Software-update: OpenVPN 2.6.1

OpenVPN logo (79 pix) OpenVPN is een robuuste en gemakkelijk in te stellen opensource-vpn-daemon waarmee verschillende private netwerken aan elkaar geknoopt kunnen worden via een versleutelde tunnel over het internet. Voor de beveiliging wordt gebruikgemaakt van de OpenSSL-library, waarmee alle encryptie, authenticatie en certificatie kunnen worden afgehandeld. De ontwikkelaars hebben versie 2.6.1 uitgebracht en de changelog voor die uitgave kan hieronder worden gevonden.

New features
  • Dynamic TLS Crypt When both peers are OpenVPN 2.6.1+, OpenVPN will dynamically create a tls-crypt key that is used for renegotiation. This ensure that only the previously authenticated peer can do trigger renegotiation and complete renegotiations.
  • CryptoAPI (Windows): support issuer name as a selector. Certificate selection string can now specify a partial issuer name string as "--cryptoapicert ISSUER:" where is matched as a substring of the issuer (CA) name in the certificate.
User visible changes
  • on crypto initialization, move old "quite verbose" messages to --verb 4 and only print a more compact summary about crypto and timing parameters by default
  • configure now enables DCO build by default on FreeBSD and Linux, which brings in a default dependency for libnl-genl (for Linux distributions that are too old to have this library, use "configure --disable-dco")
  • make "configure --help" output more consistent
  • CryptoAPI (Windows): remove support code for OpenSSL before 3.0.1 (this will not affect official OpenVPN for Windows installers, as they will always be built with OpenSSL 3.0.x)
  • CryptoAPI (Windows): log the selected certificate's name
  • "configure" now uses "subdir-objects", for automake >= 1.16 (less warnings for recent-enough automake versions, will change the way .o files are created)
Bugfixes / minor improvements
  • fixed old IPv6 ifconfig race condition for FreeBSD 12.4 (trac #1226)
  • fix compile-time breakage related to DCO defines on FreeBSD 14
  • enforce minimum packet size for "--fragment" (avoid division by zero)
  • some alignment fixes to avoid unaligned memory accesses, which will bring problems on some architectures (Sparc64, some ARM versions) - found by USAN clang checker
  • windows source code fixes to reduce number of compile time warnings (eventual goal is to be able to compile with -Werror on MinGW), mostly related to signed/unsigned char * conversions, printf() format specifiers and unused variables.
  • avoid endless loop on logging with --management + --verb 6+
  • build (but not run) unit tests on MinGW cross compiles, and run them when building with GitHub Actions.
  • add unit test for parts of cryptoapi.c
  • add debug logging to help with diagnosing windows driver selection
  • disable DCO if proxy config is set via management interface
  • do not crash on Android if run without --management
  • improve documentation about cipher negotiation and OpenVPN3
  • for x86 windows builds, use proper calling conventions for dco-win (__stdcall)
  • differentiate "dhcp-option ..." options into "needs an interface with true DHCP service" (tap-windows) and "can also be installed by IPAPI or service, and can be used on non-DHCP interfaces" (wintun, dco-win)
  • windows interactive service: fix possible double-free if "--block-dns" installation fails due to "security products" interfering (Github #232)
  • "make dist": package ovpn_dco_freebsd.h to permit building from tarballs on FreeBSD 14

OpenVPN

Versienummer 2.6.1
Releasestatus Final
Besturingssystemen Windows 7, Linux, BSD, macOS, Solaris, Windows Server 2008, Windows Server 2012, Windows 8, Windows 10, Windows Server 2016, Windows Server 2019, Windows 11
Website OpenVPN
Download https://openvpn.net/community-downloads
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

Feedback • 10-03-2023 10:2364

10-03-2023 • 10:23

64 Linkedin

Bron: OpenVPN

Update-historie

12-05 OpenVPN 2.6.4 31
14-04 OpenVPN 2.6.3 3
24-03 OpenVPN 2.6.2 6
10-03 OpenVPN 2.6.1 64
28-01 OpenVPN 2.6.0 13
29-10 OpenVPN 2.5.8 7
05-'22 OpenVPN 2.5.7 17
03-'22 OpenVPN 2.5.6 10
12-'21 OpenVPN 2.5.5 22
10-'21 OpenVPN 2.5.4 2
Meer historie

Lees meer

OpenVPN

geen prijs bekend

System en netwerk utilities

Reacties (64)

-Moderatie-faq
64
64
36
0
0
8
Wijzig sortering
BugBoy
10 maart 2023 11:13
Voor iedereen die een wat lichter en eenvoudiger VPN zoekt kan ik Wireguard aanraden. Voor huis, tuin en keuken gebruik is https://hub.docker.com/r/weejewel/wg-easy een handige om snel mee van start te gaan. Grootste voordeel is dat het via UDP werkt en o.a. daardoor een stuk sneller is.

