Frage zu Widget für Wireguard

[mar_becker]

Hallo Franco,

ist vielleicht in naher Zukunft auch ein Widget für Wireguard in der Entwicklung? Wäre prima, wenn es neben Open-VPN und IPSec auch dieses Widget in der Lobby zur Verfügung steht und einfügen kann.
Am Rande:
Bis jetzt sind meine Erfahrungen mit Wireguard absolut positiv. Ich habe es schon seit fast einem Jahr implementiert und ich kann es nur absolut empfehlen. Es ist schnell, einfach einzurichten und bis jetzt sehr stabil.
In der Summe ein klasse VPN- GW.
Des Weiteren möchte ich hier der Community als Wireguard- Partner den VPN- Provider Mullvad wärmstens enpfehlen.
https://mullvad.net/de/
Keine Registrierung erforderlich und auch keine persönlichen Daten werden gespeichert. Absolut anonym und stabile, sichere Verbindungen.
Und das für 5 Euro im Monat.

Vielen Dank im Voraus für die Info.

Bleibt gesund und Grüße

Mario

[JeGr]

Zum Widget kann ich leider nichts sagen

--

Ich möchte den Dienst den du später empfiehlst nicht madig machen, daher bitte das Kommentar in richtigem Zusammenhang sehen. Aber mir sind in letzter Zeit so viele Crypto/VPN Posts aufgefallen, dass das mal raus muss:

Ein Dienstleister muss bezahlt werden, sonst kann er die Rechnungen nicht zahlen. Traffic und Server in Ländern zu unterhalten ist nicht gerade extrem billig. Gerade bei Anbietern (bezieht sich jetzt nicht auf Mullvad aber generell), die jeden Monat/Jahr/wasauchimmer wieder mit 80-90% Preisnachlässen werben und 5 Jahre oder noch mehr für komplette Nonsensekosten anbieten muss der gesunde Menschenverstand sagen "irgendwas passt da nicht".

Was mich bei der Auflistung aber eher getriggert hat ist "absolut anonym und stabile sichere Verbindungen". Über sicher kann man natürlich vortrefflich streiten. Aber absolute Anonymität gibt es nicht. Sonst hätten wir es hier mit Robotern zu tun. Bei einem Dienstleister arbeiten Menschen. Wie man bei anderen VPN Anbietern schon gesehen hatte, machen die Fehler oder die Mitarbeiter sind selbst das Datenleck. Und an der Stelle sollte man sich mal durch den Kopf gehen lassen: "Absolute Anonymität" für 5€/mtl. Und es wird natürlich nur eine Mailadresse o.ä. benötigt. Trotzdem schicke ich da - wenn ich das auf meiner Sense als Gateway einrichte - sämtlichen Traffic drüber! Und darüber bin ich nicht zu identifizieren? Doch natürlich, denn der Provider packt das ganze ja AUS und schickt es für mich ins Internet. Und spätestens dann kann ein Mitarbeiter den Traffic anzapfen oder sich an mein tun/tap/Wireguard Device beim Provider dranhängen und mitlesen.

Ja das ist in Schweden, da gibt es das gesetzlich nicht verankert etc etc. aber wie gesagt, man sollte sich schon sehr genau überlegen, wem man da was warum anvertraut und wofür überhaupt. VPNs machen durchaus Sinn und haben ihren Stand, gar keine Frage. Proxies umgehen, Zensur aushebeln, GeoIP etc. Völlig D'accord. Aber absolute Anonymität zweifle ich eben an, denn sollte DAS benötigt werden, weil ggf. dein Leben davon abhängt, dann überlegt man sich schon, ob ein 5€ Dienst das wirklich leisten kann.

