Permalänk
Medlem

Wireguard för alla Bahnhofkunder

Startade tydligen den 15/11 mer info hittas här.

Nån som har testa Wireguard som har lite erfarenheter att dela med sej?

Permalänk
Medlem

Frågan är om Bahnhof kör något fulhack för att inte logga. Wireguard kräver ju att både ingående och utgående ip lagras lokalt. Det är precis som tex OpenVPN och IPSec inte specifikt byggt för de som vill kunna gömma sig, ett exempel på något som är byggt för det senare är ju Tor.

Permalänk
Medlem

Bahnhof behöver inga fulhack dessutom är de kanske bäst på den personliga integriteten av alla isp.

Permalänk
Medlem
Skrivet av M_X_E_Q:

Bahnhof behöver inga fulhack dessutom är de kanske bäst på den personliga integriteten av alla isp.

OT:
Bara för att de är "bäst" på integritet behöver det inte betyda att det inte finns "fulhack". Om nu tekniken tvingar en att spara IP adresser lokalt måste bahnhof på något vis knackat ihop något som tar bort dessa eller på något sätt garanterar fortsatt integritet. Något ihophack måste de isf ha gjort.

OnT:

Själv har jag kört wireguard ett tag via Azirevpn och tycker det fungerar fint. Stödet för windows är i vissa fall dåligt (hänt på en dator av typ 3). Det är absolut mycket snabbare. Jag får ut cirka 700-850 upp/ned på min 1Gbit/1Gbit lina hemma. Med OpenVPN är det betydligt mindre (inte konstigt med tanke på att wireguard är multitrådat).

Däremot köper jag inte riktigt bahnhofs resonemang. Som kryptonörd (ja krypto som i kryptering, inte alla J*kla valutor)
så gör det halvont i hjärtat när någon säger att en "[...]blandning av kryptografiska protokoll[...]" gör det säkrare.
Sen vill jag också påpeka att wireguard är i alphastadiet och det finns än så länge ingen riktig kryptografisk analys (inte vad jag har sett) av kryptoalgoritmerna. De antas var säkra för stunden. Men kryptovärlden är ganska långsam på att utvärdera krypton så vi får se.

Men jag hoppas verkligen att wireguard håller måttet. Låt OpenVPN dö

Visa signatur

OS: MacOS/ Windows 10 Pro 64-bit MB: ASUS-Z97-A CPU: i7 4790k
NÄTAGG: EVGA SUPERNOVA G2
RAM: 32768 MiB GPU: 1070 FTW Chassi: Fractal Design R4
MBP 13" i5 | 256GB | 16GB RAM | MID 2014

Permalänk
Medlem
Skrivet av M_X_E_Q:

Startade tydligen den 15/11 mer info hittas här.

Nån som har testa Wireguard som har lite erfarenheter att dela med sej?

Ja, jag kör Wireguard. Rejält lyft från OpenVPN. Att det återupptar anslutning automatiskt har löst så mycket huvudvärk för min del. Plus mycket mindre overhead. Kan rekommendera alla att byta.

Permalänk
Medlem

WireGuard är fort och har potential, men, det är inte produktionsklart, det är inte genomlyst på samma sätt som OpenVPN eller IPSec.

Citat:

WireGuard is currently working toward a stable 1.0 release. Current snapshots are generally versioned "0.0.YYYYMMDD" or "0.0.V", but these should not be considered real releases and they may contain security quirks (which would not be eligible for CVEs, since this is pre-release snapshot software). This text will be removed after a thorough audit.

Med det sagt menar jag inte att OpenVPN eller IPSec är felfria, verkligen inte, men de är betydligt mer genomlysta än så länge.

Permalänk
Medlem
Skrivet av gonace:

WireGuard är fort och har potential, men, det är inte produktionsklart, det är inte genomlyst på samma sätt som OpenVPN eller IPSec.

Med det sagt menar jag inte att OpenVPN eller IPSec är felfria, verkligen inte, men de är betydligt mer genomlysta ärn WireGuard än så länge.

Och de bygger på krypton som är vedertagna av kryptovärlden sedan länge.

Chacha och poly20 är coola krypton och snabba men som du säger inte alls lika genomstuderade som exempelvis AES.

