WireGuard ist ein einfaches und schlankes VPN-Protokoll. Im Gegensatz zu IKEv2 / IPSec ist der Fokus bei WireGuard auf Einfachheit, Schnelligkeit und gute Bedienbarkeit. Ebenso ist WireGuard ein Protokoll mit sehr kompakter Code-Basis und Funktionsumfang und ist somit ideal für den Einsatz auf IoT-Geräten und Embedded-Geräten geeignet.
IKEv2 ist ein von der IETF standardisiertes Protokoll mit vielen Erweiterungen und hoher Flexibilität, gelichzeitig, aber auch hoher Komplexität. Während IKEv2 beispielswiese Kryptoagilität besitzt, d. h. die Verschlüsselungsverfahren austauschbar sind bzw. zwischen den Endpunkten verhandelt werden können, ist bei WireGuard der Schlüsseltausch mit Curve25519 sowie das Verschlüsselungsprotokoll (ChaCha20 / Poly1305) fest definiert. Bei WireGuard ist nur eine Authentifizierung per Public- / Private-Key möglich, während die Authentifizierung bei IKEv2 flexibel ist, z. B. über PSK, Zertifikate oder EAP. Ebenso werden bei IKEv2 viele Erweiterungen unterstützt wie RADIUS oder Zwei-Faktor-Authentifizierung, was bei WireGuard nicht möglich ist. WireGuard unterstützt darüber hinaus nur die Übertragung über UDP. WireGuard besitzt dafür ein integriertes Roaming analog zum MOBIKE bei IKEv2.
IKEv2 / IPSec wird weiterhin als Standard-Protokoll für die Filialvernetzung bzw. SD-WAN aufgrund der großen Anzahl von Konfigurations- und Einsatzszenarien im LCOS empfohlen. WireGuard besitzt auf LANCOM Router-Plattformen keine Hardware-Beschleunigung für ChaChaPoly1305, so dass die Verschlüsselung in Software durchgeführt werden muss. Für Szenarien mit hoher VPN-Durchsatzleistung wird daher weiterhin IKEv2 / IPSec empfohlen.
IKEv2 / IPSec basiert im LCOS auf langjähriger Praxis in der VPN-Standortvernetzung und vielen Protokoll- und Feature-Erweiterungen für mittlere, große und komplexe VPN- bzw. SD-WAN-Szenarien. Im LCOS ist WireGuard daher eine ideale Ergänzung für einfache Szenarien, wo in der Regel nur grundlegende verschlüsselte Verbindungen benötigt werden. Ein anderes Einsatzszenario für WireGuard ist, bei dem das VPN-Protokoll z. B. durch einen Dienstleister oder VPN-Provider vorgegeben wird.
WireGuard ist vom Konzept ein "stilles" Protokoll, d.h. es werden erst Kontroll- oder Verhandlungspakte ausgetauscht, sobald Nutzdaten übertragen werden sollen. Bei IKE wird der Tunnelaufbau sofort gestartet, sobald dies in der Konfiguration so definiert ist. Aus diesem Grund gibt es bei WireGuard im LCOS keine Haltezeit bzw. eine Konfiguration dazu. WireGuard unterstützt IPv4 und IPv6, sowohl als Transportprotokoll als auch bei der Datenübertragung innerhalb des Tunnels.
Bei IPv6 müssen in der IPv6-Firewall in der Inbound-Tabelle die eingehenden UDP-Ports für den Tunnel manuell konfiguriert werden, da die Ports bei WireGuard frei konfigurierbar sind.
WireGuard-Tunnel im LCOS können sowohl "Unnumbered", d. h. ohne konfigurierte IP-Adresse, als auch mit konfigurierten IP-Adressen über definiert werden.
WireGuard gilt im LCOS als Interface-Typ "VPN". Die ist relevant im Zusammenhang beispielsweise mit der Zugriffs-Liste auf die Management-Protokolle auf das Gerät selbst unter .
Soll WireGuard zu einem VPN-Provider genutzt werden, der z. B. öffentliche IP-Adressen oder Subnetze zum Router über WireGuard routet, so greift hier die Einstufung als sicherer Interfacetyp "VPN".
In diesem Fall sind die Ports der Management-Protokolle oder der Voice Call Manager (VCM), die den Zugriff "nur über VPN" erlauben auf der öffentlichen IP-Adresse des WireGuard-Tunnels offen bzw. erreichbar. Falls dies nicht gewünscht sein sollte, müssen weitere Regeln für Zugriffstationen (für Management-Protokolle) oder die Einstellung auf "auf WAN nicht erlaubt" konfiguriert werden.
Dieses Verhalten gilt ebenso für den Fall das ein IPSec / IKE / IKEv2-Interface eine öffentliche IP-Adresse besitzt.
