News Virtuelles Privates Netzwerk: OpenVPN 2.6.16 konzentriert sich auf Fehlerkorrekturen

[Helge01]

Was meinst du mit richtiges Benutzermanagement?
Das kann Wireguard mit wg-dynamic, dies ist eine Erweiterung für WireGuard, die dynamische Zuordnung von IP-Adressen und zentrale Benutzer-Auth ermöglicht.

Keine Ahnung was mittlerweile alles mit WireGuard geht. Zentrale Benutzerverwaltung/2FA Authentifizierung z.B. per LDAP/Active Directory/RADIUS und automatisiertes ausrollen der entsprechenden Peer Konfiguration (Client).

 

[FabianX2]

Keine eigene Technologie, ist immer noch Wireguard und gerade deswegen einfach.

Wohl wahr. Aber wie so oft ist der Zugang zur Technologie entscheidend.

 

[qiller]

Wie jetzt das nutzt noch Jemand?

Ja. Roadwarrior sowie Net2Net. Funktioniert einfach. Die IPFire Leute haben z.B. auch die neuen Negotiating Methoden eingebaut, so dass auch die OpenVPN Client config deutlich einfacher wurde, ohne alte Clients vom VPN auszuschließen. Auch bei Hardware-FWs wird gern OpenVPN verwendet (heißt da meist SSL-VPN).

Aber ja, Wireguard hat sicherlich seinen Charme und wenn ich heute eine neue VPN-Infrastruktur aufbauen würde, würde ich auch auf Wireguard gehen.

Edit: Kann Wireguard eigentlich auch Client-to-Client? Also das sich 2 VPN-Clients mit nem VPN-Server verbinden und diese nicht nur mit dem VPN-Server bzw. dem freigegebenen Netzwerk dahinter kommunizieren können, sondern auch die Clients, die per VPN verbunden sind, untereinander.

 

[foofoobar]

Edit: Kann Wireguard eigentlich auch Client-to-Client? Also das sich 2 VPN-Clients mit nem VPN-Server verbinden und diese nicht nur mit dem VPN-Server bzw. dem freigegebenen Netzwerk dahinter kommunizieren können, sondern auch die Clients, die per VPN verbunden sind, untereinander.

Das nennt sich routing.

 

[kieleich]

Edit: Kann Wireguard eigentlich auch Client-to-Client?

Wireguard ist nur eine verschlüsselte Netzwerkverbindung, ob die Clients sich gegen seitig sehen ist sache der netzwerk konfiguration. ist wie bei ner lanparty wenn jeder noch ne netzwerkkarte rein stöpselt und kabel verbindung legt

Wenn die Clients P2P ohne Server mitanander reden sollen, müssen die das unter sich ausmachen und ihre öffentliche IP/Port dafür miteinander austauschen, Wireguard macht da nichts

 

[qiller]

Also dann nur über den Host und nicht Wireguard-intern. Alright, thx!

 

[foofoobar]

Also dann nur über den Host und nicht Wireguard-intern.

Keep it small and simple:

WireGuard works by adding a network interface (or multiple), like eth0 or wlan0, called wg0 (or wg1, wg2, wg3, etc). This network interface can then be configured normally using ifconfig(8) or ip-address(8), with routes for it added and removed using route(8) or ip-route(8), and so on with all the ordinary networking utilities. The specific WireGuard aspects of the interface are configured using the wg(8) tool. This interface acts as a tunnel interface.

https://www.wireguard.com/#simple-network-interface

 

[DFFVB]

also das ist schon jammern auf sehr hohem niveau wenn man sich daran stört

Gut möglich, dass es jammern auf hohem Niveau ist... Ich hatte es eben aufgeschnappt.

 

[qiller]

So, hab mal WG getestet. Funzt wunderbar und die Connection ist auch so schnell aufgebaut, wie bei IPSec/IKEv2. Mit OpenVPN dauert das ja immer paar Sekunden (wobei sich das auch gebessert hat).

Dann mal schlau gemacht, welche Verschlüsselung da überhaupt verwendet wird (man kann ja bei WG nix auswählen) und war dann aber doch schon erstaunt: https://www.wireguard.com/protocol/

Soweit mir bekannt, wird ChaCha20 durch keine Hardware beschleunigt und belastet die normalen Rechenkerne. Bei AES kann man das ja an die AES-NI auslagern.

Was mich aber bisschen wundert, ist diese Festlegung auf diese Standards. D.h. dann im Umkehrschluss, wenn es irgendwelche zukünftigen Probleme mit der Verschlüsselung gibt, muss überall der WG-Server und die WG-Clients gleichzeitig aktualisiert werden, falls die verwendeten Protokolle mal ausgetauscht werden müssen.

 

[kieleich]

Da wird, hoffentlich!, nichts ausgetauscht das protokoll chaos a la openssh will man ja gerade nicht.

Sollte das tatsächlich, mal geknackt werden. Dann halt Wireguard 2 oder Wiireguart U oder ganz neuer Name.

das wäre auch derart ein vertrauenverlust das der name dann eh verbrannt ist

Bei AES kann man das ja an die AES-NI auslagern.

bei PCs schon aber Wireguard läuft auch im Embedded bereich auf Telefonen Routern und und und.

und da ist ChaCha20 wohl schneller als AES.

AESNI entstand ja dadurch das AES richtig aua weh tut von der geschwindigkeit

 

[qiller]

Ja, das hatte ich auch gehört. Ich hab hier testweise gerade sone Handscanner (einmal von Zebra und einmal von Nebula), die auf Android laufen und die sind echt super lahm (Scrollen mit 3 FPS, Aufbau in Zeitlupe und so :x), ka was für Schrott Hardware da verbaut wurde. Die wollte ich eigentlich wie immer mit OpenVPN anbinden, hab jetzt aber doch WG da eingebunden. Dauer-VPN auf nem mobilen Endgerät ist halt immer ne Frage der Akkubelastung. Mal gucken wie gut das läuft.

Edit: Kann man den WG Windows Client eigentlich auch so nutzen wie den OpenVPN Client, dass die VPN-Verbindung beim Hochfahren des Gerätes automatisch aufgebaut wird, wenn der Client feststellt, nicht im VPN-Zielnetzwerk zu sein?