Ich habe hier mal deine Frage Nr. 2 beantwortet, da die Wireguard-Problematik bei OVPN auf der Site schon erklärt wird und somit eigentlich nicht ins Interview gehören! 
Ich hab das Thema mal zusammengefasst - OVPN ist die Problematik bekannt und sie haben schon eine Lösung!
Desweiteren ist das Wireguard-Protokoll ja noch mitten in der Entwicklung. Das heisst, dass dort täglich etwas an Neuerungen herauskommen kann…
Statische IP-Adressen werden anstelle von dynamischen verwendet
Gegenwärtig verlangt WireGuard, dass jedem Schlüsselpaar (das als Gerät betrachtet werden kann) eine statische interne IP-Adresse zugewiesen wird. Dies funktioniert ohne Probleme bei kleineren Installationen, kann aber schnell komplex werden, wenn Zehntausende von Kunden eine Verbindung herstellen müssen. Die Entwicklung eines Modells namens wg-dynamic ist im Gange, aber es ist noch nicht abgeschlossen.
Wir stimmen mit dem Entwicklungsteam von WireGuard überein, dass die Verwendung statischer IP-Adressen kein großes Problem darstellt, solange sie gut verwaltet wird oder wie sie schreiben:
Da ein Server jeden öffentlichen Schlüssel seiner Clients im Voraus kennen muss, ist es nicht lächerlich, diesem Client gleichzeitig eine eindeutige link-lokale IP-Adresse zuzuweisen.
Die VPN-Server können keine Zertifikate gemeinsam nutzen.
So wie die Benutzer ein Schlüsselpaar erzeugen, so erzeugen auch die VPN-Server ein Schlüsselpaar. Jeder VPN-Server hat sowohl einen öffentlichen als auch einen privaten Schlüssel. Die WireGuard-Konfigurationsdateien enthalten die öffentlichen Schlüssel, über die unsere VPN-Server verfügen.
Da jeder VPN-Server ein eigenes Schlüsselpaar benötigt, ist es nicht möglich, eine Konfigurationsdatei zu erstellen, die eine Verbindung zu mehreren verschiedenen VPN-Servern herstellen kann. Jede Konfigurationsdatei kann nur verwendet werden, um eine Verbindung zu einem bestimmten VPN-Server herzustellen. Aus diesem Grund listet der OVPN-Konfigurationsgenerator für WireGuard alle VPN-Server getrennt auf, statt einer einzigen Konfigurationsdatei pro Region.
WireGuard aus Sicht der Integrität
WireGuard wurde nicht im Hinblick auf Anonymität entwickelt. Aber das Gleiche gilt für OpenVPN, weshalb OVPN mehrere Änderungen vorgenommen hat, um die Integrität unserer Kunden zu gewährleisten, wenn sie sich mit unseren OpenVPN-Servern verbinden.
Gegenwärtig sind uns drei Probleme im Zusammenhang mit WireGuard bekannt. Möglicherweise gibt es noch mehr, oder es könnten in Zukunft neue hinzukommen, da sich WireGuard noch in der aktiven Entwicklung befindet.
Die IP-Adressen der Kunden werden für immer im Speicher des VPN-Servers gespeichert.
Auf unseren VPN-Servern können wir die folgenden Informationen für angeschlossene Geräte sehen:
peer: W+8RzDtH8PZ970K78BL48xwTq1UlFrNWPo0C7/OFugQ= endpoint: 217.64.148.10:19223 allowed ips: 172.18.13.3/32, fd00:0:1337:cafe:1111:1111:d4b9:b6dc/128 latest handshake: 17 hours, 31 minutes, 2 seconds ago transfer: 13.45 MiB received, 62.14 MiB sent
WireGuard ordnet die IP-Adresse des Kunden (Endpunkt ) dem öffentlichen Schlüssel (Peer ) zu. Alle VPN-Protokolle tun dies, sonst wüsste der VPN-Server nicht, wohin die verschlüsselten Pakete gesendet werden sollen. Der Unterschied besteht darin, dass WireGuard die IP-Adressen der Kunden nicht löscht, wenn diese nicht mehr aktiv sind, sondern diese Informationen werden für immer im Speicher des VPN-Servers gespeichert.
Um hier Abhilfe zu schaffen, haben wir unsere VPN-Server so programmiert, dass die Benutzerinformationen nicht für immer im Speicher des VPN-Servers gespeichert werden. Benutzer, bei denen in den letzten drei Minuten kein Schlüsselaustausch stattgefunden hat, werden entfernt, was bedeutet, dass wir so wenig Informationen wie möglich haben:
peer: W+8RzDtH8PZ970K78BL48xwTq1UlFrNWPo0C7/OFugQ= allowed ips: 172.18.13.3/32, fd00:0:1337:cafe:1111:1111:d4b9:b6dc/128
Infolgedessen kann OVPN nicht mehr sehen, wann unsere Kunden das letzte Mal angeschlossen wurden, oder die IP-Adressen unserer Kunden. Unsere WireGuard VPN-Server enthalten daher so wenig Informationen wie möglich, um sicherzustellen, dass WireGuard funktioniert.