Was ist das beste VPN-Protokoll?

Offensichtlich WireGuard. Oder Lightway. NordLynx? Nein, OpenVPN…

Durchsuchen Sie die Websites der meisten VPN-Anbieter und Sie werden Prahlereien über die Unterstützung dieses oder jenes VPN-Protokolls finden.

Welche sollten Sie jedoch verwenden? Dazu haben sie nicht so viel zu sagen.

Ein Grund dafür ist, dass es keine One-Protocol-Fits-All-Lösung gibt, die in jeder Situation die beste Wahl ist. Ihre ideale Option hängt von einer Reihe von Faktoren ab, von Ihrem Gerätetyp und Ihrer Netzwerkkonfiguration bis hin zu Ihren Sicherheitsprioritäten und was auch immer Sie tun möchten.

Glücklicherweise benötigen Sie keine Netzwerkkenntnisse auf Ninja-Niveau, um dies herauszufinden. Hier sehen wir uns die beliebtesten VPN-Protokolle an, sprechen über ihre Stärken und Schwächen und geben Ihnen die Details, die Sie benötigen, um intelligentere Protokollentscheidungen zu treffen.

WireGuard

WireGuard mag immer noch ein frischgebackener Newcomer in der VPN-Welt sein, aber es hat einen echten Eindruck hinterlassen.

Bei dem Protokoll dreht sich alles um Einfachheit, wodurch ein Großteil der Funktionsüberlastung von OpenVPN zugunsten eines abgespeckten, minimalistischen Designs weggeworfen wird (mehr dazu weiter unten).

Die meisten Benutzer werden keinen Unterschied in der Funktionalität bemerken. Verbinden Sie sich zum Beispiel mit OpenVPN und Ihr Datenverkehr könnte über AES, Camellia, ChaCha20, Poly1305, GOST 28147-89 und mehr verschlüsselt werden; Verbinden Sie sich mit WireGuard und es wird nur ChaCha20 verwendet, aber da das so sicher ist, wie es nur geht, werden Sie sich sehr darum kümmern? Wir vermuten nicht.

Der Wechsel zu WireGuard sollte Ihnen jedoch einen deutlich spürbaren Leistungsunterschied bescheren. Die Verbindungszeiten können nur wenige Sekunden betragen (von 10-20 Sekunden bei einigen Protokollen), und in kürzlich durchgeführten Tests waren die Download-Geschwindigkeiten von WireGuard mindestens doppelt so schnell wie alles, was wir von OpenVPN gesehen haben. Werfen Sie einen Blick auf unseren Countdown für die schnellsten VPNs, und die Top-Spieler verfügen alle über WireGuard (oder zumindest eine darauf basierende proprietäre Version).

Es gibt einige Komplikationen. WireGuard ist beispielsweise nicht so flexibel wie OpenVPN und hat möglicherweise größere Schwierigkeiten, Firewalls zu umgehen oder in VPN-unfreundlichen Ländern online zu gehen – wenn Sie beispielsweise versuchen, Ihr VPN in China zu verwenden.

Es wird auch nicht so gut von VPN-Anbietern oder anderen Geräten unterstützt. Wenn Ihr Router beispielsweise VPNs unterstützt, ist es viel wahrscheinlicher, dass er OpenVPN verwendet. Möglicherweise können Sie WireGuard verwenden, indem Sie OpenWRT installieren, aber das ist ein ganz anderer Artikel.

Im Allgemeinen bietet WireGuard jedoch felsenfeste Sicherheit mit Spitzengeschwindigkeiten, und es ist ein großartiges Protokoll, das man zuerst ausprobieren sollte.

OpenVPN-Protokoll

OpenVPN gibt es schon seit 20 Jahren, aber mit seiner Mischung aus Features, Sicherheit und Geschwindigkeit gehört das Protokoll immer noch zu den Marktführern.

Seine Flexibilität ist ein großes Plus. Wenn sich eine VPN-App über OpenVPN verbindet, hat sie potenziell alle möglichen Optionen. Verbindest du dich über UDP oder TCP? Welchen Port verwendest du? Wie können Sie sich auf dem Server anmelden? Wie soll der Server Ihnen gegenüber seine Identität nachweisen? Welche Verschlüsselungsalgorithmen verwenden Sie? Und die Liste geht weiter.

All diese Funktionen erfordern viel Code, was OpenVPN komplexer macht als viele Konkurrenten. Es ist jedoch ein Open-Source-Projekt, was bedeutet, dass jeder sich die Interna ansehen, bestätigen kann, dass es ordnungsgemäß funktioniert, bei der Behebung von gefundenen Fehlern helfen oder bessere Möglichkeiten vorschlagen kann, etwas zu tun.

