News Virtuelles Privates Netzwerk: OpenVPN 2.6.16 konzentriert sich auf Fehlerkorrekturen

[mischaef]

Bei der nun veröffentlichten Version 2.6.16 haben sich die Entwickler von OpenVPN vornehmlich auf die Korrektur von Fehlern konzentriert. Neue Funktionen hat die Software zur Verschlüsselung von Netzwerkverbindungen nicht erhalten. Auch bestimmten neuen Verschlüsselungsarten erteilen die Entwickler eine Absage.

Zur News: Virtuelles Privates Netzwerk: OpenVPN 2.6.16 konzentriert sich auf Fehlerkorrekturen

 

[DFFVB]

War nen gutes Projekt und ist auch datenschutzfreundlicher als Wireguard... aber Wireguard halt deutlich einfacher umzusetzen...

 

[Syrato]

Fehlerkorrektur ist immer gut! Wie gut ist die Handlichkeit von OpenVPN, nutzt ihr ihn?
@Vitche VPN Sonntagsumfrage?

 

[kieleich]

datenschutzfreundlicher als Wireguard

wie das?

openvpn kann tcp verbindungen und damit hinter https port verstecken

ansonsten mach ich auch alles mit wireguard

 

[Haldi]

Wie jetzt das nutzt noch Jemand?

 

[konkretor]

Was mich wirklich gestört hat, war das Thema Performance von OpenVPN. Ich kenne das Projekt seit 2004 und hab es intensiv viele Jahre genutzt.

Aktuell nutze ich Wireguard oder diesen VPN Server https://ocserv.openconnect-vpn.net/

 

[FrAGgi]

ist auch datenschutzfreundlicher als Wireguard

Erbitte Erklärung.

 

[airwave]

Wie jetzt das nutzt noch Jemand?

Hab mich länger nicht mehr damit befasst, inzwischen gibts glaube ich aufbauten (muss man halt aber auch erst bauen).
Wenn ich mich nicht irre: WireGuard reicht einfach die config/qr code und man kann sich mit dem vpn verbinden, zack fertig.
openvpn kann man einen/mehrere faktoren (z.b. simple gehalten passwort) vor der connect setzen.

respektive: ist eines meiner devices (z.b. smartphone) kompromittiert, würde mit wireguard jemand direkt zugriff auf mein netzwerk erhalten, bei openvpn wären weitere faktoren zum connect nötig.

aber wie gesagt: evtl. ist das inzwischen nichtmehr so.

 

[AAS]

wie das?

openvpn kann tcp verbindungen und damit hinter https port verstecken

ansonsten mach ich auch alles mit wireguard

"Verstecken" auch nur in einem Hobby Netzwerk.

@Topic
Leider hat OpenVPN immer noch nur eine Multithread-Pipeline pro Tunnel, was es gerade auf stromsparenden Multi Core System zu einer echten Krücke macht

 

[DFFVB]

@kieleich Ich hatte es mal in einem Security Podcast gehört. OpenVPN kann wohl auch den zweiten Kanal verschlüsseln, bei WIreguard sind unverschlüsselte Metadaten dabei... ist jetzt nicht unsicher, aber OpenVPN lässt sich halt datensparsamer konfigurieren

 

[Drakrochma]

Ob ich dann jetzt endlich ein Netzwerk mit den Kumpels durch ds-lite hier stabil und mit gutem Ping aufgebaut bekomme...
Bin vorsichtig skeptisch.

Aber Update und Fehlerbehebung klingt gut

 

[foofoobar]

Hab mich länger nicht mehr damit befasst, inzwischen gibts glaube ich aufbauten (muss man halt aber auch erst bauen).
Wenn ich mich nicht irre: WireGuard reicht einfach die config/qr code und man kann sich mit dem vpn verbinden, zack fertig.

Klingt nach irgendeinem Frontend.

@kieleich Ich hatte es mal in einem Security Podcast gehört. OpenVPN kann wohl auch den zweiten Kanal verschlüsseln,

Welcher zweite Kanal?

 

[kieleich]

bei WIreguard sind unverschlüsselte Metadaten dabei

wireguard pakete sind als solche zu erkennen

OK, klar

aber sonst? das ist ein handshake mit kurzlebigen random keys.

metadaten die irgendwelche rückschlüsse erlauben sind da kein dabei?

so hab ichs zumindest, bisher verstanden. wenn man falsche pakete schickt dann kommt, von wireguard nicht mal eine antwort.

also das ist schon jammern auf sehr hohem niveau wenn man sich daran stört

 

[airwave]

Klingt nach irgendeinem Frontend.

Ja: https://github.com/wg-easy/wg-easy bzw. https://wg-easy.github.io/wg-easy/latest/

 

[Helge01]

Wie jetzt das nutzt noch Jemand?

In Firmen unerlässlich da unter anderem richtiges Benutzermanagement möglich. WireGuard ist mehr was für Privatanwender.

 

[AAS]

Welcher zweite Kanal?

Er meint den ersten Kanal:
Kanal 1 = Control Channel (TLS)
Kanal 2 = Data Channel (Verschlüsselter Tunnelverkehr)

Dies bietet theoretisch Schutz gegen MITM, Injection von PUSH-Optionen (Routen, DNS) usw.
Solche Angriffe sind unter Laborbedingungen möglich, erfordern aber meist einen komplett kompromittiertem Gateway oder Host, da hat man aus meiner Sicht aber andere Probleme....

Ergänzung (19. November 2025)

In Firmen unerlässlich da unter anderem richtiges Benutzermanagement möglich. WireGuard ist mehr was für Privatanwender.

Was meinst du mit richtiges Benutzermanagement?
Das kann Wireguard mit wg-dynamic, dies ist eine Erweiterung für WireGuard, die dynamische Zuordnung von IP-Adressen und zentrale Benutzer-Auth ermöglicht.
Damit kann WireGuard ähnlich wie ein WLAN-Controller arbeiten: Benutzer authentisieren sich – und erhalten dann automatisch Konfigurationsparameter.

 

[FabianX2]

Tailscale/Headscale ist halt unfassbar einfach. Entwickelt sich gut weiter. Ich nutze nichts anderes mehr sowohl privat als auch in der Firma. Egal obs um Kleinkram wie Handy Zugriff aufs Smarthome oder für meine Verhältnisse riesige Backups (100TB+ - kleine Videoproduktionsfirma) geht.

 

[Flutz]

Wie jetzt das nutzt noch Jemand?

Meine Uni setzt darauf: https://www.scc.kit.edu/dienste/vpn.php
Die nutzen aber auch eine der ältesten Toplevel Domains

 

[AAS]

Tailscale/Headscale ist halt unfassbar einfach. Entwickelt sich gut weiter. Ich nutze nichts anderes mehr sowohl privat als auch in der Firma. Egal obs um Kleinkram wie Handy Zugriff aufs Smarthome oder für meine Verhältnisse riesige Backups (100TB+ - kleine Videoproduktionsfirma) geht.

Keine eigene Technologie, ist immer noch Wireguard und gerade deswegen einfach.

 

[gaym0r]

Das kann Wireguard mit wg-dynamic, dies ist eine Erweiterung für WireGuard, die dynamische Zuordnung von IP-Adressen und zentrale Benutzer-Auth ermöglicht.

wg-dynamic ist doch nur ein Proposal vom Wireguard-Team oder hat sich da was geändert?
Darauf basierend habe ich eine Implementierung gefunden, die seit 5 Jahren nicht mehr entwickelt wird.