» »

WireGuard (nov) VPN protokol

WireGuard (nov) VPN protokol

MrStein ::

WireGuard @ Wikipedia

A to kdo uporablja?
Me čudi, da do zdaj noben ni omenil (ali pa iskalnik ne najde).

Gre za nov, "lightweight" protokol, ena od prednosti je hitra vzpostavitev povezave ter hitri (praktično takojšnji) failover v primeru menjave internetne povezave.

Uporablja to kdo za povezavo na domače omrežje? Preko openwrt?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
  • spremenil: MrStein ()

SeMiNeSanja ::

Izgleda kot nekakšna egzotika.

Bo čas pokazal, če bo za kaj več.

Problem VPN zgodb je v kompatibilnosti. Najbolj praktično je, če imaš en odjemalec in z njim lahko dostopaš do vseh remote lokacij ali vsaj do večine njih.
Že obstoječe VPN variante imajo vsaka svoje odjemalce in probleme z združljivostjo. Se potem sprašuješ, če res potrebuješ še nek Wireguard.

Če stvar prav razumem je strežniški del (Gateway) na voljo le na Linuxu. Za splošno rabo/priljubljenost/razširjenost pa rabiš nekaj, kar lahko teče na routerjih, ne da poganjaš še neko ekstra mašino. Zato se je OpenVPN tako razširil.

Ali ima ta reč potencial da postane naslednik OpenVPN-u, bo pa čas pokazal.
Za enkrat še nisem za nikogar slišal, ki bi to uporabljal.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Hermit Bob ::

Tole pa ni novo ne ekzotika, zadeva je ze kar nekaj casa zunaj, latenca je precej manjsa kot pri openvpn (za ipsec nisem gledal in manj tecen za skonfigurirat. Za linux ima podporo, za bsdje tudi, za windowse tudi, za android spackalo me pa pravici povedano boli k*.

Zgodovina sprememb…

Mavrik ::

Ah ja, IPsec, prva stvar ki ti jo blokirajo na javnih omrežjih ko VPN najbolj rabiš.

Kot omenjeno, Wireguard ima trenutno pač problem ker ni veliko implementacij in ker (še) ni del Linux kernela.
The truth is rarely pure and never simple.

Zgodovina sprememb…

  • spremenil: Mavrik ()

SeMiNeSanja ::

Hermit Bob je izjavil:

Tole pa ni novo ne ekzotika, zadeva je ze kar nekaj casa zunaj, latenca je precej manjsa kot pri openvpn (za ipsec nisem gledal in manj tecen za skonfigurirat. Za linux ima podporo, za bsdje tudi, za windowse tudi, za android spackalo me pa pravici povedano boli k*.

Na osnovi česa meniš, da ni egzotika? Strežnik obstaja le za Linux, vse ostalo so odjemalci. Že samo zato je to egzotika.

Stvar pa tudi ravno stara ne more biti, če 2018 še ni bilo 'produkcijske verzije' in se še ni beležilo CVE-jev (kar je lahko resen problem....)

To ne pomeni, da je zadeva slaba. Le določenih predpogojev (še) ne izpolnjuje, da bi lahko pričakoval kakšno hitro razširjanje tega protokola.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

igorpec ::

Mavrik je izjavil:

Ah ja, IPsec, prva stvar ki ti jo blokirajo na javnih omrežjih ko VPN najbolj rabiš.

Kot omenjeno, Wireguard ima trenutno pač problem ker ni veliko implementacij in ker (še) ni del Linux kernela.


Na vseh Armbian (kernelih > 3.10) suportiranih malih računalih (ki so čisto super za VPN strežnik) OOB že kar nekaj časa.

poweroff ::

Evo, danes sem zadevo naložil na server in na odjemalca - Android.

Za konfigurirat je res enostavna zadeva, za Android pa lahko uporabiš kar QR kodo, ki se zgenerira iz terminala.

