[macOS] VPN via "WireGuard" oder "Cisco IPSec"?

[thulium]

Moin.

In der Vergangenheit habe ich einige wenige Male erfolgreich VPN auf dem Mac zu einer entfernten Fritzbox via "Cisco IPSec" mit der in macOS integrierten Funktion eingerichtet.

Wie bewertet ihr bitte das seit Kurzem in Fritzboxen angebotene Verfahren "WireGuard" im Vergleich zu "Cisco IPSec"?

Welche Vor- und Nachteile gibt es bei den beiden Verfahren?

Über euren Rat freue ich mich. Danke : )

 

[JARVIS1187]

Alleine wegen der Geschwindigkeit bevorzuge ich WireGuard klar. Die Konfiguration ist auch extrem simpel.

Hier ist eine Seite, die die beiden Lösungen mal "vergleicht". Dazu wird auch noch OpenVPN genannt.
https://schroederdennis.de/allgemein/wireguard-vs-openvpn-vs-ipsec-ikev2-der-vpn-vergleich/

Ich persönlich bevorzuge die WireGuard-Config. Das Einrichten erfordert auf jedem Client den WireGuard Client, das Einrichten ist dann so einfach wie: Copy + Paste = fertig
Konfigurationen erstelle ich mir per https://www.wireguardconfig.com/ (für eventuell weitere Clients später den Random Seed sichern!)
Hab dann quasi keinen Ärger mehr.

Im Anhang mal ein Beispiel, wie die Konfiguration aussieht. Keys + Server-IP sind nur zensiert.

 

[thulium]

Danke für Deinen Kommentar.

Auf der von Dir genannten Seite steht:

Wann IPsec IKEv2 einsetzen?​

Auch hier bin ich mir sehr sicher. IPsec sollte überall dort Einzug finden, wo ständige und dauerhafte Verbindungen bestehen sollen. Also Site to Site VPNs von den verschiedensten Geräten aus. Gleichzeitig gilt das Protokoll als sehr Stabil und Langzeit erprobt. Eine Routingprotokoll wie OSPF kann man ohne Probleme über die Leitung prügeln und das Netzwerk automatisieren.


IPSec IKEv2 für eure dauerhaften Site-to-Site VPNs.

Ich sehe bisher für mich keine überzeugenden Argumente von "Cisco IPSec" auf "WireGuard" zu wechseln.

Eine höhere Geschwindigkeit habe ich bisher nicht vermisst.

"Cisco IPSec" ist in macOS integriert, Software von Dritten muss nicht installiert und aktualisiert werden.

Der Einrichtungsaufwand in macOS besteht aus dem Füllen von 5 Feldern und ist OK (klar, QR-Code oder Import einer Konfig-Datei wäre eine Erleichterung).

Ein Site-to-Site-VPN habe ich bisher noch nicht benötigt.
Mir genügte eine simple Verbindung meines Mac (im Homeoffice) mit dem entfernten Netz (im Office).

Aber vielleicht übersehe ich noch wichtige Vorteile von WireGuard?

 

[tbo]

Bei Cisco VPN kann man nur den gesamten Verkehr über den VPN-Tunnel leiten und die Verbindung mit Cisco VPN bricht gerne einfach mal ab. Und es ist IKEv1, nicht IKEv2. Oder kann die Fritzbox mittlerweile beides?

 

[JARVIS1187]

Eine höhere Geschwindigkeit habe ich bisher nicht vermisst.

Also mit IPSec hab ich maximal 5MBit bekommen (via FritzBox zu einer anderen FritzBox), obwohl beide Boxen und anliegende Leitungen deutlich mehr erlauben. Mit WireGuard hab ich die volle Bandbreite zur Verfügung.
Aus meiner Sicht vermisse ich bisher die niedrigere Geschwindigkeit also nicht.

Wechseln MUSST du natürlich nicht, wenn du zufrieden bist

 

[thulium]

Ich behalte das auf jeden Fall im Kopf, dass mit WireGuard die volle Bandbreite verwendet werden kann.

Müsste man dann in der entfernten Fritzbox den "Cisco IPSec"-VPN-Zugang löschen oder kann problemlos "WireGuard" als Alternative verwendet werden?
Können sogar beide VPN-Zugangsarten gleichzeitig von verschiedenen Geräten (verschiedener Mitarbeiter) aus verwendet werden?

