPhones und MacBooks > Synology (openVPN Server)
Verbindung von iPhones und MacBooks > Synology (openVPN Server)
TCP vs. UDP, OpenVPN vs. TCP, UDP vs. OpenVPN... Was genau ist der Unterschied?
TCP ist im Allgemeinen das am häufigsten verwendete Verbindungsprotokoll im Internet, da es eine Fehlerkorrektur bietet (und daher als "zustandsabhängiges Protokoll" bekannt ist). Immer wenn ein Computer ein Netzwerkpaket mit TCP sendet, wartet er auf die Bestätigung, dass das Paket angekommen ist, bevor er das Paket erneut sendet (wenn keine Bestätigung empfangen wird) oder das nächste Paket sendet (wenn eine Bestätigung empfangen wird).
Dies bedeutet, dass eine "garantierte Zustellung" aller Daten erfolgt, was das Protokoll sehr zuverlässig macht, aber es gibt einen beträchtlichen Overhead, da Pakete gesendet, bestätigt, erneut gesendet werden usw., was es ziemlich langsam macht.
UDP wird als "zustandsloses Protokoll" bezeichnet, da es keine solche Fehlerkorrektur durchführt, sondern einfach Pakete ohne Wiederholungen empfängt. Das macht es viel schneller, aber weniger zuverlässig.
TCP = zuverlässig
UDP = schnell
Was soll ich verwenden?
Welches Sie verwenden, hängt also davon ab, ob es Ihnen in erster Linie um Zuverlässigkeit oder Geschwindigkeit geht, und im Allgemeinen ist UDP besser für das Streaming von VoIP und das Spielen von Online-Spielen geeignet.
Wie stark TCP eine Verbindung in der Praxis tatsächlich verlangsamt, kann jedoch stark von anderen Netzwerkfaktoren abhängen, wobei die Entfernung der wichtigste Faktor ist. Je weiter Sie geografisch von Ihrem VPN-Server entfernt sind, desto weiter müssen die TCP-Pakete hin- und herlaufen, und desto langsamer wird Ihre Verbindung sei
TCP ist im Allgemeinen das am häufigsten verwendete Verbindungsprotokoll im Internet, da es eine Fehlerkorrektur bietet (und daher als "zustandsabhängiges Protokoll" bekannt ist). Immer wenn ein Computer ein Netzwerkpaket mit TCP sendet, wartet er auf die Bestätigung, dass das Paket angekommen ist, bevor er das Paket erneut sendet (wenn keine Bestätigung empfangen wird) oder das nächste Paket sendet (wenn eine Bestätigung empfangen wird).
Dies bedeutet, dass eine "garantierte Zustellung" aller Daten erfolgt, was das Protokoll sehr zuverlässig macht, aber es gibt einen beträchtlichen Overhead, da Pakete gesendet, bestätigt, erneut gesendet werden usw., was es ziemlich langsam macht.
UDP wird als "zustandsloses Protokoll" bezeichnet, da es keine solche Fehlerkorrektur durchführt, sondern einfach Pakete ohne Wiederholungen empfängt. Das macht es viel schneller, aber weniger zuverlässig.
TCP = zuverlässig
UDP = schnell
Was soll ich verwenden?
Welches Sie verwenden, hängt also davon ab, ob es Ihnen in erster Linie um Zuverlässigkeit oder Geschwindigkeit geht, und im Allgemeinen ist UDP besser für das Streaming von VoIP und das Spielen von Online-Spielen geeignet.
Wie stark TCP eine Verbindung in der Praxis tatsächlich verlangsamt, kann jedoch stark von anderen Netzwerkfaktoren abhängen, wobei die Entfernung der wichtigste Faktor ist. Je weiter Sie geografisch von Ihrem VPN-Server entfernt sind, desto weiter müssen die TCP-Pakete hin- und herlaufen, und desto langsamer wird Ihre Verbindung sei
1
@146211
Danke für die Erklärung !
Dann würde ich eher TCP bevorzugen.
Danke für die Erklärung !
Dann würde ich eher TCP bevorzugen.
Ich würde zudem WireGuard empfehlen, ist viel schneller und stabiler als OpenVPN.
Aber dies ist wie bei Android oder iOS, MacOS oder Windows oder Linux
eine Fanboy / Glaubensfrage.
Aber dies ist wie bei Android oder iOS, MacOS oder Windows oder Linux
eine Fanboy / Glaubensfrage.
Ich möchte hierzu noch auf eine Antwort in einem anderen Thema von aqui hinweisen: Client verhält sich im Home Office wie Gerät vor 10 Jahren
Evtl. hilft das bei der Entscheidungsfindung auch noch.
