liquidbase
Goto Top

Wireguard oder OpenVPN?

Mahlzeit alle zusammen face-smile

Ich wollte mich mal erkundigen wie die Gemeinschaft zu der im Titel gestellten Frage steht.

Hintergrund der Fragestellung ist dabei das bei mir auf Arbeit für die VPN-Einwahl eine Cisco 2911 arbeitet, welche zum 31.12.2022 endgültig EoL ist und damit von Cisco keine Updates, kein Hardware-Support usw mehr erhält.
Um relativ zeitnah einen Ersatz einzuplanen und bereitzustellen ist bei mir die Frage aufgetaucht was man den nutzen könnte. Da es maximal 5 Personen geben wird die sich per VPN einwählen würden, braucht es keine dedizierte Hardware mehr dafür und ich könnte daher auf Wireguard oder OpenVPN via einer OPNSense ausweichen. Wieso die Frage auftaucht ist relativ einfach. Wireguard ist relativ neu und erhält nach wie vor eine Vielzahl an Updates welche den reibungs- und unterbrechungslosen Betrieb sehr wahrscheinlich auch mal behindern könnte. An sich habe ich damit nicht das Problem, muss aber auch schauen das die anderen Nutzer jederzeit arbeiten können.

Unter den Gesichtspunkten, auf was würdet ihr setzen? Das stabilere OpenVPN oder eher auf das neue Wireguard?
Würde mich auf jede Art von Input freuen!

Danke fürs lesen und antworten.

Content-Key: 2446972647

Url: https://administrator.de/contentid/2446972647

Printed on: June 15, 2024 at 00:06 o'clock

Member: Looser27
Looser27 Apr 08, 2022 at 10:35:49 (UTC)
Goto Top
Moin,

ich habe mir Wireguard letztens angesehen und war vom Windows Client enttäuscht. Es ist nicht möglich den Wireguard-Client für Windows ohne administrative Rechte vernünftig zu bedienen. Ja, es gibt Workarounds, aber der OpenVPN Client kann auch ohne Admin-Rechte genutzt werden, weswegen OpenVPN für mich derzeit favorisiert ist.

Wenn Eure User aber ohnehin Admin-Rechte auf den Clients haben, ist Wireguard eine einfach zu konfigurierende Alternative, welche auch mehr Durchsatz bietet.

Gruß

Looser
Member: liquidbase
liquidbase Apr 08, 2022 at 12:55:49 (UTC)
Goto Top
Zitat von @Looser27:

Es ist nicht möglich den Wireguard-Client für Windows ohne administrative Rechte vernünftig zu bedienen. Ja, es gibt Workarounds, aber der OpenVPN Client kann auch ohne Admin-Rechte genutzt werden, weswegen OpenVPN für mich derzeit favorisiert ist.
Ja davon habe ich auch schon gehört, das Wireguard da Probleme macht, was mitunter ein Grund für die Fragestellung ist.

Zitat von @Looser27:

Wenn Eure User aber ohnehin Admin-Rechte auf den Clients haben, ist Wireguard eine einfach zu konfigurierende Alternative, welche auch mehr Durchsatz bietet.
Da die User entsprechend eingewiesen sind und ein Teil der Software mit der gearbeitet wird Admin-Rechte für den korrekten Betrieb voraussetzt, wird das weniger das Problem sein.

Für mich und die anderen User ist halt wichtig das man einen permanenten stabilen Betrieb hat, der maximal von dem Ausfall der physikalischen Leitung beeinträchtigt werden kann.
Member: aqui
aqui Apr 08, 2022 updated at 13:38:07 (UTC)
Goto Top
und damit von Cisco keine Updates, kein Hardware-Support usw mehr erhält.
Dann beschafft ihr euch einen 926er oder 1100er ISR Router als adäquaten Ersatz.
Wie du damit dann ganz einfach wieder ein Client VPN Dialin mit L2TP Protokoll hinbekommst erklärt dir das hiesige Cisco Tutorial.

Hat den großen Vorteil das du allen Clients, egal welches OS und welche Hardware niemals mehr mit extra VPN Software rumfrickeln musst, sondern alles einfach und bequem mit den bordeigenen VPN Clients erledigen kannst, die das performancetechnisch eh am besten machen.
Zumindestens bei Windows ist die VPN Steuerung dann auch über GPOs usw. möglich.
Der Cisco bringt zudem eine vollständige stateful Firewall mit.
Für deine Firma wäre das aus Management Sicht der allerbeste Weg. Ganz besonders wenn diese schon ein Cisco Umfeld hat !
Zum Thema permanenter und stabiler Betrieb muss man bei Cisco sicher nichts mehr sagen. Zumal ihr das mit eurem soliden 2911er ja über die Jahre auch selber zu schätzen wisst ! face-wink
Fazit:
Setze auf einen neuen Cisco und L2TP !
Member: liquidbase
liquidbase Apr 08, 2022 at 14:06:52 (UTC)
Goto Top
Zum Thema permanenter und stabiler Betrieb muss man bei Cisco sicher nichts mehr sagen. Zumal ihr das mit eurem soliden 2911er ja über die Jahre auch selber zu schätzen wisst !
Ja die 2911 wurde gekauft als sie raus kam und hat ohne Hardware-Ausfälle bis jetzt zum EoL gearbeitet. Was mir halt Kopfschmerzen bereitet ist die Backdoor die eingebaut ist. Klar ist aber auch die Wahrscheinlichkeit ob diese genutzt wird oder nicht, an sich eher nicht. Da sie aber da ist macht man sich halt seinen Kopf drum.

