Részletek a bejelentésben,
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Lassan el fog terjedni, mert célhardvert nem igényel és roppant gyors (ARM SBC: 1 Gbps). Egyúttal kevésbé zabálja az ARM-os akkus cuccokat.
X86 esetén szintén gyors, 10 wattos Celeronon is az 1Gbps tempót tudja.
Linux kernelben sok szálon párhuzamosított egyadott peer titkosítása esetén is, tehát jól használja a sokmagos architektúrákat.
Egyszerű konfigurálni. UDP felett megy.
Persze nem mindenre ez az optimális megoldás, de sok helyre meggondolandó ennek a használata.
Az iménti hír szerint most már Windows esetén is gyors lesz.
A "klasszikus" routergyártóknál (Cisco, Juniper, ...) viszont egyelőre nem látni, hogy lesz-e vagy sem a jövőben. Oda marad az IPsec.
Ahol már használható VPN-re:
- BSD, Linux, MAC, Windows
- Android (telefon, tablet, ... általában akkus cuccok)
- OpenWRT routerek
- Mikrotik routerek ROS7 ág
- A hozzászóláshoz be kell jelentkezni
Egy érdekes írás a wg ellenében:
- A hozzászóláshoz be kell jelentkezni
Azért vegyük észre, a cikk amikor készült, akkor még a WG gyerekcipőben járt, külön rátákolták a kernelre, stb.
Csak a cikk után jelent meg az 5.6-os kernel, amibe beépítették és utána a disztribúciókban levőbe visszaportolták.
- A hozzászóláshoz be kell jelentkezni
A wg TODO listáján lévő dolgok nyilván nem róhatók fel neki még,de például az, hogy az egyszerűség? kedvéért feláldozták a cipher negotiation-t, az egy megkérdőjelezhető design döntés szerintem is.
- A hozzászóláshoz be kell jelentkezni
Akkor most biztonságos, vagy álbiztonságos?
A fórumok sokaságai egyetlen negatívumként a 'privacy'-t hozzák fel, azaz nem tudsz olyan WG szervert csinálni, ahol a kliensek minden csatlakozáskor egy pool-ból random kapnak IP-t.
- A hozzászóláshoz be kell jelentkezni
A wg-dynamic ezt hivatottt megoldani ha egyszer készen lesz.
De szerintem nem ezen múlik hogy biztonságos vagy nem.
- A hozzászóláshoz be kell jelentkezni
Más érvet pedig a fórumok nem hoznak fel arra, hogy ne lenne kellőképpen biztonságos ill. megfelelő.
Vagy csak lazán átsiklanak felette. Ezt jó lenne kideríteni, mert meghatározza hogy hol használhatjuk és mely esetekben mégse ezt.
- A hozzászóláshoz be kell jelentkezni
eleg jo leiras. meg a maradek kedvem is elment tole hogy kiprobaljam :)
- A hozzászóláshoz be kell jelentkezni
Az eredeti cikkben (ami szerintem merő egy hülyeség) :
Will WireGuard replace my (IPsec) site-to-site VPN?
No. There is no chance the big vendors like Cisco, Juniper, etc. will pick up WireGuard. They do not jump onto trains like this unless there is a big necessity.
Hát addig jó, amíg az ilyen cégek nem rondítanak bele. Egyébként a témában irányadó Torvald véleménye, aki programozási mesterműnek minősítette a WireGuardot.
Lógok a szeren (K. Frigyes)
Lógok az ereszen (Sz. József)
- A hozzászóláshoz be kell jelentkezni
semmivel se jobb mint az ipsec. ipsec is tudja azt a szoftveresen gyors cryptot hasznalni, bar a hardveres aes-el jobban jarsz. udp felett is megy, de ha nincs nat utkozben, akkor meg az udp overheadje is megsporolhato. megis mit nyujt a wg amit az ipsec nem?
- A hozzászóláshoz be kell jelentkezni
Szolgáltatásban jelenleg sokkal többet tud az ipsec,de ez változhat még. Tisztább szárazabb érzés elegánsabb, egyszerűbb (még nyilván ez bonyolódik ha végére érnek a TODO listának:) ) a wg ~5KLOC forráskód vs átlagos ipsec implementáció (kernel+userland) ~500KLOC !!!. A Strongswan konkértan kommentek nélkül valami 450KLOC és akkor a kernel kód még ehhez hozzájön.
