WireGuard – En praktikguide

WireGuard är ett experimentellt VPN-protokoll som genererar en hel del spänning i VPN-världen.


Det är extremt lätt (med bara 3782 kodrader), vilket gör det mycket snabbare än traditionella VPN-protokoll som OpenVPN och IPsec. Kodens korthet gör det också lätt att granska, och eftersom den använder beprövade kryptografiska primitiv bör den vara mycket säker.

WireGuard har därför stor potential, men det är fortfarande mycket i experimentella och utvecklingsstadier. Det har ännu inte granskats korrekt för säkerhetsproblem, och bristen på ett säkert delningssystem för nycklar över servrar förhindrar utbredd kommersiell utrullning just nu.

Denna sista fråga skulle kunna lösas genom att använda ett mer traditionellt offentligt nyckelkryptosystem såsom RSA för att distribuera nycklar. Men att göra det skulle lägga till komplexitet och därmed ta bort många av fördelarna med att använda WireGuard i första hand.

WireGuard är därför mycket ett pågående arbete. Det är ändå mycket intressant att vissa leverantörer börjar experimentera med det nya protokollet. Och med särskilt tack till NordVPN är vi mycket glada över att ha möjlighet att få en praktisk titt på det.

Kolla också in Vad är WireGuard VPN-protokoll? för en mer detaljerad titt på teorin bakom detta nya VPN-protokoll.

Använda WireGuard

För närvarande är WireGuard officiellt tillgänglig för Android och Linux, även om stöd för Windows och iOS snart lovas. Det är också tillgängligt för macOS-kommandoraden med Homebrew eller MacPorts.

Ett alternativ till de officiella kunderna är TunSafe. Detta utvecklades som ett kommersiellt företag, och dess programvara var ursprungligen stängd kurs. TunSafe erbjuder fortfarande en kommersiell VPN-tjänst med WireGuard-protokollet, som är inbyggt för alla sina kunder (om än en som är gratis för närvarande).

Programvaran själv har emellertid nu gjorts helt öppen källkod och kan konfigureras med alla konfigurationsfiler från tredje part.

Som vi kommer att se, är TunSafe-programvaran ofta mer fullständigt presenterad än de officiella klienterna. Det finns i full GUI-form för Windows, Android och iOS.

Det kan också köras från kommandoraden Linux, macOS eller FreeBSD. Detta kräver sammanställning från källan, men enkla och enkla att följa instruktioner för detta.

Linux

Den officiella WireGuard-klienten

WireGuard designades specifikt för Linux-kärnan. Den officiella WireGuard-klienten är endast kommandorad som fungerar som en tjänst i Terminal.

Annat än att behöva fixa vissa beroendesproblem ($ sudo apt install wireguard openresolv linux-headers - $ (uname -r) wireguard-dkms wireguard-tools gjorde tricket), installation och användning är mycket enkelt.

WireGuard-protokollet har full IPv4- och IPv6-routing inuti VPN-tunneln. Vi upptäckte inga DNS-läckor av något slag när vi använde den på någon plattform, men det rapporteras att TunSafe för Windows kan läcka IPv6 genom Tun-gränssnittet) mer om detta senare).

Det finns ingen inbyggd kill-switch som sådan, men en kan skapas genom att lägga till iptables-kommandon i konfigurationsfilen.

Ett bra exempel på hur man gör detta manuellt, vilket bör vara tillämpligt för alla WireGuard-konfigurationsfiler, kan hittas på Mullvads WireGuard-installationssida. Eller en VPN-leverantör kan helt enkelt lägga till kommandona i sina standardkonfigurationsfiler.

Som redan nämnts kan den grundläggande WireGuard-klienten också köras i macOS med Homebrew eller MacPorts.

TunSafe

För att köra TunSafe i Linux måste du själv sammanställa källkoden. Lyckligtvis är detta inte så skrämmande som det låter. Instruktionerna på webbplatsen är mycket tydliga, och vi hade kommandoradsdemonet igång på bara några minuter.

Det måste dock sägas att vi inte kan se någon fördel med att använda TunSafe jämfört med den officiella Linux-klienten. TunSafe kan också sammanställas från källa för macOS och FreeBSD.

Android

Den officiella WireGuard-appen

Den officiella Android-appen är tillgänglig via F-Droid webbplats.

Vad appen saknar i funktioner (den har inte riktigt några), den kompenserar för att vara lätt att använda. Med hjälp av vad vi föreställer oss kommer att bli det vanliga sättet att konfigurera WireGuard-inställningar, NordVPN levererade oss med bilder som innehåller QR-koder för dess experimentella WireGuard-servrar.

Allt vi behövde göra var att skanna den här koden för varje server med vår telefons kamera och ta-da! Installationen var klar. Det är också möjligt att manuellt lägga till installationsfiler, eller till och med skapa dina egna.

Och det är allt det som verkligen finns för appen. När den var konfigurerad anslöt den direkt och fungerade exakt som den borde.