P.S.: Auf einem Gerät mit Windows 11 habe ich schonmal versucht WireGuard zu verwenden, hatte aber keinen Erfolg. Aber Windows ist hier ja offtopic. Dies also nur als Anekdote.

 

[JARVIS1187]

Es können beide gleichzeitig verwendet werden, Löschen ist auch nicht notwendig. Die Verbindungen können deaktiviert werden.

 

[thulium]

@JARVIS1187
Danke, gut zu wissen : )

Aus Neugier:
Die gesamte vorbereitende Konfiguration einer Fritzbox für VPN/Wireguard ist ja sehr länglich und umständlich.

https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/1144_VPN-zur-FRITZ-Box-unter-macOS-einrichten/
Punkte 1+2.

Es muss "MyFritz" eingerichtet werden, ein "Fritzboxbenutzer" ebenso und IP-Adressen müssen richtig konfiguriert werden, etc.

Wäre für die Zukunft ein Verfahren denkbar/technisch umsetzbar, wo in der Fritzboxoberfläche, plakativ gesprochen, nur noch eine Schaltfläche existiert "VPN mit Wireguard aktivieren und die dafür nötige Konfigurationsdatei bereitstellen"?

 

[thulium]

P.S.: Auf einem Gerät mit Windows 11 habe ich schonmal versucht WireGuard zu verwenden, hatte aber keinen Erfolg. Aber Windows ist hier ja offtopic.

Ich habe jetzt WireGuard auf dem Mac installiert, die wp_config importiert und die Verbindung "aktiviert".
Die Verbindung zur entfernten Fritzbox startet ohne Fehlermeldung.

Aber: genau wie auf dem Windows-PC funktioniert in diesem "aktivierten" Zustand keine Netzverbindung (zu beliebigen Webpages).
Rückmeldung im Browser: Zeitüberschreitung.

Bei genau der gleichen entfernten Fritzbox klappt die Verbindung, wie im Ausgangsposting erwähnt, via "Cisco IPSec" einwandfrei.

Damit ist klar: Die Ursache muss in der entfernten Fritzbox liegen.

Entweder ich habe beim Einrichten von WG in der entfernten Fritzbox einen Fehler gemacht oder es gibt Fehler in der Implementation von AVM.

Ein Telefonanruf bei AVM brachte keine Hilfe. Der First-Level-Support bietet zu VPN keine Hilfe an.

Ich werde jetzt WG noch auf einer anderen entfernten Fritzbox (von meinen Eltern) einrichten und den Zugriff versuchen. Werde berichten.

 

[oneOeight]

Hat die Fritz denn schon 7.50 oder höher?
Erst damit kam Wireguard auf die.

 

[thulium]

Hat die Fritz denn schon 7.50 oder höher?

Klar, hat sie. 7.56

Sonst hätte ich WG auch gar nicht in der Box einrichten können : )

 

[thulium]

Ich habe jetzt WG auch auf der entfernten Fritzbox meiner Mutter aktiviert und in der App Wireguard auf meinem Mac den dazugehörigen "Tunnel" eingerichtet durch Import der Konfigdatei.
Diese Verbindung habe ich nun in der App Wireguard aktiviert. Sie erscheint in der macOS Menüleiste als aktiv.

Das Ergebnis identisch zu dem in #9 beschriebenen Verhalten. Keine Verbindung zum entfernten Netz möglich.

Und wieder funktioniert der Zugriff via "Cisco IPSec" zur der entfernten Fritzbox meiner Mutter problemlos.

 

[thulium]

https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7520/3718_WireGuard-kann-keine-VPN-Verbindung-zur-FRITZ-Box-herstellen?t_id=5736329

Dort steht, dass sowohl die entfernte Box als auch das Gerät über eine IPv6-Adresse verfügen muss.
Die Box verfügt darüber, siehe Screenshot.
Ob das Gerät (also mein MB) über eine solche Adresse verfügt, weiß ich nicht.
Siehe Screenshot.

Falls ihr noch eine Idee zur weiteren Fehlereingrenzung habt: ich würde mich freuen.