WireGuard VPN - Open Source kilpailija OpenVPN:lle

Viestiketju alueella 'Internet, tietoliikenne ja tietoturva' , aloittaja juhaa, 22.01.2019.

  1. juhaa

    juhaa

    Viestejä:
    483
    Rekisteröitynyt:
    17.10.2016
    WireGuardista ei näyttänyt ketjua vielä olevankaan. Onko porukalla siitä kokemusta?
    Tuossa tein pikaiset testit nopeudesta ja ei se nyt ihan heti vakuuttanut, vaikka sillä mainostetaan mm. nopeudella.

    WireGuard - Wikipedia

    Täysin epätieteelliset nopeustestit alla tehtynä puhelimella muutamaan kertaan, lukemat aikalailla identtisiä.

    OpenVPN (Asus AC68U) 15/12
    WireGuard (i5 Ubuntu) 11/11
    Ilman VPN:ää 30/35

    VPN palvelut 200/20 netin takana

    Plussaa pitää kyllä antaa WireGuardille ´maailman nopeimmasta´ asennuksesta käyttäen bash scriptiä, joka löytyy täältä: its0x08/wg-install
     
  2. brm

    brm

    Viestejä:
    9
    Rekisteröitynyt:
    11.01.2019
    Ihan hyvin toiminut, lokakuusta asti ollu OPNsense purkissa WireGuard tunneli Mullvad VPN:n suuntaan. Liittymänä 100/10 kaapelinetti ja ~90/9 nopeuksiin pääsee tunnelin läpi WG:llä, ennen sitä oli OpenVPN ja nopeudet ~75/9 tienoilla. Johtunee luultavasti vain siitä että viimeksi mainittu ruuhkaisempi. Prosessorin kuormituksessa ehkä tuntuvin ero, ennen load average siinä 0,5 tienoilla ja nykyään 0,3. Android luurissa myös jonkin verran testannut ja akku näyttäisi ainakin kestävän huomattavasti pidempään kun vertaa OpenVPN:ään.
     
  3. oselotti

    oselotti

    Viestejä:
    344
    Rekisteröitynyt:
    02.11.2016
  4. mikajh

    mikajh

    Viestejä:
    126
    Rekisteröitynyt:
    27.12.2018
    Linus on näemmä antanut varovaisen hyväksynnän varhaiselle versiolle: Re: [GIT] Networking [LWN.net]
    Ei näytä kannattavan silti pidätellä hengitystä siihen saakka, että v1.0 on tarjolla esim. pfSense-pakettina.
     
  5. dataaja95

    dataaja95

    Viestejä:
    226
    Rekisteröitynyt:
    31.07.2017
    Mitä etuja WireGuardissa on siis verrattuna openvpn. Itsellä nyt openvpn:llä toteutettu vpn-yhteys kotiverkkoon.
     
  6. oselotti

    oselotti

    Viestejä:
    344
    Rekisteröitynyt:
    02.11.2016
    Kannattaa lukea tuo ensimmäinen paperi jos kiinnostaa mutta esimerkiksi: helpompi konfiguroida, yksinkertaisempi, nopeampi ja paljon vähemmän koodia.

    wireguard.PNG
     
  7. mikajh

    mikajh

    Viestejä:
    126
    Rekisteröitynyt:
    27.12.2018
    Joopa joo, tässä vastavuoroisesti todistetaan, että 949 Mbps on teoreettinen maksimi 1 Gbps NIC:llä https://forum.netgate.com/post/776882
    Ks. myös kohta "To be absolutely fair, Wireguard uses UDP encapsulation to get past NAT devices, and..."
     
  8. oselotti

    oselotti

    Viestejä:
    344
    Rekisteröitynyt:
    02.11.2016
    Whitepaper ei ole tieteellinen artikkeli, joten sitä ei välttämättä vertaisarvioida. Niihin toki kannattaa aina suhtautua tietyllä varauksella.
     
