Wireguard VPN släpps i skarp version

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Mar 2009

Möjligtvis en dum fråga. Om man kör Wireguard i sin router för att nyttja Integrity eller liknande och köra i stort sett all sin trafik genom tunneln, kan man då fortfarande komma åt sitt hemnätverk som man hade gjort utan VPN. Alltså tex genom att öppna portar i WAN och nyttja letsencrypt/duckdns?

|ASRock Z77 Pro4-M|3570k|Corsair TX750M|
|ASUS 570GTX DCII|Thermalright Ultra 120 eXtreme|Seagate Barracuda 7200.11 500GB | Corsair Vengence 16gb| Silverstone TJ08-E|

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Jun 2018

Hur är det med EdgeRouter X? Finns det något inbyggt stöd där som jag har missat? Skulle gärna köra en Wireguard klient där och kryptera hela hemmets wan traffik istället för en klient på respektive enhet.

Enthoo Evolv ATX | Asus ROG Strix Z370-H Gaming | Delid 8700K UV 1.100v | NH-D15 | 32GB DDR4 | NVME M2 960 500GB | AG271QG | Gigabyte 1080Ti | R1600T3 Edifier | Sony MDR-1A | Cerberus MK II | Logitech G403 | SteelSeries QcK - XXL Musmatta | 13TB Lagring| Mitt skrivbord Windows 2004 | ASUS MG279Q | Behöver du hjälp? Egna skriverier

Trädvy Permalänk
Medlem
Plats
Isla de Muerta
Registrerad
Okt 2009
Skrivet av Mindboggle:

Vad är det för fel på socks5?

Direkta anslutningar är inte möjliga så man kan inte vidarebefordra portar.
Med andra ord så når man färre klienter i t.ex. en BT klient.

Annars fungerar det otroligt bra, kört det i flera år.

CPU: 3600 / Liquid Freezer II <3
GPU: 2070s ~2050Mhz
RAM: 16GB 3200Mhz

Tips: Akta dig för forum experterna, fråga tillverkaren istället.

Trädvy Permalänk
Medlem
Plats
På jobbet
Registrerad
Aug 2004
Skrivet av improwise:

Inte satt mig in i detta men att logga och att spara loggar är väl inte samma sak rent generellt? För att routa trafik måste man rimligtvis alltid spara informationen så länge trafiken pågår?

"problemet" om du vill vara anonym är att default så sparas din anslutning i minnet, din externa ip, din interna ip, din nyckel publika nyckel, till skillnad mot en openvpn anslutning där vid disconnect så försvinner allt sådant (om det confats så).
här kan man trolla på något sätt och flusha allt förutom din publika nyckel samt interna ip (som vpn leverantör tilldelat dig).
Och här är den stora frågan om alla leverantörer där ute lyckats med det.

Nästa del i detta är att när du plockar ut en konfigurationsfil från din leverantör så får du en statisk intern ip av din leverantör, så t.ex. 172.2.1.32 är DIN. Det är här det kan bli lite knepigt med att vara anonym. För till skillnad mot openvpn kan leverantörer här inte skapa en pool av servrar och externa ipadresser, så säg att du ansluter till server1, då kommer du får samma externa ip varje gång, du får samma interna ip varje gång. med en webrct-läcka eller IoT som läcker din publika ip-adress så kan man faktiskt koppla ihop en extern vpn-adress till dig.

här ligger det på dig som användare att ena gången ansluta mot server1, sen mot 2, 3, 4, osv osv. när du kopplat upp dig mot alla servrar, då är det dags att begära ut en ny konfigurationsfil så att din interna adress ändras

Jag skriver så lite som möjligt nu för tiden.
Det finns alltid någon som blir ledsen, arg, kränkt osv och jag orkar inte.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2008
Skrivet av Artikeln:

utvecklarportalen LKML

Nja, LKML (Linux Kernel Mailing List) är ett inofficiellt arkiv av den officiella mailinglistan för Linux. Se deras huvudsida:

Skrivet av LKML.ORG:

LKML.ORG?

In case you haven't read the titlebar of your webbrowser's window: this site is the (unofficial) Linux Kernel Mailing List archive. This mailing list is a rather high-volume list, where (technical) discussions on the design of, and bugs in the Linux kernel take place. If that scares you, please read the FAQ.

Kul ändå att ni länkar till Linux-utveckling!