Der Cisco bringt zudem eine vollständige stateful Firewall mit.
Die wir von Juniper schon haben mit einer SRX345. Über die läuft dann auch der ganze Verkehr bevor es in die Standorte gehen würde.

Setze auf einen neuen Cisco und L2TP !
Ja da sind wir bei einem anderen Problem. Die 2911 war effektiv ein Ausrutscher des alten ITlers gewesen. Normal werden hier Geräte von Juniper eingesetzt. Der alte ITler hat die 2911 nicht wegen der Stabilität sondern wegen der Kosten AnyConnect-Lizenzen gekauft.
Man kann zwar Cisco und Juniper-Tunnel miteinander koppeln das ist nicht das Thema aber der Aufwand dazu ist etwas nervig und aus eigener Erfahrung weiß ich das es mit OpenVPN oder Wireguard einfacher geht.

Ist das Problem dabei. Stabilität ganz klar Cisco vor allem wenn man auf lange Sicht plant. Durchsatz verschiebt sich dann aber mehr Richtung Juniper, OpenVPN und Wireguard. Wobei ich Juniper aber eher nicht als Einwahl-Gateway nehmen würde, da die wirklich massiv zulange was die Lizenzen für die Einwahl-User betrifft.
Member: aqui
aqui Apr 08, 2022 updated at 15:05:24 (UTC)
Goto Top
Any Connect brauchst du doch gar nicht. Ist auch wieder Fricklei mit überlüssiger VPN Software. face-wink Und... Was für eine Backdoor denn ??
Member: liquidbase
liquidbase Apr 08, 2022 at 15:12:22 (UTC)
Goto Top
Zitat von @aqui:

Any Connect brauchst du doch gar nicht. Ist auch wieder Fricklei mit überlüssiger VPN Software. face-wink Und... Was für eine Backdoor denn ??

AnyConnect war für die 2911 Voraussetzung. Da hatte das SSL-VPN nicht ohne funktioniert. Und Backdoor in Bezug auf die Amis, hatte Cisco ja auch damals selbst zugegeben. Wobei bei letzterem muss ich zugeben das ich das die letzten 2 - 3 Jahre nicht mehr verfolgt habe. Und da wir mit medizinischen Daten arbeiten, habe ich mit dem Thema eh ein Problem wenn bekannt ist das etwas in der Richtung vorhanden ist.
Member: aqui
aqui Apr 08, 2022 updated at 17:19:45 (UTC)
Goto Top
Wer hat dir das erzählt ?? L2TP VPN hat schon immer seit Jahrzehnten funktioniert. Da ist dein Kollege wohl auf die Marketing Sprüche reingefallen ! face-wink
Und Backdoor in Bezug auf die Amis,
Oha...olle Kamellen und Schnee von gestern. Juniper ist da aber sehr, sehr viel böser:
https://www.schneier.com/blog/archives/2021/09/more-detail-on-the-junipe ...
Übrigens arbeiten die gesamten kassenärztlichen Backbone Netze alle mit Cisco. Ebenso das vom obersten Boss in Berlin auch. face-wink

Und wenn du partout den Cisco nicht weiter als VPN Dialin verwenden willst aber dennoch die bordeigenen VPN Clients verwenden willst stellst du als VPN Server halt einen kleinen Intel NUC mit Linux hin:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Mitglied: 90948
90948 Apr 08, 2022 at 16:46:22 (UTC)
Goto Top
Zitat von @liquidbase:

Zitat von @Looser27:

Es ist nicht möglich den Wireguard-Client für Windows ohne administrative Rechte vernünftig zu bedienen. Ja, es gibt Workarounds, aber der OpenVPN Client kann auch ohne Admin-Rechte genutzt werden, weswegen OpenVPN für mich derzeit favorisiert ist.
Ja davon habe ich auch schon gehört, das Wireguard da Probleme macht, was mitunter ein Grund für die Fragestellung ist.

Zitat von @Looser27:

Wenn Eure User aber ohnehin Admin-Rechte auf den Clients haben, ist Wireguard eine einfach zu konfigurierende Alternative, welche auch mehr Durchsatz bietet.
Da die User entsprechend eingewiesen sind und ein Teil der Software mit der gearbeitet wird Admin-Rechte für den korrekten Betrieb voraussetzt, wird das weniger das Problem sein.

Für mich und die anderen User ist halt wichtig das man einen permanenten stabilen Betrieb hat, der maximal von dem Ausfall der physikalischen Leitung beeinträchtigt werden kann.

