Forumdelen sponsras av

Trädvy Permalänk
Medlem
Registrerad
Nov 2017

Wireguard för alla Bahnhofkunder

Startade tydligen den 15/11 mer info hittas här.

Nån som har testa Wireguard som har lite erfarenheter att dela med sej?

Trädvy Permalänk
Medlem
Registrerad
Feb 2005

Frågan är om Bahnhof kör något fulhack för att inte logga. Wireguard kräver ju att både ingående och utgående ip lagras lokalt. Det är precis som tex OpenVPN och IPSec inte specifikt byggt för de som vill kunna gömma sig, ett exempel på något som är byggt för det senare är ju Tor.

Trädvy Permalänk
Medlem
Registrerad
Nov 2017

Bahnhof behöver inga fulhack dessutom är de kanske bäst på den personliga integriteten av alla isp.

Trädvy Permalänk
Medlem
Registrerad
Sep 2012
Skrivet av M_X_E_Q:

Bahnhof behöver inga fulhack dessutom är de kanske bäst på den personliga integriteten av alla isp.

OT:
Bara för att de är "bäst" på integritet behöver det inte betyda att det inte finns "fulhack". Om nu tekniken tvingar en att spara IP adresser lokalt måste bahnhof på något vis knackat ihop något som tar bort dessa eller på något sätt garanterar fortsatt integritet. Något ihophack måste de isf ha gjort.

OnT:

Själv har jag kört wireguard ett tag via Azirevpn och tycker det fungerar fint. Stödet för windows är i vissa fall dåligt (hänt på en dator av typ 3). Det är absolut mycket snabbare. Jag får ut cirka 700-850 upp/ned på min 1Gbit/1Gbit lina hemma. Med OpenVPN är det betydligt mindre (inte konstigt med tanke på att wireguard är multitrådat).

Däremot köper jag inte riktigt bahnhofs resonemang. Som kryptonörd (ja krypto som i kryptering, inte alla J*kla valutor)
så gör det halvont i hjärtat när någon säger att en "[...]blandning av kryptografiska protokoll[...]" gör det säkrare.
Sen vill jag också påpeka att wireguard är i alphastadiet och det finns än så länge ingen riktig kryptografisk analys (inte vad jag har sett) av kryptoalgoritmerna. De antas var säkra för stunden. Men kryptovärlden är ganska långsam på att utvärdera krypton så vi får se.

Men jag hoppas verkligen att wireguard håller måttet. Låt OpenVPN dö

OS: MacOS/ Windows 10 Pro 64-bit MB: ASUS-Z97-A CPU: i7 4790k
NÄTAGG: EVGA SUPERNOVA G2
RAM: 32768 MiB GPU: 1070 FTW Chassi: Fractal Design R4
MBP 13" i5 | 256GB | 16GB RAM | MID 2014

Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Jan 2011
Skrivet av M_X_E_Q:

Startade tydligen den 15/11 mer info hittas här.

Nån som har testa Wireguard som har lite erfarenheter att dela med sej?

Ja, jag kör Wireguard. Rejält lyft från OpenVPN. Att det återupptar anslutning automatiskt har löst så mycket huvudvärk för min del. Plus mycket mindre overhead. Kan rekommendera alla att byta.

Trädvy Permalänk
Medlem
Plats
Örebro
Registrerad
Okt 2001

WireGuard är fort och har potential, men, det är inte produktionsklart, det är inte genomlyst på samma sätt som OpenVPN eller IPSec.

Citat:

WireGuard is currently working toward a stable 1.0 release. Current snapshots are generally versioned "0.0.YYYYMMDD" or "0.0.V", but these should not be considered real releases and they may contain security quirks (which would not be eligible for CVEs, since this is pre-release snapshot software). This text will be removed after a thorough audit.

Med det sagt menar jag inte att OpenVPN eller IPSec är felfria, verkligen inte, men de är betydligt mer genomlysta än så länge.

Trädvy Permalänk
Medlem
Registrerad
Sep 2012
Skrivet av GonAce:

WireGuard är fort och har potential, men, det är inte produktionsklart, det är inte genomlyst på samma sätt som OpenVPN eller IPSec.

