[Eisfair] OpenVPN versus WireGuard

D. Oezbilen oezbilen at gmx.net
Do Dez 30 22:14:07 CET 2021 

Hallo Ulrich,

> openVPN versus WireGuard

was mir im Alltag auffaelt sind folgende Punkte:

OpenVPN
	braucht laenger, eindeutig laenger, bis die Verbindung steht
	Die Config ist etwas bunter => man kann sich verheddern
	Die Routing-Info ist transparenter (s.u.)
	Die Logs sind da (s.u.) und aussagekraeftiger
	Der Akkuverbrauch auf mobilen devs: belastend

Wireguard
	extrem schneller Aufbau (egal welche Plattform)
		(so schnell  kann man nicht schauen ;-))
	Die Config ist beeindruckend einfach
		zudem der QR-Code es sehr, sehr einfach macht, wenn die Config (ASCII)
		vorher schon steht, sprich, man kann den Benutzern den QR-Code
		ueberreichen, scan, peng, Tunnel da
	Das Routing ... OK, aber ein Szenario konnte ich nicht abfangen s.u.
	Die Logs sind ... nicht da. :-) :-(
		oder nur mit grossen Klimmzuegen ueber den kernel zu kriegen, Diagnose,
		ob der Tunnel steht nur ueber ping der Einheiten.
	Der Akkuverbrauch auf mobilen devs: gering (keine absoluten Werte)

@Performance
	will _ich_ hier keine Aussage treffen, weil mir das in meinen 
Umgebungen Jacke wie Hose ist, fuer das, was ich mache, wofuer ich es 
brauche, ist es egal. Habe auch keine Messungen gemacht. Alle Verweise 
im Netz favorisieren eindeutig wg, da auch Kernelmodul (s. auch 
Log-Problematik).

Im Detail:

Die Config bei Openvpn ist fehlertraechtiger, aber man hat Logs. wg als 
Kernelmodul bietet erstmal keine Logs, dg. Wenn also die Verbindungen 
nicht steht, steht man da. Auf der anderen Seite ist die Config auch 
extrem flach, transparent, so dass Fehler in den Parametern nicht so 
haeufig sein sollten.

Was wg extrem sexy macht, ist der QR Code, man kann (spreche aus eigener 
Erfahrung) diesen QR Code gesichert dem Benutzer uebergeben und wahrlich 
_sehr_ Unkundige schaffen damit einen Tunnel auf mobilen Einheiten 
einzurichten.
	Das, z.B. ist mir bei Apple/OpenVPN *nicht* gelungen, weil ich selbst 
Apple nicht kann, zu doof bin, aber im Nachgang dafuer haften soll, dass 
es nicht funkt. Deswegen konnte ich bei der o.a. Person kein OpenVPN 
konfigurieren (mag an mir liegen). Jedoch wg dank des QR-Codes konnte 
die Person das eigenhaendig umsetzen; finde diesen Punkt grossartig.

@Routing
Wie, welches Netz erreichbar ist und ob in toto  (also alles ueber den 
Server) geroutet wird ist bei OpenVPn IMHO transparenter. wg geht (wohl) 
auch einiges, doch so schnell, wie ich OpenVpn begriff, ist das Routing 
bei wg noch ein Kapitel fuer mich. Auch, wenn es ein persoenliches 
Problem ist, so doch zeigt, das eine ist verstaendlicher, wg dagegen ...

Oft wird in wg Configs ein NAT eingefuehrt, finde ich problematisch. 
Denn, wo Du routen kannst, solltest Du routen, weil dann das Netz immer 
noch transparent und beherrschbar bleibt, zudem manche Protokolle bei 
NAT Kopfschmerzen machen. Wenn Du gaaaaar nicht routen kannst und/oder 
der Router es nicht hat (statische Routingtabellen) dann musst Du 
natten, dann aber wird es in der Summe - im Fehlerfall allemal- 
unuebersichtlich.
Genau hier ankuenpfend konnte ich ein Szenario mit wg *nicht* loesen, 
was unter OpenVPN (beides ohne NAT) funkte. Auch in einer Sitzung mit 
Sebastian (ich meine S. Erz baut wg fuer eis) konnten wir dieses 
Szenario (ohne NAT) nicht loesen.

@Logs
wg findest Du erstmal keine, musst im/am Kernel was machen, damit Du 
welche erhaelst, da Kernelmodul, OpenVPN ist viel gespraechiger und fuer 
eine Fehleranalyse ein Stck. hilfreicher.

Bei beiden kann man den Client auf eine IP fixieren, das ist gut.

Die Zertifkatserstellung, -verwaltung ist bei OpenVPN aufwendiger u. 
fehlertraechtiger.

@Akkuverbrauch auf mobilen devs
OpenVPN zieht eindeutig staerker am Akku, wg nicht, signifikant zu 
OpenVPN __weniger___.

Das alles, was ich hier zu beiden geschrieben habe gilt fuer ip4.

Gruss
Oezbilen

Mehr Informationen über die Mailingliste Eisfair