WireGuard – käytännön opas

WireGuard on kokeellinen VPN-protokolla, joka tuottaa melkoisen määrän jännitystä VPN-maailmassa.

Se on erittäin kevyt (vain 3782 koodirivillä), mikä tekee siitä paljon nopeamman kuin perinteiset VPN-protokollat, kuten OpenVPN ja IPsec. Koodin lyhyys tekee siitä myös helpon tarkastamisen, ja koska se käyttää todistettuja salausprimitiiveja, sen pitäisi olla erittäin turvallinen.

Siksi WireGuardilla on suuri potentiaali, mutta se on silti erittäin paljon kokeilu- ja kehitysvaiheessa. Sitä ei ole vielä tarkastettu asianmukaisesti tietoturvaongelmien varalta, ja suojatun avaintenjakojärjestelmän puuttuminen palvelimien välillä estää laajan kaupallisen käyttöönoton tällä hetkellä..

Tämä viimeinen ongelma voitiin ratkaista käyttämällä perinteistä julkisen avaimen kryptosysteemiä, kuten RSA, avainten jakeluun. Mutta niin tekeminen lisäisi monimutkaisuutta ja poistaisi siten monia WireGuardin käytön etuja.

WireGuard on siis hyvin keskeneräinen työ. On kuitenkin erittäin mielenkiintoista, että jotkut palveluntarjoajat ovat alkaneet kokeilla uutta protokollaa. Ja erityisellä kiitoksella NordVPN: lle, olemme erittäin innoissamme siitä, että meillä on mahdollisuus katsoa sitä.

Tarkista myös mikä on WireGuard VPN-protokolla? saadaksesi yksityiskohtaisemman kuvan tämän uuden VPN-protokollan takana olevasta teoriasta.

WireGuardin käyttö

Tällä hetkellä WireGuard on virallisesti saatavana Androidille ja Linuxille, vaikka Windowsin ja iOS: n tuki tuetaan pian. Se on saatavana myös macOS-komentoriville käyttämällä Homebrew tai MacPorts -sovellusta.

Vaihtoehto virallisille asiakkaille on TunSafe. Tämä kehitettiin kaupalliseksi yritykseksi, ja sen ohjelmistot olivat alun perin suljettu kurssi. TunSafe tarjoaa edelleen kaupallista VPN-palvelua käyttämällä WireGuard-protokollaa, joka on sisäänrakennettu kaikille asiakkailleen (tosin tällä hetkellä ilmainen).

Itse ohjelmisto on kuitenkin nyt tehty täysin avoimeksi lähteeksi ja se voidaan asentaa millä tahansa kolmannen osapuolen asetustiedostoilla.

Kuten näemme, TunSafe-ohjelmisto on usein täysin esitelty kuin viralliset asiakkaat. Se on saatavana täysin GUI-muodossa Windowsille, Androidille ja iOS: lle.

Se voidaan suorittaa myös Linux-, macOS- tai FreeBSD-komentoriviltä. Tämä vaatii kääntämistä lähteestä, mutta siihen annetaan yksinkertaiset ja helppo seurata -ohjeet.

Linux

Virallinen WireGuard-asiakas

WireGuard on suunniteltu erityisesti Linux-ytimeen. Virallinen WireGuard-asiakas on vain komentorivi, joka toimii palveluna päätteen sisällä.

Sen lisäksi, että joudut korjaamaan joitain riippuvuusongelmia ($ sudo apt install wireguard openresolv linux-headsders - $ (uname -r) wireguard-dkms wireguard-tools teki tempun), asennus ja käyttö on erittäin yksinkertaista.

WireGuard-protokollalla on täydet IPv4- ja IPv6-reititykset VPN-tunnelin sisällä. Emme havainneet minkäänlaisia ​​DNS-vuotoja käytettäessä sitä millään alustalla, mutta on ilmoitettu, että Windowsin TunSafe voi vuotaa IPv6: n Tun-käyttöliittymän kautta).

Sellaista sisäänrakennettua tap-kytkintä ei ole, mutta yksi voidaan luoda lisäämällä iptable-komentoja määritystiedostoon.