TunSafe VPN-appen

Nu när det är öppen källkod gör TunSafe ett bra alternativ till den officiella Android-appen. Appens kärnfunktion är nästan identisk med den öppna källkodens officiella app som den är baserad på. Som sådan kan den konfigureras för att ansluta till alla WireGuard-servrar via QR-kod, konfigurera filer eller skapa från nya.

Huvudskillnaden är att TunSafe också driver en VPN-tjänst, så som standard har du möjlighet att ansluta till TunSafe's VPN-servrar. Även i slutändan ett kommersiellt företag är TunSafe VPN för närvarande 100% gratis att använda. Efter 30 dagar är dock bandbredden för TunSafe-servrar begränsad till 1 GB / dag.

Det finns ingen gräns för användning av konfigurationsfiler från tredje part utöver vad serveroperatörerna debiterar. Enligt sin sekretesspolicy är TunSafe VPN en loggningstjänst.

Till skillnad från den officiella appen har TunSafe för Android en kill switch och split-tunneling ("exkluderade appar"). Det kan också visa pingtider till sina egna servrar, men inte tredjeparts. För avancerade användare är det möjligt att själv ställa in en WireGuard-server i Linux.

Windows

TunSafe

I skrivande stund är det enda sättet att köra WireGuard i Windows med TunSafe. Precis som OpenVPN kräver TunSafe för Windows en TAP Ethernet-adapter för att fungera.

Det största problemet med detta är att TAP-adaptern kan läcka IPv6-DNS-förfrågningar utanför VPN-gränssnittet. Det rekommenderas därför starkt att inaktivera IPv6 i Windows när du använder TunSafe för Windows.

En annan fråga är att använda en TAP-adapter ger komplexitet till WireGuards enkelhet. Vilket fungerar något mot en av de största fördelarna med att använda WireGuard.

Klienten använder ett enkelt GUI, som gör det enkelt att importera en WireGuard .conf-fil. Det finns inget alternativ att importera filer via QR-kod, men det är förståeligt eftersom många Windows-datorer inte har kameror.

Det erbjuder också en killswitch, som kan använda antingen (klientbaserade) routningsregler eller (system) brandväggsregler för att fungera. Eller båda. Vilket är mycket praktiskt.

GUI Pre-Alpha

I maj 2020 tillkännagav Edge Security den officiella pre-alpha av WireGuard för Windows Det är fortfarande mycket tidiga dagar, men GUI-klienten visar i vilken riktning projektet går.

Det viktigaste att notera är att till skillnad från TunSafe-klienten krävs ingen OpenVPN TAP-adapter. Klienten använder istället Wintun, en minimal Layer 3 TUN-drivrutin för Windows som också utvecklades av WireGuard-teamet.

Också anmärkningsvärt (och inte direkt uppenbart från GUI) är att klienten har en inbyggd automatisk "avstängningsswitchen" för att blockera trafiken utanför VPN-tunneln.

Utöver detta kan vi bekräfta att växling mellan tunnlar är en mycket smidig process. Så allt ser väldigt lovande ut!

Hastighetstester

Förutom enkelhet för sin egen skull, är en av de största fördelarna med WireGuard jämfört med OpenVPN att den extra enkelheten också skulle göra WireGuard mycket snabbare Så vi körde några tester...

Vi valde att använda Mullvad för detta eftersom Mullvad stöder Linux fullt ut. Det stöder också WireGuard och OpenVPN på samma servrar (eller åtminstone mycket liknande serverplatser), vilket möjliggör en god jämförbar jämförelse.

Tester utfördes med speedtest.net, eftersom vårt eget hastighetstestningssystem kräver att OpenVPN-filer ska fungera. Alla tester utförda från Storbritannien. Genomsnittliga ping (latens) -hastigheter visas inom parentes.

WireGuard borde i teorin vara mycket snabbare än OpenVPN. Men detta framgår inte av dessa tester. Man bör dock komma ihåg att det fortfarande är mycket tidiga dagar för själva implementeringen av WireGuard, och att Mullvad brinner snabbt när det gäller OpenVPN-prestanda.

Slutsats

WireGuard har ännu inte tillräckligt granskats och penetrationstestats för att rekommendera som ett allvarligt alternativ till säkra VPN-protokoll som OpenVPN och IKEv2 för närvarande. Men det ser verkligen mycket lovande ut.

Det är enkelt att installera och använda, och i våra test anslöt den snabbt och upprätthöll en mycket stabil anslutning.

På papper är WireGuard mycket mer funktionell än OpenVPN. Våra testresultat kan bero på att den fullständiga implementeringen fortfarande är i prototypstadiet, eller det kan bero på begränsningarna i vår testmiljö.

De utfördes via WiFi, och det enda WiFi-kontakt vi för närvarande har som är kompatibelt med Linux är (något ironiskt nog) en mycket billig 802.11g dongle som kostar cirka $ 5.

Så gör vad du kommer att göra av våra snabbtestresultat. Andra än det var vi mycket imponerade av hur WireGuard utvecklas och kan inte vänta på att det genomgår ytterligare förbättringstest. För alla som delar denna entusiasm är donationer till projektet mycket välkomna.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me