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Trädvy Permalänk
Medlem
Plats
~/
Registrerad
Dec 2005
Skrivet av NodCommander:

Synd att de envisas ha det så krångligt på Linuxskrivbord. Ska Linux vara för gemene man, ja då måste det till begripliga GUI:er!

Hoppas det kommer mera brett stöd för WireGuard i routrar snart.

Huamig, det krävs hela tre stycken klick med vänster musknapp för mig att ansluta till VPN (dock färdigkonfigurerat, men det finns GUI för det också) i skrivbordsmiljön GNOME.

Jag förstår att t.ex. GNOME först kan kännas främmande för de som levt med enbart Windows, men det är min åsikt att det beror på att Windows användargränssnitt länge varit bakåtsträvande. Troligtvis är det medvetet från utvecklarnas sida. De är nog medvetna om att deras användargränssnitt inte är optimalt på många sätt, men de vill att deras befintliga användare ska känna sig hemma och kan därför inte göra allt för radikala förändringar.

PRIME X370-PRO | R7 2700X | NH-D15 | 32GiB DDR4-2400 CL14 | 500GiB 850 EVO | 3TiB WD Red | 500GiB HDD | Nitro R9 Fury | SuperNOVA 750 G2 | Define S | MG279Q | HD650 | Ducky Secret | Ducky One 2 | Debian Sid

Trädvy Permalänk
Medlem
Registrerad
Dec 2015
Skrivet av pellen:

Varför spela med VPN aktiv?

Varför inte? Drygt att confa alla spel man spelar att dom ska gå utanför tunneln i routern. Och jag märker ingen skillnad i spelen med/utan VPN, nu när jag kör Wireguard. Så då får det vara på hela tiden

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Nov 2011
Skrivet av Tinkerbeard:

Varför inte? Drygt att confa alla spel man spelar att dom ska gå utanför tunneln i routern. Och jag märker ingen skillnad i spelen med/utan VPN, nu när jag kör Wireguard. Så då får det vara på hela tiden

Jag har spelat med OpenVPN på pfSense i drygt två år. Inga problem.

:(){ :|:& };:

{🧗‍♂️, 🔥, 🏃‍♂️}

Blog
YouTube

Trädvy Permalänk
Medlem
Registrerad
Jul 2017
Skrivet av pellen:

Varför spela med VPN aktiv?

Med Wireguard så går det utmärkt. ~ 5 ping och inga packet loss

Trädvy Permalänk
Medlem
Plats
Örebro
Registrerad
Okt 2001

Se på tusan, hoppas de kommer till OpenBSD Kernel snart!

Trädvy Permalänk
Medlem
Plats
in the h00d
Registrerad
Aug 2002

word

Trädvy Permalänk
Medlem
Plats
in the h00d
Registrerad
Aug 2002
Skrivet av iBurningMan:

Hur är det med EdgeRouter X? Finns det något inbyggt stöd där som jag har missat? Skulle gärna köra en Wireguard klient där och kryptera hela hemmets wan traffik istället för en klient på respektive enhet.

https://github.com/Lochnair/vyatta-wireguard

word

Trädvy Permalänk
Medlem
Plats
Borlänge
Registrerad
Jan 2009

Här var lite intressant läsning kring Wireguard och dess för och nackdelar. Ingen aning riktigt kring vem som ligger bakom denna sida, men jag fick den från vår IT-admin och den verkar rätt gedigen med mycket info kring säkerhet på nätet. Men som med allt, bedöm själv hur trovärdig info är, om det är subjektiva åsikter eller objektivt. Jag uppfattar i alla fall artikeln om Wireguard som rätt trovärdig.
https://restoreprivacy.com/wireguard/

Vattenkylt NZXT Switch 810 | CPU: i7 3930k@4,2GHz | GPU: 2x HD7970@1125/6000MHz | RAM: 16GB DDR3@1600MHz || SSD: Intel 520 240GB & OCZ Agility 240GB || PSU: OCZ ZX 1250W || Skärm: HP ZR2740w IPS (2560x1440)

Trädvy Permalänk
Medlem
Plats
~/
Registrerad
Dec 2005
Skrivet av nikwid:

Här var lite intressant läsning kring Wireguard och dess för och nackdelar. Ingen aning riktigt kring vem som ligger bakom denna sida, men jag fick den från vår IT-admin och den verkar rätt gedigen med mycket info kring säkerhet på nätet. Men som med allt, bedöm själv hur trovärdig info är, om det är subjektiva åsikter eller objektivt. Jag uppfattar i alla fall artikeln om Wireguard som rätt trovärdig.
https://restoreprivacy.com/wireguard/

Notera att artikeln skrevs för nästan ett år sedan. Att Wireguard skulle vara omoget och otestat är inte lika relevant längre. I samband med 1.0-släppet så har det granskats av en säkerhetsfirma utan att det gav några större anmärkningar.