Rekommenderar också att läsa whitepaper på båda krypton ovan. Är ni matematiknördar som jag är det en intressant läsning

Visa signatur

OS: MacOS/ Windows 10 Pro 64-bit MB: ASUS-Z97-A CPU: i7 4790k
NÄTAGG: EVGA SUPERNOVA G2
RAM: 32768 MiB GPU: 1070 FTW Chassi: Fractal Design R4
MBP 13" i5 | 256GB | 16GB RAM | MID 2014

Permalänk
Medlem
Permalänk
Medlem

Började precis testa det, och det verkar väldigt lovanded. Bra hastigheter hittils och väldigt snabb anslutning.

Visa signatur

Endeavour OS(arch) - Cassini Nova

Permalänk
Medlem

wireguard har klart potential, delar @gonace åsikt

Permalänk
Medlem

Testade men gick tillbaka till OpenVPN Gui igen eftersom jag vill att det ska frågas av mitt säkerhetsprogram om program som jag inte har skapat brandväggs regel för vill ut på nätet och det blir inte så med WireGuard eftersom det kapar all trafik så att den går via det.

Dessutom så har jag inte så pass hög hastighet att det är någon skillnad mellan dem.

Visa signatur

Det är bättre att fråga och verka dum än att inte fråga och förbli det.

Permalänk
Medlem
Skrivet av Belzader:

Testade men gick tillbaka till OpenVPN Gui igen eftersom jag vill att det ska frågas av mitt säkerhetsprogram om program som jag inte har skapat brandväggs regel för vill ut på nätet och det blir inte så med WireGuard eftersom det kapar all trafik så att den går via det.

Dessutom så har jag inte så pass hög hastighet att det är någon skillnad mellan dem.

Jag förstår inte hur du lyckas att få program att "gå förbi" OpenVnp om du har den installerad på en dator, trodde att all trafik går genom den virtuella nätverks_tap som OpenVpn installera?

Permalänk
Medlem
Skrivet av M_X_E_Q:

Jag förstår inte hur du lyckas att få program att "gå förbi" OpenVnp om du har den installerad på en dator, trodde att all trafik går genom den virtuella nätverks_tap som OpenVpn installera?

OpenVPN installerar ett virtuellt nätverkskort och eftersom det är ett nätverkskort (även om det är virtuellt) som trafiken går igenom till skillnad mot WireGuard som är ett program vilket trafiken går igenom, så frågas det av mitt säkerhetsprogram.

Visa signatur

Det är bättre att fråga och verka dum än att inte fråga och förbli det.

Permalänk
Medlem
Skrivet av filbunke:

Frågan är om Bahnhof kör något fulhack för att inte logga. Wireguard kräver ju att både ingående och utgående ip lagras lokalt. Det är precis som tex OpenVPN och IPSec inte specifikt byggt för de som vill kunna gömma sig, ett exempel på något som är byggt för det senare är ju Tor.

har ni kollat detta med bahnhof? för jag är också av uppfattningen att ip adress måste lagras, och då kommer det ju finnas en logg på vem som hade vilken ip vid vilken tidpunkt

Visa signatur

åh nej, blev du kränkt?! det var ju jävligt synd för dig!

Permalänk
Medlem
Skrivet av issue:

har ni kollat detta med bahnhof? för jag är också av uppfattningen att ip adress måste lagras, och då kommer det ju finnas en logg på vem som hade vilken ip vid vilken tidpunkt

Men nu kanske frågan ska ställas till de som kodar Linuxkärnan.

Permalänk
Medlem
Skrivet av M_X_E_Q:

Men nu kanske frågan ska ställas till de som kodar Linuxkärnan.

varför då? om bahnhof nu erbjuder denna lösning så borde de kunna svara på hur de har löst det

Visa signatur

åh nej, blev du kränkt?! det var ju jävligt synd för dig!

Permalänk
Medlem

Så en trådsanning har det blivit av det hela. Läste du länken och varför frågan kommer att få en helt annan inriktning när Wireguard är inkluderad i Linuxkärnan. Tror inte ett dugg på att den släpps in av Linus om den läcker.

Permalänk
Medlem
Skrivet av issue:

har ni kollat detta med bahnhof? för jag är också av uppfattningen att ip adress måste lagras, och då kommer det ju finnas en logg på vem som hade vilken ip vid vilken tidpunkt

Menar du att det måste spara EFTER att man har stängt anslutningen också, eller bara under tiden anslutningen är öppen? Om den bara finns där under själva anslutningstiden så är det ju knappast en logg, bara ett temporärt state.

Sedan är det ju viktigt att poängtera att VPN-tjänster inte går under samma regler som en vanlig ISP-anslutning. Trots att VPN-tjänsten råkar drivas av en ISP. Det är helt enkelt ett krypthål som Bahnhof utnyttjar, eventuell data sparad i samband med VPN-anslutningen måste därför inte loggas och lämnas ut enligt lag.

