Wireguard auf OPNSense - gut oder besser lassen?

Started by Seb, August 03, 2021, 11:31:21 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 03, 2021, 11:31:21 AM
Hallo Forum,

ich spiele ein bisschen mit WireGuard VPN rum, da ich vor der Aufgabe stehe, ein paar Mikrotik Router per VPN an ein paar OPNSenses anzuschließen.

Wireguard gefällt mir gut, ist schlang und schnell.
Aber: Man liest wenig gutes! Der WireGuard Code in der FreeBSD soll miserabel sein.

https://www.golem.de/news/vpn-wireguard-landet-nach-grossen-problemen-neu-in-freebsd-2103-154981.html
und der neuere Code, der besser sein soll, hat es wohl noch nicht in die OPNSense geschafft.

Wie ist da Eure Meinung? Ich habe WireGuard in Betrieb seit ein paar Tagen und es läuft stabil und schnell. Ich verbinde OPNsense mit OPNsense und habe noch zwei Mikrotiks in der aktuellen 7.1beta6 Version mit eingebunden.

Sollte ich warten? Alles wieder zurück auf OpenVPN schalten, oder kann man Wireguard bereits benutzen?

Bin auf Eure Meinungen gespannt!

Grüße
August 03, 2021, 11:38:24 AM #1
Warum solltest Du WireGuard nicht benutzen können? Der problematische von Netgate gesponsorte Code war noch nie in OPNsense.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
August 03, 2021, 04:23:03 PM #2
Ah, okay! Ich dachte, der Code würde aus dem BSD Kernel kommen.

Sehe gerade, wer der Maintainer vom Plugin ist. :) Dann muss ich mir ja keine Sorgen machen.

Danke !
August 04, 2021, 11:25:22 AM #3
Quote from: pmhausen on August 03, 2021, 11:38:24 AM
Warum solltest Du WireGuard nicht benutzen können? Der problematische von Netgate gesponsorte Code war noch nie in OPNsense.

Zu meinem Verständnis: OPNsense basiert bis dato auf HardenedBSD, welches seinerseits auf FreeBSD basiert. In der kommenden Version will dann direkt auf FreeBSD 13 wechseln. [1]

In FreeBSD 13 hat man den betroffenen Code nun erst einmal wieder raus geworfen und der überarbeitete Code wird wohl nicht vor FreeBSD 13.1 seinen Weg in den Kernel finden. [2]

OPNsense baut in meinem Verständnis auf Betriebssystemen auf, die den in die Kritik geratenen NetGate Code im Kernel verwendet haben. Deiner Aussage nach kommt der betroffene Code aber in OPNsense gar nicht vor. Bedeutet dass, das WireGuard vom OPNsense Team in einer eigenen Implementierung bereitgestellt wird?

Im Repo finde ich nur Code zum Plugin, der die "Userland Tools für OPNsense" bereitstellt und auf die bekannten cli Tools wie "wg" zurückgreift. [3]

Ich bin nun etwas verwirrt, welche WireGuard Implementierung in OPNsense zum Einsatz kommt, wenn nicht die von FreeBSD/HardenedBSD ...

[1] https://www.heise.de/news/OPNsense-Firewall-21-7-Viele-Updates-und-Abschied-von-HardenedBSD-angekuendigt-6152845.html
[2] https://www.theregister.com/2021/03/23/freebsd_130_no_wireguard/
[3] https://github.com/opnsense/plugins/tree/master/net/wireguard
August 04, 2021, 02:02:38 PM #4
https://www.freshports.org/net/wireguard-kmod/

Ich vermute mal, dass WireGuard so schnell nicht wieder in den Kernel wandern wird durch den Einfluss von Netgate. Aber der Port funktioniert ja so oder so wunderbar.


Grüsse
Franco
August 04, 2021, 02:06:54 PM #5
Quote from: jaydabi on August 04, 2021, 11:25:22 AM
OPNsense baut in meinem Verständnis auf Betriebssystemen auf, die den in die Kritik geratenen NetGate Code im Kernel verwendet haben. Deiner Aussage nach kommt der betroffene Code aber in OPNsense gar nicht vor. Bedeutet dass, das WireGuard vom OPNsense Team in einer eigenen Implementierung bereitgestellt wird?
Nein, man hat vorher einfach die Userland-Implementierung WireGuard Go benutzt. Das Zeug muss doch nicht im Kernel laufen - tut OpenVPN ja auch nicht.

Und mittlerweile gibt es eine neue Clean-Room Kernel-Implementierung durch den WireGuard Autor selbst als Port - wie von Franco schon verlinkt.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
August 04, 2021, 02:08:18 PM #6
Quote from: franco on August 04, 2021, 02:02:38 PM
https://www.freshports.org/net/wireguard-kmod/

Ich vermute mal, dass WireGuard so schnell nicht wieder in den Kernel wandern wird durch den Einfluss von Netgate. Aber der Port funktioniert ja so oder so wunderbar.
Was meinst Du mit "nicht in den Kernel wandern"? Das Kmod ist im Kernel ;)
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
August 04, 2021, 02:20:04 PM #7
Ja, sprachlich schwierig: im Sinne von FreeBSD kernel (src anstatt ports).


Grüsse
Franco
August 04, 2021, 02:21:46 PM #8
Quote from: pmhausen on August 04, 2021, 02:06:54 PM
Nein, man hat vorher einfach die Userland-Implementierung WireGuard Go benutzt. Das Zeug muss doch nicht im Kernel laufen - tut OpenVPN ja auch nicht.

D.h. die aktuelle 21.7 läuft mit der WireGuard Go Implementierung?!
August 04, 2021, 02:41:21 PM #9
Es lief schon immer wireguard-go über das Plugin. Seit 2019.

Seit 2021 gibt es wireguard-kmod und wenn man das über die Installation bügelt wird es verwendet von wireguard-tools anstatt wireguard-go. Dies ist ein manueller Eingriff...


Grüsse
Franco
August 04, 2021, 06:52:06 PM #10
Gibt einige user hier, die WG-go nutzen, ich selbst auch, sehr stabil, keine Probleme.

Nur wenn die IP eines Endpunkts wechselt hilft nur ein Neustart auf der Gegenseite, da die IPs nur einmal (beim Verbindungsaufbau) aufgelöst werden.
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
August 05, 2021, 09:01:49 AM #11
Habt Dank für die Aufklärung 🙏
Print
Go Up Pages1
User actions