Med det sagt menar jag inte att OpenVPN eller IPSec är felfria, verkligen inte, men de är betydligt mer genomlysta ärn WireGuard än så länge.

Och de bygger på krypton som är vedertagna av kryptovärlden sedan länge.

Chacha och poly20 är coola krypton och snabba men som du säger inte alls lika genomstuderade som exempelvis AES.

Rekommenderar också att läsa whitepaper på båda krypton ovan. Är ni matematiknördar som jag är det en intressant läsning

OS: MacOS/ Windows 10 Pro 64-bit MB: ASUS-Z97-A CPU: i7 4790k
NÄTAGG: EVGA SUPERNOVA G2
RAM: 32768 MiB GPU: 1070 FTW Chassi: Fractal Design R4
MBP 13" i5 | 256GB | 16GB RAM | MID 2014

Trädvy Permalänk
Medlem
Registrerad
Nov 2017
Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Jun 2018

Började precis testa det, och det verkar väldigt lovanded. Bra hastigheter hittils och väldigt snabb anslutning.

Enthoo Evolv ATX | Asus ROG Strix Z370-H Gaming | Delid 8700K UV 1.100v | NH-D15 | 32GB DDR4 | NVME M2 960 500GB | AG271QG | Gigabyte 1080Ti | R1600T3 Edifier | Sony MDR-1A | Cerberus MK II | Logitech G403 | SteelSeries QcK - XXL Musmatta | 13TB Lagring| Mitt skrivbord Windows 2019 x64 Enterprise LTSC | ASUS MG279Q | Behöver du hjälp? Egna skriverier

Trädvy Permalänk
Medlem
Plats
root
Registrerad
Jan 2004

wireguard har klart potential, delar @GonAce åsikt

Trädvy Permalänk
Medlem
Plats
Kattlådan
Registrerad
Jul 2009

Testade men gick tillbaka till OpenVPN Gui igen eftersom jag vill att det ska frågas av mitt säkerhetsprogram om program som jag inte har skapat brandväggs regel för vill ut på nätet och det blir inte så med WireGuard eftersom det kapar all trafik så att den går via det.

Dessutom så har jag inte så pass hög hastighet att det är någon skillnad mellan dem.

Det är bättre att fråga och verka dum än att inte fråga och förbli det.

Trädvy Permalänk
Medlem
Registrerad
Nov 2017
Skrivet av Belzader:

Testade men gick tillbaka till OpenVPN Gui igen eftersom jag vill att det ska frågas av mitt säkerhetsprogram om program som jag inte har skapat brandväggs regel för vill ut på nätet och det blir inte så med WireGuard eftersom det kapar all trafik så att den går via det.

Dessutom så har jag inte så pass hög hastighet att det är någon skillnad mellan dem.

Jag förstår inte hur du lyckas att få program att "gå förbi" OpenVnp om du har den installerad på en dator, trodde att all trafik går genom den virtuella nätverks_tap som OpenVpn installera?

Trädvy Permalänk
Medlem
Plats
Kattlådan
Registrerad
Jul 2009
Skrivet av M_X_E_Q:

Jag förstår inte hur du lyckas att få program att "gå förbi" OpenVnp om du har den installerad på en dator, trodde att all trafik går genom den virtuella nätverks_tap som OpenVpn installera?

OpenVPN installerar ett virtuellt nätverkskort och eftersom det är ett nätverkskort (även om det är virtuellt) som trafiken går igenom till skillnad mot WireGuard som är ett program vilket trafiken går igenom, så frågas det av mitt säkerhetsprogram.

Det är bättre att fråga och verka dum än att inte fråga och förbli det.

Trädvy Permalänk
Medlem
Plats
På jobbet
Registrerad
Aug 2004
Skrivet av filbunke:

Frågan är om Bahnhof kör något fulhack för att inte logga. Wireguard kräver ju att både ingående och utgående ip lagras lokalt. Det är precis som tex OpenVPN och IPSec inte specifikt byggt för de som vill kunna gömma sig, ett exempel på något som är byggt för det senare är ju Tor.

har ni kollat detta med bahnhof? för jag är också av uppfattningen att ip adress måste lagras, och då kommer det ju finnas en logg på vem som hade vilken ip vid vilken tidpunkt

Jag skriver så lite som möjligt nu för tiden.
Det finns alltid någon som blir ledsen, arg, kränkt osv och jag orkar inte.

