WireGuard – Un guide pratique

WireGuard est un protocole VPN expérimental qui génère une bonne dose d'excitation dans le monde VPN.


Il est extrêmement léger (avec seulement 3 782 lignes de code), ce qui le rend beaucoup plus rapide que les protocoles VPN traditionnels tels que OpenVPN et IPsec. La brièveté du code facilite également l'audit et, comme il utilise des primitives cryptographiques éprouvées, il doit être très sécurisé..

WireGuard a donc un grand potentiel, mais il est encore très en phase d'expérimentation et de développement. Il n'a pas encore été correctement audité pour les problèmes de sécurité, et l'absence d'un système de partage de clés sécurisé sur les serveurs empêche le déploiement commercial généralisé à l'heure actuelle..

Ce dernier problème pourrait être résolu en utilisant un cryptosystème à clé publique plus traditionnel tel que RSA pour distribuer les clés. Mais cela ajouterait de la complexité et éliminerait ainsi de nombreux avantages de l'utilisation de WireGuard en premier lieu.

WireGuard est donc un travail en cours. Il est néanmoins très intéressant que certains prestataires commencent à expérimenter le nouveau protocole. Et avec des remerciements particuliers à NordVPN, nous sommes très heureux d'avoir l'opportunité de le découvrir.

Veuillez également vérifier Qu'est-ce que le protocole VPN WireGuard? pour un aperçu plus détaillé de la théorie derrière ce nouveau protocole VPN.

Utilisation de WireGuard

À l'heure actuelle, WireGuard est officiellement disponible pour Android et Linux, bien que la prise en charge de Windows et iOS soit bientôt promise. Il est également disponible pour la ligne de commande macOS en utilisant Homebrew ou MacPorts.

Une alternative aux clients officiels est TunSafe. Cela a été développé comme une entreprise commerciale, et son logiciel était à l'origine fermé. TunSafe offre toujours un service VPN commercial utilisant le protocole WireGuard, qui est intégré à tous ses clients (bien qu'il soit gratuit à l'heure actuelle).

Cependant, le logiciel lui-même est désormais entièrement open source et peut être configuré à l'aide de n'importe quel fichier de configuration tiers..

Comme nous le verrons, le logiciel TunSafe est souvent plus complet que les clients officiels. Il est disponible sous forme d'interface graphique complète pour Windows, Android et iOS.

Il peut également être exécuté à partir de la ligne de commande Linux, macOS ou FreeBSD. Cela nécessite une compilation à partir des sources, mais des instructions simples et faciles à suivre sont fournies à cet effet..

Linux

Le client WireGuard officiel

WireGuard a été conçu spécifiquement pour le noyau Linux. Le client WireGuard officiel est uniquement en ligne de commande, s'exécutant en tant que service à l'intérieur du terminal.

Autre que d'avoir à résoudre certains problèmes de dépendance ($ sudo apt install wireguard openresolv linux-headers - $ (uname -r) wireguard-dkms wireguard-tools a fait l'affaire), l'installation et l'utilisation sont très simples.

Le protocole WireGuard possède un routage IPv4 et IPv6 complet à l'intérieur du tunnel VPN. Nous n'avons détecté aucune fuite DNS d'aucune sorte lors de son utilisation sur n'importe quelle plate-forme, mais il est rapporté que TunSafe pour Windows peut divulguer IPv6 via l'interface Tun) plus à ce sujet plus tard).

Il n'y a pas de coupe-circuit intégré en tant que tel, mais un peut être créé en ajoutant des commandes iptables au fichier de configuration.

Un bon exemple de la façon de procéder manuellement, qui devrait être applicable à tous les fichiers de configuration WireGuard, peut être trouvé sur la page de configuration WireGuard de Mullvad. Ou un fournisseur VPN peut simplement ajouter les commandes à ses fichiers de configuration standard.

Comme déjà indiqué, le client WireGuard de base peut également être exécuté sous macOS en utilisant Homebrew ou MacPorts.

TunSafe

Pour exécuter TunSafe sous Linux, vous devez compiler vous-même le code source. Heureusement, cela est loin d'être aussi effrayant que cela puisse paraître. Les instructions sur le site Web sont très claires, et nous avons eu le démon de ligne de commande opérationnel en quelques minutes.

Il faut dire, cependant, que nous ne voyons aucun avantage à utiliser TunSafe par rapport au client Linux officiel. TunSafe peut également être compilé à partir des sources pour macOS et FreeBSD.

Android

L'application WireGuard officielle

L'application Android officielle est disponible sur le site Web de F-Droid.

Ce que l'application manque de fonctionnalités (elle n'en a pas vraiment), cela compense sa facilité d'utilisation. En utilisant ce que nous imaginons devenir la façon standard de configurer les paramètres WireGuard, NordVPN nous a fourni des images contenant des codes QR pour ses serveurs WireGuard expérimentaux.

Tout ce que nous avions à faire était de scanner ce code pour chaque serveur à l'aide de la caméra de notre téléphone, et ta-da! La configuration était terminée. Il est également possible d'ajouter manuellement des fichiers de configuration, ou même de créer les vôtres.

Et c'est tout ce qu'il y a vraiment dans l'application. Une fois installé, il s'est connecté instantanément et a fonctionné exactement comme il se doit.

L'application VPN TunSafe

Maintenant qu'il est open source, TunSafe constitue une bonne alternative à l'application Android officielle. La fonctionnalité de base de l'application est presque identique à l'application officielle open source sur laquelle elle est basée. En tant que tel, il peut être configuré pour se connecter à n'importe quel serveur WireGuard via le code QR, les fichiers de configuration ou créer à partir de nouveaux.

