Die Schwächen von OpenVPN

2017 wurde Veeam PN als Teil von Veeam Recovery to Microsoft Azure eingeführt. Die Anwendungsmöglichkeiten für Veeam PN gingen über die Erweiterung von Azure-Netzwerken für die Wiederherstellung von Workloads hinaus, weshalb IT-Begeisterte das Produkt schon bald für Remote-Verbindungen mit Home-Labs einsetzten. Auch in Remote-Netzwerken, die Cloud- und lokale Plattformen miteinander verbinden, fand Veeam PN Anwendung.

Damit war der weitere Entwicklungsweg für uns vorgezeichnet, doch stellten wir fest, dass unsere Kunden noch mehr erwarteten. Sie wollten Veeam PN auch zum Schutz ihrer Daten und Veeam Backup & Replication zur standortübergreifenden Datenübertragung nutzen. Bei der Übertragung von Backup-Daten müssen die zugrunde liegenden physischen Verbindungen bis an ihre Kapazitätsgrenzen belastet werden. Unsere F&E-Abteilung stellte jedoch fest, dass OpenVPN nicht das erwartete Skalierungs- und Leistungspotenzial bot, und zwar unabhängig davon, welche Kombination aus CPU und anderen Ressourcen wir einsetzten.

Veeam Powered Network v2 mit WireGuard

Die Zukunft der VPNs heißt unserer festen Überzeugung nach WireGuard, denn dieses Protokoll bietet gegenüber herkömmlichen Protokollen wie OpenVPN und IPsec erhebliche Vorteile. WireGuard ist skalierbarer und übertrifft OpenVPN nachweislich in puncto Durchsatz. Deshalb haben wir uns von OpenVPN verabschiedet und es für Site-to-Site-VPNs durch WireGuard ersetzt. Für Veeam PN-Entwickler bedeutete dieser radikale Schritt, dass vorhandene Quellcodes unbrauchbar wurden und ebenfalls ersetzt werden mussten, während Veeam PN-Nutzer ihre Software nicht einfach per Upgrade aktualisieren konnten.

Neben den oben genannten Gründen sprach noch etwas für WireGuard: In der Open-Source-Welt setzt sich das Protokoll zusehends als neuer Standard für VPN-Technologien durch. WireGuard verfügt über eine bessere, effizientere Verschlüsselung, die mehr Leistung und ein höheres Maß an Sicherheit gewährleistet. Erreicht wird dies durch die Nutzung des Kernels und eine drastische Reduktion des Codes (nur 4.000 Zeilen statt 600.000 wie bei OpenVPN). Selbst Hunderte Standorte lassen sich mit WireGuard zuverlässiger verbinden – auch hier stellen sich also Leistungs- und Skalierungsvorteile für spezifischere Backup- und Replikationsanwendungen ein.

Der Aufstieg von WireGuard zum faktischen VPN-Standard wird u. a. von Linus Torvalds enthusiastisch begrüßt:

 

„Darf ich an dieser Stelle einfach noch einmal sagen, wie sehr ich [WireGuard] schätze und hoffe, dass es demnächst direkt [in den Linux-Kernel] integriert wird? Der Code mag nicht perfekt sein, aber ich habe ihn überflogen und finde, dass er im Vergleich zu den Katastrophen OpenVPN und IPSec ein regelrechtes Kunstwerk ist.“

Linus Torvalds in der Linux-Kernel-Mailingliste

Mehr Sicherheit und bessere Leistung

Auch das Sicherheitsniveau von WireGuard war ein Faktor, der uns dazu bewogen hat, OpenVPN Lebewohl zu sagen. Die Sicherheit ist bei jedem VPN ein kritischer Punkt, doch WireGuard nutzt diesbezüglich einen simpleren Ansatz, indem es kryptographischen Angriffen mit Kryptoversionen begegnet. Anders ausgedrückt: Es ist einfacher, verschiedene Versionen kryptographischer Primitive nacheinander zu authentifizieren, anstatt vom Client-Server Codetypen und Schlüssellängen abgleichen zu lassen.