Wie gesagt nicht falsch verstehen gegen diesen speziellen Dienst, sondern nur als Denkanstoß generell zum Hype alles via VPN über irgendwelche Provider zu schicken, weil ja die ISPs oder X oder Y sonst alles mitliest. Da sollte man schonmal vorher überlegen, ob das eigentlich Sinn macht, was man da tut und ob man wirklich einem Dienstleister für 3-4-5 Euro allen Traffic anvertraut oder ob es nicht sinnvollere Möglichkeiten zur Absicherung gibt

[mar_becker]

Hallo JeGr,

jetzt hast du aber ganz schön weit ausgeholt...
Natürlich hat jeder seine Meinung zu diesem Thema und auch seine Ansichten. Ich habe Mullvad ausgewählt, da es nicht viele Anbieter für Wireguard gibt. Absolute Sicherheit gibt es auch nicht, aber es ist immer noch besser, als sein gesamten Traffic im Klartext rauszuschicken. Mitlesen tun sie alle. Wenn nicht der Provider, dann die Amis oder sonstwer. Ich will es ihnen wenigstens nicht so einfach machen.
Was Mullvad von anderen Providern abhebt:
Ich muss mich weder mit Namen, Adresse usw. registrieren, noch eine Mailsadresse hinterlassen. Man bekommt einen Zahlencode bei der Buchung und das ist auch gleich der Login-Account. Mehr nicht...
Es gibt auch keine Rabatte und man bezahlt immer den gleichen monatlichen Preis. Egal, wie lange ich den Dienst buche. Des Weiteren kann man mit Paypal bezahlen und muss keine Kartendaten hinterlassen.
Aber ich will mal deinen letzten Satz aufgreifen:
Was ist denn für dich eine sinnvolle Absicherung deines Internet- Traffics?

[mar_becker]

Noch ein kleiner Nachtrag zum Thema "Anonymität"...

Ich habe mich natürlich über die diversen relevanten VPN- Providern erkundigt und hier die Angebote verglichen. Auch Vergleichstests gelesen, etc, etc...
Bei allen musste man erst ein  Konto eröffnen und hier seine Spuren hinterlassen. Teilweise wird der Traffic auch geloggt.

Ob Mullvad ein Logging hat, kann ich nicht beurteilen. Aber zumindest muss ich nicht komplett meine Hosen runterlassen, wenn ich den Dienst nutzen will und es gibt auch keine vertraglichen oder zeitlichen Verpflichtungen.

[mimugmail]

Widget kommt in nächster oder übernächster Version https://github.com/opnsense/plugins/pull/1865

[mar_becker]

Danke für die Info.

[JeGr]

> Absolute Sicherheit gibt es auch nicht, aber es ist immer noch besser, als sein gesamten Traffic im Klartext rauszuschicken. Mitlesen tun sie alle. Wenn nicht der Provider, dann die Amis oder sonstwer. Ich will es ihnen wenigstens nicht so einfach machen.

Aber genau das ist der Punkt. Man verschiebt damit - wie ich finde - die Sicherheit nur vom Einen zum Anderen. Man traut dem ISP ggf. nicht -> schick ich eben alles zum VPN Provider X. Aber was zum Geier macht den so viel Vertrauenswürdiger als den ISP? Oder die Betreiber der Server und des DNS Systems?

Da sind sich einige Größen der Branche natürlich uneins, aber sich massiv vor lauter privacy-panic zu zentralisieren ist eigentlich wenn man einmal in Ruhe drüber nachdenkt ziemlich kontraproduktiv. Einerseits sind wir alle für ein freies Netz und gegen irgendwelche Monopole. Doch vor lauter Panik, jemand könnte bspw. DNS Requests mitlesen unterwandern wir mit DoH komplette Infrastrukturen (und machen mehr Probleme ale wir beheben) oder tunneln dann einfach alles zu DoT fähigen Providern. Und dort landet dann wieder bei Google, Quad9 oder Cloudflare zentral alles an Requests, die es dann erstmal dorthin forwarden wo es eigentlich hin soll.
Gleiches Spiel bei "aller Traffic zum VPN Provider". Dort setze ich dann gleich alles auf eine Karte und sende allen meinen Traffic an einen Endpunkt. Das macht das tatsächliche Tapping der Leitung/Daten dann nur einfacher, denn man muss nur den Endpunkt "angreifen". Mache ich es einem Angreifer damit schwieriger? Muss jeder für sich beantworten, ich meine nicht. Denn "die USA/NSA liest mit"? Nation-state attacks - also richtig große Geschütze - denen ist die Firma egal. Da wird jemand eingeschleust, gekauft, bestochen, oder die Firma eingekauft mit Gag Order - irgendwas geht da sicher immer. Schlußendlich: wenn ich davon ausgehen muss, dass mein Traffic beobachtet wird oder nach mir gesucht wird, dann wird es entsprechende Anfragen an meinen ISP geben. DER kann zwar dann nichts lesen, sieht aber dasss alles nach bspw. Schweden läuft und dort bei der Firma X rauskommt -> nächster Schritt dann dort. Man schafft sich durch die ganzen VPN und Crypto Geschichten momentan wieder sehr harte Zentralisierung auf einige wenige Dienste/Anbieter und das halte ich fast für gefährlicher für ein freies Netz als dass jemand meinen DNS Salat mitlesen könnte

> Was ist denn für dich eine sinnvolle Absicherung deines Internet- Traffics?

