Niet alle VPN’s zijn hetzelfde: de ene werkt niet via IPv6, de andere hapert op mobiele netwerken. Welke VPN-verbinding gebruik je voor wat? We kijken naar details van de VPN-protocollen om de beste te vinden voor jouw gebruik.
Oude VPN-protocollen geven soms problemen, zeker in combinatie met een bedrijfsnetwerk, openbaar wifinetwerk of gastnetwerk. Daarom zijn er verschillende alternatieven voor die (op IPSec gebaseerde) protocollen.
We geven hieronder een kort overzicht van welke typen VPN-verbinding je kunt kiezen. In de tabel verderop staan meer details.
Welke VPN-verbinding voor wat?
Om problemen te omzeilen, kwamen er alternatieven op de markt voor IPsec als VPN-methode. Die werken op een andere laag van het netwerk (‘transportlaag’ 4 in plaats van ‘IP-laag’ 3).
- OpenVPN
Dit is een veel gebruikte opensource implementatie voor VPN. NAT-problemen worden vermeden (met UDP) en als een VPN-tunnel via UDP mislukt, kan OpenVPN overschakelen op HTTPS via een configuratie-aanpassing. Het OpenVPN-concept was zo succesvol dat er al snel navolgers op het toneel verschenen – zij het voor andere toepassingsgebieden. Tinc moet bijzonder goed schalen voor VPN’s met veel locaties. Het wordt gebruikt in overlay-community-netwerken en wordt (via plug-ins) ondersteund door routerbesturingssystemen en firmware zoals pfSense en OpenWrt. - OpenConnect
Dit moet een versleutelde tunnel tot stand kunnen brengen bij zoveel mogelijk netwerksituaties. Het brengt eerst een HTTPS-verbinding tot stand met de VPN-gateway. Na authenticatie probeert het vervolgens de dataverbinding tot stand te brengen via een UDP-verbinding. Als een firewall de UDP-tunnel blokkeert, gebruikt OpenConnect de bestaande HTTPS-verbinding. De performance is niet geweldig, maar het werkt in bijna alle omgevingen. - Wireguard
Dit is specifiek toegespitst op eenvoud en dus op snelheid. De verbinding komt ook veel sneller tot stand. Bovendien vindt bij Linux-implementaties het ip-transport, inclusief het in- en uitpakken van de encryptieheaders, volledig in de kernel plaats. Dat resulteert in een immens snelheidsvoordeel ten opzichte van de andere niet-IPsec-procedures. WireGuard werkt ook zonder problemen werkt bij internetverbindingen met een dynamische adrestoewijzing, zelfs mobiel met 4G-routers.
Ontvang gratis informatie over VPN, netwerken en meer, schrijf je in voor de nieuwsbrief:
Deze alternatieven zijn allemaal volledig geschikt voor IPv6, dat steeds meer internetproviders gaan gebruiken. Bij grotere netwerken waar veel gebruikers beheerd moeten worden, zijn ook de door het VPN ondersteunde methodes voor authenticatie belangrijk (zie tabel).
Overzichtstabel VPN-typen en eigenschappen
VPN-typen en -kenmerken | ||||||
| VPN | IPsec | L2TP/IPsec | OpenConnect | OpenVPN | Tinc | WireGuard |
| Toegang / netwerken | + / + | + / – | + / – | + / + | + / – | + / + |
| Hub & spoke / full mesh | + / + 1 | + / – | + / – | + / + 1 | + / + | + / + 1 |
| Versleuteling | IPsec | IPsec | HTTPS, DTLS | propriëtair | propriëtair | propriëtair |
| Clients | alle besturingssystemen | alle besturingssystemen | Linux, iOS, Android 2 | alle besturingssystemen | Linux, Windows | Linux 3 |
| IPv6-transport | + 4 | – | + | + | + | + |
| Ethernet-bridging | – | – | – | + | + | – |
| Authenticatie | ||||||
| Certificaten of asymm. sleutels | + | + | + | + | + | + |
| Pre-shared key | + | + | + | + | + | + |
| Radius | alleen met IKEv2 | + | + | + | – | – |
| Windows AD (Kerberos) | alleen met IKEv2 | + | + | – | – | – |
| Twee-factor-authentificatie | + | + 5 | + | + 6 | – | – |
| 1 klein aantal locaties, alleen handmatig te configureren 2 commerciële versies voor macOS en Windows beschikbaar 3 eigenlijk voor Linux-Kernel ontwikkeld, in userspace ook voor macOS, Windows, iOS en Android 4 bij IKEv1 geen mixed mode 5 al naargelang implementatie 6 via PAM-Oath-module + aanwezig - niet aanwezig | ||||||
Meer achtergrondinfo en uitleg vind je in c’t magazine 12/2021.
Conclusie – welke VPN-verbinding voor wat?
Professionals die VPN’s gebruiken voor het verbinden van locaties, werken graag met Tinc en WireGuard. Bij het kiezen van een VPN-optie als eindgebruiker is de volgorde anders:
- WireGuard blinkt uit in snelheid en op mobiele clients.
- IPsec biedt voordelen als je niet afhankelijk wilt zijn van een speciale client.
- OpenConnect is een goede oplossing als weerbarstige netwerken moeten worden verbonden.
- Het populaire OpenVPN blijft de universele oplossing als de andere falen.
(informatie afkomstig uit het artikel van Holger Zuleger en Marco den Teuling, c’t magazine 12/2021, p. 72)