Permalänk
Medlem
Skrivet av dlq84:

Menar du att det måste spara EFTER att man har stängt anslutningen också, eller bara under tiden anslutningen är öppen? Om den bara finns där under själva anslutningstiden så är det ju knappast en logg, bara ett temporärt state.

Sedan är det ju viktigt att poängtera att VPN-tjänster inte går under samma regler som en vanlig ISP-anslutning. Trots att VPN-tjänsten råkar drivas av en ISP. Det är helt enkelt ett krypthål som Bahnhof utnyttjar, eventuell data sparad i samband med VPN-anslutningen måste därför inte loggas och lämnas ut enligt lag.

Jo jag vet att VPN-leverantörer inte måste logga, att kalla det för ett kryphål är att ge bahnhof lite väl mycket kred.
Men samtidigt måste en VPN-leverantör precis som ISP delge den information man har ifall polisen begär det.
Och det är här har för mig att jag läst att Wireguard inte fungerar på samma sätt som t.ex. openvpn och det finns faktiskt information att få ut.

Därav min fråga om ni har kollat upp detta med leverantören istället för att bara anta att allt är frid och fröjd

Visa signatur

åh nej, blev du kränkt?! det var ju jävligt synd för dig!

Permalänk
Medlem
Skrivet av M_X_E_Q:

Så en trådsanning har det blivit av det hela. Läste du länken och varför frågan kommer att få en helt annan inriktning när Wireguard är inkluderad i Linuxkärnan. Tror inte ett dugg på att den släpps in av Linus om den läcker.

läcker den om det är by design?

Citat:

At AzireVPN, we care about our no-logging policy, that’s why all of our servers are running on diskless hardware and all log files are piped to /dev/null.

But when it comes to WireGuard the default behaviour is to have endpoint and allowed-ip visible in the server interface, which does not really work with our privacy policy. We shouldn’t know about your source IP and cannot accept having it visible on our servers."

Citat:

"WireGuard has no dynamic address management, the client addresses are fixed. That means we would have to register every active device of our customers and assign the static IP addresses on each of our VPN servers. In addition, we would have to store the last login timestamp for each device in order to reclaim unused IP addresses. Our users would then not be able to connect your devices after a few weeks because the addresses would have been reassigned.

It is particularly important to us that we do not create or store any connection logs at all. Therefore, we cannot store the above registration and login data that would currently be required for WireGuard to operate."

Citat:

Privacy considerations: by design, WireGuard isn’t suitable for none/limited logging policies. Specifically, last public IP of user would be saved on the sever used to connect to and it can’t be removed within a day as per our current privacy policy. At a later date we will likely make some tweaks to the source code to sanitize or remove the last used public IP.

https://restoreprivacy.com/wireguard/

därav min fråga, har ni kollat upp detta med bahnhof hur dom löser detta?
känner en viss ignorans här, bara för att bahnhof kör detta eller att det ska in i linuxkärnan kanske detta inte fungerar så som ni tror och är vana med. Så ha ett öppet sinne och ta åt er av frågor och funderingar istället för att försvara såvida ni inte har fakta på att det är på ett visst sätt, ta då och presentera den istället

Visa signatur

åh nej, blev du kränkt?! det var ju jävligt synd för dig!

Permalänk
Hedersmedlem
Skrivet av issue:

Jo jag vet att VPN-leverantörer inte måste logga, att kalla det för ett kryphål är att ge bahnhof lite väl mycket kred.
Men samtidigt måste en VPN-leverantör precis som ISP delge den information man har ifall polisen begär det.
Och det är här har för mig att jag läst att Wireguard inte fungerar på samma sätt som t.ex. openvpn och det finns faktiskt information att få ut.

Därav min fråga om ni har kollat upp detta med leverantören istället för att bara anta att allt är frid och fröjd

Det går absolut att ta fram information om vem som är ansluten via openvpn och på vilken IP. Denna information måste ju finnas i serverns minne, hur ska den annars veta vart den ska skicka svaren på dina förfrågningar?

Enda sättet runt detta är någon slags onion routing t.ex. Tor.

Skickades från m.sweclockers.com

Permalänk
Medlem

@pv2b: läs inlägget ovanför ditt så ser du vad det är jag menar.

Visa signatur

åh nej, blev du kränkt?! det var ju jävligt synd för dig!