Hyvä esimerkki siitä, miten tämä tehdään manuaalisesti, jota tulisi soveltaa kaikkiin WireGuard-asetustiedostoihin, löytyy Mullvadin WireGuard-asetussivulta. Tai VPN-palveluntarjoaja voi yksinkertaisesti lisätä komentoja tavallisiin konfigurointitiedostoihinsa.

Kuten jo todettiin, perus WireGuard-asiakasohjelmaa voidaan käyttää myös macOS: ssa Homebrew tai MacPorts -sovelluksella.

TunSafe

Jotta TunSafe voidaan suorittaa Linuxissa, sinun on käännettävä lähdekoodi itse. Onneksi tämä ei ole läheskään niin pelottavaa kuin miltä se kuulostaa. Verkkosivun ohjeet ovat erittäin selkeät, ja meillä oli komentorivipalvelu valmiina ja käynnissä vain muutamassa minuutissa.

On kuitenkin sanottava, että TunSafen käytöstä ei ole mitään hyötyä viralliseen Linux-asiakasohjelmaan nähden. TunSafe voidaan kääntää myös lähteestä MacOS: lle ja FreeBSD: lle.

Android

Virallinen WireGuard-sovellus

Virallinen Android-sovellus on saatavana F-Droid-verkkosivustolla.

Mitä sovelluksella ei ole ominaisuuksia (sitä ei todellakaan ole), se on helppo käyttää. Käyttämällä sitä, mitä kuvittelemme, tulee standarditapaksi määrittää WireGuard-asetukset, NordVPN toimitti meille kuvia, jotka sisälsivät QR-koodeja kokeellisille WireGuard-palvelimilleen..

Ainoa mitä meidän piti tehdä, oli skannata tämä koodi jokaiselta palvelimelta puhelimen kameralla, ja ta-da! Asennus oli valmis. On myös mahdollista lisätä asennustiedostoja manuaalisesti tai jopa luoda omia.

Ja siinä kaikki mitä sovelluksella todella on. Asennuksen jälkeen se yhdisti heti ja toimi täsmälleen kuten pitäisi.

TunSafe VPN -sovellus

Nyt kun se on avoimen lähdekoodin, TunSafe on hyvä vaihtoehto viralliselle Android-sovellukselle. Sovelluksen ydintoiminto on melkein identtinen avoimen lähdekoodin virallisen sovelluksen kanssa, johon se perustuu. Sellaisena se voidaan konfiguroida muodostamaan yhteys mihin tahansa WireGuard-palvelimiin QR-koodin avulla, konfiguroida tiedostoja tai luoda uusista.

Suurin ero on, että TunSafe ylläpitää myös VPN-palvelua, joten oletuksena sinulla on mahdollisuus muodostaa yhteys TunSafen VPN-palvelimiin. Vaikka viime kädessä kaupallinen yritys, tällä hetkellä TunSafe VPN on 100-prosenttisesti ilmainen käyttää. 30 päivän kuluttua TunSafe-palvelimien kaistanleveys on kuitenkin rajoitettu 1 Gt / päivä.

Kolmansien osapuolien määritystiedostojen käytölle ei ole mitään rajoituksia, jotka palvelinoperaattorit veloittavat. TunSafe VPN on tietosuojakäytännönsä mukaan kirjautumaton palvelu.

Toisin kuin virallinen sovellus, TunSafe for Android sisältää tapikytkimen ja jaetun tunneloinnin (“poissuljetut sovellukset”). Se voi myös näyttää ping-aikoja omille palvelimilleen, mutta ei kolmansien osapuolien palvelimille. Kokeneille käyttäjille on mahdollista määrittää WireGuard-palvelin itse Linuxissa.

Windows

TunSafe

Aina kirjoittamishetkellä ainoa tapa suorittaa WireGuard Windowsissa on TunSafe-käyttö. Kuten OpenVPN, myös TunSafe for Windows tarvitsee TAP Ethernet -sovittimen toimiakseen.

Suurin ongelma tässä on, että TAP-sovitin voi vuotaa IPv6 DNS -pyyntöjä VPN-liittymän ulkopuolella. Siksi on erittäin suositeltavaa poistaa IPv6 käytöstä Windowsissa, kun käytetään TunSafe for Windows -sovellusta.

