WireGuard, selvfølgelig. Eller kanskje Lightway? NordLynx? Nei, vent, OpenVPN…
De fleste VPN-leverandører skryter av sine tilbud og støtten for ulike VPN-protokoller på sine nettsider.
Men hvilken protokoll bør du faktisk velge? Det er ikke like lett å få svar på.
En av grunnene er at det ikke finnes en enkelt protokoll som er den optimale løsningen i alle tenkelige situasjoner. Det mest passende valget for deg avhenger av en rekke faktorer. Disse faktorene varierer fra type enhet og nettverksoppsett, til dine personlige sikkerhetsmål og hva du prøver å oppnå.
Heldigvis trenger du ikke være en ekspert på nettverk for å navigere i dette landskapet. I denne artikkelen skal vi gå gjennom de mest populære VPN-protokollene, analysere deres fordeler og ulemper, og gi deg informasjonen du trenger for å ta et veloverveid valg.
WireGuard
WireGuard er en relativt ny aktør i VPN-verdenen, men den har allerede rukket å markere seg.
Protokollen er bygget på prinsippet om enkelhet, og har fjernet mange av OpenVPNs komplekse funksjoner. I stedet er den designet med en mer strømlinjeformet og minimalistisk tilnærming (mer om det under).
De fleste brukere vil ikke merke store forskjeller i funksjonalitet. Hvis du kobler til med OpenVPN, kan trafikken din bli kryptert med AES, Camellia, ChaCha20, Poly1305, GOST 28147-89 og flere andre algoritmer. Med WireGuard vil du kun benytte ChaCha20. Men siden denne algoritmen er så sterk, er det ikke sannsynlig at dette vil være et problem for deg. Vi tror ikke det.
Derimot vil bytte til WireGuard sannsynligvis gi deg en merkbar forbedring i ytelse. Tilkoblingstiden kan være nede i kun et par sekunder (sammenlignet med 10-20 sekunder med visse andre protokoller). Nyere tester har også vist at WireGuards nedlastingshastigheter er minst dobbelt så raske som OpenVPN. Ser vi på de raskeste VPN-tjenestene, ser vi at de alle bruker WireGuard, eller i hvert fall en egenutviklet versjon basert på den.
Det finnes imidlertid noen ulemper. WireGuard er ikke like fleksibel som OpenVPN. Den kan ha vanskeligere for å omgå brannmurer eller etablere en tilkobling i land som har strenge restriksjoner på VPN-bruk, som for eksempel Kina.
Den er heller ikke like godt støttet av VPN-leverandører eller på ulike enheter. Hvis ruteren din støtter VPN, er det mye mer sannsynlig at den vil fungere med OpenVPN. Det er mulig å bruke WireGuard ved å installere OpenWRT, men det er et tema for en annen artikkel.
Generelt sett tilbyr WireGuard svært god sikkerhet kombinert med raske hastigheter, noe som gjør den til en utmerket protokoll å starte med.
OpenVPN-protokoll
OpenVPN har eksistert i 20 år, men kombinasjonen av funksjoner, sikkerhet og hastighet gjør at protokollen fremdeles er en av de ledende på markedet.
Fleksibiliteten er et stort pluss. Når en VPN-app kobler til via OpenVPN, finnes det et bredt spekter av alternativer. Kobler du til via UDP eller TCP? Hvilken port skal du bruke? Hvordan logger du på serveren? Hvordan skal serveren bevise sin identitet? Hvilke krypteringsalgoritmer skal du bruke? Og listen fortsetter.
All denne funksjonaliteten krever mye kode, noe som gjør OpenVPN mer kompleks enn mange av konkurrentene. OpenVPN er imidlertid et åpen kildekode-prosjekt, noe som betyr at alle kan se på koden og verifisere at den fungerer som den skal. Man kan også bidra med å rette opp feil, eller foreslå bedre måter å gjøre ting på.