Trädvy Permalänk
Medlem
Registrerad
Nov 2017
Skrivet av issue:

har ni kollat detta med bahnhof? för jag är också av uppfattningen att ip adress måste lagras, och då kommer det ju finnas en logg på vem som hade vilken ip vid vilken tidpunkt

Men nu kanske frågan ska ställas till de som kodar Linuxkärnan.

Trädvy Permalänk
Medlem
Plats
På jobbet
Registrerad
Aug 2004
Skrivet av M_X_E_Q:

Men nu kanske frågan ska ställas till de som kodar Linuxkärnan.

varför då? om bahnhof nu erbjuder denna lösning så borde de kunna svara på hur de har löst det

Jag skriver så lite som möjligt nu för tiden.
Det finns alltid någon som blir ledsen, arg, kränkt osv och jag orkar inte.

Trädvy Permalänk
Medlem
Registrerad
Nov 2017

Så en trådsanning har det blivit av det hela. Läste du länken och varför frågan kommer att få en helt annan inriktning när Wireguard är inkluderad i Linuxkärnan. Tror inte ett dugg på att den släpps in av Linus om den läcker.

Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Jan 2011
Skrivet av issue:

har ni kollat detta med bahnhof? för jag är också av uppfattningen att ip adress måste lagras, och då kommer det ju finnas en logg på vem som hade vilken ip vid vilken tidpunkt

Menar du att det måste spara EFTER att man har stängt anslutningen också, eller bara under tiden anslutningen är öppen? Om den bara finns där under själva anslutningstiden så är det ju knappast en logg, bara ett temporärt state.

Sedan är det ju viktigt att poängtera att VPN-tjänster inte går under samma regler som en vanlig ISP-anslutning. Trots att VPN-tjänsten råkar drivas av en ISP. Det är helt enkelt ett krypthål som Bahnhof utnyttjar, eventuell data sparad i samband med VPN-anslutningen måste därför inte loggas och lämnas ut enligt lag.

Trädvy Permalänk
Medlem
Plats
På jobbet
Registrerad
Aug 2004
Skrivet av dlq84:

Menar du att det måste spara EFTER att man har stängt anslutningen också, eller bara under tiden anslutningen är öppen? Om den bara finns där under själva anslutningstiden så är det ju knappast en logg, bara ett temporärt state.

Sedan är det ju viktigt att poängtera att VPN-tjänster inte går under samma regler som en vanlig ISP-anslutning. Trots att VPN-tjänsten råkar drivas av en ISP. Det är helt enkelt ett krypthål som Bahnhof utnyttjar, eventuell data sparad i samband med VPN-anslutningen måste därför inte loggas och lämnas ut enligt lag.

Jo jag vet att VPN-leverantörer inte måste logga, att kalla det för ett kryphål är att ge bahnhof lite väl mycket kred.
Men samtidigt måste en VPN-leverantör precis som ISP delge den information man har ifall polisen begär det.
Och det är här har för mig att jag läst att Wireguard inte fungerar på samma sätt som t.ex. openvpn och det finns faktiskt information att få ut.

Därav min fråga om ni har kollat upp detta med leverantören istället för att bara anta att allt är frid och fröjd

Jag skriver så lite som möjligt nu för tiden.
Det finns alltid någon som blir ledsen, arg, kränkt osv och jag orkar inte.

Trädvy Permalänk
Medlem
Plats
På jobbet
Registrerad
Aug 2004
Skrivet av M_X_E_Q:

Så en trådsanning har det blivit av det hela. Läste du länken och varför frågan kommer att få en helt annan inriktning när Wireguard är inkluderad i Linuxkärnan. Tror inte ett dugg på att den släpps in av Linus om den läcker.

läcker den om det är by design?

Citat:

At AzireVPN, we care about our no-logging policy, that’s why all of our servers are running on diskless hardware and all log files are piped to /dev/null.