Ook voor de telefoon zijn er goede clients beschikbaar. Mijn telefoon (iPhone) verbind nu automatisch via de thuis VPN als deze via 4G of andere WIFI netwerken verbind. Zo lijkt het alsof ik altijd "thuis" ben op mijn telefoon en ook alle interne diensten kan benaderen.

UDP is ook een nadeel, want je kan het niet via TCP poort 443 draaien. Sommige bedrijven staan alleen uitgaande verbindingen toe over TCP 80/443 en dan gaat Wireguard niet werken. Om die reden draai ik thuis zowel OpenVPN als Wireguard.
NimRod1337
@BugBoy10 maart 2023 11:38
Sneller dan openvpn wireguard, welke cijfers heb je daarbij? En als je dan toch 2 instances moet draaien wegens upd only is het dan echt zo'n groot voordeel?
Hans C
@NimRod133710 maart 2023 11:42
Bij Private Internet Access heb ik via Wireguard een download van ongeveer 60 mb/s tegenover 30 mb/s via Open VPN
NimRod1337
@Hans C10 maart 2023 11:43
Maar ja, als je slechts 50/50 naar buiten kunt op publieke wifi netwerken.. 443 TCP (HTTPS poort) werkt altijd.
Hans C
@NimRod133710 maart 2023 11:48
Ik geef op wat het snelheidsverschil voor mij is. Niets meer, niets minder. Verder heb ik zelf nog geen verbindingsproblemen gehad
NimRod1337
@Hans C10 maart 2023 11:51
30 Mbit is toch prima als je ergens buiten bent? Dat je nog geen verbindingsproblemen hebt gehad zegt mij dat je het niet vaak gebruikt buiten de deur, of vaak op dezelfde plek.
lenwar
@NimRod133710 maart 2023 12:19
Nou ja. Je vroeg om het snelheidsverschil. Dat gaf hij.
WireGuard is als protocol gewoon veel sneller dan OpenVPN. Dat staat los van of het UDP/TCP of buiten die laag van netwerk-stack functioneert. Het is sneller. Of je die snelheid nodig hebt staat daar toch los van de vraag toch?
Maar inderdaad. 30Mbit voor een verbinding richting huis zou volgens mij in de praktijk meer dan voldoende moeten zijn voor dagelijks gebruik. (( Ik moet zeggen dat ik overigens die 30Mbit nooit gehaald met OpenVPN, maar het is dan ook weer heel lang geleden dat ik het heb gebruikt ))

WireGuard is in de praktijk weinig meer dan een protocol (en ze bieden wat managementtooltjes aan). OpenVPN is een veel completer product. Het heeft naast hun eigen protocol een PKI, het kan ook op TCP, wat, zoals je al aangaf vaker open staat op publieke netwerken enzovoorts, het heeft allerlei management software ter beschikking, waarmee je de clients kan beheren enz, enz, enz.

Als je dat alles echter niet nodig hebt voor je gebruik, dan is denk ik WireGuard een betere oplossing voor iemand, omdat het dan domweg sneller is. Als WireGuard onvoldoende functionaliteit aanbiedt, dan is OpenVPN een goede keuze, al lever je dan in op snelheid.

