WireGuard –动手指南

WireGuard是一种实验性VPN协议,在VPN世界中引起了极大的兴奋.

它非常轻巧(仅3782行代码),使其比传统VPN协议(如OpenVPN和IPsec)快得多。该代码的简洁性还使其易于审核,并且由于它使用了经过验证的加密原语,因此它应该非常安全。.

因此,WireGuard具有巨大的潜力,但仍处于试验和开发阶段。尚未针对安全性问题对其进行适当的审核,并且服务器之间缺乏安全的密钥共享系统,这阻止了目前广泛的商业推广.

通过使用更传统的公共密钥密码系统(例如RSA)分发密钥,可以解决最后一个问题。但是这样做会增加复杂性,并因此消除了使用WireGuard的许多优势.

因此,WireGuard正在进行中。但是,有些提供商开始尝试使用新协议是非常有趣的。特别感谢NordVPN,我们很高兴有机会亲身体验一下.

请同时检查什么是WireGuard VPN协议?详细了解此新VPN协议背后的理论.

使用WireGuard

目前,WireGuard已正式面向Android和Linux提供,尽管承诺很快会支持Windows和iOS。使用Homebrew或MacPorts的macOS命令行也可以使用它.

官方客户的替代者是TunSafe。它是作为一家商业企业开发的,其软件最初是封闭课程。 TunSafe仍使用WireGuard协议提供商业VPN服务,该协议已内置到所有客户端中(尽管目前免费)。.

但是,该软件本身现已成为完全开源的,可以使用任何第三方配置文件进行设置.

我们将看到,TunSafe软件通常比正式客户端功能更全。它以完整的GUI形式提供给Windows,Android和iOS.

也可以从Linux,macOS或FreeBSD命令行运行。这需要从源代码进行编译,但是为此提供了简单易懂的说明.

的Linux

官方WireGuard客户

WireGuard专为Linux内核而设计。官方的WireGuard客户端仅是命令行,在终端内作为服务运行.

除了需要解决一些依赖性问题($ sudo apt install wireguard openresolv linux-headers-$(uname -r)wireguard-dkms wireguard-tools可以达到目的)之外,安装和使用非常简单.

WireGuard协议在VPN隧道内具有完整的IPv4和IPv6路由。在任何平台上使用它时,我们都没有检测到任何形式的DNS泄漏,但据报道,适用于Windows的TunSafe可以通过Tun接口泄漏IPv6)(稍后会详细介绍).

没有内置的kill开关,但是可以通过在配置文件中添加iptables命令来创建一个.

在Mullvad的Wi​​reGuard设置页面上,可以找到适用于所有WireGuard配置文件的手动操作示例。或者VPN提供商可以简单地将命令添加到其标准配置文件中.

如前所述,基本的WireGuard客户端也可以使用Homebrew或MacPorts在macOS中运行.

TunSafe

要在Linux中运行TunSafe,您必须自己编译源代码。幸运的是,这远没有听起来那么可怕。网站上的说明非常清楚,我们仅需几分钟即可启动并运行命令行守护程​​序.

不得不说,相对于正式的Linux客户端,我们看不到使用TunSafe的优势。 TunSafe也可以从源代码针对macOS和FreeBSD进行编译.

安卓系统

官方WireGuard应用

官方Android应用程序可通过F-Droid网站获得.

该应用程序缺少的功能(实际上没有任何功能)可以弥补易用性。使用我们想象的将成为配置WireGuard设置的标准方法,NordVPN为我们提供了包含实验性WireGuard服务器的QR码的图像.

我们要做的就是使用手机的摄像头扫描每台服务器的此代码,然后ta-da!安装完成。也可以手动添加设置文件,甚至创建自己的文件.

这就是应用程序真正的全部。设置完成后,它会立即连接并完全按预期工作.

TunSafe VPN应用

现在,它是开源的,TunSafe可以替代正式的Android应用。该应用程序的核心功能几乎与其所基于的开源官方应用程序相同。这样,可以将其配置为通过QR码,配置文件连接到任何WireGuard服务器,或者通过新建.