Dank diesem optimierten Verschlüsselungsansatz und der Effizienz des Codes kann WireGuard OpenVPN in Sachen Leistung überflügeln. In der Folge erreicht Veeam PN einen deutlich höheren Durchsatz (Tests haben je nach CPU-Konfiguration Leistungssteigerungen um das 5- bis 20-Fache ergeben), wodurch sich über einfache Außenstellen- und Home-Lab-Zwecke hinaus neue Anwendungsmöglichkeiten ergeben. Veeam PN kann nun Verbindungen zwischen mehreren Standorten herstellen und Daten mit konstanten Geschwindigkeiten von mehreren hundert Mb/s übertragen – ideal für den Datenschutz und für Wiederherstellungsszenarien.

Lösung des UDP-Problems, einfache Konfiguration und Point-to-Site-Verbindungen

Ein Grenzfaktor, der bisweilen an WireGuard bemängelt wird, ist die Tatsache, dass alles über UDP läuft. Dies kann zu Problemen führen, wenn WireGuard in gesperrten Netzwerken eingesetzt wird, die standardmäßig TCP-Verbindungen eher vertrauen als UDP-Verbindungen. Um dieses mögliche Einführungshindernis aus dem Weg zu räumen, haben unsere Entwickler eine Methode erarbeitet, wie sich das WireGuard-UDP-Protokoll (mit minimalem Aufwand) so in TCP kapseln lässt, dass Kunden je nach ihren Netzwerksicherheitseinstellungen die freie Wahl haben.

Durch die Einbindung von WireGuard in eine All-in-One-Appliance (oder durch Installation über ein simples Skript auf einem bereits installierten Ubuntu-Server) haben wir die Installation und Konfiguration komplexer VPNs einfach und zuverlässig gestaltet. Als Protokoll für Point-to-Site-Verbindungen haben wir vorerst OpenVPN beibehalten, da OpenVPN-Clients über verschiedene Plattformen hinweg weiter verbreitet sind. Der Client Access über den Veeam PN-Hub erfolgt ebenfalls mithilfe von OpenVPN, wobei der Site-to-Site-Zugriff von WireGuard übernommen wird.

Weitere Verbesserungen

Eines der Hauptziele, die wir mit Veeam PN erreichen wollten, ist eine Reduktion der Komplexität – und das sollte unbedingt so bleiben, unabhängig von den im Hintergrund laufenden Prozessen, die die eigentliche Schwerstarbeit verrichten. Die Ergänzung von WireGuard ist ohne Zweifel die größte Verbesserung seit Veeam PN v1, aber natürlich nicht die einzige. Hier einige weitere Verbesserungen:

  • DNS-Weiterleitung und -Konfiguration zur Auflösung von FQDNs in verbundenen Sites
  • Neuer Bericht für den Bereitstellungsprozess
  • Verbesserungen der Microsoft Azure-Integration
  • Einfach manuelle Produktbereitstellung

Fazit

Mit Veeam PN möchten wir Veeam-Kunden ein kostenloses Tool an die Hand geben, das die traditionell komplexen Konfigurations-, Erstellungs- und Verwaltungsvorgänge rund um Site-to-Site- und Point-to-Site-VPNs vereinfacht. Durch die Einführung von WireGuard als Site-to-Site-VPN-Plattform erweitert sich das ursprüngliche Anwendungsspektrum von Veeam PN, das dank den Vorteilen von WireGuard nun auch für geschäftskritische Anwendungen eine echte Option darstellt. Wir haben uns für WireGuard entschieden, weil es unserer Meinung nach das VPN-Protokoll der Zukunft ist, und freuen uns sehr, unseren Kunden nun Veeam PN v2 anbieten zu können.

Jetzt herunterladen!

Nützliche Ressourcen:

WireGuard ist ein eingetragenes Markenzeichen von Jason A. Donenfeld.

GD Star Rating
lädt...

Veeam Availability Suite

#1 Cloud Data Management for on premises, AWS, Microsoft Azure and Azure Stack, and IBM Cloud.

FREE TRIAL