PRIME X370-PRO | R7 2700X | NH-D15 | 32GiB DDR4-2400 CL14 | 500GiB 850 EVO | 3TiB WD Red | 500GiB HDD | Nitro R9 Fury | SuperNOVA 750 G2 | Define S | MG279Q | HD650 | Ducky Secret | Ducky One 2 | Debian Sid

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jan 2020

Hurra!

Trädvy Permalänk
Medlem
Registrerad
Feb 2005

Japp. Det där är fulhacket som Wireguards skapare har skrivit.

Man kan ju välja att tro att det där fungerar. Vilket är vad VPN-bolaget vill.

Eller så läser man vad då Wireguards skapare själv skriver om det:

Citat:

Blind Operator Mode
Written by Jason A. Donenfeld
For clueless operators who wish to become more clueless.
Do not use this code unless you fully understand what it is not designed to do; this is the first sentence of the README for a good reason. In fact, just don't use it. It's mostly snake-oil. There are a million ways to subvert this. It's a fun little toy, but it's not really much beyond a toy.

This here is a monkey-patcher that tinkers with the security hooks infrastructure, rootkit-style, in order to intercept netlink messages. It then zeros out the endpoints field and allowedips field of WireGuard peers.

Citat:

This whole thing is incredibly stupid, but it is nonetheless an interesting exercise. If you have any sense at all, you won't go near this code and will discard this idea entirely. There are probably several ways to subvert it and a host of other subtle bugs. Some people might think that by hiding things from userspace, they actually hide things, but this could not be further from the truth.

Citat:

However, if you simply want to be able to claim to people, "we don't have the ability to view internal or external IP addresses of any peers," and you really do lack the know-how to subvert this, then I suppose it might be somewhat useful. It's a strange property: this module only has utility in contexts where you don't know how to subvert it. This means that as you become smarter, this module will need to grow. This implies that either the guy writing it should be more knowledgeable than you are at the moment, or you yourself should be the author, exhausting all the current methods of subversion you can currently think of.

Citat:

Bugs
Probably there are a lot of them, by design. This module makes no attempt at plugging all holes and leaks, and the current methods used are prone to be buggy at best. Also, this won't work with paravirtualization, since it works primarily by twiddling with cr0; hence this code is also x86/amd64 only. On old kernels, this disables SELinux/AppArmor and does voodoo magic that might murder kittens to discover non-exported symbols. Such magic only works on 64-bit and its success may vary based on which compiler is in use. Since this disables raw sockets, if you want ping to work, you may need to allow ICMP sockets via sysctl -w net.ipv4.ping_group_range="0 0".

Smått kul.

Återigen. VPN:er är inte gjorda för att vara anonymiseringstjänster som inte skall lämna spår. Wireguard är definitivt inte gjord för det. Alltså så är de som använder det för det tvungna att skriva fulhack och lägga till funktioner. Det här ett av dem, ett annat är det som skall fixa "problemet" med att man tilldelas ett fast ip i andra ändan (vilket inte är ett problem för det som VPN:er var skapta för).

Men Wireguard innebär att man kan få upp hastigheten på medelmåttig hårdvara så det är självklart varför en hel del vill ha det. Varför man skulle vilja köra all sin trafik genom VPN:en är en annan fråga, om man nu vill vara anonym, speciellt då om man har ett fast ip i andra ändan....

Trädvy Permalänk
Medlem
Plats
På jobbet
Registrerad
Aug 2004

@filbunke: så.jävla head on! Får bara hoppas att folk förstår detta..
"Men Bahnhof erbjuder ju wireguard, då måste det ju vara anonymt"... Pft

Wireguard är sjukt bra för mycket och jag välkomnar det med öppna armar. Men vill man vara anonym gör man bäst i att stanna med openvpn och en leverantör som faktiskt gör allt som finns för att säkerställa integriteten.

Jag skriver så lite som möjligt nu för tiden.
Det finns alltid någon som blir ledsen, arg, kränkt osv och jag orkar inte.