Dennoch fügt OpenVPN Ihrem VPN-Verkehr mehr Overhead hinzu als viele Konkurrenten, mit einigen sehr spürbaren Auswirkungen. IKEv2, WireGuard und viele moderne Protokolle können in wenigen Sekunden eine Verbindung herstellen; OpenVPN braucht oft 10-20. In unseren letzten Geschwindigkeitstests schaffte OpenVPN typischerweise 200-400 Mbit/s; WireGuard erreichte 450-900Mbps.

Dies wird für viele Benutzer keinen großen Unterschied machen (wie oft haben Sie schon mehr als 200 Mbit/s in öffentlichen WLANs benötigt?), und OpenVPN ist für die meisten Benutzer immer noch eine ausgezeichnete Protokollwahl: flexibel, sicher, einige praktische Funktionen, um Firewalls zu umgehen , und es ist schnell genug für die meisten Situationen.

Wenn Sie jedoch schnelle Verbindungszeiten, weniger Ärger auf mobilen Geräten beim Wechseln zwischen Netzwerken und die maximal möglichen Download-Geschwindigkeiten suchen, können Sie mit WireGuard oder einem anderen modernen Protokoll bessere Ergebnisse erzielen.

L2TP/IPsec

L2TP (Layer 2 Tunneling Protocol)/IPsec (Internet Protocol Security), manchmal auch als L2TP oder einfach nur IPsec bekannt, ist ein Microsoft-VPN-Protokoll, das auch auf vielen anderen Plattformen und Geräten unterstützt wird.

Es hat nicht viele Funktionen, aber es gibt genug, um durchzukommen. L2TP kann beispielsweise nicht mit OpenVPN mithalten, wenn es um die Wahl der Verschlüsselungsalgorithmen geht, aber bei Verwendung von AES (der typischen Wahl) ist es so effektiv wie alles andere.

Wie bei IKEv2 von Microsoft ist L2TP nicht darauf ausgelegt, Firewalls zu umgehen. Es verwendet beispielsweise typischerweise die UDP-Ports 500 und 4500, wodurch es relativ einfach zu blockieren ist.

Eine andere Besorgnis tauchte 2013 auf, als die Offenlegungen von Edward Snowden darauf hindeuteten, dass die IPsec-Sicherheit von der NSA kompromittiert worden war. Und selbst wenn Sie nicht von einem Nationalstaat überwacht werden, wenn IPsec vor zehn Jahren umgangen wurde, ist es sehr wahrscheinlich, dass andere inzwischen herausgefunden haben, wie man dasselbe macht.

Dies ist alles sehr theoretisch, und in der realen Welt ist L2TP/IPsec einfach einzurichten und sollte Sie sehr sicher halten, wenn Sie nur ein paar Online-Einkäufe über öffentliches WLAN tätigen möchten.

Es wäre jedoch nicht unsere erste Wahl, und wir würden uns zuerst für WireGuard, OpenVPN oder das eigene benutzerdefinierte Protokoll eines Anbieters entscheiden.

IKEv2

IKEv2 ist der gebräuchliche Name für das IKEv2/IPsec-Protokoll oder Internet Key Exchange Version Two / Internet Protocol Security.

IKEv2 wurde von Microsoft und Cisco entwickelt und gibt es seit 2005. Lassen Sie sich jedoch nicht von seinem Alter abschrecken. Die Technologie vermeidet die Fehler früherer Protokolle wie PPTP und gilt auch heute noch als hochsicher. Und da IKEv2 ausgereift ist, wird es jetzt von vielen VPNs sowohl auf Desktops als auch in mobilen VPN-Apps umfassend unterstützt.

IKEv2 schneidet in unseren Tests in der Regel gut für die Verbindungszeiten ab, und wir sehen, dass es oft in weniger als zwei Sekunden betriebsbereit ist. In der Zwischenzeit können OpenVPN-Verbindungen 10-20 Sekunden dauern, bevor sie hergestellt werden. Wenn Sie Ihr VPN regelmäßig ein- und ausschalten, vielleicht um E-Mails zu checken, kann das einen großen Unterschied machen.

Die Download-Geschwindigkeiten sind nicht schlecht, wobei das Protokoll OpenVPN in einigen Fällen übertreffen kann, aber weit hinter WireGuard zurückbleibt. IKEv2 erreichte in unserem letzten VPN-Update einen Spitzenwert von 290 Mbit/s; WireGuard erreichte 900 Mbit/s und hätte vielleicht noch besser abgeschnitten, wenn wir eine schnellere Netzwerkverbindung gehabt hätten.

Insgesamt zeichnet sich IKEv2 in nichts Besonderem aus. Es hat nicht die Funktionen oder Konfigurierbarkeit von OpenVPN, es kann nicht mit der Geschwindigkeit von WireGuard mithalten. Aber wenn sie aus irgendeinem Grund nicht für Sie funktionieren (oder einfach nicht verfügbar sind), ist IKEv2 eine starke Allround-Wahl, die Ihren Datenverkehr sicher hält und für die meisten Situationen mehr als genug Geschwindigkeit liefert.

