Vergleich: OpenVPN vs. Wireguard mit Raspberry 4 2gb Leistung & Geschwindigkeit

MikE_GRH

Ensign
Registriert
Dez. 2018
Beiträge
232
Hallo,

nachdem mir hier schon viel geholfen wurde, wollte ich etwas zurückgeben.
Ich habe einen direkten Leistungsvergleich zwischen den beiden VPN Protokollen OpenVPN & Wireguard durchgeführt, da ich selbiges noch nirgendwo finden konnte.

Ausgangsbasis:

-Hardware VPN-Server: Raspberry 4 2gb mit aktiver Lüftung. OS: Raspbian Buster Feb. 2020.
-Internetleitung Serverstandort: Glasfaser 200 Mbit/s down und 100 Mbit/s up
-Internetleitung Clientstandort: Glasfaser 200 Mbit/s down und 100 Mbit/s up
-OpenVPN Version Server:
-OpenVPN und Wireguard wurden mit dem genialen PiVPN-Script installiert.
Eine sehr ausführliche Anleitung unter: Anleitung PiVPN ipv4 & Anleitung PiVPN ipv6 (Vielen Dank für die Mühe an Helmut Karger)
Die Installation von Wireguard unterscheidet sich kaum und ist mit dem Script eigentlich selbsterklärend.
-Die Messungen wurden 3x durchgeführt und haben sich nur marginal unterschieden, weshalb ich hier nur immer ein Messergebnis anzeige.
-Leistungsmessung Serverstandort und Clientstandort mit speedtest.net


Leistungsmessung Serverstandort

Ausgangsbasis.png



Leistungsmessung OpenVPN:
Serverversion: 2.4.8
Client: OpenVPN Connect auf Windows 10
Durchschnittliche Zeit bis zum Link: 7,3 Sekunden
OpenVPN.png


Leistungsmessung Wireguard:
Serverversion: 0.0.20200215
Client: Wireguard 0.1.0 auf Windows 10
Durchschnittliche Zeit bis zum Link: 2,5 Sekunden

Wireguard.png



Mir ist bewusst, dass der Testablauf nur sehr rudimentär ist und es hier noch viel mehr zu testende Szenarien geben würde. Mir ging es hier vor allem um die Leistungsfähigkeit eines Rasberry 4 als VPN-Server zu zeigen und auch die aktuellen Protokolle auf einfachen Weg zu vergleichen


Fazit:

Ich bin von der Leistungsfähigkeit des Rasberry 4 als einfachen VPN-Server sehr überzeugt.
Bei den Protokollen kann ich keine klare Empfehlung ausgeben, da das Wireguard-Protokoll einfach noch zu neu ist. Im privaten Umfeld kann ich bereits jetzt dazu raten, da mit dem PiVPN-Script die sichere Installation ein Kinderspiel ist. Auch die Einrichtung auf mobilen Clienten ist dank QR-Code denkbar einfach: Wireguard Profil mit PiVPN erstellen -> Wireguard-App öffnen -> QR Code scannen -> Fertig. Die Zeit für den Link und die Latenzen sprechen ebenfalls für Wireguard.
Das große ABER:
Wireguard ist eben noch recht neu und es wurde zum Beispiel noch nicht ausreichend auditiert um es für den gewerblichen Einsatz zu empfehlen. Hier sollte man meiner Meinung nach weiterhin auf OpenVPN setzen, wenn es open Source sein soll.

Ich hoffe ich konnte hiermit für den ein oder anderen die Entscheidung etwas erleichtern.
 
  • Gefällt mir
Reaktionen: flow87, MickeyMontana, ufopizza und 16 andere
VPN hin oder her.
Ob nun der Provider oder der VPN Dienstleister sämtlichen Datenverkehr speichert, spielt am Ende keine Rolle.

Die Frage ist immer, vor wem man welche Daten schützen will.

Zum Testergebnis:
Für mich sieht es bis auf den einzelnen Ausreiser nach gewöhnlichen Messschwankungen aus und sagt mir nur, dass Alle gleich "gut" sind.
 
Ich habe hier als Gastzugang Router einen Gl-inet MT300N da gibt es deutliche Unterschiede zwischen Openvpn und Wireguard VPN

Bei OpenVPN schaffe ich Höchstens 10 Mbits Down und Up
Bei Wireguard Hingegen sind Höchstens 40 Mbit Down und Up

Der Server ist mit 1 Gigabit Angebunden der Limitiert nicht. Zuhause habe ich auch 1 Gigabit

Wireguard ist dank seiner Kompaktheit sehr Effizient und wird wohl in Zukunft deutlich die Nase vorne haben auch wenn es noch seine Kinderkrankheiten hat.
 
