Wireguard auf OPNSense - gut oder besser lassen?

[Seb]

Hallo Forum,

ich spiele ein bisschen mit WireGuard VPN rum, da ich vor der Aufgabe stehe, ein paar Mikrotik Router per VPN an ein paar OPNSenses anzuschließen.

Wireguard gefällt mir gut, ist schlang und schnell.
Aber: Man liest wenig gutes! Der WireGuard Code in der FreeBSD soll miserabel sein.

https://www.golem.de/news/vpn-wireguard-landet-nach-grossen-problemen-neu-in-freebsd-2103-154981.html
und der neuere Code, der besser sein soll, hat es wohl noch nicht in die OPNSense geschafft.

Wie ist da Eure Meinung? Ich habe WireGuard in Betrieb seit ein paar Tagen und es läuft stabil und schnell. Ich verbinde OPNsense mit OPNsense und habe noch zwei Mikrotiks in der aktuellen 7.1beta6 Version mit eingebunden.

Sollte ich warten? Alles wieder zurück auf OpenVPN schalten, oder kann man Wireguard bereits benutzen?

Bin auf Eure Meinungen gespannt!

Grüße

[Patrick M. Hausen]

Warum solltest Du WireGuard nicht benutzen können? Der problematische von Netgate gesponsorte Code war noch nie in OPNsense.

[Seb]

Ah, okay! Ich dachte, der Code würde aus dem BSD Kernel kommen.

Sehe gerade, wer der Maintainer vom Plugin ist. Dann muss ich mir ja keine Sorgen machen.

Danke !

[jaydabi]

Warum solltest Du WireGuard nicht benutzen können? Der problematische von Netgate gesponsorte Code war noch nie in OPNsense.

Zu meinem Verständnis: OPNsense basiert bis dato auf HardenedBSD, welches seinerseits auf FreeBSD basiert. In der kommenden Version will dann direkt auf FreeBSD 13 wechseln. [1]

In FreeBSD 13 hat man den betroffenen Code nun erst einmal wieder raus geworfen und der überarbeitete Code wird wohl nicht vor FreeBSD 13.1 seinen Weg in den Kernel finden. [2]

OPNsense baut in meinem Verständnis auf Betriebssystemen auf, die den in die Kritik geratenen NetGate Code im Kernel verwendet haben. Deiner Aussage nach kommt der betroffene Code aber in OPNsense gar nicht vor. Bedeutet dass, das WireGuard vom OPNsense Team in einer eigenen Implementierung bereitgestellt wird?

Im Repo finde ich nur Code zum Plugin, der die "Userland Tools für OPNsense" bereitstellt und auf die bekannten cli Tools wie "wg" zurückgreift. [3]

Ich bin nun etwas verwirrt, welche WireGuard Implementierung in OPNsense zum Einsatz kommt, wenn nicht die von FreeBSD/HardenedBSD ...

[1] https://www.heise.de/news/OPNsense-Firewall-21-7-Viele-Updates-und-Abschied-von-HardenedBSD-angekuendigt-6152845.html
[2] https://www.theregister.com/2021/03/23/freebsd_130_no_wireguard/
[3] https://github.com/opnsense/plugins/tree/master/net/wireguard

[franco]

https://www.freshports.org/net/wireguard-kmod/

Ich vermute mal, dass WireGuard so schnell nicht wieder in den Kernel wandern wird durch den Einfluss von Netgate. Aber der Port funktioniert ja so oder so wunderbar.


Grüsse
Franco

[Patrick M. Hausen]

OPNsense baut in meinem Verständnis auf Betriebssystemen auf, die den in die Kritik geratenen NetGate Code im Kernel verwendet haben. Deiner Aussage nach kommt der betroffene Code aber in OPNsense gar nicht vor. Bedeutet dass, das WireGuard vom OPNsense Team in einer eigenen Implementierung bereitgestellt wird?

Nein, man hat vorher einfach die Userland-Implementierung WireGuard Go benutzt. Das Zeug muss doch nicht im Kernel laufen - tut OpenVPN ja auch nicht.

Und mittlerweile gibt es eine neue Clean-Room Kernel-Implementierung durch den WireGuard Autor selbst als Port - wie von Franco schon verlinkt.

[Patrick M. Hausen]

https://www.freshports.org/net/wireguard-kmod/

Ich vermute mal, dass WireGuard so schnell nicht wieder in den Kernel wandern wird durch den Einfluss von Netgate. Aber der Port funktioniert ja so oder so wunderbar.

Was meinst Du mit "nicht in den Kernel wandern"? Das Kmod ist im Kernel

[franco]

Ja, sprachlich schwierig: im Sinne von FreeBSD kernel (src anstatt ports).


Grüsse
Franco

[jaydabi]

Nein, man hat vorher einfach die Userland-Implementierung WireGuard Go benutzt. Das Zeug muss doch nicht im Kernel laufen - tut OpenVPN ja auch nicht.

D.h. die aktuelle 21.7 läuft mit der WireGuard Go Implementierung?!

[franco]

Es lief schon immer wireguard-go über das Plugin. Seit 2019.

Seit 2021 gibt es wireguard-kmod und wenn man das über die Installation bügelt wird es verwendet von wireguard-tools anstatt wireguard-go. Dies ist ein manueller Eingriff...


Grüsse
Franco

[chemlud]

Gibt einige user hier, die WG-go nutzen, ich selbst auch, sehr stabil, keine Probleme.

Nur wenn die IP eines Endpunkts wechselt hilft nur ein Neustart auf der Gegenseite, da die IPs nur einmal (beim Verbindungsaufbau) aufgelöst werden.

[jaydabi]

Habt Dank für die Aufklärung 🙏