Evtl. hilft das bei der Entscheidungsfindung auch noch.
Nun bin ich wieder unschlüssig :/
Im Endeffekt nutze ich die VPN Verbindung um Daten (Dokumenten, Fotos (seitens auf Videos)) auf die Syno zu schieben und abzurufen.
Was würdet ihr denn empfehlen ?
Im Endeffekt nutze ich die VPN Verbindung um Daten (Dokumenten, Fotos (seitens auf Videos)) auf die Syno zu schieben und abzurufen.
Was würdet ihr denn empfehlen ?
Kurz dazu:
TCP braucht man so gut wie nie, weil UDP sehr stabil und performant funktioniert.
Ich empfehle TCP nur dann, wenn Traffic-Shaping oder merkwürdige DDoS-Filter (ggf. beim Internetprovider) im Einsatz sind, die nicht umkonfiguriert werden können und OpenVPN dadurch stören oder UDP durch Firewalls gleich ganz blockiert wird.
In 99% der Fälle ist UDP vollkommen OK und die bessere Wahl.
TCP braucht man so gut wie nie, weil UDP sehr stabil und performant funktioniert.
Ich empfehle TCP nur dann, wenn Traffic-Shaping oder merkwürdige DDoS-Filter (ggf. beim Internetprovider) im Einsatz sind, die nicht umkonfiguriert werden können und OpenVPN dadurch stören oder UDP durch Firewalls gleich ganz blockiert wird.
In 99% der Fälle ist UDP vollkommen OK und die bessere Wahl.
ich muss noch dazusagen, dass ich zwei Synologys miteinander verbunden habe (via openVPN), damit ich Datensicherungen standortübergreifend durchführen kann
Zitat von @146211:
Ich würde zudem WireGuard empfehlen, ist viel schneller und stabiler als OpenVPN.
Aber dies ist wie bei Android oder iOS, MacOS oder Windows oder Linux eine Fanboy / Glaubensfrage.
Ich würde zudem WireGuard empfehlen, ist viel schneller und stabiler als OpenVPN.
Aber dies ist wie bei Android oder iOS, MacOS oder Windows oder Linux
eine Fanboy / Glaubensfrage.Ich finde, Wireguard ist noch mindestens ein-zwei Jahre von der Marktreife entfernt. Vielleicht sind meine Ansprüche zu hoch, aber sowas simples wie eine Dead Peer Detection wäre ja schonmal schön. Beide Seiten haben keinerlei in Wireguard integrierte Mechanismen um zu prüfen, ob die Gegenstelle überhaupt noch erreichbar ist - in keinem der Betriebsmodi. "Stabiler" kann ich also schonmal nicht unterschreiben, denn zu "stabil" gehört nunmal auch, dass eine unterbrochene Verbindung erkannt wird.
Im Zusammenspiel mit dynamischen IP-Adressen ist das aus meiner Sicht sogar nicht unbedingt der Sicherheit förderlich, wenn Datenpakete dann schlechtestenfalls stundenlang weiterhin an IPs geschickt werden, die inzwischen jemand anderem zugewiesen ist... Fände ich als ungewollter Empfänger davon abgesehen auch nur so mittelmäßig gut.
Und Autoconfig durch den Server, um nicht per Sneakernet alle Clients zu aktualisieren wenn es mal einen anderen DNS-Server oder neue Routen gibt, ist auch so ein Ding, was in den 90ern schon lief, aber Wireguard auch einfach fehlt. Und das ist nichts, was nur in Firmen interessant wäre, sondern auch privat - da darf man dann für jede Änderung an Routen alle Clients (manuell) aktualisieren.
1Zitat von @145971:
ich muss noch dazusagen, dass ich zwei Synologys miteinander verbunden habe (via openVPN), damit ich Datensicherungen standortübergreifend durchführen kann
ich muss noch dazusagen, dass ich zwei Synologys miteinander verbunden habe (via openVPN), damit ich Datensicherungen standortübergreifend durchführen kann
Wie gesagt: Nimm UDP, das ist in deinem Fall schneller. Und es gibt wirklich so gut wie nie einen Grund, dass man zwingend TCP bräuchte.
OpenVPN selber rät in der Doku klar von der Verwendung von TCP ab und empfiehlt ebenso UDP. Allein schon vom erheblich größeren Encapsulierungs Overhead und einhergehender schlechterer Transportperformance mit ggf. MTU und Fragmentierungsproblematiken spricht alles für UDP.
Die Kollegen oben haben ja schon alles gesagt dazu.
Die Kollegen oben haben ja schon alles gesagt dazu.
Ein Aspekt bei der VPN-Auswahl könnte aber auch sein, dass der VPN-Client ggfs. schon im Betriebssystem integriert ist.
