Wireguard VPN släpps i skarp version

Permalänk
Medlem

Möjligtvis en dum fråga. Om man kör Wireguard i sin router för att nyttja Integrity eller liknande och köra i stort sett all sin trafik genom tunneln, kan man då fortfarande komma åt sitt hemnätverk som man hade gjort utan VPN. Alltså tex genom att öppna portar i WAN och nyttja letsencrypt/duckdns?

Visa signatur

|ASRock Z77 Pro4-M|3570k|Corsair TX750M|
|ASUS 570GTX DCII|Thermalright Ultra 120 eXtreme|Seagate Barracuda 7200.11 500GB | Corsair Vengence 16gb| Silverstone TJ08-E|

Permalänk
Medlem

Hur är det med EdgeRouter X? Finns det något inbyggt stöd där som jag har missat? Skulle gärna köra en Wireguard klient där och kryptera hela hemmets wan traffik istället för en klient på respektive enhet.

Visa signatur

Endeavour OS(arch) - Cassini Nova

Permalänk
Medlem
Skrivet av Mindboggle:

Vad är det för fel på socks5?

Direkta anslutningar är inte möjliga så man kan inte vidarebefordra portar.
Med andra ord så når man färre klienter i t.ex. en BT klient.

Annars fungerar det otroligt bra, kört det i flera år.

Visa signatur

CPU: 5600x
GPU: 3080
RAM: 32GB

Sluta gömma din identitet, skaffa en till istället

Permalänk
Medlem
Skrivet av improwise:

Inte satt mig in i detta men att logga och att spara loggar är väl inte samma sak rent generellt? För att routa trafik måste man rimligtvis alltid spara informationen så länge trafiken pågår?

"problemet" om du vill vara anonym är att default så sparas din anslutning i minnet, din externa ip, din interna ip, din nyckel publika nyckel, till skillnad mot en openvpn anslutning där vid disconnect så försvinner allt sådant (om det confats så).
här kan man trolla på något sätt och flusha allt förutom din publika nyckel samt interna ip (som vpn leverantör tilldelat dig).
Och här är den stora frågan om alla leverantörer där ute lyckats med det.

Nästa del i detta är att när du plockar ut en konfigurationsfil från din leverantör så får du en statisk intern ip av din leverantör, så t.ex. 172.2.1.32 är DIN. Det är här det kan bli lite knepigt med att vara anonym. För till skillnad mot openvpn kan leverantörer här inte skapa en pool av servrar och externa ipadresser, så säg att du ansluter till server1, då kommer du får samma externa ip varje gång, du får samma interna ip varje gång. med en webrct-läcka eller IoT som läcker din publika ip-adress så kan man faktiskt koppla ihop en extern vpn-adress till dig.

här ligger det på dig som användare att ena gången ansluta mot server1, sen mot 2, 3, 4, osv osv. när du kopplat upp dig mot alla servrar, då är det dags att begära ut en ny konfigurationsfil så att din interna adress ändras

Visa signatur

åh nej, blev du kränkt?! det var ju jävligt synd för dig!

Permalänk
Medlem
Skrivet av Artikeln:

utvecklarportalen LKML

Nja, LKML (Linux Kernel Mailing List) är ett inofficiellt arkiv av den officiella mailinglistan för Linux. Se deras huvudsida:

Skrivet av LKML.ORG:

LKML.ORG?

In case you haven't read the titlebar of your webbrowser's window: this site is the (unofficial) Linux Kernel Mailing List archive. This mailing list is a rather high-volume list, where (technical) discussions on the design of, and bugs in the Linux kernel take place. If that scares you, please read the FAQ.

Kul ändå att ni länkar till Linux-utveckling!

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Inaktiv
Skrivet av NodCommander:

Synd att de envisas ha det så krångligt på Linuxskrivbord. Ska Linux vara för gemene man, ja då måste det till begripliga GUI:er!

Hoppas det kommer mera brett stöd för WireGuard i routrar snart.

Huamig, det krävs hela tre stycken klick med vänster musknapp för mig att ansluta till VPN (dock färdigkonfigurerat, men det finns GUI för det också) i skrivbordsmiljön GNOME.

Jag förstår att t.ex. GNOME först kan kännas främmande för de som levt med enbart Windows, men det är min åsikt att det beror på att Windows användargränssnitt länge varit bakåtsträvande. Troligtvis är det medvetet från utvecklarnas sida. De är nog medvetna om att deras användargränssnitt inte är optimalt på många sätt, men de vill att deras befintliga användare ska känna sig hemma och kan därför inte göra allt för radikala förändringar.

Permalänk
Medlem
Skrivet av pellen:

Varför spela med VPN aktiv?

Varför inte? Drygt att confa alla spel man spelar att dom ska gå utanför tunneln i routern. Och jag märker ingen skillnad i spelen med/utan VPN, nu när jag kör Wireguard. Så då får det vara på hela tiden

Permalänk
Medlem
Skrivet av Tinkerbeard:

Varför inte? Drygt att confa alla spel man spelar att dom ska gå utanför tunneln i routern. Och jag märker ingen skillnad i spelen med/utan VPN, nu när jag kör Wireguard. Så då får det vara på hela tiden

Jag har spelat med OpenVPN på pfSense i drygt två år. Inga problem.

