WireGuard

WireGuard ist ein modernes VPN-Protokoll, das 2019 in den Linux-Kernel aufgenommen wurde und seitdem die VPN-Welt verändert hat. Im Vergleich zu OpenVPN (ca. 70.000 Codezeilen) und IPsec (hunderttausende Codezeilen) ist WireGuard mit etwa 4.000 Zeilen Code winzig. Das ist kein Nachteil – es ist der größte Sicherheitsvorteil: Weniger Code bedeutet weniger Angriffsfläche, einfachere Auditierbarkeit und weniger Bugs.

WireGuard verzichtet auf Aushandlungs-Komplexität: Es gibt keine Protokoll-Negotiation, keine Cipher-Suites zur Auswahl. Es gibt genau einen Kryptographie-Stack – sorgfältig ausgewählte, moderne Algorithmen – und der ist fest eingebaut. Das macht WireGuard schnell, einfach zu verstehen und schwer falsch zu konfigurieren.

1) Code-Umfang und Angriffsfläche

Die geringe Codegröße ist kein Kompromiss, sondern das Ergebnis konsequenter Designentscheidungen: kein Rauschen durch Legacy-Support, kein Verhandlungsmechanismus, keine veralteten Algorithmen. Die folgende Übersicht zeigt den Vergleich.

Code-Umfang im Vergleich – Angriffsfläche

~70.000

OpenVPN (Codezeilen)

~400.000+

IPsec-Stack (Linux)

~4.000

WireGuard (Codezeilen)

Jede Codezeile ist potenzielle Angriffsfläche. OpenSSL (TLS-Bibliothek hinter OpenVPN) hatte mit Heartbleed (2014) eine katastrophale Lücke, die jahrelang unentdeckt blieb. WireGuards kleiner, auditierter Codebase macht solche jahrelangen Verstecke deutlich unwahrscheinlicher.

2) WireGuard-Kryptographie

WireGuard verwendet einen fest definierten Kryptographie-Stack – keine Auswahl, keine Legacy-Algorithmen, keine Verhandlung. Das ist bewusst so gestaltet: Es gibt keine Möglichkeit, unsichere Algorithmen zu konfigurieren.

WireGuard-Kryptographie-Stack (fest, nicht verhandelbar)

# Schlüsselaustausch
Schlüsselaustausch: Noise Protocol Framework (Diffie-Hellman)
DH-Kurve: Curve25519 (ECDH)

# Datenverschlüsselung
Verschlüsselung: ChaCha20-Poly1305 (Authenticated Encryption)

# Hashing und Schlüsselableitung
Hashing: BLAKE2s
Schlüsselableitung: HKDF (HMAC-based Extract-and-Expand)

# Handshake
Handshake-Protokoll: Noise_IKpsk2 (1-RTT)
Peer-Auth: Public-Key-Kryptographie (Curve25519-Schlüsselpaar)

Curve25519 und ChaCha20-Poly1305 sind explizit für Software-Implementierungen optimiert – im Gegensatz zu NIST-Kurven und AES, die Hardware-Beschleunigung voraussetzen. Auf Geräten ohne AES-NI (z.B. ältere Router, IoT-Geräte) ist WireGuard deshalb deutlich schneller als IPsec oder OpenVPN.

3) Konfiguration: einfach wie ein SSH-Schlüssel

WireGuard-Konfiguration ist radikal einfach: Jeder Peer hat ein Schlüsselpaar (öffentlich + privat). Verbindungen werden durch gegenseitigen Schlüsselaustausch konfiguriert – ähnlich wie SSH Authorized Keys. Die gesamte Konfiguration passt in wenige Zeilen.

WireGuard-Konfiguration – Server und Client

Server (wg0.conf)

[Interface]
PrivateKey = server_priv_key
Address = 10.0.0.1/24
ListenPort = 51820
PostUp = iptables -A FORWARD ...

[Peer] # Client Anna
PublicKey = anna_pub_key
AllowedIPs = 10.0.0.2/32

Client Anna

[Interface]
PrivateKey = anna_priv_key
Address = 10.0.0.2/24
DNS = 192.168.0.10

[Peer] # Server
PublicKey = server_pub_key
Endpoint = vpn.firma.de:51820
AllowedIPs = 0.0.0.0/0 # Full Tunnel
PersistentKeepalive = 25

AllowedIPs ist eine Whitelist der IP-Bereiche, die über diesen Peer laufen dürfen. 0.0.0.0/0 = Full Tunnel (alles durch den VPN). Für Split Tunnel: nur die internen Subnetze angeben, z.B. 192.168.0.0/24, 10.0.0.0/8. WireGuard ist zustandslos im Sinne seiner Konfiguration – es gibt keinen expliziten Verbindungsauf- oder -abbau.

4) Verbindungsaufbau – deutlich schneller als IPsec

WireGuard-Verbindungsaufbau (1-RTT Handshake)

💻Client sendet Handshake-Initiierung (Curve25519 Ephemeral-Key + Timestamp)–

🖥️Server antwortet mit eigenem Ephemeral-Key – Handshake abgeschlossen (1 Round-Trip!)–

🔒Session-Keys abgeleitet – alle Datenpakete ab sofort mit ChaCha20-Poly1305 verschlüsselt–

⚡Daten fließen – keine weitere Aushandlung. Stealth: Server antwortet nur auf valide Pakete–

Drücke „Aufbau zeigen" für die Animation.

WireGuard ist „stealth": Ein WireGuard-Server antwortet auf Pakete ohne gültigen Schlüssel nicht – er verhält sich für Port-Scanner wie kein offener Port. Das verhindert Erkundungsangriffe. Erst wenn ein Paket mit einem gültigen Peer-Schlüssel authentifiziert werden kann, reagiert der Server.

5) WireGuard vs. OpenVPN vs. IPsec

Vergleich der VPN-Protokolle

IPsec/IKEv2

✓ OS-nativ

✓ Site-to-Site Standard

✓ MOBIKE

✗ Komplex

✗ Oft geblockt

OpenVPN

✓ Port 443 (firewall-frei)

✓ Flexibel

✓ Open Source

✗ 70.000+ Codezeilen

✗ Client nötig

WireGuard

✓ ~4.000 Codezeilen

✓ Schnellster Handshake

✓ Im Linux-Kernel

✓ Mobile-freundlich

→ Kein dynamisches Routing

Zusammenfassung

WireGuard ist das modernste VPN-Protokoll: ~4.000 Codezeilen, fest eingebauter moderner Kryptographie-Stack (Curve25519, ChaCha20-Poly1305, BLAKE2s), 1-RTT-Handshake, Stealth-Verhalten. Im Linux-Kernel seit 5.6, nativ auf Windows, macOS, iOS, Android. Ideal für Remote-Access, mobilfreundlich. Schwäche: kein dynamisches BGP-Routing für komplexe Site-to-Site-Szenarien. Mehr zu Split-Tunneling: Split Tunneling & Sicherheitsbetrachtung.

WireGuard

1) Code-Umfang und Angriffsfläche

2) WireGuard-Kryptographie

3) Konfiguration: einfach wie ein SSH-Schlüssel

4) Verbindungsaufbau – deutlich schneller als IPsec

5) WireGuard vs. OpenVPN vs. IPsec

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title