But when it comes to WireGuard the default behaviour is to have endpoint and allowed-ip visible in the server interface, which does not really work with our privacy policy. We shouldn’t know about your source IP and cannot accept having it visible on our servers."

Citat:

"WireGuard has no dynamic address management, the client addresses are fixed. That means we would have to register every active device of our customers and assign the static IP addresses on each of our VPN servers. In addition, we would have to store the last login timestamp for each device in order to reclaim unused IP addresses. Our users would then not be able to connect your devices after a few weeks because the addresses would have been reassigned.

It is particularly important to us that we do not create or store any connection logs at all. Therefore, we cannot store the above registration and login data that would currently be required for WireGuard to operate."

Citat:

Privacy considerations: by design, WireGuard isn’t suitable for none/limited logging policies. Specifically, last public IP of user would be saved on the sever used to connect to and it can’t be removed within a day as per our current privacy policy. At a later date we will likely make some tweaks to the source code to sanitize or remove the last used public IP.

https://restoreprivacy.com/wireguard/

därav min fråga, har ni kollat upp detta med bahnhof hur dom löser detta?
känner en viss ignorans här, bara för att bahnhof kör detta eller att det ska in i linuxkärnan kanske detta inte fungerar så som ni tror och är vana med. Så ha ett öppet sinne och ta åt er av frågor och funderingar istället för att försvara såvida ni inte har fakta på att det är på ett visst sätt, ta då och presentera den istället

Jag skriver så lite som möjligt nu för tiden.
Det finns alltid någon som blir ledsen, arg, kränkt osv och jag orkar inte.

Trädvy Permalänk
Moderator
Registrerad
Jul 2017
Skrivet av issue:

Jo jag vet att VPN-leverantörer inte måste logga, att kalla det för ett kryphål är att ge bahnhof lite väl mycket kred.
Men samtidigt måste en VPN-leverantör precis som ISP delge den information man har ifall polisen begär det.
Och det är här har för mig att jag läst att Wireguard inte fungerar på samma sätt som t.ex. openvpn och det finns faktiskt information att få ut.

Därav min fråga om ni har kollat upp detta med leverantören istället för att bara anta att allt är frid och fröjd

Det går absolut att ta fram information om vem som är ansluten via openvpn och på vilken IP. Denna information måste ju finnas i serverns minne, hur ska den annars veta vart den ska skicka svaren på dina förfrågningar?

Enda sättet runt detta är någon slags onion routing t.ex. Tor.

Skickades från m.sweclockers.com

En bild säger mer än tusen ord. Så här gör du för att lägga upp bilder till ditt foruminlägg.

Synpunkter på moderering eller andra frågor om siten? Välkommen att kontakta oss via Sweclockers kontaktformulär eller i feedback-forumet.

Trädvy Permalänk
Medlem
Plats
På jobbet
Registrerad
Aug 2004

@pv2b: läs inlägget ovanför ditt så ser du vad det är jag menar.

Jag skriver så lite som möjligt nu för tiden.
Det finns alltid någon som blir ledsen, arg, kränkt osv och jag orkar inte.

Trädvy Permalänk
Medlem
Registrerad
Feb 2005
Skrivet av M_X_E_Q:

Så en trådsanning har det blivit av det hela. Läste du länken och varför frågan kommer att få en helt annan inriktning när Wireguard är inkluderad i Linuxkärnan. Tror inte ett dugg på att den släpps in av Linus om den läcker.

Läcker? Wireguard (precis som tex OpenVPN och IPSec) är inte till för att göra anslutningar anonyma, så att de lagrar den typen av information innebär inte att det läcker. De är skapta för att skapa en säker anslutning mellan olika datornät eller datorer, inget annat. Kopplar du upp dig tex hemifrån mot ditt jobb genom en vpn-server så läcker det inte för att företaget kör en lösning som loggar, det är inte ett problem, samma sak om du kopplar upp dig till hemmanätet via en egen vpn-server när du tex befinner dig på ett kafé.

Så att Wireguard måste, utan fulhack, logga inkommande och utkommande ip är inte ett hinder för att det skall läggas till i linuxkärnan.