Sehr viele Verbindungen - der überwiegende Teil? - ist heute dank dem Push Richtung HTTPS eh schon von Haus aus verschlüsselt. Gut, die Metadaten sind dann im Spiel, natürlich. Aber das Mitlesen per se ist erstmal heute schon wesentlich schwerer. Mit DoT steht auch was zur Verfügung, das DNS und Co unleserlich macht. Aber DoH bspw. halte ich für den völlig verkehrten Schritt. Eher hätte man IMHO pushen sollen, dass möglichst alle DNSe bspw. DoT oder eine Variante davon per default unterstützten und damit quasi fast alle Server verschlüsseltes DNS können. Im Stile von Mail hätte man dann einfach default DoT anfragen können und erst bei "geht nicht" auf normales DNS zurückfallen. Hätte aber am dezentralen Ansatz nichts gerüttelt und würde die Last und Verantwortung/Vertrauen auch nicht auf einige wenige (zumeist große) Anbieter verlagern, wie es jetzt geschieht.

Ansonsten hatte ich oben ja schon erwähnt, halte ich VPNs für nichts Schlechtes - für ihren Zweck. Aber generell einfach ohne wirklichen Grund und Not das generell auszurollen finde ich wie auch DoH und andere Crypto Initiativen falsch gedacht, weil das alles auf dem Rücken von wenigen zentralen Diensten abläuft. Dass einigen tollen Projekten bspw. schon die Lust und Luft (Geld) ausgegangen ist, das weiter zu betreiben, unterstreicht das IMHO nur umso mehr. Deshalb klar, einsetzen wenn/für was es sinnvoll ist, aber nicht in generellem Aktionismus sich abhängig von einigen wenigen Anbietern machen. Denn selbst die VPN Endpunkte sind oftmals ja auch wieder nur gemietete Cloudserver von den ganz Großen (selten dass da jemand eigenes Blech in Racks in zig Ländern betreut/betreuen will).

Was ich mache? Für manchen Geo-Kram VPNs in 2-3 Standorte. DNS über eigenen Server mit DoT. Deckt so zumindest Metadaten von DNS für ISP ab, die unleserlich sind. Und mein Server loggt meine Requests nicht Plugins und Kopf Nutzung beim Browser: Kram muss verschlüsselt sein. Browser nicht geschwätzig (Brave/andere statt Chrome etc.). Mail über Provider mit ordentlicher GPG Vollverschlüsselung. Gibt einige Gute Alternativen inzwischen. Tutanota, Protonmail, et al. Sich bewusst sein, wo/für was brauche oder will ich Privacy. Oder muss ich Security haben? Geht es um mein Sicherheitsgefühl? Mein "ich will das Privat haben"? Oder hängt von irgendwas Leben ab? Je nachdem sind einzelne Punkte einfacher oder schwerwiegender zu bewerten (Bspw. Maslowsche Bedürfnispyramide zur Einordnung genannt).

Das ist jetzt aber schon sehr Meta, natürlich Darum noch was Leichteres zum Schluß: ich fand zum Thema VPN das Video von Tom Scott sehr gut und auf den Punkt.
https://www.youtube.com/watch?v=WVDQEoe6ZWY

Vor allem mit der Denkaufgabe: Wenn ich ein "Angreifer" wäre und wüsste, dass meine "Kundschaft" paranoid ist und auf Sicherheit abfährt - wäre der genialste Clou nicht der, wenn ich selbst ein super-sicheres VPN anbiete? Mit allen Bells'n'whistles auf die man abfährt? Und mit einem Data-Tap dann fleißig Daten abgreife und auswerte ohne dass das jemand mitbekommt (wie soll man auch)? Schmunzelt man kurz drüber - bis einem auffällt... Hmm am De-Cix war das doch mit dem BND fast genauso...