Ich hab openvpn auf einem Raspi 1B laufen und auch zufrieden. Den Durchsatz habe ich noch nie gemessen, weil's mir nicht wichtig ist. Wobei die Rechenleistung wirklich mieserabel ist.
Aber bald wird der Raspi durch einen neuen 4B ersetzt.
 
@Highspeed Opi: Hier geht es um die VPN Protokolle OpenVPN / Wireguard und nicht um irgendwelche VPN-Anonymisierungsdienstleister.

@cool18: Zwei Gigabit-Anschlüsse wären natürlich noch besser gewesen zum testen, denn die 200er bei mir stellt für den Raspi scheinbar keine zu große Herausforderung dar.
 
  • Gefällt mir
Reaktionen: whigga und DFFVB
@MikE_GRH

Dein Ergebnis ist verhältnismäßig schlecht. Ein Raspi4 an einem 1GBE Lan Port sollte 800Mbit aufwärts schaffen: https://www.reddit.com/r/WireGuard/comments/eeafds/wireguard_throughput_on_raspberry_pi_4/

Deine Werte deuten darauf hin, dass du irgendwo einen Flaschenhals hast.
Selbst SSH welches im Vergleich zu Wireguard deutlich mehr Overhead über alle Netzwerkschichten hat, schafft auf einem Rapi3 mit chacha20-poly crypto etwa 25MB/s.
Wenn du den verlinkten Thread auf Reddit durchgehst, dann findest du Auch Vergleiche mit 2er Pis und für die sind die ~90Mbit die du heraus bekommst realistisch.
 
MikE_GRH schrieb:
Durchschnittliche Zeit bis zum Link: 7,3 Sekunden

Was ist damit gemeint? Verbindungsaufbau?

Wenn OpenVPN richtig konfiguriert ist, sollte der Aufbau unter 1 Sekunde gelingen ;)
 
@Piktogramm: Server und Client befanden sich bei mir an verschiedenen Standorten. Somit war die 200er Leitung der "Flaschenhals". Aber interessant, dass der Raspi über 830mbit schafft mit wireguard. Das kann sich wirklich sehen lassen.

@till69: Ja, ab dem Zeitpunkt wo der Connect-Knopf gedrückt wurde bis zum ersten Ping-Signal eines im Netzwerk befindlichen Gerätes am Serverstandort.
Dann muss ich das aber bei all meinen OpenVPN Setups falsch konfiguriert haben, weil unter 1 Sekunde habe ich noch nie geschafft.
Gibts dazu Konfig-Tipps?
 
Zuletzt bearbeitet:
Wenn das VPN an einer Leitung mit 200Mbit Download nur 100Mit schafft, dann sollte nicht die Anbindung limitieren.
 
Hier mein auf Performance getrimmter UDP-Server:

Code:
port 443
proto udp4
dev tun

topology subnet
server 172.22.2.240 255.255.255.248
tls-server

client-config-dir ccd

keepalive 60 120

persist-key
persist-tun
tls-version-min 1.2
remote-cert-tls client
tls-cipher TLS-ECDHE-RSA-WITH-AES-128-CBC-SHA256
ncp-ciphers AES-128-CBC
auth none

sndbuf 393216
rcvbuf 393216
push "sndbuf 393216"
push "rcvbuf 393216"

fast-io
mssfix 1360

<ca>
</ca>

<cert>
</cert>

<key>
</key>

<dh>
</dh>

<tls-crypt>
</tls-crypt>
 
  • Gefällt mir
Reaktionen: MikE_GRH
@Piktogramm: In der Ausgangsbasis steht doch beschrieben 200 down / 100 up am Serverstandort. Somit wird die Leitung schon ausgenutzt.

@till69: Danke dafür! Werde ich bei Zeiten mal versuchen nachzustellen.
 
So sieht es bei mir aus, Upload Zuhause 100MBit/s, gemessen 90.
Wireguard auch 90.
 

Anhänge

  • 12.jpg
    12.jpg
    63,3 KB · Aufrufe: 530
Habe mir Wireguard am PC die Volle Bandbreite am Server wie es mit OpenVPN Aussieht weiß ich nicht
 
Zurück
Oben