WireGuard patchset OpenBSD-hez

OpenBSD

Matt Dunwoodie WireGuard pachkészletet jelentett be az OpenBSD-hez:

A while ago I wanted to learn more about OpenBSD development. So I picked a project, in this case WireGuard, to develop a native client for. Over the last two years, with many different iterations, and working closely with the WireGuard's creator (Jason, CC'd), it started to become a serious project eventually reaching parity with other official implementations. Finally, we are here and I think it is time for any further development to happen inside the src tree.

[...]

What is included in this patch:

  • Kernel driver for WireGuard.
  • Patches to ifconfig(8) to support all functionality.
  • Patches to print WireGuard packets in tcpdump(4).
  • Documentation patches for ifconfig(8) and a new wg(4) man page.
  • Miscellaneous patches to integrate with the rest of the system.

Részletek, FAQ stb. az openbsd-tech listára küldött bejelentésében.

( godot v | 2020. 05. 12., k – 10:24 )

Csak hogy az előző szavazáshoz csatlakozzak: Állat!

( Vamp | 2020. 05. 12., k – 10:42 )

Szerkesztve: 2020. 05. 12., k – 10:43

Pont tegnap neztem ra es lattam, h az utolso par commit dokumentacio volt. Na mondom csak nem?? Aztan tessek :)

 

Remelem BSD alapu tuzfalak (OPNSense, pl) megkapjak hamarosan!

Sima BSD eseten nem:

 

Q. Can I use my existing wg-quick(8) config and the wg(8) tool?
A. Certainly! The latest snapshot fully supports the OpenBSD ioctl
   interface: https://git.zx2c4.com/wireguard-tools/. The ports tree is
   currently frozen, but jasper@ is ready to bump to the latest version
   as soon as ports unfreezes.

 

Hogy OPNSense es egyeb BSD tuzfalakkal mi lesz, az kerdeses persze (meg ugye itt OpenBSD-rol  van szo, FreeBSD egyelore nem nyilatkozik, Februarban volt annyi hir, hogy a PFSnese tamogatja az integraciot)

Hát azért amikor az OpenVPN-re csak azért teszik le a voksukat, mert hát 2001 óta jelen van és van "története" az azért vicces tud lenni. Lehet, hogy jó ideje létezik az OpenVPN, de kb az OpenVPN telepítéseim kb fele beleütközött valamilyen hibába, pedig mindent ugyanúgy csináltam, mint azelőtt bármikor... Tehát OpenVPN-t még egyszer kösz de nem.

"Errors are red
My screen in blue
Someone help me
I've deleted Sys32"

Ez minden VPN szolúcióval előfordulhat. A helyzet inkább az, hogy ha jön egy N+1. verzió, akkor most megint át kell állni és megvárod míg szápportálják széleskörben stbstb. Ráadásul "WireGuard securely encapsulates IP packets over UDP.", ami papíron tök jó, de amint tűzfalakon kell átzavarni és nem pont-pont kapcsolat (IPSec jellegű) felhasználás máris borulni fogsz. Nem véletlenül jöttek elő az MS-nél az SSTP-vel, ami a TCP 443-mon áthasít mindenen. Ebből kifolyólag nekem OpenVPN-t is rendszeresen TCP-n kell áthajtanom, pedig ugye az UDP lenne az igazi ott is.

OpenVPN over UDP emlékeim 2007-2008 környékiek, az akkori munkahelyemen az IT-s szopott vele. A szerb irodával összelőtt tunnelen rendszeresen nagy volt a késleltetés (gondolom a nemzetközi kapcsolat ésvagy a sávszél a 2 ország között szar volt) ha elvesztek csomagok útközben és ez nem tett jót az RTP UDP audió videó forgalomnak. Ugye az RTP UDP alkalmazás szinten kezelte a csomagvesztést, bufferelt annyit h. ha 1-1 csomag kiesett akkor nem történik semmi katasztrófa. Viszont ha az alatta levő stack-ben láthatatlanul egy TCP session-ben csomagolva közlekedett az UDP, ott a TCP megvárta az újraküldést, így addig a következő UDP csomag sem mehetett át a tunnelen.  Amint átlőtte TCP-ről UDP-re, jöttek a tunnel megszakadások, a sebesség szinte használhatatlanra lement, minden más alkalmazásnál is. Nem tudom azóta mennyit fejlődött ez az OpenVPN over UDP módszer, de szar internetkapcsolat ellen szerintem továbbra sem ez a megoldás.