openVPN vs WireGuard

2021-03-04 17:44

Permalänk

llxt

Medlem

Plats: Stockholm
Registrerad: Feb 2009

●

openVPN vs WireGuard

Hej!

Jag kör idag med openVPN och har egentligen inget att klaga över. Hastigheterna är helt OK för min del. Men, Skulle någon kunna kort sammanfatta varför jag bör byta till WireGuard? FInns det några kända sårbarheter när det gäller openVPN?

Tack på förhand

Rapportera Redigera

Citera flera Citera

2021-03-04 18:01

Permalänk

backfeed

Medlem ★

Plats: Westrobothnia
Registrerad: Okt 2008

●

Det här är väl en ganska bra sammanfattning:

https://www.vpnranks.com/blog/wireguard-vs-openvpn/

WireGuard är rappare, högre throughput, kopplar upp sig snabbare m.m.

OpenVPN är välbeprövad, WireGuard är mer work-in-progress.

WireGuard kan anses vara säkrare för att den har mindre attackyta, men det innebär inte att OpenVPN är osäkert för det.

Själv tutar jag fortfarande på med OpenVPN, jag har inte bråttom, och det har alltid fungerat extremt bra.

Visa signatur

5950X, 3090

Rapportera Redigera

Citera flera Citera (2)

2021-03-04 18:11

Permalänk

Balconette

Medlem ★

Registrerad: Jan 2020

●

Det var fördelarna med Wireguard det, nu kommer några nackdelar:

OpenVPN kan köra TAP, vilket innebär samma nivå av sammankoppling som du skulle dragit en LAN-nätverkskabel mellan servrarna. Det är en L2-länk så i princip all lokal trafik kan gå över den (protokoll går att begränsa med ebtables). OpenVPN kan i både TUN och TAP segmentera för stora paket, och sedan slå dem samman i mottagarändan, så att du kan köra med den MTU du specifierat över nätverket. Wireguard har bara osegmenterad TUN-liknande (L3) uppställning där paketets overhead minskar på max MTU du kan klämma igenom tunneln. Så en Wireguardlänk över en 1500 MTU-lina kan bara som mest köra lite drygt 1400 MTU. WG lite rappare, OV lite mer helhetstänkande.

Så, den ena utesluter inte den andra kort sagt.

Rapportera Redigera

Citera flera Citera (4)

2021-03-04 18:12

Permalänk

JeanC

Medlem ★

Registrerad: Jul 2017

●

Wireguard är för mitt ändamål ganska överlägset, har kört i flera år utan några problem. Att jag kan spela CS samtidigt som jag har VPN igång i routern är helt fantastiskt utan att stöta på någon rubber-band effekt.

Att jag kan ha det i mobilen och inte tappa VPN uppkopplingen bara för att jag byter mobilmast är också rätt skönt.

Hög throughput, snabb handshake och skeppas med många linux distros native.

Men sedan ser du nackdelarna ovan

Rapportera Redigera

Citera flera Citera (2)

2021-03-04 19:05

Permalänk

llxt

Medlem

Plats: Stockholm
Registrerad: Feb 2009

●

Tack för eran input! Lär vell ska testa wireguard vid ett senare tillfälle.

Rapportera Redigera

Citera flera Citera

2021-03-08 05:28

Permalänk

gonace

Medlem ★

Plats: Örebro
Registrerad: Okt 2001

●

Nu har ju äntligen har WireGuard kommit in-kernel för FreeBSD (tack vare Netgate) till pfsense 2.5 så är man bara ute efter prestanda är det ett bra alternativ, jag kör Mullvad VPN med WireGuard och är väldigt nöjd.

Däremot är ju WireGuard "feature-minimal" så kan tänka mig svårigheter att implementera WG som företag, organisation eller privatpersoner som använder större delar av OpenVPN-feature-stacken.

Att WG idag bara har stöd för UDP kan visa sig vara problematiskt för vissa, då endel internetoperatörer har brandväggar och/eller DDoS/DoS-skydd som triggas av hög UDP last.

När det kommer till säkerhet är WG i grunden mycket robust, men eftersom det är "feature-minimal" kommer funktionalitet byggas på utanpå WireGuard och det är där problem kan uppstå.