OpenVPN legger imidlertid til mer overhead til VPN-trafikken enn mange konkurrenter, noe som kan ha en merkbar innvirkning. IKEv2, WireGuard og mange moderne protokoller kan kobles til i løpet av et par sekunder. OpenVPN tar ofte 10-20 sekunder. I våre siste hastighetstester klarte OpenVPN vanligvis mellom 200-400 Mbps. WireGuard nådde derimot 450-900 Mbps.
Dette vil ikke ha stor betydning for de fleste brukere (hvor ofte har du behov for mer enn 200 Mbps på offentlig WiFi?), og OpenVPN er fortsatt et godt protokollvalg for mange. Den er fleksibel, sikker, har nyttige funksjoner for å omgå brannmurer og er rask nok for de fleste situasjoner.
Hvis du derimot prioriterer raske tilkoblingstider, færre problemer på mobile enheter når du beveger deg mellom nettverk og høyest mulig nedlastingshastighet, vil WireGuard eller en annen moderne protokoll kunne gi deg bedre resultater.
L2TP/IPsec
L2TP (Layer 2 Tunneling Protocol)/IPsec (Internet Protocol Security), noen ganger bare kalt L2TP eller IPsec, er en VPN-protokoll fra Microsoft som også støttes på mange andre plattformer og enheter.
Den har ikke så mange funksjoner, men den er som regel tilstrekkelig. L2TP kan for eksempel ikke konkurrere med OpenVPN når det gjelder valg av krypteringsalgoritmer. Men når du bruker AES (det vanligste valget), er den like effektiv som de andre.
I likhet med Microsofts IKEv2 er ikke L2TP laget for å omgå brannmurer. Den bruker vanligvis UDP-portene 500 og 4500, noe som gjør den relativt enkel å blokkere.
En annen bekymring dukket opp i 2013, da Edward Snowdens avsløringer antydet at sikkerheten til IPsec var kompromittert av NSA. Selv om du ikke blir overvåket av en nasjonalstat, er det stor sannsynlighet for at andre har funnet ut hvordan de kan omgå IPsec dersom det ble gjort for ti år siden.
Dette er imidlertid for det meste teoretisk. I praksis vil L2TP/IPsec være enkelt å sette opp og burde gi god sikkerhet, hvis du for eksempel bare ønsker å handle på nett over offentlig WiFi.
Likevel er det ikke vårt førstevalg. Vi vil heller anbefale WireGuard, OpenVPN eller en leverandørs egen tilpassede protokoll først.
IKEv2
IKEv2 er den vanlige betegnelsen på IKEv2/IPsec-protokollen, eller Internet Key Exchange versjon to / Internet Protocol Security.
IKEv2 er utviklet av Microsoft og Cisco og har eksistert siden 2005. Ikke la alderen skremme deg. Teknologien unngikk feilene til tidligere protokoller, som PPTP, og anses fremdeles som svært sikker i dag. Fordi IKEv2 er en moden teknologi, støttes den nå av mange VPN-leverandører i både stasjonære og mobile apper.
IKEv2 scorer vanligvis bra i våre tester når det gjelder tilkoblingstider. Vi ser ofte at tilkoblingen etableres på under to sekunder. OpenVPN-tilkoblinger kan derimot ta 10-20 sekunder før de er oppe og går. Hvis du slår VPN-en av og på regelmessig, for eksempel for å sjekke e-post, kan dette utgjøre en stor forskjell.
Nedlastingshastighetene er også gode. Protokollen kan i noen tilfeller overgå OpenVPN, men den ligger likevel bak WireGuard. IKEv2 nådde en topp på 290 Mbps i vår nylige VPN-oppdatering, mens WireGuard nådde 900 Mbps og kunne nok ha gjort det enda bedre med raskere internett.
Samlet sett utmerker IKEv2 seg ikke på noe spesielt område. Den har ikke de samme funksjonene eller konfigurerbarheten som OpenVPN, og den kan ikke måle seg med hastigheten til WireGuard. Men hvis disse protokollene ikke fungerer for deg (eller hvis de bare ikke er tilgjengelige), er IKEv2 et solid og allsidig valg som vil sikre trafikken din og levere god nok hastighet for de fleste situasjoner.