N.B. Ik heb buiten de deur standaard een WireGuard tunnel 'van m'n telefoon naar huis' open staan. Ik heb eigenlijk nooit verbindingsproblemen. Nou ben ik buiten de deur natuurlijk niet continu bezig met m'n telefoon, dus mogelijk stotter het zo nu en dan, maar daar loop ik dan in de praktijk niet tegen aan.
Maar goed. Dat ben ik. Slechts één voorbeeld.
digibaro
@lenwar10 maart 2023 15:41
Ik kan met OpenVPN 300 Mbps halen richting NordVPN met een i5 met 20% CPU belasting. Ik begrijp dat Wireguard efficienter is maar wordt OpenVPN niet slechter voorgesteld dan het is, plus noodzakelijke appels/peren qua toegepaste encryptie suit?
lenwar
@digibaro10 maart 2023 16:23
plus noodzakelijke appels/peren qua toegepaste encryptie suit?
Dit in elk geval niet. Beiden gebruiken hoogwaardige ciphersuites.die als 'veilig' worden bestempeld. Als we het anders zouden benaderen, dan zouden we vrijwel niets kunnen vergelijken omdat niet alles helemaal identiek is qua specificaties.
Ik kan met OpenVPN 300 Mbps halen richting NordVPN met een i5 met 20% CPU belasting.
Ik vind de CPU-belasting moeilijk om te bepalen of dat wel of niet goed is. Het voelt als best een boel, maar ik zou dan ook niet weten wat de belasting is met WireGuard op een dergelijk systeem met dezelfde test. (ik heb een Wireguard instance op m'n router staan en op een VPS en die zo in m'n LAN getrokken als het ware).
Bij mij is m'n router-CPU echt de bottleneck. Dat weet ik (die trek ik vrij makkelijk helemaal vol als ik wil)

Ik heb in het verleden best een boel gespeeld met OpenVPN en er heel gretig gebruik van gemaakt. Ik heb het alleen nooit 'snel' kunnen krijgen. (ik heb geen idee meer wat de waardes waren hoor. Het is echt meer dan twintig jaar geleden.)
Omdat ik nooit echt tevreden was over OpenVPN, ging ik dus kijken naar WireGuard. Het performanceverschil was echt idioot. Het had helemaal niks met elkaar te maken. Ik draaide toen de 'beta-versies' van WireGuard, dus toen ze nog niet in de Linux kernel waren opgenomen. (je moest dus zelf de kernelmodule compileren). Wat mij ook opviel was hoe simpel het te configureren was. Dat was echt 5 minuten werk en draaien. Ik kan me van vroeger herinneren dat ik echt zat te klootviolen met OpenVPN (maar ik geloof direct dat dat (ook) aan mij lag hoor. Ik was er toen nog niet heel erg in thuis)
maar wordt OpenVPN niet slechter voorgesteld dan het is
Volgens mij stelt niemand hier in de reacties dat OpenVPN een slecht product is. Mocht iemand dat wel dan zal ik ze zeker tegenspreken. OpenVPN is een veel completer product dan WireGuard is. Het heeft een veel en veel bredere featureset (remote management van clients, key rotations, enz, enz, enz). Alleen is die featureset wat mij betreft voornamelijk handig voor het bedrijfsleven. Niet voor particulier gebruik (en dan bedoel ik niet hobbymatig, want dan is de sky de limit natuurlijk. Hoe geinig is het om een eigen PKI te hebben voor je VPN clients!! #tweakerhartgaatharderbonken)

Als ik het gewoon puur heb over platte performance, dan is WireGuard gewoon het betere product. Als je meer features nodig hebt dan WireGuard aanbiedt, dan is OpenVPN zeker een zeer goed product.
NimRod1337
@lenwar10 maart 2023 12:25
Ik vroeg als eerste biedt WG zo'n groot snelheidsvoordeel dat je 2 vpn instances moet/wilt draaien? 30 Mbit is snel zat buiten de deur, dus antwoord voor mij is nee, en dus staat dat niet los van de vraag.
NielsFL
@NimRod133710 maart 2023 12:30
Dat lost zich vanzelf op. Dankzij HTTP3/QUIC werkt 443/UDP ook op steeds meer plekken.
NimRod1337
@NielsFL10 maart 2023 12:34
Ik begrijp het inderdaad, thanks wist ik nog niet.
Madshark
@Hans C10 maart 2023 11:50
Dat ligt eerder aan PIA dan aan het protocol.
Hier haal ik ongeveer netto 450mbit met zowel OpenVPN als Wireguard vanaf een Linux cliënt (500/500 internet) naar mijn Untangle FW router (1000/1000 internet).
dog4life
@Madshark10 maart 2023 12:03
Heel goed. Ik merk zelf dat OpenVPN een aanslag op de processor is (1 core 2Ghz op mijn N5105 toegewezen, die gaat al gauw richting de 100%). Met Wireguard is dat een stuk minder, zodoende haal ik hogere snelheden. Hetzelfde zag ik terug met OpenVPN/Wireguard via Surfshark: wireguard is vele malen sneller.
OpenVPN ondersteunt ook UDP, dus daarvoor zou je niet over hoeven te schakelen. Wireguard is echter wat lichter qua systeemeisen, dat is best wel een pré als je het zelf wilt draaien en geen quadruple hexagon Xeon hebt.

