WireGuard – praktický průvodce

WireGuard je experimentální protokol VPN, který ve světě VPN vytváří velké množství vzrušení.


Je extrémně lehký (pouze na 3782 řádcích kódu), což z něj dělá mnohem rychlejší než tradiční VPN protokoly jako OpenVPN a IPsec. Stručnost kódu také usnadňuje audit a protože používá osvědčené kryptografické primitivy, měl by být velmi bezpečný.

WireGuard má proto velký potenciál, ale stále je velmi v experimentální a vývojové fázi. Dosud nebyl řádně auditován kvůli problémům se zabezpečením a nedostatek zabezpečeného systému sdílení klíčů mezi servery zabraňuje v současné době rozšířenému komerčnímu zavedení..

Tento poslední problém by mohl být vyřešen použitím tradičnějšího kryptosystému veřejného klíče, jako je RSA, k distribuci klíčů. Ale tím by se zvýšila složitost a tím by se odstranilo mnoho výhod používání WireGuard na prvním místě.

WireGuard je proto velmi nedokončenou prací. Je nicméně velmi zajímavé, že někteří poskytovatelé začínají experimentovat s novým protokolem. A se zvláštním poděkováním společnosti NordVPN jsme velmi nadšeni, že máme příležitost se na to podívat.

Zkontrolujte také, co je protokol WireGuard VPN? pro podrobnější pohled na teorii tohoto nového protokolu VPN.

Pomocí WireGuard

V současné době je WireGuard oficiálně k dispozici pro Android a Linux, i když podpora pro Windows a iOS se brzy slibuje. Je také k dispozici pro příkazový řádek macOS pomocí Homebrew nebo MacPorts.

Alternativou k oficiálním klientům je TunSafe. To bylo vyvinuto jako komerční podnik a jeho software byl původně uzavřený kurz. TunSafe stále nabízí komerční VPN službu používající protokol WireGuard, který je vestavěn všem svým klientům (i když ten, který je v současné době zdarma).

Samotný software však byl nyní vytvořen jako plně otevřený zdroj a lze jej nastavit pomocí libovolných konfiguračních souborů třetích stran.

Jak uvidíme, software TunSafe je často plně vybavený než oficiální klienti. Je k dispozici v plné GUI podobě pro Windows, Android a iOS.

Může být také spuštěn z příkazového řádku Linux, macOS nebo FreeBSD. To vyžaduje kompilaci ze zdroje, ale jsou k dispozici jednoduché a snadno sledovatelné pokyny.

Linux

Oficiální klient WireGuard

WireGuard byl navržen speciálně pro linuxové jádro. Oficiální klient WireGuard je pouze příkazový řádek a běží jako služba uvnitř Terminálu.

Kromě nutnosti řešit některé problémy se závislostí ($ sudo apt install wireguard openresolv linux-headers - $ (uname -r) wireguard-dkms wireguard-tools udělal trik), instalace a použití je velmi jednoduché.

Protokol WireGuard má uvnitř tunelu VPN úplné směrování IPv4 a IPv6. Při použití na jakékoli platformě jsme nezjistili žádné úniky DNS jakéhokoli druhu, ale je oznámeno, že TunSafe pro Windows může prostřednictvím rozhraní Tun unikat IPv6)..

Neexistuje žádný integrovaný přepínač zabíjení jako takový, ale jeden lze vytvořit přidáním příkazů iptables do konfiguračního souboru.

Dobrým příkladem, jak to udělat ručně, který by měl být použitelný pro všechny konfigurační soubory WireGuard, najdete na stránce nastavení WireGuard Mullvad. Nebo poskytovatel VPN může jednoduše přidat příkazy do svých standardních konfiguračních souborů.

Jak již bylo uvedeno, základní klient WireGuard lze také spustit v makrech pomocí Homebrew nebo MacPorts.

TunSafe

Chcete-li spustit systém TunSafe v systému Linux, musíte zdrojový kód kompilovat sami. Naštěstí to není nikde tak strašidelné, jak to zní. Pokyny na webu jsou velmi jasné a my jsme měli démona příkazového řádku zprovozněn během několika minut.

Je však třeba říci, že nevidíme žádnou výhodu používání TunSafe oproti oficiálnímu Linux klientovi. TunSafe lze také kompilovat ze zdroje pro MacOS a FreeBSD.

Android

Oficiální aplikace WireGuard

Oficiální aplikace pro Android je k dispozici na webových stránkách F-Droid.

To, co aplikaci postrádá funkce (nemá ve skutečnosti žádné), nahrazuje se snadným používáním. S využitím toho, co si představujeme, se stane standardní způsob konfigurace nastavení WireGuard, společnost NordVPN nám dodala obrázky obsahující QR kódy pro své experimentální servery WireGuard..

Jediné, co jsme museli udělat, bylo naskenovat tento kód pro každý server pomocí kamery našeho telefonu a ta-da! Nastavení bylo dokončeno. Je také možné ručně přidat instalační soubory nebo dokonce vytvořit vlastní.

A to je vše, co ve skutečnosti je pro aplikaci. Po nastavení se okamžitě připojil a pracoval přesně tak, jak má.