SSTP
Secure Socket Tunneling Protocol (SSTP) er en Microsoft-teknologi som er integrert i Windows.
SSTP fungerer litt på samme måte som OpenVPN ved å bruke SSL (og eventuelt TCP og port 443) for å unngå oppdagelse og etablere en tilkobling i VPN-fiendtlige miljøer.
Problemet er at SSTP er en proprietær standard som eies av Microsoft. I motsetning til åpen kildekode-alternativer som OpenVPN og WireGuard, er det ikke mulig å inspisere kildekoden for å sjekke hvordan den fungerer. Fordi det er et Microsoft-produkt, er SSTP ikke støttet av mange plattformer eller VPN-apper.
SSTP virker generelt sett trygg. Hvis du trenger å konfigurere en VPN-tilkobling manuelt på et Windows-system, kan SSTP gjøre jobben uten å installere tredjepartsapper.
Hvis du uansett installerer leverandørens egen app, vil vi anbefale å velge OpenVPN fremfor SSTP (hvis det er tilgjengelig).
PPTP
PPTP (Point-To-Point Tunneling Protocol) ble introdusert på 1990-tallet og er en av de eldste VPN-protokollene som finnes.
Dette har noen fordeler. PPTP er veldig enkel og har lite overhead, noe som gjør den veldig rask. Den fungerer også godt på eldre enheter som kanskje ikke har kraft eller funksjoner til å kjøre nyere protokoller.
Problemet er at forskere har funnet flere PPTP-problemer opp gjennom årene. Microsoft anbefalte brukere å bytte til noe annet så tidlig som i 2012.
Som et resultat har de fleste VPN-leverandører sluttet å støtte PPTP, og det er vi enige i. Den er utrygg og bør unngås.
Hvis leverandøren din fortsatt tilbyr PPTP, kan den være nyttig i situasjoner der sikkerhet ikke er viktig (for eksempel hvis du bare trenger å oppheve blokkeringen av et bestemt nettsted). Men bruk den kun hvis alle andre protokoller har feilet. Du bør også bytte til en bedre protokoll før du sjekker nettbanken eller gjør noe annet som er bare litt sensitivt.
Egenutviklede protokoller
Noen store VPN-leverandører har ikke begrenset seg til standardprotokollene. De har utviklet sine egne innovative teknologier.
ExpressVPN tilbyr Lightway, NordVPN har NordLynx, Hotspot Shield bruker Catapult Hydra og VyprVPN har sin egen Chameleon.
Vi anser dette som et positivt tegn for enhver leverandør, da det viser et selskap som har ressurser og teknisk ekspertise. Det vitner også om at de anstrenger seg for å forbedre tjenesten for sine kunder.
Det kan også finnes negative sider. OpenVPN, WireGuard og ExpressVPNs Lightway er alle åpen kildekode. Dermed kan alle se gjennom koden og verifisere at den holder det den lover. De fleste andre egenutviklede protokollene er derimot lukket kildekode. Brukerne må derfor stole på at leverandøren vet hva de gjør, og at det ikke finnes feil i koden.
Ser vi på de tekniske spesifikasjonene og våre egne tester, ser alle disse protokollene ut til å være veldig sikre. De kan også levere svært høye hastigheter. For eksempel oppnådde NordVPN en topphastighet på 880 Mbps i våre siste tester.
Noen tilpassede protokoller er kun designet for spesifikke situasjoner. VyprVPNs Chameleon kan for eksempel gjøre en god jobb med å etablere en tilkobling i Kina. Derfor kan den være verdt et forsøk hvis du reiser til et sted der VPN-er er blokkert. VyprVPNs WireGuard gir imidlertid bedre ytelse ved vanlig bruk.
Lightway, NordLynx og Catapult Hydra er derimot utviklet som protokoller for alle formål. Vår erfaring er at de fungerer svært bra. Hvis du har valgt å registrere deg hos ExpressVPN, NordVPN eller Hotspot Shield, vil vi anbefale å velge deres egne protokoller fremfor standardprotokollene for best mulig resultat.