Visa signatur

:(){ :|:& };:

🏊🏻‍♂️   🚴🏻‍♂️   🏃🏻‍♂️   ☕

Permalänk
Medlem
Skrivet av pellen:

Varför spela med VPN aktiv?

Med Wireguard så går det utmärkt. ~ 5 ping och inga packet loss

Permalänk
Medlem

Se på tusan, hoppas de kommer till OpenBSD Kernel snart!

Permalänk
Medlem
Visa signatur

word

Permalänk
Medlem
Skrivet av HoboCop:

Hur är det med EdgeRouter X? Finns det något inbyggt stöd där som jag har missat? Skulle gärna köra en Wireguard klient där och kryptera hela hemmets wan traffik istället för en klient på respektive enhet.

https://github.com/Lochnair/vyatta-wireguard

Visa signatur

word

Permalänk
Medlem

Här var lite intressant läsning kring Wireguard och dess för och nackdelar. Ingen aning riktigt kring vem som ligger bakom denna sida, men jag fick den från vår IT-admin och den verkar rätt gedigen med mycket info kring säkerhet på nätet. Men som med allt, bedöm själv hur trovärdig info är, om det är subjektiva åsikter eller objektivt. Jag uppfattar i alla fall artikeln om Wireguard som rätt trovärdig.
https://restoreprivacy.com/wireguard/

Visa signatur

Main rig: Z790-P / i5-13600K / 64GB RAM / RX 7900 XT / 42" LG C2

Permalänk
Inaktiv
Skrivet av nikwid:

Här var lite intressant läsning kring Wireguard och dess för och nackdelar. Ingen aning riktigt kring vem som ligger bakom denna sida, men jag fick den från vår IT-admin och den verkar rätt gedigen med mycket info kring säkerhet på nätet. Men som med allt, bedöm själv hur trovärdig info är, om det är subjektiva åsikter eller objektivt. Jag uppfattar i alla fall artikeln om Wireguard som rätt trovärdig.
https://restoreprivacy.com/wireguard/

Notera att artikeln skrevs för nästan ett år sedan. Att Wireguard skulle vara omoget och otestat är inte lika relevant längre. I samband med 1.0-släppet så har det granskats av en säkerhetsfirma utan att det gav några större anmärkningar.

Permalänk
Medlem
Permalänk
Medlem

Japp. Det där är fulhacket som Wireguards skapare har skrivit.

Man kan ju välja att tro att det där fungerar. Vilket är vad VPN-bolaget vill.

Eller så läser man vad då Wireguards skapare själv skriver om det:

Citat:

Blind Operator Mode
Written by Jason A. Donenfeld
For clueless operators who wish to become more clueless.
Do not use this code unless you fully understand what it is not designed to do; this is the first sentence of the README for a good reason. In fact, just don't use it. It's mostly snake-oil. There are a million ways to subvert this. It's a fun little toy, but it's not really much beyond a toy.

This here is a monkey-patcher that tinkers with the security hooks infrastructure, rootkit-style, in order to intercept netlink messages. It then zeros out the endpoints field and allowedips field of WireGuard peers.

Citat:

This whole thing is incredibly stupid, but it is nonetheless an interesting exercise. If you have any sense at all, you won't go near this code and will discard this idea entirely. There are probably several ways to subvert it and a host of other subtle bugs. Some people might think that by hiding things from userspace, they actually hide things, but this could not be further from the truth.

Citat:

However, if you simply want to be able to claim to people, "we don't have the ability to view internal or external IP addresses of any peers," and you really do lack the know-how to subvert this, then I suppose it might be somewhat useful. It's a strange property: this module only has utility in contexts where you don't know how to subvert it. This means that as you become smarter, this module will need to grow. This implies that either the guy writing it should be more knowledgeable than you are at the moment, or you yourself should be the author, exhausting all the current methods of subversion you can currently think of.

Citat:

Bugs
Probably there are a lot of them, by design. This module makes no attempt at plugging all holes and leaks, and the current methods used are prone to be buggy at best. Also, this won't work with paravirtualization, since it works primarily by twiddling with cr0; hence this code is also x86/amd64 only. On old kernels, this disables SELinux/AppArmor and does voodoo magic that might murder kittens to discover non-exported symbols. Such magic only works on 64-bit and its success may vary based on which compiler is in use. Since this disables raw sockets, if you want ping to work, you may need to allow ICMP sockets via sysctl -w net.ipv4.ping_group_range="0 0".

Smått kul.

Återigen. VPN:er är inte gjorda för att vara anonymiseringstjänster som inte skall lämna spår. Wireguard är definitivt inte gjord för det. Alltså så är de som använder det för det tvungna att skriva fulhack och lägga till funktioner. Det här ett av dem, ett annat är det som skall fixa "problemet" med att man tilldelas ett fast ip i andra ändan (vilket inte är ett problem för det som VPN:er var skapta för).