Trädvy Permalänk
Medlem
Plats
in the h00d
Registrerad
Aug 2002

@filbunke: De kommer hitta dig oavsett vilket vpn man än använder. Men man kan göra det svårare!

word

Trädvy Permalänk
Medlem
Plats
Örebro
Registrerad
Okt 2001

Synd bara att resultatet på "1 011 Mbit/s" inte stämmer, men ser ändå fram emot WireGuard implementationen för FreeBSD som är i rullning "tack vare" Netgate (oavsett vad man tycker om Netgate och deras grundare).

Trädvy Permalänk
Medlem
Plats
Stockholm / Vendelsö
Registrerad
Mar 2010

testade wireguard mot OVPN i Göteborg - enkelt att komma igång o snabbt att koppla upp sig. Däremot så var hastigheten "mäh". Har en 1000/1000 fiberlina och brukar ha runt 350mbps över vanlig vpn - fick max 100 på wireguard. Kan vara att de har för få wireguardservers

// LZ

Trädvy Permalänk
Medlem
Registrerad
Apr 2006
Skrivet av issue:

"problemet" om du vill vara anonym är att default så sparas din anslutning i minnet, din externa ip, din interna ip, din nyckel publika nyckel, till skillnad mot en openvpn anslutning där vid disconnect så försvinner allt sådant (om det confats så).
här kan man trolla på något sätt och flusha allt förutom din publika nyckel samt interna ip (som vpn leverantör tilldelat dig).
Och här är den stora frågan om alla leverantörer där ute lyckats med det.

Nästa del i detta är att när du plockar ut en konfigurationsfil från din leverantör så får du en statisk intern ip av din leverantör, så t.ex. 172.2.1.32 är DIN. Det är här det kan bli lite knepigt med att vara anonym. För till skillnad mot openvpn kan leverantörer här inte skapa en pool av servrar och externa ipadresser, så säg att du ansluter till server1, då kommer du får samma externa ip varje gång, du får samma interna ip varje gång. med en webrct-läcka eller IoT som läcker din publika ip-adress så kan man faktiskt koppla ihop en extern vpn-adress till dig.

här ligger det på dig som användare att ena gången ansluta mot server1, sen mot 2, 3, 4, osv osv. när du kopplat upp dig mot alla servrar, då är det dags att begära ut en ny konfigurationsfil så att din interna adress ändras

Fsat här handlar det väl, som alltid, vad det är man vill skydda och mot vem/vad. Sitter någon live hos VPN leverantören är man förmodligen rökt i vilket fall som helst (har de väl fått den tillgången så har de säkert även möjlighet att modifiera konfiguration på servrar, aktivera loggfunktioner osv).

För lite mer normala behov handlar det väl snarare om att kunna säkerställa att en viss trafik som kommit in eller ut från VPN levernatörens utgående IP adress sedan skickats vidare till eller kommit från en viss IP adress som sen kan kopplas till en viss användare. Och då i efterhand (annars är vi i fallet ovan). Då blir det genast lite mer komplicerat, i synnerhet om det ska vara något som går att bevisa, t.ex. att någon illegalt laddat hem en film och liknande. Även om det skulle finnas loggar för stunden så är det knappast relevant några veckor/månader i efterhand. Även om man skulle haft "kopplingen" uppe under en lång tid så återstår fortfarande att koppla ihop trafiken på VPN levernatörens exitnod med just dig och att bevisa det.

Har man en felaktig konfiguration som läcker information om vem man är som WebRTC osv. så är det knappast något som VPN leverantören eller protokollet kan lastas för. Detsamma om man typ kör väldigt säker trafik men sen via samma koppling loggar in med sitt BankID etc (något förenklat och förutsett att t.ex. bankens IT är sammarbetsvillig).

Trädvy Permalänk
Medlem
Plats
gbg
Registrerad
Nov 2007

Glädjande nyheter för dem som hoppas på WireGuard i FreeNAS, PfSense m.fl. den hittar troligtvis in i respektive distros inom en snar framtid:

https://phoronix.com/scan.php?page=news_item&px=WireGuard-In-...

WireGuard har givetvis gått att på *BSD sedan tidigare också, precis om på andra OS men det är inte fel med något så eftertraktat direkt i kärnan utan extra "pålägg".

Tower: ace Battle IV | CPU AMD Phenom II X2 BE unlocked 4cores@3,2GHz | RAM 8GB DDR2@800MHz | MB ASUS M4A785-M | GFK AMD Radeon HD 6850 1GB | HDD Kingston SSD Now 60GB (/) Seagate 2TB(/home) | OS Ubuntu 16.04 LTS