IPsec vs. OpenVPN vs. WireGuard – interaktive Gegenüberstellung.
| 🔐IPsec/IKEv2seit 1995 | 🟢OpenVPNseit 2001 | ⚡WireGuardseit 2018 | |
|---|---|---|---|
| Performance | |||
| Geschwindigkeit | Gut Hardware-Offloading möglich |
Mittel Userspace, höherer Overhead |
Exzellent Kernel-Modul, minimaler Overhead |
| Latenz | Niedrig | Mittel | Sehr niedrig |
| Codezeilen | ~400.000 (StrongSwan) |
~100.000 |
~4.000 |
| Sicherheit | |||
| Verschlüsselung | AES-256, ChaCha20, SHA-2, DH/ECDH |
AES-256-GCM, ChaCha20, SHA-2, RSA/ECDSA |
ChaCha20, Poly1305, Curve25519, BLAKE2s |
| Perfect Forward Secrecy | Ja | Ja Mit tls-crypt |
Ja Bei jedem Handshake |
| Audit-Status | Bewährt Jahrelang im Einsatz, IETF-Standard |
Auditiert Mehrfach geprüft, Open Source |
Formal verifiziert Mathematisch bewiesen, Code-Audit |
| Konfiguration & Betrieb | |||
| Einrichtung | Komplex Viele Parameter, Zertifikate, Proposals |
Mittel Config-Datei, Zertifikat-Infrastruktur |
Einfach Wenige Zeilen Config, Key-Pair |
| Client-Plattformen | Nativ überall Windows, macOS, iOS, Android built-in |
Breit Alle Plattformen, App nötig |
Breit Alle Plattformen, App nötig, Linux nativ |
| NAT-Traversal | Ja UDP Port 4500 (NAT-T) |
Exzellent TCP/UDP, Port flexibel, auch Port 443 |
Ja Nur UDP, Port frei wählbar |
| Firewall-Freundlichkeit | Mittel ESP-Protokoll wird manchmal blockiert |
Sehr gut Kann über TCP 443 laufen (wie HTTPS) |
Mittel Nur UDP, kein TCP-Fallback |
| Netzwerk-Features | |||
| Site-to-Site | Exzellent Standard für S2S, jeder Router kann es |
Gut Möglich, aber nicht primär dafür |
Gut Einfache Peer-to-Peer-Topologie |
| Remote Access | Gut IKEv2 + EAP, Always-On VPN |
Exzellent Access Server, MFA, LDAP-Auth |
Gut Einfach, aber kein User-Auth (nur Keys) |
| Protokoll | UDP 500/4500 + ESP |
UDP oder TCP (flexibel) |
UDP (Standard: 51820) |
| Roaming / Netzwechsel | Exzellent IKEv2 MOBIKE – nahtlos |
Schlecht Reconnect nötig bei IP-Wechsel |
Exzellent Automatisch, IP-Wechsel transparent |
| Verbreitung | |||
| Enterprise-Einsatz | Standard Cisco, Fortinet, Palo Alto, pfSense |
Verbreitet pfSense, OPNsense, Synology, NAS |
Wachsend pfSense, OPNsense, Linux-Router, Tailscale |
| Windows-Integration | Nativ Built-in VPN Client, GPO-steuerbar |
App nötig OpenVPN Connect oder TAP-Treiber |
App nötig WireGuard Windows Client |
Active Directory, GPO-Steuerung, Always-On VPN, native Clients ohne Zusatzsoftware.
→ IPsec / IKEv2Hotel-WLANs, Firmen-Firewalls die VPN blockieren, maximale Kompatibilität.
→ OpenVPN (TCP 443)Homeoffice, Site-to-Site zwischen Linux-Servern, einfache Konfiguration, moderne Kryptografie.
→ WireGuard