主要区别在于TunSafe还运行VPN服务,因此默认情况下,您可以选择连接到TunSafe的VPN服务器。尽管最终是商业企业,但此时TunSafe VPN是100%免费使用的。但是,在30天之后,TunSafe服务器的带宽被限制为每天1GB.

使用第三方配置文件没有超出服务器运营商收费范围的限制。根据其隐私政策,TunSafe VPN是一项无日志服务.

与官方应用程序不同,适用于Android的TunSafe具有终止开关和拆分隧道(“排除的应用程序”)。它还可以显示到其自己服务器的ping时间,但不能显示第三方服务器的ping时间。对于高级用户,可以在Linux中自行设置WireGuard服务器.

视窗

TunSafe

在撰写本文时,在Windows中运行WireGuard的唯一方法是使用TunSafe。像OpenVPN一样,适用于Windows的TunSafe必须使用TAP以太网适配器才能工作.

这样做的主要问题是TAP适配器可能会在VPN接口外部泄漏IPv6 DNS请求。因此,强烈建议在使用Windows的TunSafe时禁用Windows中的IPv6.

另一个问题是,使用TAP适配器会增加WireGuard的复杂性。这在一定程度上不利于使用WireGuard的主要优势之一.

客户端使用简单的GUI,这使得导入WireGuard .conf文件非常容易。无法选择通过QR码导入文件,但这是可以理解的,因为许多Windows PC没有相机.

它还提供了一个killswitch,它可以使用(基于客户端的)路由规则或(系统)防火墙规则来工作。或两者。哪个很方便.

GUI前Alpha

2020年5月,Edge Security宣布了适用于Windows的WireGuard正式正式试用版,这仍处于初期阶段,但GUI客户端显示了该项目的发展方向.

需要注意的最重要的一点是,与TunSafe客户端不同,不需要OpenVPN TAP适配器。客户端改为使用Wintun,这是WireGuard团队开发的Windows最小三层TUN驱动程序。.

还值得注意的是(客户端在GUI中不是很明显)客户端具有内置的自动 "停止开关" 阻止VPN隧道外的流量.

除此之外,我们可以确认隧道之间的切换是一个非常平稳的过程。所以一切看起来都非常有希望!

速度测试

除了自身的简便性之外,WireGuard相对于OpenVPN的最大优势之一是,附加的简便性还应使WireGuard更快,因此我们进行了一些测试...

我们之所以选择使用Mullvad,是因为Mullvad完全支持Linux。它还在同一台服务器(或至少非常相似的服务器位置)上支持WireGuard和OpenVPN,从而实现了良好的按需比较.

由于我们自己的速度测试系统需要OpenVPN文件才能工作,因此使用speedtest.net进行了测试。所有测试均来自英国。括号中显示平均ping(延迟)率.

理论上,WireGuard应该比OpenVPN快得多。但是,这些测试并未证明这一点。但是,应该记住,对于WireGuard的实际实施来说,这还处于初期阶段,而Mullvad在谈到OpenVPN性能时正在迅速发展.

结论

目前,尚未对WireGuard进行充分的审核和渗透测试,以推荐它作为安全VPN协议(例如OpenVPN和IKEv2)的替代方案。但确实看起来很有希望.

它易于设置和使用,在我们的测试中,它可以快速连接并保持非常稳定的连接.

从表面上看,WireGuard比OpenVPN的功能要强大得多。我们的测试结果可能是因为完整的实现仍处于原型阶段,或者可能是由于我们的测试环境所限制.

它们是通过WiFi执行的,我们目前拥有的唯一与Linux兼容的WiFi连接器(有点讽刺意味)是非常便宜的802.11g软件狗,价格约为5美元.

因此,请根据我们的速度测试结果做出决定。除此之外,WireGuard的进展给我们留下了深刻的印象,迫不及待地要接受进一步的改进测试。对于任何有这种热情的人,都非常欢迎对该项目的捐款.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me