Ich möchte mal speziell auf den Beitrag von @kleinkariert eingehen.
edit: Obige Zeile geändert, damit der o.g. User nicht noch länger warten muss.
Wie ich schon des Öfteren erwähnt habe, betreibe ich seit ca. 2 Jahren ein (völlig privates) Wireguardnetz mit ggw. 8 in drei Ländern verteilten WG-Servern. Allerdings nicht auf meinem aktiven Router, sondern auf umgeflashten F!Bn vom Typ 4040 und 7412. Denke mal, dass ich somit ein klein wenig Erfahrung damit habe.
Was sind für mich die großen Vorteile von WG:
- WG ist es "völlig egal", ob die Tunnelendpunkte über IPv4 oder IPv6 betrieben werden. Bei einer sachgemäßen Installation wird intern echter Dualstack genutzt, und das selbst im Tunnel. Damit gibt es für mich keinerlei Zwang, am veralteten IPv4 festzuhalten. Einige meiner Nutzer haben nur DSLite => keinerlei Probleme! Man merkt es nicht! Und mit einem guten DynDNS-Anbieter ist das auch kein Problem (ich nutze dynv6.com).
- Im Gegensatz zum IPsec und anderen Verfahren erfolgt der Aufbau der Verbindung wirklich "blitzschnell", weil kein "Aushandeln" der Verfahren erforderlich ist. Das ist zu spüren, wenn ich (mit dauerhaft aktiviertem VPN auf dem Smartphone) mein heimisches WLAN verlasse, das Gerät automatisch die Mobilfunkverbindung nutzt, in der Stadt dann unser gut ausgebautes (unverschlüsseltes) Freifunknetz und dann auf der Rückfahrt wieder Mobilfunk und letztendlich das heimische WLAN.
Mehrfach getestet: Auf der gesamten Fahrt gibt es keinerlei Abbrüche beim Telefonieren mit der AVM App FON. Mach das mal mit IPsec …
- Auch wenn AVM jetzt endlich die HW-Verschlüsselung unter IPsec auf den aktuellen Spitzengeräten aktiviert hat, gibt es das ja nicht auf den schon etwas älteren Geräten. Selbst mit der schwachbrüstigen 7412 nutze ich meinen Uplink (knapp 40.000) fast vollständig aus. Und auf der wesentlich leistungsstärkeren 4040 kann ich immerhin meine 7 Tunnel gleichzeitig betreiben. Klart, auch hier bremst mich die Bandbreite meiner DSL-Verbindung.
- Ich bin nicht mehr auf das veraltete IKEv1 angewiesen.
- Für alle gängigen Betriebssysteme, von Linux, der WinDOSe, dem Apfelrechner bis zum Androiden gibt es stabil laufende Clients. Auf allen Systemen in wenigen Minuten installiert und ebenso schnell konfiguriert. Bei richtiger Konfiguration nutzen sogar alle Clients als DNS-Server meinen auf dem RasPi laufenden pi-hole und garantieren somit fast vollständige Werbefreiheit. Weil das alles so gut und störungsfrei funktioniert, sind alle meine "außerhäusig" betriebenen Geräte so konfiguriert, dass sie grundsätzlich über das VPN mit meinem Hausnetz verbunden sind. Selbst zu Hause - hat keinerlei Nachteil und dafür den großen Vorteil, dass ich das Aktivieren des VPN nicht vergessen kann. (Ich sage nur: unverschlüsselter Freifunk im Städtchen.)
Ob man für den Windows-Client Admin-Rechte benötigt, weiß ich nicht. Ich nutze kein Windows. Auf jeden Fall kann ich unter Linux und Android die Verbindung grundsätzlich (natürlich nach korrekter Installation des WG-Clients) direkt als User starten, nutzen und beenden. Kann mir nicht vorstellen, dass das unter Windows nicht funktionieren soll.
Ich möchte natürlich zwei "Nachteile" nicht unerwähnt lassen:
- Wenn ein Client (nicht ein anderer WG-Server!) mit einem WG-Server verbunden ist, dann bekommt er nach einer Änderung der Srv-IP (nach der sinnfreien Zwangstrennung …) keine automatische Verbindung zum WG-Server. Beim Klapprechner kann man das mit einem kleinen Script umgehen, welches dauernd die IP mit der letzten bekannten IP vergleicht und bei Änderung die Verbindung mal ganz kurz trennt. Beim Androiden hilft dann eben nur ein kurzes manuelles Trennen in der WG-App.
- Wireguard verwendet zwar modernste Kryptoverfahren. Und es wurde auch schon von mehreren Firmen und fachkundigen Usern geprüft. Aber es gibt meines Wissens ggw. noch kein offizielles Audit. Das bedeutet, dass WG gegenwärtig noch nicht für eingestufte Daten verwendet werden darf. Aber die von uns zu übertragenden Daten sind ja nicht als GEHEIM, sondern nur als "Pillepalle-Privat" eingestuft. Eine Fritz!Box ist ja auch keine SINA-Box!
Noch einmal:
Ich schreibe über meine guten Erfahrungen mit WG-Servern in Form eigenständiger Geräte. Ich weiß nicht, was alles an Funktionen, Konfigurationsmöglichkeiten und sonstigen Features AVM bei der WG-Integration in die F!B schon und/oder letztendlich anwendet. (IMHO: Und ich selbst würde auch nie ein VPN auf einem Gerät nutzen, wo Dritte einen wie auch immer gearteten Zugriff haben - aber hier schlägt wohl wieder mein ehemaliger extrem strenger beruflicher Hintergrund zu. Auf die Zusendung von diversen Aluhüten bitte ich zu verzichten.)
Aber für Nutzer und Tester (!) diverser BETA und Labor-Versionen sehe ich das Probieren dieser schönen neuen Funktion als eine sinnvolle und spannende Sache an. Wer nicht mit Fehlern und bestimmten "Effekten" umgehen kann oder will, der sollte ja auch keine LABOR und BETA testen.
vy 73 de Peter