Permalänk
Medlem
Skrivet av M_X_E_Q:

Så en trådsanning har det blivit av det hela. Läste du länken och varför frågan kommer att få en helt annan inriktning när Wireguard är inkluderad i Linuxkärnan. Tror inte ett dugg på att den släpps in av Linus om den läcker.

Läcker? Wireguard (precis som tex OpenVPN och IPSec) är inte till för att göra anslutningar anonyma, så att de lagrar den typen av information innebär inte att det läcker. De är skapta för att skapa en säker anslutning mellan olika datornät eller datorer, inget annat. Kopplar du upp dig tex hemifrån mot ditt jobb genom en vpn-server så läcker det inte för att företaget kör en lösning som loggar, det är inte ett problem, samma sak om du kopplar upp dig till hemmanätet via en egen vpn-server när du tex befinner dig på ett kafé.

Så att Wireguard måste, utan fulhack, logga inkommande och utkommande ip är inte ett hinder för att det skall läggas till i linuxkärnan.

Permalänk
Medlem

Så ja, nu har Linus tagit in Wireguard i kärnan, tror nog att han har bra koll på detta;)

Permalänk
Medlem
Skrivet av M_X_E_Q:

Så ja, nu har Linus tagit in Wireguard i kärnan, tror nog att han har bra koll på detta;)

Absolut har han bra koll, vi andra har aldrig sagt något annat. Grejen är att det är ni som verkar ha dålig koll på hur Wireguard fungerar kontra openvpn. och det var det som jag och någon till försökte få er att förstå, vilket inte verkar ha fungerat.

Visa signatur

åh nej, blev du kränkt?! det var ju jävligt synd för dig!

Permalänk
Medlem
Skrivet av issue:

Absolut har han bra koll, vi andra har aldrig sagt något annat. Grejen är att det är ni som verkar ha dålig koll på hur Wireguard fungerar kontra openvpn. och det var det som jag och någon till försökte få er att förstå, vilket inte verkar ha fungerat.

Står väl lite info här, men kanske inte det du är ute efter. https://integrity.st/datalagring/

Permalänk
Medlem
Skrivet av m4gnify:

Står väl lite info här, men kanske inte det du är ute efter. https://integrity.st/datalagring/

Man skulle ju kunna tro att allt är frid och fröjd om man läser detta stycke:

Citat:

På VPN-servrarna sparas viss information om användaren medan man är inloggad, främst vilken IP-adress en viss användare kommer från, och vilken IP-adress användaren tilldelas av Integrity VPN. Denna information raderas direkt och automatiskt när användaren loggar ut. Den som vill vara extra säker kan alltså med fördel logga ut från Integrity VPN och logga in på nytt, för att på så vis rensa sin pågående historik (som alltså ändå inte kan kopplas till någon identitet).

Problemet är att här antar jag att dom hänvisar till OpenVPN.

Med WireGuard så skapas det en configurationsfil, den filen bestämmer vilken server du kommer ansluta till och vilken intern ip-adress du kommer att få. Denna information är statisk tills du tar ut en ny konfigurationsfil.
Dvs du kommer alltid hamna på samma server (dvs ha samma externa ip-adress), du kommer alltid ha samma interna ip-adress. på så sätt så kan inte historiken rensas så som de påstår.
Det som också skiljer mot openvpn är att wiregaurd sparar denna information i serverns minne för alltid. Här kan man trolla lite och flusha informationen, jag vet att ovpn.com har gjort någon snurra som som tar bort information där ett nyckelutbyte inte skett på 3 minuter. men nästa gång man ansluter får man återigen samma externa och interna ip.

Så, med openvpn är det enklare att vara anonym om det är det man vill vara. och det är svårare med wireguard. för eftersom du får samma externa och samma interna ip varje gång, skulle du då ha en läcka som exponerar din riktiga ip-adress så går det att koppla din vpn adress till din publika.
helt enkelt så är det mycket mer jobb både för vpn leverantör samt dig själv att vara anonym. du måste ta ut en ny configfil varje gång du vill byta adresser och leverantörer måste ha ett bra system för att återanvända den adress som fanns i din gamla configfil.

och det här har inget att göra med om wireguard "läcker" eller inte, det handlar bara om att om du vill vara anonym så är det svårare.

Visa signatur

åh nej, blev du kränkt?! det var ju jävligt synd för dig!

Permalänk
Medlem

Gäller wireguard även de som har gratislösningen?

Permalänk
Medlem
Skrivet av freron:

Gäller wireguard även de som har gratislösningen?

Nej, gratisvarianten LEX Integrity använder bara PPTP vilket inte ger någon säkerhet att tala om...