SSTP

Secure Socket Tunneling Protocol (SSTP) ist eine Microsoft-Technologie, die in Windows integriert ist.

SSTP funktioniert ein wenig wie OpenVPN und verwendet SSL (und optional TCP und Port 443), um eine Erkennung zu vermeiden und in VPN-unfreundlichen Umgebungen eine Verbindung herzustellen.

Das Problem ist, dass SSTP ein proprietärer Standard von Microsoft ist. Im Gegensatz zu Open-Source OpenVPN, WireGuard und anderen ist es nicht möglich, den Quellcode zu überprüfen, um zu überprüfen, was er tut. Und da es sich um ein Microsoft-Produkt handelt, wird SSTP von vielen Plattformen oder VPN-Apps nicht unterstützt.

Im Allgemeinen sieht SSTP sehr sicher aus. Und wenn Sie eine VPN-Verbindung auf einem Windows-System manuell einrichten müssen, kann SSTP dies tun, ohne Apps von Drittanbietern installieren zu müssen.

Wenn Sie die App Ihres Anbieters trotzdem installieren, würden wir OpenVPN (sofern verfügbar) vor SSTP wählen.

PPTP

PPTP (Point-To-Point Tunneling Protocol) tauchte erstmals in den 1990er Jahren auf und ist eines der ältesten VPN-Protokolle überhaupt.

Dies hat einige Vorteile. PPTP ist sehr einfach, hat wenig Overhead und ist daher sehr schnell. Es läuft auch gut auf alten Geräten, die möglicherweise nicht über die Leistung oder die Funktionen verfügen, um aktuellere Protokolle auszuführen.

Das Problem ist, dass Forscher im Laufe der Jahre mehrere PPTP-Probleme gefunden haben und Microsoft den Benutzern bereits 2012 vorschlug, auf etwas anderes umzusteigen.

Infolgedessen haben die meisten VPN-Anbieter die Unterstützung für PPTP eingestellt, und wir halten das für sinnvoll. Es ist unsicher und am besten vermieden.

Wenn Ihr Anbieter immer noch PPTP anbietet, kann es in Situationen nützlich sein, in denen Sicherheit nicht wichtig ist (wenn Sie beispielsweise nur eine bestimmte Website entsperren müssen). Verwenden Sie es jedoch nur, wenn alle anderen Protokolle fehlgeschlagen sind, und stellen Sie sicher, dass Sie zu etwas Besserem wechseln, bevor Sie mit dem Online-Banking oder etwas anderem beginnen, das auch nur geringfügig empfindlich ist.

Proprietäre Protokolle

Einige große VPN-Anbieter haben sich nicht auf die Standardprotokolle beschränkt, sondern selbst innovative Technologien entwickelt.

ExpressVPN bietet zum Beispiel Lightway an; NordVPN hat NordLynx; Hotspot Shield verwendet Catapult Hydra und VyprVPN hat sein eigenes Chamäleon.

Wir denken, dass dies ein sehr positives Zeichen für jeden Anbieter ist, da es ein Unternehmen mit echten Ressourcen und technischem Know-how zeigt, das auch große Anstrengungen unternimmt, um den Service für seine Kunden zu verbessern.

Es kann auch Schattenseiten geben. OpenVPN, WireGuard und Lightway von ExpressVPN sind alle Open Source, sodass jeder den Code überprüfen und sich vergewissern kann, dass er seine Datenschutzversprechen einhält. Aber die meisten anderen proprietären Protokolle sind Closed Source, und die Benutzer müssen darauf vertrauen, dass der Anbieter weiß, was er tut, und dass keine Fehler im Code lauern.

Wenn wir uns jedoch die technischen Spezifikationen und unsere eigenen Tests ansehen, erscheinen all diese Protokolle sehr sicher und können sehr hohe Geschwindigkeiten liefern – zum Beispiel erreichte NordVPN bei unseren letzten Überprüfungen Spitzenwerte von 880 Mbit/s.

Einige benutzerdefinierte Protokolle sind nur für bestimmte Situationen konzipiert. Chameleon von VyprVPN kann beispielsweise gute Arbeit leisten, um Sie in China online zu bringen, also ist es einen Versuch wert, wenn Sie irgendwo unterwegs sind, wo VPNs blockiert sind. Aber WireGuard von VyprVPN liefert eine bessere Leistung im allgemeinen Gebrauch.

Lightway, NordLynx und Catapult Hydra sind jedoch als Allzweckprotokolle konzipiert und funktionieren unserer Erfahrung nach sehr gut. Wenn Sie sich bei ExpressVPN, NordVPN oder Hotspot Shield angemeldet haben, empfehlen wir Ihnen, die oben genannten Standardprotokolle zu wählen, um die bestmöglichen Ergebnisse zu erzielen.