Toinen ongelma on, että TAP-sovittimen käyttö lisää monimutkaisuutta WireGuardin yksinkertaisuuteen. Mikä toimii jonkin verran WireGuardin käytön suurimmista eduista.

Asiakas käyttää yksinkertaista käyttöliittymää, joka tekee WireGuard .conf-tiedoston tuomisesta erittäin helppoa. Tiedostojen tuominen QR-koodilla ei ole mahdollista, mutta tämä on ymmärrettävää, koska monissa Windows PC -sovelluksissa ei ole kameroita.

Se tarjoaa myös killswitchin, joka voi käyttää joko (asiakaspohjaisia) reitityssääntöjä tai (järjestelmän) palomuurisääntöjä toimimaan. Tai molemmat. Mikä on erittäin kätevä.

GUI Pre-Alfa

Toukokuussa 2020 Edge Security ilmoitti WireGuard for Windowsin virallisesta alfa-versiosta. Se on vielä hyvin varhaista päivää, mutta GUI-asiakas näyttää projektin suunnan..

Tärkeintä on huomata, että toisin kuin TunSafe-asiakasohjelmassa, OpenVPN TAP -sovitinta ei tarvita. Sen sijaan asiakas käyttää Wintunia, minimaalista Layer 3 TUN -ohjainta Windowsille, jonka myös WireGuard-tiimi kehitti..

Huomionarvoista (eikä GUI: stä selvää) on, että asiakkaassa on sisäänrakennettu automaattinen "kill-kytkin" liikenteen estämiseksi VPN-tunnelin ulkopuolella.

Tämän lisäksi voimme vahvistaa, että tunnelien välillä vaihtaminen on erittäin sujuvaa prosessia. Joten kaikki näyttää erittäin lupaavalta!

Nopeuden testit

Yksinkertaisuuden lisäksi itsensä vuoksi WireGuardin suurimpia etuja verrattuna OpenVPN: ään on, että lisätyn yksinkertaisuuden pitäisi myös tehdä WireGuardista paljon nopeampi. Joten suoritimme joitain testejä...

Päätimme käyttää Mullvadia tähän, koska Mullvad tukee täysin Linuxia. Se tukee myös WireGuardia ja OpenVPN: ää samoissa palvelimissa (tai ainakin hyvin samanlaisissa palvelinpaikoissa), mikä mahdollistaa hyvän vertailun.

Testit suoritettiin speedtest.net: llä, koska oma nopeustestausjärjestelmämme edellyttää OpenVPN-tiedostojen toimivuutta. Kaikki testit suoritettiin Yhdistyneestä kuningaskunnasta. Keskimääräiset ping (latenssi) hinnat esitetään suluissa.

WireGuardin pitäisi teoriassa olla paljon nopeampi kuin OpenVPN. Mutta nämä testit eivät tue tätä. On kuitenkin muistettava, että tämä on vielä hyvin varhainen aika WireGuardin varsinaiselle toteutukselle ja että Mullvad palaa nopeasti OpenVPN-suorituskyvyn suhteen.

johtopäätös

WireGuardia ei ole vielä auditoitu ja läpäisevyystestattu, jotta se voisi tällä hetkellä suositella vakavaa vaihtoehtoa suojatuille VPN-protokollille, kuten OpenVPN ja IKEv2. Mutta se näyttää todella lupaavalta.

Se on helppo asentaa ja käyttää, ja testissämme se yhdisti nopeasti ja ylläpitää erittäin vakaata yhteyttä.

Paperilla WireGuard on paljon toiminnallisempi kuin OpenVPN. Testituloksemme voivat johtua siitä, että koko toteutus on vielä prototyyppivaiheessa, tai se voi johtua testiympäristömme rajoituksista.

Ne suoritettiin WiFi: n kautta, ja ainoa meillä tällä hetkellä oleva Linux-yhteensopiva WiFi-liitin on (melko ironista kyllä) erittäin halpa 802.11g-dongle, joka maksaa noin 5 dollaria..

Joten tee mitä haluat nopeustestaustuloksistamme. Muuten kuin meille oli erittäin vaikuttunut siitä, kuinka WireGuard etenee, emmekä voi odottaa sen jatkavan parannustestausta. Jokaiselle, joka jakaa tämän innostumisen, lahjoitukset projektiin ovat erittäin tervetulleita.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me