Det jag saknar native i WireGuard
* Always open Session (en session i WG skapas när ett paket skickas och dör sedan när trafiken slutar flöda)
* User Management System
* 2FA

Senast redigerat 2021-03-08 05:45

Visa signatur

www.obscured.se mrtg.obscured.se - erik.hennerfors@obscured.se - See ya in cyberspace

[img]https://www.speedtest.net/result/8779163636.png[/img]

Rapportera Redigera

Citera flera Citera (2)

2021-03-08 07:35

Permalänk

sandos

Medlem

Registrerad: Aug 2012

●

OpenVPN är enklare att få igenom brandväggar osv.

Min telefon tex. vägrar lira med wireguard, det kommer helt enkelt ingen trafik så det är väl operatören som blockar udp (!).

Wireguard är toppen om man ska köra mellan servrar i min mening, men ska du gå förbi proxy tex. så har du nog mer nytta av openvpn.

Rapportera Redigera

Citera flera Citera (2)

2021-03-08 19:18

Permalänk

Talisker00

Medlem ★

Registrerad: Maj 2014

●

Skrivet av sandos:

OpenVPN är enklare att få igenom brandväggar osv.

Min telefon tex. vägrar lira med wireguard, det kommer helt enkelt ingen trafik så det är väl operatören som blockar udp (!).

Wireguard är toppen om man ska köra mellan servrar i min mening, men ska du gå förbi proxy tex. så har du nog mer nytta av openvpn.

Gå till inlägget

Blockar udp tror jag inte generellt med tanke på att DNS går över udp. brukar kunna köra IPSec över telefon oclså och där är minst IKE-förhandlingen UDP.

TCP inuti TCP kan bli bedrövligt, så jag förordar definitivt ingenting som använder TCP.

Rapportera Redigera

Citera flera Citera (3)

2021-03-08 20:30

Permalänk

sandos

Medlem

Registrerad: Aug 2012

●

Skrivet av Talisker00:

Blockar udp tror jag inte generellt med tanke på att DNS går över udp. brukar kunna köra IPSec över telefon oclså och där är minst IKE-förhandlingen UDP.

Gå till inlägget

Jag slet mitt hår över varför det inte fungerade, men kunde ju bara konstatera att trafiken inte kommer fram. De kan ju tillåta DNS och ändå blockera andra portar, fråga mig inte varför.

Ja, tcp-över-tcp är förskräckligt om man vill ha prestanda. Jag använder mest VPN för att komma åt mina tjänster hemma (Home assistant och liknande) utifrån och då har openvpn med div. tricks fungerat ypperligt. Körde ett tag samma port för HTTPS och OpenVPN, det finns en option där openvpn skickar vidare automagisk om det inte är vpn-trafik. Inte riktigt den snyggaste lösningen men... Det funkade förvånansvärt bra.

Rapportera Redigera

Citera flera Citera (2)

2021-03-24 17:30

Permalänk

llxt

Medlem

Plats: Stockholm
Registrerad: Feb 2009

●

Någon som kan förklara lite snabbt varför netgate väljer att ta bort wireguard?

WireGuard Removed from pfSense® CE and pfSense® Plus Software

Citat:

Given that kernel-mode WireGuard has been removed from FreeBSD, and out of an abundance of caution, we are removing WireGuard from pfSense software pending a thorough review and audit.

Rapportera Redigera

Citera flera Citera

2021-03-24 18:21

Permalänk

Prelatur

Medlem ★

Plats: Göteborg
Registrerad: Mar 2011

●

Netgate betalde någon för att att porta Wireguard till FreeBSD men det blev inget vidare.
Jason Donenfeld ihop med några andra gjorde om det och den håller på att testas nu.
Belv lite surt mellan Jason och netgate också.
https://arstechnica.com/gadgets/2021/03/in-kernel-wireguard-i...
https://arstechnica.com/gadgets/2021/03/freebsd-kernel-mode-w...

Visa signatur

Rapportera Redigera

Citera flera Citera (2)

openVPN vs WireGuard

openVPN vs WireGuard

Externa nyheter

Spelnyheter från FZ