Das ist bei Wireguard mal "grundsätzlich" nicht der Fall. Bei OpenVPN kann ich es nicht sagen.
Das ist bei Wireguard mal "grundsätzlich" nicht der Fall. Bei OpenVPN kann ich es nicht sagen.
dass der VPN-Client ggfs. schon im Betriebssystem integriert ist.
Das ist bei allen Winblows Endgeräten, Apple Macs und den meisten Androiden und iPhones dann meist weniger OpenVPN sondern fast immer IPsec native (IKEv2) oder L2TP.Bei Windows kommt noch das MS proprietäre SSTP dazu.
https://justit.eu/mikrotik-sstp-vpn-fuer-windows-clients/
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Bei linuxoiden Rechnern ist ja so oder so "alles" immer mit drin...
Für OpenVPN muss man also fast immer den extra Client installieren. Gleiches gilt für Wireguard.
1Zitat von @LordGurke:
Ich finde, Wireguard ist noch mindestens ein-zwei Jahre von der Marktreife entfernt. Vielleicht sind meine Ansprüche zu hoch, aber sowas simples wie eine Dead Peer Detection wäre ja schonmal schön. Beide Seiten haben keinerlei in Wireguard integrierte Mechanismen um zu prüfen, ob die Gegenstelle überhaupt noch erreichbar ist - in keinem der Betriebsmodi. "Stabiler" kann ich also schonmal nicht unterschreiben, denn zu "stabil" gehört nunmal auch, dass eine unterbrochene Verbindung erkannt wird.
Im Zusammenspiel mit dynamischen IP-Adressen ist das aus meiner Sicht sogar nicht unbedingt der Sicherheit förderlich, wenn Datenpakete dann schlechtestenfalls stundenlang weiterhin an IPs geschickt werden, die inzwischen jemand anderem zugewiesen ist... Fände ich als ungewollter Empfänger davon abgesehen auch nur so mittelmäßig gut.
Und Autoconfig durch den Server, um nicht per Sneakernet alle Clients zu aktualisieren wenn es mal einen anderen DNS-Server oder neue Routen gibt, ist auch so ein Ding, was in den 90ern schon lief, aber Wireguard auch einfach fehlt. Und das ist nichts, was nur in Firmen interessant wäre, sondern auch privat - da darf man dann für jede Änderung an Routen alle Clients (manuell) aktualisieren.
Ich finde, Wireguard ist noch mindestens ein-zwei Jahre von der Marktreife entfernt. Vielleicht sind meine Ansprüche zu hoch, aber sowas simples wie eine Dead Peer Detection wäre ja schonmal schön. Beide Seiten haben keinerlei in Wireguard integrierte Mechanismen um zu prüfen, ob die Gegenstelle überhaupt noch erreichbar ist - in keinem der Betriebsmodi. "Stabiler" kann ich also schonmal nicht unterschreiben, denn zu "stabil" gehört nunmal auch, dass eine unterbrochene Verbindung erkannt wird.
Im Zusammenspiel mit dynamischen IP-Adressen ist das aus meiner Sicht sogar nicht unbedingt der Sicherheit förderlich, wenn Datenpakete dann schlechtestenfalls stundenlang weiterhin an IPs geschickt werden, die inzwischen jemand anderem zugewiesen ist... Fände ich als ungewollter Empfänger davon abgesehen auch nur so mittelmäßig gut.
Und Autoconfig durch den Server, um nicht per Sneakernet alle Clients zu aktualisieren wenn es mal einen anderen DNS-Server oder neue Routen gibt, ist auch so ein Ding, was in den 90ern schon lief, aber Wireguard auch einfach fehlt. Und das ist nichts, was nur in Firmen interessant wäre, sondern auch privat - da darf man dann für jede Änderung an Routen alle Clients (manuell) aktualisieren.
Jedem das seine und mir das meiste
Wer setzt Dynamische IPs in einer Business Umgebung ein? Ich kenne keinen.
Wir nutzen WireGuard geschäftlich und bei unseren Kunden und dies ohne das geringste Problem. Wir setzten es in der Schweiz Lokal sowie auch International ein. Einzig mit China klappt es nie und da müssen wir auf andere Lösungen setzten.
Kommt halt immer auf die Personen an die so etwas einrichten, konfigurieren, updaten und die Infrastruktur die man betreibt.
Zitat von @146211:
Wer setzt Dynamische IPs in einer Business Umgebung ein? Ich kenne keinen.
Wer setzt Dynamische IPs in einer Business Umgebung ein? Ich kenne keinen.
Die Leute, die sich zu dir einwählen?