  9. dataaja95

    dataaja95

    Viestejä:
    226
    Rekisteröitynyt:
    31.07.2017
    Tuohan vaikuttaa oikein hyvältä mutta voiko tosiaan 256bittinen kryptaus riittää. Itse tottunut aina käyttämään openvpn:llä 4096bittisiä avaimia. Ongelmana näkisin toistaiseksi puutteellisen tuen ulkoisille autentikointisysteemeille. Tuohan ei taida tukea esim älykortteja tai yubikeytä vielä. Kunhan tuota vähän vielä kehitetään niin uskon että hakkaa openvpn:n mennen tullen. Itsellä ainakin lähtee testiin.
    WireGuard VPN: pros and cons | Perfect Privacy
     
  10. Ormu

    Ormu

    Viestejä:
    1 212
    Rekisteröitynyt:
    17.10.2016
    Varsinainen salaus tapahtuu symmetrisellä salausmenetelmällä kuten AES:illa ja 256 bittiä on aivan riittävä salausavaimen pituus. 256 bittiä on enemmän kuin tarpeeksi suojaamaan "brute force" -tyyppisiltä hyökkäyksiltä eli avainten kokeilulta yksi kerrallaan, ja muita hyökkäyksiä eli käytännössä algoritmin haavoittuvuuksia vastaan on ensisijaisesti suojauduttava algoritmin oikealla suunnittelulla, ei avaimen pituuden kasvattamisella.

    Näiden salausavainten vaihtoon käytetään epäsymmetrisiä salausmenetelmiä, joiden turvallisuus toimii eri pohjalta. Niiden murtamiseen on luonnostaan olemassa tehokkaampia menetelmiä (lukujen tekijöihinjako, diskreetin logaritmin laskeminen...) kuin "brute force"-hyökkäykset. Esimerkiksi RSA vaatii oleellisesti pidemmän salausavaimen, esimerkiksi 4096-bittisen, ollakseen turvallinen.

    edit: Key size - Wikipedia
     
    Viimeksi muokattu: 27.01.2019
    oselotti tykkää tästä.
  11. oselotti

    oselotti

    Viestejä:
    344
    Rekisteröitynyt:
    02.11.2016
    Tarkennuksena vielä: 4096 bittistä RSA-avainta, johon viittaat, käytetään vain avainten vaihdossa, ei salauksessa. WireGuardissa RSA:n sijasta käytetään elliptiseen käyrään perustuvaa algoritmia (Curve 25519).

    WireGuardissa cipher, eli varsinaisen salauksen hoitava algoritmi, on ChaCha20. OpenVPN:ssä cipherin voi valita itse, mutta yleisimmin taidetaan käyttää Blowfishiä tai AES:ää.

    edit: typo
     
    Viimeksi muokattu: 27.01.2019
    mRkukov ja mikajh tykkäävät tästä.
  12. mikajh

    mikajh

    Viestejä:
    126
    Rekisteröitynyt:
    27.12.2018
    En sanoisi päivän kokemuksella WireGuardia kovin paljon helpommaksi kuin IPsec:iä kaikkine variaationeen, OpenVPN:stä puhumattakaan.

    OpenWRT näyttää erityisen helpolta tapaukselta. D-Link DIR-825 B2:ssa ei ollut riittävästi fläshiä (8 MB), jotta siihen olisi mahtunut OpenVPN kaikkine riippuvuuksineen.
    Tässä pykälää isommassa TP-Link Archer C7 V2:ssa wg alkoi toimia laakista ja tilantarve on vain murto-osa OpenVPN/OpenSSL:stä.

    Bonuksena iperf antaa parempia tuloksia kuin ilman VPN:ää, jolloin iperf2/3 tekee siirrossa suuremman osan työstä kuin kernel moduuleineen wg:n kanssa.

    Toiveissa on, että joskus Android-client osaisi roamata paremmin ja kuluttaa vähemmän akkua kuin vanhemmat VPN:t.

    [ Vain rekisteröityneet käyttäjät näkevät Spoiler-tagin sisällön. Rekisteröidy foorumille... ]
     
  13. Epäluoma

    Epäluoma

    Viestejä:
    31
    Rekisteröitynyt:
    12.11.2016
    Hakusessa olisi openvpn:ään verrattuna kevyempi tapa tunneloida liikennettä kotiverkkoon, kun tulee paljon käytettyä mobiililaitteen kautta ja virrankulutus on melkoista.

    Vähän harmi, että netgaten puolella kiinnostus tätä kohtaan tuntuu olevan olematonta, mutta saahan sitä sitä vaikka raspin kautta tämän tietysti hoidettua. Kokeilis viikonloppuna virittää.