WireGuard – En hands-on guide

WireGuard er en eksperimentel VPN-protokol, der genererer en vis mængde spænding i VPN-verdenen.

Det er ekstremt let (kun på 3782 kodelinjer), hvilket gør det meget hurtigere end traditionelle VPN-protokoller som OpenVPN og IPsec. Kortfattetheden af ​​koden gør det også nemt at revidere, og fordi den bruger påviste kryptografiske primitiver, skal den være meget sikker.

WireGuard har derfor stort potentiale, men det er stadig meget i eksperimentelle og udviklingsstadier. Det er endnu ikke korrekt revideret for sikkerhedsspørgsmål, og manglen på et sikkert delingssystem for nøgler på tværs af servere forhindrer udbredt kommerciel udrulning på dette tidspunkt.

Dette sidste problem kunne løses ved at bruge et mere traditionelt offentlig-nøglet kryptosystem, såsom RSA, til at distribuere nøgler. Men at gøre dette ville tilføje kompleksitet og dermed fjerne mange af fordelene ved at bruge WireGuard i første omgang.

WireGuard er derfor meget et igangværende arbejde. Det er ikke desto mindre meget interessant, at nogle udbydere begynder at eksperimentere med den nye protokol. Og med særlig tak til NordVPN er vi meget glade for at få muligheden for et praktisk kig på det.

Kontroller venligst også Hvad er WireGuard VPN-protokol? for et mere detaljeret kig på teorien bag denne nye VPN-protokol.

Brug af WireGuard

På nuværende tidspunkt er WireGuard officielt tilgængelig til Android og Linux, skønt support for Windows og iOS snart loves. Det er også tilgængeligt for macOS-kommandolinjen ved hjælp af Homebrew eller MacPorts.

Et alternativ til de officielle kunder er TunSafe. Dette blev udviklet som en kommerciel virksomhed, og dens software blev oprindeligt lukket. TunSafe tilbyder stadig en kommerciel VPN-service ved hjælp af WireGuard-protokollen, som er indbygget til alle sine klienter (omend en, der er gratis på nuværende tidspunkt).

Selve softwaren er imidlertid nu lavet fuldstændig open source og kan opsættes ved hjælp af alle tredjeparts konfigurationsfiler.

Som vi vil se, er TunSafe-softwaren ofte mere fuldt udstyret end de officielle klienter. Det er tilgængeligt i fuld GUI-form til Windows, Android og iOS.

Det kan også køres fra kommandolinjen Linux, macOS eller FreeBSD. Dette kræver udarbejdelse fra kilden, men der findes enkle og let at følge instruktioner til dette.

Linux

Den officielle WireGuard-klient

WireGuard blev designet specielt til Linux-kernen. Den officielle WireGuard-klient er kun kommandolinie, der kører som en service i Terminal.

Bortset fra at skulle løse nogle afhængighedsproblemer ($ sudo apt install wireguard openresolv linux-headers - $ (uname -r) wireguard-dkms wireguard-tools gjorde susen), installation og brug er meget ligetil.

WireGuard-protokollen har fuld IPv4- og IPv6-routing inde i VPN-tunnelen. Vi opdagede ingen DNS-lækager af nogen art, når vi brugte den på nogen platform, men det rapporteres, at TunSafe til Windows kan lække IPv6 gennem Tun-grænsefladen) mere om dette senere).

Der er ingen indbygget kill-switch som sådan, men en kan oprettes ved at tilføje iptables-kommandoer til konfigurationsfilen.

Et godt eksempel på, hvordan man gør dette manuelt, hvilket skal være relevant for alle WireGuard-konfigurationsfiler, kan findes på Mullvads WireGuard-opsætningsside. Eller en VPN-udbyder kan simpelthen tilføje kommandoer til dens standardkonfigurationsfiler.

Som allerede nævnt kan den basale WireGuard-klient også køres i macOS ved hjælp af Homebrew eller MacPorts.

TunSafe

For at køre TunSafe i Linux skal du selv komponere kildekoden. Heldigvis er dette ikke i nærheden så skræmmende, som det lyder. Instruktionerne på webstedet er meget klare, og vi havde kommandolinjedæmonen kørt i løbet af få minutter.

Det skal dog siges, at vi ikke kan se nogen fordel ved at bruge TunSafe i forhold til den officielle Linux-klient. TunSafe kan også kompileres fra kilde til macOS og FreeBSD.

Android

Den officielle WireGuard-app

Den officielle Android-app er tilgængelig via F-Droid-webstedet.

Hvad appen mangler i funktioner (den har ikke rigtig nogen), den kompenserer for i brugervenlighed. Ved hjælp af det, vi forestiller os, bliver standardmåden til at konfigurere WireGuard-indstillinger, leverede NordVPN os med billeder, der indeholder QR-koder til dets eksperimentelle WireGuard-servere.

Alt, hvad vi skulle gøre, var at scanne denne kode til hver server ved hjælp af vores telefons kamera og ta-da! Opsætningen var afsluttet. Det er også muligt manuelt at tilføje installationsfiler eller endda oprette dine egne.

Og det er alt, hvad der virkelig er til appen. Når den var blevet oprettet, sluttede den øjeblikkeligt og fungerede nøjagtigt som den skulle.

