WireGuard VPN

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
Gebruikersavatar
devilkin
Administrator
Administrator
Berichten: 6008
Lid geworden op: 17 mei 2006, 20:10
Uitgedeelde bedankjes: 826 keer
Bedankt: 506 keer
Recent bedankt: 2 keer

Hoi,

Was gisteren wat aan't spelen met VPN van thuis uit (Ubiquiti USG) naar een VPS (hosted bij lunanode) - en ik kwam uit op een vpn tech waar ik totop heden nog niet van gehoord had: https://www.wireguard.com/.

Lijkt veelbelovend, is zeer laag qua overhead (verschil op m'n USG is merkbaar), en ik haal er toch serieuze snelheden op.

Ben het nog wat aan het bekijken hoe goed dat het ding z'n werk doet, maar voor wat hobbyisme lijkt het me voldoende en vooral - snel en low overhead.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
brubbel
Elite Poster
Elite Poster
Berichten: 919
Lid geworden op: 04 jul 2012, 16:55
Uitgedeelde bedankjes: 76 keer
Bedankt: 174 keer
Recent bedankt: 1 keer

CCatalyst
Elite Poster
Elite Poster
Berichten: 8262
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 525 keer
Recent bedankt: 11 keer

WireGuard (native kernel) is terug verwijderd uit FreeBSD en pfSense omwille van "vragen en bezorgdheden" over het protocol en de implementatie.

Het is de bedoeling om WireGuard later terug toe te voegen na een grondige revisie en audit van de code, al is dat momenteel niet gegarandeerd.
Gebruikersavatar
NuKeM
Administrator
Administrator
Berichten: 5493
Lid geworden op: 10 nov 2002, 00:55
Uitgedeelde bedankjes: 114 keer
Bedankt: 234 keer
Recent bedankt: 5 keer

Inderdaad, goed om te zien dat die code goed bekeken wordt (o.a. door ontwikkelaar WireGuard had ik begrepen).
Als het op punt staat eens overwegen en testen als vervanging van OpenVPN.

Add: Al is het blijkbaar wel in mineur gegaan allemaal (verwijten over fouten in code etc.) Een hele soap.
brubbel
Elite Poster
Elite Poster
Berichten: 919
Lid geworden op: 04 jul 2012, 16:55
Uitgedeelde bedankjes: 76 keer
Bedankt: 174 keer
Recent bedankt: 1 keer

https://lists.freebsd.org/pipermail/fre ... 57082.html

Het gaat over de eigen implementatie als kernel module geloof ik, niet over wireguard zelf.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5246
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 524 keer
Recent bedankt: 10 keer

het probleem zit in de kernel-module implementatie die netgate (again those guys) hebben laten ontwikkelen voor pfsense,
zonder echt communicatie met de effectieve ontwikkelaars.
ze hebben dan vervolgens die crappy code "bijgedragen" aan freebsd, waar al snel bleek dat het ondermaats was.

en nu doet netgate wat ze goed kunnen: roepen, klagen, en schelden met zo min mogelijk verantwoordelijkheid te nemen.
(beetje herhaling van het geroep en defamen van opnsense toen dat begon)

hoe iemand dan ook zulk product (pfsense) kan steunen en gebruiken, als je kijkt naar wat voor houding netgate heeft.... i will never understand.

met wireguard in user-space (zoals bv bij de opnsense plugin) is er geen enkel probleem.

ook artikel van op tweakers: https://tweakers.net/nieuws/179472/netg ... tatie.html

leuke verwoordingen trouwens:
De ontwikkeling van WireGuard voor pfSense werd gesponsord door NetGate.
....
Donenfeld beklaagt zich over de gebrekkige communicatie door een niet nader genoemde populaire leverancier van firewalls, die een ontwikkelaar opdracht gaf voor een WireGuard-implementatie, zonder contact op te nemen met het project.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8262
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 525 keer
Recent bedankt: 11 keer

Klopt uiteraard. Maar zonder implementatie is er ook geen WireGuard natuurlijk, TENZIJ je 3rd-party installeert (edit: zoals Splitter net zei) wat dan weliswaar niet native in de kernel zal gebeuren en dus per definitie minder performant.