Wer glücklich damit ist, soll es sein - für meine Anwendungsfälle ist das nichts.
Zitat von @146211:
Wer setzt Dynamische IPs in einer Business Umgebung ein? Ich kenne keinen.
Wer setzt Dynamische IPs in einer Business Umgebung ein? Ich kenne keinen.
Ihr arbeitet aber nicht unter Windows, oder? Zumindest bis kürzlich gab es da keinen Client, der ohne Admin-Rechte arbeitet und, wenn ich nicht irre, muss bis heute jeder zumindest Network Configuration Operator sein. Wer gibt, noch dazu in einer Business-Umgebung, seinen Usern Admin- oder Network-Admin-Rechte? (An alle Praxisbetreuer: Arztpraxen nehme ich mal aus
) Sicher kein Admin namens @146211, denke ich.Kommt halt immer auf die Personen an die so etwas einrichten, konfigurieren, updaten und die Infrastruktur die man betreibt.
Bist Du so nett und hilfst uns auf die Sprünge, wie Du das gelöst hast?Danke, commodity
Wer setzt Dynamische IPs in einer Business Umgebung ein? Ich kenne keinen.
Manchmal hast du keine Wahl, weil der Provider an dem Standort nichts anderes anbietet. Ist Mist, aber auch damit muss man klar kommen.muss bis heute jeder zumindest Network Configuration Operator sein.
Nöö, nicht wenn man sinnvollerweise die Windows bordeigenen VPN Clients benutzt mit den Protokollen IKEv2, L2TP oder SSTP !PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
https://justit.eu/mikrotik-sstp-vpn-fuer-windows-clients/
Moin Aqui,
Alles gut bei dir? Du hast "Windows" gesagt!
sonnige Grüße
C.C.
Alles gut bei dir? Du hast "Windows" gesagt!
diskutil eraseDisk FILE_SYSTEM DISK_NAME DISK_IDENTIFIERsonnige Grüße
C.C.
Mensch @aqui !! - lies doch mal nicht so huschig. Ist Wochenende!
Es ging doch gerade um "wireguard", nicht um Windows. Klar, wenn man nur meinen Post liest ist das missverständlich. Werde an meiner Sprache arbeiten
Und ich warte immer noch auf die Erläuterungen von @146211, wie man das sicher unter Windows einsetzt. Bislang bin ich da voll bei dem Kollegen @LordGurke
Es ging doch gerade um "wireguard", nicht um Windows. Klar, wenn man nur meinen Post liest ist das missverständlich. Werde an meiner Sprache arbeiten
Und ich warte immer noch auf die Erläuterungen von @146211, wie man das sicher unter Windows einsetzt. Bislang bin ich da voll bei dem Kollegen @LordGurke
Na, das konnte man doch als "Dienst" auch anders hinterlegen. Aber ist das mittlerweile mit den Updates nicht sowieso Geschichte?!
Wie auch immer. Auch wenn mir - im direkten Vergleich die Windows-integrierten VPNs - schon lieber sind, finde ich Wireguard durchaus faszinierend.
Ich habe hier nach nem halben Jahr im Homeoffice nen Laptop zurückbekommen und als er wieder an die MA rausging musste ich Ihr erst erläutern, dass sie VPN neu aktivieren muss - vor dem RDP-Zugang. Das hat sie seit November 20 nie wieder machen müssen. Die VPN lief trotz Updates, Neustarts, Schlafmodus und allem anderem einfach stabil durch.
Mag aber hier auch eine besondere Situation gewesen sein. In nem neueren Setup würde ich wohl trotzdem eher Site2Site mit Wireguard und Client2Site mit "Client-kompatiblen" Alternativen bevorzugen. Da spielt dann auch der in WG fehlende DHCP keine Rolle mehr.
Viele Grüße
Wie auch immer. Auch wenn mir - im direkten Vergleich die Windows-integrierten VPNs - schon lieber sind, finde ich Wireguard durchaus faszinierend.
Ich habe hier nach nem halben Jahr im Homeoffice nen Laptop zurückbekommen und als er wieder an die MA rausging musste ich Ihr erst erläutern, dass sie VPN neu aktivieren muss - vor dem RDP-Zugang. Das hat sie seit November 20 nie wieder machen müssen. Die VPN lief trotz Updates, Neustarts, Schlafmodus und allem anderem einfach stabil durch.
Mag aber hier auch eine besondere Situation gewesen sein. In nem neueren Setup würde ich wohl trotzdem eher Site2Site mit Wireguard und Client2Site mit "Client-kompatiblen" Alternativen bevorzugen. Da spielt dann auch der in WG fehlende DHCP keine Rolle mehr.
Viele Grüße