TunSafe VPN-appen

Nu hvor det er open source, er TunSafe et godt alternativ til den officielle Android-app. Appens kernefunktionalitet er næsten identisk med den officielle open source-app, som den er baseret på. Som sådan kan det konfigureres til at oprette forbindelse til alle WireGuard-servere via QR-kode, konfigurere filer eller oprette fra nye.

Den største forskel er, at TunSafe også kører en VPN-service, så du har som standard mulighed for at oprette forbindelse til TunSafe's VPN-servere. Selv om det i sidste ende er en kommerciel virksomhed, er TunSafe VPN på dette tidspunkt 100% gratis at bruge. Efter 30 dage er båndbredden for TunSafe-servere dog begrænset til 1 GB / dag.

Der er ingen grænse, når du bruger tredjeparts konfigurationsfiler ud over, hvad serveroperatørerne opkræver. I henhold til dets privatlivspolitik er TunSafe VPN en no-logs-tjeneste.

I modsætning til den officielle app indeholder TunSafe til Android en kill switch og split-tunneling (“ekskluderede apps”). Det kan også vise pingtider til sine egne servere, men ikke tredjeparts. For avancerede brugere er det muligt at konfigurere en WireGuard-server selv i Linux.

vinduer

TunSafe

I skrivende stund bruger TunSafe den eneste måde at køre WireGuard i Windows på. Ligesom OpenVPN kræver TunSafe til Windows en TAP Ethernet-adapter for at arbejde.

Hovedproblemet med dette er, at TAP-adapteren kan lække IPv6 DNS-anmodninger uden for VPN-grænsefladen. Det anbefales derfor stærkt at deaktivere IPv6 i Windows, når du bruger TunSafe til Windows.

Et andet problem er, at brug af en TAP-adapter tilføjer kompleksitet til WireGuards enkelhed. Hvilket noget fungerer imod en af ​​de største fordele ved at bruge WireGuard.

Klienten bruger en simpel GUI, som gør import af en WireGuard .conf-fil meget let. Der er ingen mulighed for at importere filer via QR-kode, men dette er forståeligt, da mange Windows-pc'er ikke har kameraer.

Det tilbyder også en killswitch, der kan bruge enten (klientbaserede) routingregler eller (system) firewall-regler til at arbejde. Eller begge. Hvilket er meget praktisk.

GUI Pre-Alpha

I maj 2020 annoncerede Edge Security den officielle pre-alpha af WireGuard for Windows Det er stadig meget tidlige dage, men GUI-klient viser den retning, i hvilken projektet går.

Den vigtigste ting at bemærke er, at der i modsætning til TunSafe-klienten ikke kræves nogen OpenVPN TAP-adapter. Klienten bruger i stedet Wintun, en minimal Layer 3 TUN-driver til Windows, som også blev udviklet af WireGuard-teamet.

Også bemærkelsesværdigt (og ikke umiddelbart indlysende fra GUI) er, at klienten har en indbygget automatisk "kill-switch" for at blokere trafik uden for VPN-tunnelen.

Derudover kan vi bekræfte, at skift mellem tunneler er en meget glat proces. Så alt ser meget lovende ud!

Hastighedstest

Ud over enkelthed for sin egen skyld er en af ​​de største fordele ved WireGuard i forhold til OpenVPN, at den tilføjede enkelhed også skulle gøre WireGuard meget hurtigere. Så vi kørte nogle test...

Vi valgte at bruge Mullvad til dette, fordi Mullvad fuldt ud understøtter Linux. Det understøtter også WireGuard og OpenVPN på de samme servere (eller i det mindste meget lignende serverplaceringer), hvilket giver mulighed for en god lignende-til-lignende sammenligning.

Tests blev udført ved hjælp af speedtest.net, da vores eget hastighedstestsystem kræver, at OpenVPN-filer fungerer. Alle test udført fra England. Gennemsnitlige ping (latenstid) priser vises i parentes.

WireGuard skal i teorien være meget hurtigere end OpenVPN. Men dette understøttes ikke af disse test. Man skal dog huske, at dette stadig er meget tidlige dage til den faktiske implementering af WireGuard, og at Mullvad brænder hurtigt, når det kommer til OpenVPN-ydelse.

Konklusion

WireGuard er endnu ikke tilstrækkeligt revideret og penetrationstestet til at anbefale som et seriøst alternativ til sikre VPN-protokoller som OpenVPN og IKEv2 på nuværende tidspunkt. Men det ser faktisk meget lovende ud.

Det er let at konfigurere og bruge, og i vores test sluttede det hurtigt og opretholdt en meget stabil forbindelse.

På papiret er WireGuard meget mere funktionel end OpenVPN. Vores testresultater kan skyldes, at den fulde implementering stadig er i prototypetrinnet, eller det kan skyldes begrænsningerne i vores testmiljø.

De blev udført via WiFi, og det eneste WiFi-stik, vi i øjeblikket har, der er kompatibelt med Linux er (lidt ironisk nok) en meget billig 802.11g dongle, der koster omkring $ 5.

Så lav det, du vil, af vores hastighedstestresultater. Bortset fra det var vi meget imponeret over, hvordan WireGuard skrider frem, og kan ikke vente på, at det gennemgår yderligere forbedringstest. For alle, der deler denne entusiasme, er donationer til projektet meget velkomne.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me