Me pa zanimajo izkušnje drugih. Konkretno, kaj točno naredi Endpoint direktiva v configu, itd.
sudo poweroff

dunda ::

Sam to uporabljam že leto in pol. Zelo dobri vtisi.
https://www.kacnje.eu

antrim ::

V rabi že nekaj časa. Rock solid. Konfiguriranje ni ravno user friendly oz. bi bilo treba napisati še kakšno orodje (oz. so ga v preteklem letu mogoče že). Performanse so odlične (OpenVPN se lahko skrije). Endpoint? To je tvoj server in ta vpis rabiš samo v configu za kliente.

poweroff ::

Imam par vprašanj.

PersistentKeepalive = 25 - to se uporabi pri Peer sekciji, se pravi moraš za vsakega peera posebej nastaviti, ali lahko splošno?

Če so clienti telefoni in domači računalniki, ki so večinoma za NAT-om, se to verjetno splača vklopiti? Kolikšno vrednost se pa splača dati? 20, 25, 30,...?

Endpoint je torej samo VPN (WG) server. Kako bi pa clientu, ki ima recimo IP 10.0.0.2 omejil dostop samo do recimo 10.0.0.50? To se da v configu, ali bi moral z iptables?

Pa še par vprašanj...

1) Pozna kdo tole:
https://gitlab.com/cyber5k/mistborn

Na prvo žogo je videti zelo zanimivo in v redu.

2) Kako bi nastavil, da client vidi samo VPN omrežje, v internet pa ne gre preko VPN gatewaya?

3) Če bi hotel WG furati preko TCP tunela, kaj bi se splačalo uporabiti?
sudo poweroff

Zgodovina sprememb…

  • spremenilo: poweroff ()

poweroff ::

Če prav razumem, je odgovor na 2) AllowedIPs. Se pravi, če bi rad, da ima nek client (peer) dostop samo do VPN omrežja (10.0.0.0/24) ter recimo še do zalednega omrežja (do katerega ima dostop VPN server (recimo: 192.168.1.0/24), internet gre pa preko lokalnega GW-ja, je direktiva takale:

AllowedIPs = 10.0.0.0/24, 192.168.1.0/24

?
sudo poweroff

antrim ::

Keepalive je v peer delu configa in ga ne rabiš, če ne pričakuješ inbound prometa. Izhodišče je 25 (sekund). Če je to ok je pa odvisno od specifike pri tebi.
Iptables v PostUp/Down delu server configa I guess.

Split DNSa izrecno ne želim in se zato s tem nisem ukvarjal.

RTFM and test?

poweroff ::

antrim je izjavil:

Keepalive je v peer delu configa in ga ne rabiš, če ne pričakuješ inbound prometa. Izhodišče je 25 (sekund). Če je to ok je pa odvisno od specifike pri tebi.


Aha. Se pravi če je client telefon, potem Keepalive ne rabim. Če je pa recimo en Raspbery s HomeAssistantom, mi je pa v interesu, da je hitro dosegljiv in uporabim potem Keepalive.

antrim je izjavil:


Iptables v PostUp/Down delu server configa I guess.

Tega dela na razumem, na kaj se nanaša?


antrim je izjavil:


Split DNSa izrecno ne želim in se zato s tem nisem ukvarjal.


Split DNS misliš split config?

antrim je izjavil:


RTFM and test?

Ja, definitivno bom testiral, žal se mi je ravno danes (fizično) usul server (nek HW error)... ah, ja...
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Domači VPN (strani: 1 2 3 )

Oddelek: Omrežja in internet
12724549 (10397) Daniel
»

OpenWRT in OpenVPN (strani: 1 2 )

Oddelek: Omrežja in internet
7910286 (8146) BivšiUser2
»

OpenVPN odjemalec na Mikrotiku?

Oddelek: Omrežja in internet
91709 (1501) noraguta
»

Težave z OpenVPN povezavo (strani: 1 2 )

Oddelek: Omrežja in internet
629853 (6749) čuhalev
»

Openvpn (strani: 1 2 )

Oddelek: Programska oprema
6514568 (6135) Blisk

Več podobnih tem