Aplikace TunSafe VPN

Nyní, když je to open source, TunSafe je dobrou alternativou k oficiální aplikaci pro Android. Základní funkčnost aplikace je téměř totožná s oficiální aplikací s otevřeným zdrojovým kódem, na které je založena. Jako takový může být nakonfigurován tak, aby se připojil k jakýmkoli serverům WireGuard pomocí QR kódu, konfiguračních souborů nebo vytvořil z nových.

Hlavní rozdíl spočívá v tom, že TunSafe také provozuje službu VPN, takže ve výchozím nastavení máte možnost připojit se k VPN serverům TunSafe. Ačkoli je to konečně komerční podnik, v současné době je TunSafe VPN 100% zdarma k použití. Po 30 dnech je však šířka pásma pro servery TunSafe omezena na 1 GB / den.

Při použití konfiguračních souborů třetích stran nad rámec poplatků účtovaných provozovateli serveru není žádné omezení. V souladu se svými zásadami ochrany osobních údajů je TunSafe VPN službou bez protokolování.

Na rozdíl od oficiální aplikace obsahuje TunSafe pro Android přepínač zabíjení a tunelové propojení („vyloučené aplikace“). Může také zobrazovat časy ping na své vlastní servery, ale ne na servery třetích stran. Pro pokročilé uživatele je možné nastavit server WireGuard sami v systému Linux.

Okna

TunSafe

Jediným způsobem, jak spustit WireGuard ve Windows, je použití TunSafe. Stejně jako OpenVPN, TunSafe pro Windows vyžaduje, aby fungoval Ethernetový adaptér TAP.

Hlavním problémem je to, že adaptér TAP může úniku požadavků IPv6 DNS mimo rozhraní VPN. Proto se důrazně doporučuje deaktivovat IPv6 ve Windows, když používáte TunSafe pro Windows.

Dalším problémem je, že použití adaptéru TAP zvyšuje složitost WireGuardovy jednoduchosti. Což poněkud působí proti jedné z hlavních výhod používání WireGuard.

Klient používá jednoduché GUI, díky kterému je import souboru WireGuard .conf velmi snadný. Neexistuje žádná možnost importovat soubory pomocí QR kódu, ale je to pochopitelné, protože mnoho počítačů se systémem Windows nemá fotoaparáty.

Nabízí také killswitch, který může pracovat buď (na základě klienta) směrovacích pravidel nebo (systémových) pravidel brány firewall. Nebo oboje. Což je velmi užitečné.

GUI Pre-Alpha

V květnu 2020 Edge Security oznámila oficiální pre-alfa WireGuard pro Windows Je to stále velmi brzy, ale GUI klient ukazuje směr, kterým je projekt směřován.

Nejdůležitější věcí, kterou je třeba poznamenat, je, že na rozdíl od klienta TunSafe není vyžadován žádný adaptér OpenVPN TAP. Klient místo toho používá Wintun, minimální Layer 3 TUN Driver pro Windows, který byl také vyvinut týmem WireGuard.

Za zmínku také stojí (a není to hned zřejmé z GUI), že klient má vestavěný automat "kill-switch" blokovat provoz mimo tunel VPN.

Kromě toho můžeme potvrdit, že přepínání mezi tunely je velmi plynulý proces. Takže všechno vypadá velmi slibně!

Testy rychlosti

Jednou z největších výhod programu WireGuard oproti OpenVPN je kromě jednoduchosti také to, že přidaná jednoduchost by měla WireGuard také zrychlit, takže jsme provedli několik testů....

Rozhodli jsme se pro to použít Mullvad, protože Mullvad plně podporuje Linux. Podporuje také WireGuard a OpenVPN na stejných serverech (nebo přinejmenším velmi podobných umístěních serverů), což umožňuje dobré srovnávání typu „za podobné“.

Testy byly prováděny pomocí speedtest.net, protože náš vlastní systém pro testování rychlosti vyžaduje, aby soubory OpenVPN fungovaly. Všechny testy provedené z Velké Británie. Průměrné hodnoty ping (latence) jsou uvedeny v závorkách.

WireGuard by měl být teoreticky mnohem rychlejší než OpenVPN. Tyto testy však nejsou potvrzeny. Je však třeba si uvědomit, že toto je stále velmi rané dny pro skutečnou implementaci WireGuardu a že Mullvad je rychlý, pokud jde o výkon OpenVPN..

Závěr

WireGuard dosud nebyl dostatečně auditován a testován penetrací, aby mohl být doporučen jako vážná alternativa k zabezpečeným protokolům VPN, jako jsou OpenVPN a IKEv2, v současné době. Ale vypadá to velmi slibně.

Snadno se nastavuje a používá a při našich testech se rychle připojil a udržoval velmi stabilní spojení.

Na papíře je WireGuard mnohem funkčnější než OpenVPN. Naše výsledky testů mohou být způsobeny tím, že úplná implementace je stále ve fázi prototypu, nebo to může být kvůli omezením našeho testovacího prostředí..

Byly prováděny přes WiFi a jediný WiFi konektor, který máme v současné době kompatibilní s Linuxem, je (poněkud ironicky) velmi levný 802.11g dongle, který stojí kolem 5 $.

Takže udělejte, co budete z našich výsledků rychlých testů. Kromě toho jsme byli velmi ohromeni tím, jak WireGuard postupuje, a nemůžeme se dočkat, až podstoupí další vylepšení testování. Pro každého, kdo sdílí toto nadšení, jsou dary do projektu velmi vítány.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me