Men Wireguard innebär att man kan få upp hastigheten på medelmåttig hårdvara så det är självklart varför en hel del vill ha det. Varför man skulle vilja köra all sin trafik genom VPN:en är en annan fråga, om man nu vill vara anonym, speciellt då om man har ett fast ip i andra ändan....

Permalänk
Medlem

@filbunke: så.jävla head on! Får bara hoppas att folk förstår detta..
"Men Bahnhof erbjuder ju wireguard, då måste det ju vara anonymt"... Pft

Wireguard är sjukt bra för mycket och jag välkomnar det med öppna armar. Men vill man vara anonym gör man bäst i att stanna med openvpn och en leverantör som faktiskt gör allt som finns för att säkerställa integriteten.

Visa signatur

åh nej, blev du kränkt?! det var ju jävligt synd för dig!

Permalänk
Medlem

@filbunke: De kommer hitta dig oavsett vilket vpn man än använder. Men man kan göra det svårare!

Visa signatur

word

Permalänk
Medlem

Synd bara att resultatet på "1 011 Mbit/s" inte stämmer, men ser ändå fram emot WireGuard implementationen för FreeBSD som är i rullning "tack vare" Netgate (oavsett vad man tycker om Netgate och deras grundare).

Permalänk
Medlem

testade wireguard mot OVPN i Göteborg - enkelt att komma igång o snabbt att koppla upp sig. Däremot så var hastigheten "mäh". Har en 1000/1000 fiberlina och brukar ha runt 350mbps över vanlig vpn - fick max 100 på wireguard. Kan vara att de har för få wireguardservers

// LZ

Permalänk
Medlem
Skrivet av issue:

"problemet" om du vill vara anonym är att default så sparas din anslutning i minnet, din externa ip, din interna ip, din nyckel publika nyckel, till skillnad mot en openvpn anslutning där vid disconnect så försvinner allt sådant (om det confats så).
här kan man trolla på något sätt och flusha allt förutom din publika nyckel samt interna ip (som vpn leverantör tilldelat dig).
Och här är den stora frågan om alla leverantörer där ute lyckats med det.

Nästa del i detta är att när du plockar ut en konfigurationsfil från din leverantör så får du en statisk intern ip av din leverantör, så t.ex. 172.2.1.32 är DIN. Det är här det kan bli lite knepigt med att vara anonym. För till skillnad mot openvpn kan leverantörer här inte skapa en pool av servrar och externa ipadresser, så säg att du ansluter till server1, då kommer du får samma externa ip varje gång, du får samma interna ip varje gång. med en webrct-läcka eller IoT som läcker din publika ip-adress så kan man faktiskt koppla ihop en extern vpn-adress till dig.

här ligger det på dig som användare att ena gången ansluta mot server1, sen mot 2, 3, 4, osv osv. när du kopplat upp dig mot alla servrar, då är det dags att begära ut en ny konfigurationsfil så att din interna adress ändras

Fsat här handlar det väl, som alltid, vad det är man vill skydda och mot vem/vad. Sitter någon live hos VPN leverantören är man förmodligen rökt i vilket fall som helst (har de väl fått den tillgången så har de säkert även möjlighet att modifiera konfiguration på servrar, aktivera loggfunktioner osv).

För lite mer normala behov handlar det väl snarare om att kunna säkerställa att en viss trafik som kommit in eller ut från VPN levernatörens utgående IP adress sedan skickats vidare till eller kommit från en viss IP adress som sen kan kopplas till en viss användare. Och då i efterhand (annars är vi i fallet ovan). Då blir det genast lite mer komplicerat, i synnerhet om det ska vara något som går att bevisa, t.ex. att någon illegalt laddat hem en film och liknande. Även om det skulle finnas loggar för stunden så är det knappast relevant några veckor/månader i efterhand. Även om man skulle haft "kopplingen" uppe under en lång tid så återstår fortfarande att koppla ihop trafiken på VPN levernatörens exitnod med just dig och att bevisa det.

Har man en felaktig konfiguration som läcker information om vem man är som WebRTC osv. så är det knappast något som VPN leverantören eller protokollet kan lastas för. Detsamma om man typ kör väldigt säker trafik men sen via samma koppling loggar in med sitt BankID etc (något förenklat och förutsett att t.ex. bankens IT är sammarbetsvillig).

Permalänk
Medlem

Glädjande nyheter för dem som hoppas på WireGuard i FreeNAS, PfSense m.fl. den hittar troligtvis in i respektive distros inom en snar framtid:

https://phoronix.com/scan.php?page=news_item&px=WireGuard-In-...

WireGuard har givetvis gått att på *BSD sedan tidigare också, precis om på andra OS men det är inte fel med något så eftertraktat direkt i kärnan utan extra "pålägg".

Visa signatur

Tower: ace Battle IV | CPU AMD Phenom II X2 BE unlocked 4cores@3,2GHz | RAM 8GB DDR2@800MHz | MB ASUS M4A785-M | GFK AMD Radeon HD 6850 1GB | HDD Kingston SSD Now 60GB (/) Seagate 2TB(/home) | OS Ubuntu 20.04 LTS
-Numera titulerad: "dator-hipster" då jag har en AMD GPU och dessutom kör Linux.