La principale différence est que TunSafe exécute également un service VPN, donc par défaut, vous avez la possibilité de vous connecter aux serveurs VPN de TunSafe. Bien qu'en fin de compte une entreprise commerciale, à l'heure actuelle, TunSafe VPN est 100% gratuit à utiliser. Cependant, après 30 jours, la bande passante des serveurs TunSafe est limitée à 1 Go / jour.

Il n'y a aucune limite lors de l'utilisation de fichiers de configuration tiers au-delà de ce que les opérateurs de serveurs facturent. Conformément à sa politique de confidentialité, TunSafe VPN est un service sans journaux.

Contrairement à l'application officielle, TunSafe pour Android dispose d'un interrupteur d'arrêt et d'un tunnelage divisé («applications exclues»). Il peut également afficher les temps de ping sur ses propres serveurs, mais pas ceux de tiers. Pour les utilisateurs avancés, il est possible de configurer vous-même un serveur WireGuard sous Linux.

les fenêtres

TunSafe

Au moment d'écrire ces lignes, la seule façon d'exécuter WireGuard sous Windows est d'utiliser TunSafe. Comme OpenVPN, TunSafe pour Windows nécessite un adaptateur Ethernet TAP pour fonctionner.

Le principal problème est que l'adaptateur TAP peut divulguer des requêtes DNS IPv6 en dehors de l'interface VPN. Il est donc fortement recommandé de désactiver IPv6 sous Windows lors de l'utilisation de TunSafe pour Windows.

Un autre problème est que l’utilisation d’un adaptateur TAP ajoute de la complexité à la simplicité de WireGuard. Ce qui fonctionne un peu contre l'un des principaux avantages de l'utilisation de WireGuard.

Le client utilise une interface graphique simple, ce qui rend l'importation d'un fichier WireGuard .conf très facile. Il n'y a pas d'option pour importer des fichiers via le code QR, mais cela est compréhensible car de nombreux PC Windows ne disposent pas de caméras.

Il propose également un killswitch, qui peut utiliser des règles de routage (basées sur le client) ou des règles de pare-feu (système) pour fonctionner. Ou les deux. Ce qui est très pratique.

GUI Pre-Alpha

En mai 2020, Edge Security a annoncé la pré-alpha officielle de WireGuard pour Windows.C'est encore très tôt, mais le client GUI montre la direction dans laquelle le projet se dirige.

La chose la plus importante à noter est que, contrairement au client TunSafe, aucun adaptateur OpenVPN TAP n'est requis. Le client utilise à la place Wintun, un pilote TUN Layer 3 minimal pour Windows qui a également été développé par l'équipe WireGuard.

Il convient également de noter (et pas immédiatement évident de l'interface graphique), est que le client dispose d'une fonction automatique intégrée "antidémarreur" bloquer le trafic en dehors du tunnel VPN.

En plus de cela, nous pouvons confirmer que la commutation entre les tunnels est un processus très fluide. Donc tout semble très prometteur!

Tests de vitesse

En plus de la simplicité pour elle-même, l'un des plus grands avantages de WireGuard par rapport à OpenVPN est que la simplicité supplémentaire devrait également rendre WireGuard beaucoup plus rapide....

Nous avons choisi d'utiliser Mullvad pour cela car Mullvad prend entièrement en charge Linux. Il prend également en charge WireGuard et OpenVPN sur les mêmes serveurs (ou au moins des emplacements de serveur très similaires), permettant une bonne comparaison à périmètre constant.

Les tests ont été effectués à l'aide de speedtest.net, car notre propre système de test de vitesse nécessite des fichiers OpenVPN pour fonctionner. Tous les tests effectués depuis le Royaume-Uni. Les taux de ping (latence) moyens sont indiqués entre parenthèses.

WireGuard devrait, en théorie, être beaucoup plus rapide qu'OpenVPN. Mais cela n'est pas confirmé par ces tests. Il ne faut pas oublier, cependant, que cela est encore très tôt pour la mise en œuvre réelle de WireGuard, et que Mullvad est extrêmement rapide en ce qui concerne les performances d'OpenVPN.

Conclusion

WireGuard n'a pas encore été suffisamment audité et testé en pénétration pour recommander une alternative sérieuse aux protocoles VPN sécurisés tels que OpenVPN et IKEv2 à l'heure actuelle. Mais ça a l'air très prometteur.

Il est facile à installer et à utiliser, et dans nos tests, il s'est connecté rapidement et a maintenu une connexion très stable.

Sur le papier, WireGuard est beaucoup plus fonctionnel qu'OpenVPN. Nos résultats de test peuvent être dus au fait que l'implémentation complète est encore au stade du prototype, ou cela peut être dû aux limites de notre environnement de test.

Ils ont été effectués via WiFi, et le seul connecteur WiFi que nous avons actuellement qui est compatible avec Linux est (quelque peu ironiquement) un dongle 802.11g très bon marché qui coûte environ 5 $.

Faites donc ce que vous voulez de nos résultats de test de vitesse. En dehors de cela, nous avons été très impressionnés par la progression de WireGuard et nous ne pouvons pas attendre qu'il soit soumis à de nouveaux tests d'amélioration. Pour tous ceux qui partagent cet enthousiasme, les dons au projet sont les bienvenus.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

61 − 57 =

map