Kis szines még, hogy az Openvpn brigád is dolgozik a kernel módú implementáción, hogy "gyors" legyen.
- A hozzászóláshoz be kell jelentkezni
Amugy nem ertem, miert kell egy VPN kapcsolatnak barmiben is tobbet tudni, mint amit most a WG tud... En OPNsense tuzfalakon hasznalom a WG-t es minden egyeb pluszt, amit pl az Openvpn tud, azt csinalja a tuzfal. A VPN tisztan csak az alagutat epiti fel (kb tenyleg mintha egy fizikai kabelt dugnal ket halokartyaba). Miert kene ennel tobbet tudnia barmelyik VPN-nek?
- A hozzászóláshoz be kell jelentkezni
Hogyan pusholsz egy Radius pool-ból IP címet és route-okat a VPN kliensnek (AD csoporttagság alapján más más poolból) és hogyan authentikálod AD-ból WG-vel?
Site2Site VPN-hez és egyszerűbb esetben Remote Acess VPN-hez megfelelő,de azért ennél több dolgot kell tudnia. Nézd meg a TODO listáját, a dinamikus konfiguráció hiányosságaival (wg-dynamic) ők is tisztában vannak.
- A hozzászóláshoz be kell jelentkezni
Teny, hogy en Site2Site -ra gondolok ha azt hallom "VPN", (ilyen esetekben ugye a halozati operacios rendszer, amin hasznalom a VPN-t elvegez mindent) Road warrior iranybol meg nem igazan kozelitettem ezt meg.
- A hozzászóláshoz be kell jelentkezni
Mi OSPF-et húztunk WG tunnelek fölé. Működik.
- A hozzászóláshoz be kell jelentkezni
Én mondjuk nem kedvelem az IPsec-et Linux alatt. Tisztábbnak érzem, ha egy tunnelnek van kernel interfésze, ahova "normálisan" route-olhatod a titkosítandó forgalmat.
Ebben lehet hogy benne van egy régi biztonsági réssel kapcsolatos tapasztalatom is, amikor hetekig titkosítatlanul ment a csomag egy hibásan létrehozott és jól megbúvó policy routing miatt.
- A hozzászóláshoz be kell jelentkezni
de ez nem az ipsec hibaja, hanem a linux implementacioe... amugy remlik mintha strongswanban lenne ra opcio hogy kulon dev-et hozzon letre.
- A hozzászóláshoz be kell jelentkezni
Mikrotik sem csinál interfészt, amire route-olhatnál. Itt szintén policy routing játszik.
- A hozzászóláshoz be kell jelentkezni
de a mikrotik linux alapu, nem?
- A hozzászóláshoz be kell jelentkezni
Ja ,de a 6-os ROS egy ősi 3.3-as kernellel és saját ipsec implementációval. Ami talán? valami racoon forknak indult valamikor 15 éve.
Egyébkén ott is lehet szűrni csomagszűrővel:
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Allow_only_IPsec_encapsu…
A 7-es ROS-ban akár lehet is route based ipsec, nem néztem még.
- A hozzászóláshoz be kell jelentkezni
Természtesen van route based IPSEC 4.19-es kerneltől normálisan "xfrm" interfésszel. A régebbi "vti" interfész megvalósítást már ne használjátok van egy csomó megkötése.
https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN
Illetve illik elolvasni a security recommendations részt a plain text packet leak megoldására létezik egy köteg megoldás:
https://wiki.strongswan.org/projects/strongswan/wiki/SecurityRecommenda…
Ha xfrm interfészt használsz az a legjobb,de ha valamiért maradsz a policy based megközelítésnél a legegyszerűbb ha felveszel egy iptables ipsec policy match-et ahogy a példában is mutatja.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Nalam elsore instant kekhalal :D
- A hozzászóláshoz be kell jelentkezni
Na, a 0.4.1 ugy nez ki javitotta. Most mar nincs kekhalal.
- A hozzászóláshoz be kell jelentkezni