WireGuard – En praktisk håndbok

WireGuard er en eksperimentell VPN-protokoll som genererer en god del spenning i VPN-verdenen.

Det er ekstremt lett (bare på 3782 kodelinjer), noe som gjør det mye raskere enn tradisjonelle VPN-protokoller som OpenVPN og IPsec. Kortfattetheten av koden gjør det også enkelt å revidere, og fordi den bruker påviste kryptografiske primitiver, bør den være veldig sikker.

WireGuard har derfor stort potensiale, men det er fortsatt veldig mye på eksperimentelle og utviklingsstadier. Det er foreløpig ikke korrekt revidert for sikkerhetsproblemer, og mangelen på et sikkert delingssystem for nøkkel over servere forhindrer utbredt kommersiell utrulling på dette tidspunktet.

Dette siste problemet kan løses ved å bruke et mer tradisjonelt offentlig nøkkelkryptosystem slik RSA for å distribuere nøkler. Men å gjøre det ville tilføre kompleksitet, og dermed fjerne mange av fordelene ved å bruke WireGuard i utgangspunktet.

WireGuard er derfor veldig mye et arbeid som pågår. Det er likevel veldig interessant at noen tilbydere begynner å eksperimentere med den nye protokollen. Og med spesiell takk til NordVPN, er vi veldig glade for å få muligheten til en praktisk titt på det.

Vennligst sjekk ut hva som er WireGuard VPN-protokoll? for en mer detaljert titt på teorien bak denne nye VPN-protokollen.

Bruker WireGuard

For tiden er WireGuard offisielt tilgjengelig for Android og Linux, selv om det snart er lovet støtte for Windows og iOS. Det er også tilgjengelig for macOS-kommandolinjen ved å bruke Homebrew eller MacPorts.

Et alternativ til de offisielle kundene er TunSafe. Dette ble utviklet som et kommersielt foretak, og programvaren ble opprinnelig lukket. TunSafe tilbyr fortsatt en kommersiell VPN-tjeneste ved hjelp av WireGuard-protokollen, som er innebygd for alle sine kunder (om enn en som er gratis på det nåværende tidspunkt).

Selve programvaren er imidlertid nå laget full åpen kildekode og kan konfigureres ved bruk av eventuelle tredjeparts konfigurasjonsfiler.

Som vi skal se, er TunSafe-programvaren ofte mer fullverdig enn de offisielle klientene. Den er tilgjengelig i full GUI-form for Windows, Android og iOS.

Det kan også kjøres fra kommandolinjen Linux, macOS eller FreeBSD. Dette krever sammenstilling fra kilden, men enkle og enkle å følge instruksjoner er gitt for dette.

Linux

Den offisielle WireGuard-klienten

WireGuard ble designet spesielt for Linux-kjernen. Den offisielle WireGuard-klienten er kun kommandolinjen, som kjører som en tjeneste i Terminal.

Annet enn å måtte løse noen avhengighetsproblemer ($ sudo apt install wireguard openresolv linux-headers - $ (uname -r) wireguard-dkms wireguard-tools gjorde susen), installasjon og bruk er veldig grei.

WireGuard-protokollen har full IPv4- og IPv6-ruting inne i VPN-tunnelen. Vi oppdaget ingen DNS-lekkasjer av noe slag når vi brukte den på noen plattform, men det rapporteres at TunSafe for Windows kan lekke IPv6 gjennom Tun-grensesnittet) mer om dette senere).

Det er ingen innebygd kill switch som sådan, men en kan opprettes ved å legge til iptables-kommandoer i konfigurasjonsfilen.

Et godt eksempel på hvordan du gjør dette manuelt, som skal være aktuelt for alle WireGuard-konfigurasjonsfiler, finner du på Mullvads WireGuard-konfigurasjonsside. Eller en VPN-leverandør kan ganske enkelt legge til kommandoene til standardkonfigurasjonsfilene.

Som allerede nevnt, kan den grunnleggende WireGuard-klienten også kjøres i macOS ved hjelp av Homebrew eller MacPorts.

TunSafe

For å kjøre TunSafe i Linux må du kompilere kildekoden selv. Heldigvis er dette ikke i nærheten så skummelt som det høres ut. Instruksjonene på nettstedet er veldig tydelige, og vi hadde kommandolinjedemonken i gang på bare noen få minutter.

Det må sies at vi ikke ser noen fordel med å bruke TunSafe i forhold til den offisielle Linux-klienten. TunSafe kan også settes sammen fra kilde for macOS og FreeBSD.

Android

Den offisielle WireGuard-appen

Den offisielle Android-appen er tilgjengelig via F-Droid nettsted.

Hva appen mangler i funksjoner (den har egentlig ikke noen), den gjør opp for i brukervennlighet. Ved å bruke det vi forestiller oss vil bli den vanlige måten å konfigurere WireGuard-innstillinger, forsynte NordVPN oss med bilder som inneholder QR-koder for sine eksperimentelle WireGuard-servere.

Alt vi måtte gjøre var å skanne denne koden for hver server ved å bruke telefonens kamera, og ta-da! Oppsettet var fullført. Det er også mulig å legge til konfigurasjonsfiler manuelt, eller til og med lage dine egne.

Og det er alt det virkelig er for appen. Når den var satt opp, koblet den opp øyeblikkelig og fungerte nøyaktig som den skulle.