Hi,

wir verwenden WireGuard ist stabiler als OpenVPN und baut seine Connections schnell nach einem Wechsel des Netzes (z.B. WLAN auf LTE) wieder auf. Nachteil ist definitiv das man selbst mit den Workarounds manchmal ärger hat. Ich hatte an 2 Clients, das der notwendige Registry Eintrag gelöscht wurde (vermutlich ein Windows Update). Was ich am Windows Client auch vermisse ist der "OnDemand" den man bei macOS und Linux setzen kann. Wenn Wireguard einmal aktiviert ist, dann läuft der Tunnel ständig auch wenn man mit dem Gerät im Firmennetz unterwegs ist.
Mitglied: 108012
108012 Apr 09, 2022 at 07:54:30 (UTC)
Goto Top
Hallo zusammen,


Ich wollte mich mal erkundigen wie die Gemeinschaft zu der im Titel gestellten Frage steht.
Also wenn ich eines der beiden benutzen würde dann nur via VPN Server in der DMZ oder aber
einer adäquaten Hardware die auch allen VPN-Benutzern einen ordentlichen Durchsatz garantiert.

Und Backdoor in Bezug auf die Amis, hatte Cisco ja auch damals selbst zugegeben.
Kennst Du die Leute die den Code für OpenVPN und WireGuard schreiben?

Hintergrund der Fragestellung ist dabei das bei mir auf Arbeit für die VPN-Einwahl eine Cisco 2911 arbeitet,
welche zum 31.12.2022 endgültig EoL ist und damit von Cisco keine Updates, kein Hardware-Support usw
mehr erhält.
Eine andere Cisco Lösung wie schon erwähnt?

Um relativ zeitnah einen Ersatz einzuplanen und bereitzustellen ist bei mir die Frage aufgetaucht was
man den nutzen könnte.
DrayTek Vigor 3910


Da es maximal 5 Personen geben wird die sich per VPN einwählen würden, braucht es keine dedizierte
Hardware mehr dafür und ich könnte daher auf Wireguard oder OpenVPN via einer OPNSense ausweichen.
Mini ITX Board kleiner Xeon E3-xxv7 und genug RAM mit pfSense, OPNSense, ClearOS, Untangle, Endian
oder VyOS, sollte so oder ähnlich schon passen.

Wieso die Frage auftaucht ist relativ einfach. Wireguard ist relativ neu und erhält nach wie vor eine
Vielzahl an Updates welche den reibungs- und unterbrechungslosen Betrieb sehr wahrscheinlich
auch mal behindern könnte.
- OpenVPN ist der defacto Industriestandard
- WireGuard der Hoffnungsschimmer am Horizont
- IPSec ist kampferprobt, mehrfach geprüft und zuverlässig

Suchs Dir doch einfach aus.

An sich habe ich damit nicht das Problem, muss aber auch schauen das die anderen Nutzer
jederzeit arbeiten können.
Und wie viele Jahre hat die Cisco Hardware Ihren Dienst ohne Probleme erledigt?

Unter den Gesichtspunkten, auf was würdet ihr setzen?
Welche Internetverbindung denn? 50 MBit/s und 5 VPN Klienten und nur Firewall und ohne pfBlocker-NG
und Snort, Squid plus ClamAV? Dann reicht Dir sicherlich auch eine kleine APU4D4 aus oder?

Das stabilere OpenVPN oder eher auf das neue Wireguard?
Das sichere IPSec entweder auf einem Cisco, einem DrayTek Vigor3910 oder einer pfSense wäre meine Wahl.

Bei den Medizindaten habt Ihr keine Vorgabe was Ihr benutzen sollte, könnt oder dürft?

Dobby
Member: liquidbase
liquidbase Apr 11, 2022 at 06:35:39 (UTC)
Goto Top
Bei den Medizindaten habt Ihr keine Vorgabe was Ihr benutzen sollte, könnt oder dürft?
Nope haben wir nicht. Liegt aber daran das es eine Privatpraxis ohne Kassenpatienten ist und wir damit weder in der Telematikinfrastruktur sein müssen oder die Gematik etwas vorschreiben kann. Ist auch besser so wenn ich ehrlich bin.

Welche Internetverbindung denn?
500MBit/s Glasfaser synchron in beide Richtungen die über SPI laufen mit Snort und Squid.

Ansonsten ist es aber egal was die Hardware betrifft, da sich die Frage nicht stellt.
Es dreht sich nur um OpenVPN und Wireguard, mehr nicht. Ich kann nachvollziehen das ihr mit entsprechenden Vorschlägen zu neuer Hardware macht, war aber so nicht die Frage ist auch nicht Gegenstand dieser.
Member: aqui
aqui Apr 11, 2022 at 06:56:34 (UTC)
Goto Top
500MBit/s Glasfaser synchron in beide Richtungen die über SPI laufen mit Snort und Squid.
Cisco 1111-4P mit SEC Lizenz. Mehr brauchst du nicht !