Ik moet zeggen dat ik weinig te klagen heb over Netgate alhoewel ik hun producten nu niet meer gebruik (niet uit onvrede - gewoon veranderde vereisten). Netgate heeft indertijd voor mij een heel deel borden met die Intel Atom C2000 toestand - die al lang buiten garantie waren - gratis hersteld en op hun kosten teruggestuurd vanuit de VS naar hier (alsook de douaneverklaring netjes en correct als herstelling ingevuld - geen BTW/import). Nu ok, er zijn geruchten dat ze de factuur daarvoor naar Intel mogen sturen, maar de shipping naar hier zal daar wel niet bijzitten.

Ik heb idd wel gehoord dat de attitude daar aan het veranderen is, oa met die nieuwe edities van pfSense die meteen heel wat minder vriendelijk zijn voor de community.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5246
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 524 keer
Recent bedankt: 10 keer

CCatalyst schreef:Maar zonder implementatie is er ook geen WireGuard natuurlijk, TENZIJ je 3rd-party installeert
de user-space implementatie is momenteel afaik de enige die mogelijk is op *bsd omdat het nog niet naar daar geport is (althans dus niet deftig).
verder is de plugin in opnsense NIET 3rd-party, die is wel degelijk onderdeel van het opnsense repository.
(het kan wel dat een plugin niet door de core maintainers gemaakt is, maar zolang het deel is van het official repo is dat dus een official plugin)
CCatalyst schreef: wat dan weliswaar niet native in de kernel zal gebeuren en dus per definitie minder performant.
klopt, maar als je de keuze hebt tussen "helemaal niet", "iets trager dan native", en "shitty code die mogelijks veiligheidslekken zou inhouden op een firewall product" is de keuze toch snel gemaakt denk ik dan.

ik snap ook niet dat netgate een random ontwikkelaar gaat betalen voor een port, ipv het echte team achter wireguard hiervoor gewoon te steunen.
Gebruikersavatar
NuKeM
Administrator
Administrator
Berichten: 5493
Lid geworden op: 10 nov 2002, 00:55
Uitgedeelde bedankjes: 114 keer
Bedankt: 234 keer
Recent bedankt: 5 keer

Door heel die soap met Opnsense en pfSense heb ik destijds voor de grotere gekozen. Op zich ben ik zeer tevreden over pfSense, maar ik begin te denken om het te vervangen door opnsense na bovenstaande en de commercialisering van pfSense (op zich wil ik er wel voor betalen, maar dan moet de code wel goed zijn en niet zoals nu blijkbaar).
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5246
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 524 keer
Recent bedankt: 10 keer

NuKeM schreef:Door heel die soap met Opnsense en pfSense heb ik destijds voor de grotere gekozen.
was letterlijk wat netgate toen aan het proberen was, en dat is toen ook heel erg goed gelukt.
binnen de kortste keren had je echt 2 duidelijk gesplitste kampen die elkaar bijna wilden lynchen.... trieste dag voor open source was dat.

ik was toen net aan het rondkijken om een firewall vm/appliance te gaan gebruiken en kwam daar midden in die shitstorm terecht,
geweldig moment om even nuchter te kijken naar de verschillende opties :roll:
ben echter uiteindelijk voor opnsense gegaan vanaf het begin, en draai dat nu nog steeds, zowel hier op fysieke hardware als in het datacenter op een proxmox als vm.

ik kan niet meer spreken over pfsense omdat ik dat niet meer volg, maar ik zie bij opnsense:

- een actieve community
- (meestal) behulpzame developers
- regelmatige updates, met mooi de uitleg van wat de update doet + duidelijke meldingen als er een reboot nodig kan zijn of breaking changes zijn
- een mooie, gebruiksvriendelijke, moderne ui
- redelijk wat plugin opties in het official repo + sensei als je speciale grafiekjes wil + een community repo van 1 van de developers waarbij je (o.a.) een unifi controller of adguard home (die is handig!) op je fw kan gooien

en als ik dan hoor dat er toen al gezegd werd dat netgate hun code niet deftig onderhield, en je dan 5 jaar later dit hoort... dan lijkt me dat wel bevestigd te zijn
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 3 keer

Het laatste dat ik over pfsense hoorde inzake code, was dat er (nog) niemand in geslaagd was om pfsense vanuit source te compilen, samen met de onderliggende os.
Plaats reactie

Terug naar “Netwerken en Security”