TunSafe VPN-appen

Nå som det er åpen kildekode, er TunSafe et godt alternativ til den offisielle Android-appen. Kjernefunksjonaliteten til appen er nesten identisk med open source-offisielle appen den er basert på. Som sådan kan den konfigureres til å koble til alle WireGuard-servere via QR-kode, konfigurere filer eller opprette fra nye.

Hovedforskjellen er at TunSafe også kjører en VPN-tjeneste, så som standard har du muligheten til å koble til TunSafe's VPN-servere. Selv om det til slutt er et kommersielt foretak, er TunSafe VPN på dette tidspunktet 100% gratis å bruke. Etter 30 dager er imidlertid båndbredden for TunSafe-servere begrenset til 1 GB / dag.

Det er ingen begrensning når du bruker tredjeparts konfigurasjonsfiler utover hva serveroperatørene belaster. I henhold til personvernreglene er TunSafe VPN en ikke-logg-tjeneste.

I motsetning til den offisielle appen, har TunSafe for Android en kill switch og split-tunneling ("ekskluderte apper"). Det kan også vise pingtider til sine egne servere, men ikke tredjeparts. For avanserte brukere er det mulig å sette opp en WireGuard-server selv i Linux.

Windows

TunSafe

I skrivende stund er den eneste måten å kjøre WireGuard i Windows på å bruke TunSafe. I likhet med OpenVPN, krever TunSafe for Windows en TAP Ethernet-adapter for å fungere.

Hovedproblemet med dette er at TAP-adapteren kan lekke IPv6 DNS-forespørsler utenfor VPN-grensesnittet. Det anbefales derfor sterkt å deaktivere IPv6 i Windows når du bruker TunSafe for Windows.

Et annet problem er at bruk av en TAP-adapter gir kompleksiteten til WireGuards enkelhet. Noe som virker mot en av de største fordelene ved å bruke WireGuard.

Klienten bruker en enkel GUI, som gjør import av en WireGuard .conf-fil veldig enkel. Det er ikke noe alternativ å importere filer via QR-kode, men dette er forståelig ettersom mange Windows-PC-er ikke har kameraer.

Den tilbyr også en dreiemoment, som kan bruke enten (klientbaserte) rutingsregler eller (system) brannmurregler for å fungere. Eller begge. Noe som er veldig nyttig.

GUI Pre-Alpha

I mai 2020 kunngjorde Edge Security den offisielle pre-alphaen til WireGuard for Windows. Det er fremdeles veldig tidlige dager, men GUI-klienten viser retningen som prosjektet går i retning.

Det viktigste å merke seg er at i motsetning til med TunSafe-klienten, er det ikke nødvendig med OpenVPN TAP-adapter. Klienten bruker i stedet Wintun, en minimal Layer 3 TUN-driver for Windows som også ble utviklet av WireGuard-teamet.

Også bemerkelsesverdig (og ikke umiddelbart tydelig fra GUI) er at klienten har en innebygd automatikk "kill-switch" for å blokkere trafikk utenfor VPN-tunnelen.

I tillegg til dette kan vi bekrefte at å bytte mellom tunneler er en veldig jevn prosess. Så alt ser veldig lovende ut!

Fartsprøver

I tillegg til enkelhet for sin egen skyld, er en av de største fordelene med WireGuard fremfor OpenVPN at den ekstra enkelheten også skal gjøre WireGuard mye raskere. Så vi kjørte noen tester...

Vi valgte å bruke Mullvad til dette fordi Mullvad støtter Linux fullt ut. Den støtter også WireGuard og OpenVPN på de samme serverne (eller i det minste veldig like serverplasseringer), noe som gir en god lignende-for-lignende sammenligning.

Tester ble utført ved bruk av speedtest.net, ettersom vårt eget hastighetstestingssystem krever at OpenVPN-filer skal fungere. Alle tester utført fra Storbritannia. Gjennomsnittlige ping (latenstid) priser vises i parentes.

WireGuard skal i teorien være mye raskere enn OpenVPN. Men dette understrekes ikke av disse testene. Det må imidlertid huskes at dette fremdeles er veldig tidlige dager for selve implementeringen av WireGuard, og at Mullvad brenner raskt når det gjelder OpenVPN-ytelse.

Konklusjon

WireGuard er ennå ikke tilstrekkelig revidert og penetrasjonstestet til å anbefale som et seriøst alternativ til sikre VPN-protokoller som OpenVPN og IKEv2 på det nåværende tidspunkt. Men det ser faktisk veldig lovende ut.

Det er enkelt å sette opp og bruke, og i testene våre koblet den raskt opp og opprettholdt en veldig stabil forbindelse.

På papiret er WireGuard mye mer funksjonell enn OpenVPN. Testresultatene våre kan skyldes at full implementering fremdeles er i prototypetrinnet, eller det kan skyldes begrensningene i testmiljøet.

De ble utført over WiFi, og den eneste WiFi-kontakten vi for øyeblikket har som er kompatibel med Linux er (noe ironisk nok) en veldig billig 802.11g dongle som koster rundt $ 5.

Så gjør det du vil av hastighetstestresultatene. Annet enn det, var vi veldig imponert over hvordan WireGuard utvikler seg, og kan ikke vente til den skal gjennomgå ytterligere forbedringstesting. For alle som deler denne entusiasmen, er donasjoner til prosjektet veldig velkomne.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me