Zelf ben ik inmiddels volledig van VPN's af mbt remote access naar huis, ik hou er niet van om poorten op mijn thuis-WAN te exposen. Zodoende gebruik ik de 1^4 tunnel van Cloudflare, dat werkt perfect om af en toe (of altijd for that matter..) op mijn thuisnetwerk in te loggen.
NimRod1337
@dog4life10 maart 2023 12:09
Is wel een goeie inderdaad, je runt lokaal een Cloudflare Docker container van wat ik er van begrijp?

https://www.youtube.com/watch?v=ZvIdFs3M5ic
https://www.crosstalksolu...dflare-tunnel-easy-setup/

Als je lokaal toch 443 al open hebt staan kun je ook SSLH gebruiken om deze poort voor vpn gebruik te multiplexen.

[Reactie gewijzigd door NimRod1337 op 10 maart 2023 12:11]

The Zep Man
@NimRod133710 maart 2023 14:02
Als je lokaal toch 443 al open hebt staan kun je ook SSLH gebruiken om deze poort voor vpn gebruik te multiplexen.
Dat kan ook met bijvoorbeeld HAProxy. HAProxy heeft ook ondersteuning voor Proxy Protocol, waarmee het mogelijk wordt voor ondersteunende backend services om alsnog het daadwerkelijke client IP te weten, zonder extra informatie aan het gebruikte (mogelijk versleutelde en voor HAProxy niet inzichtelijke) protocol toe te voegen.

[Reactie gewijzigd door The Zep Man op 10 maart 2023 15:15]

JaDatIsPeter
@The Zep Man10 maart 2023 14:21
Interessant! Hier loop ik tegenaan bij gebruik van de port-share optie in openvpn.
The Zep Man
@JaDatIsPeter10 maart 2023 14:32
Een ander voordeel van het gebruik van HAProxy als frontend en je webserver(s) en OpenVPN server als backend, is dat het verbinden naar je webservers een stuk vlotter zal gaan. De genoemde OpenVPN-functie in OpenVPN is nogal traag met het doorzetten van de initiële verbinding wanneer een browser verbindt met een achterliggende webserver.

[Reactie gewijzigd door The Zep Man op 11 maart 2023 07:03]

NimRod1337
@The Zep Man10 maart 2023 14:09
Goeie, wist ik. En ik denk dat Apache en Nginx het ook wel kunnen, maar SSLH had wat minder config nodig voor dezelfde setup. Maar ik ga eens mee testen, want dat laatste wat je noemt biedt wel voordelen.
dog4life
@NimRod133710 maart 2023 14:31
Bijna - ik heb proxmox draaien om een odroid H3, met daarin een VM met wat docker containers. Nu heeft de N5105 Celeron wat issues, waardoor crashes optreden (linuxclient zowel baremetal als VM). Bekend issue op o.a. het proxmox forum, met vooralsnog niet echt een oplossing.

Ik heb dan ook de Cloudflare tunnel als systemd service op de proxmox host draaien, die is de afgelopen maanden niet vastgelopen. Zo kan ik eventueel mijn vastgelopen VM(s) remote herstarten.
Mocht het ooit stabiel worden, dan zal ik hem inderdaad in een VM draaien (ofwel als systemd service, ofwel als docker container. Ben nog niet overtuigd van LXC containers onder proxmox maar dat staat los van deze discussie :))

De andere optie was overigens de OpenVPN server op mijn Netgear Orbi router gebruiken. Maar ook dan moet ik een poort openzetten en ben ik afhankelijk van het updatebeleid van Netgear.

De Cloudflare tunnel is overigens volledig gratis, aanrader!
_JGC_
@dog4life10 maart 2023 12:18
Performance van OpenVPN hangt vnml af van de gebruikte cipher. Als jij een AES-GCM cipher gebruikt met die Celeron kan je het gros van de encryptie load af laten handelen via AESNI. Nieuwe versies van OpenVPN pakken een AES-GCM cipher, oudere versies gebruiken nog AES-CBC welke veel minder goed te offloaden zijn.
Wireguard gebruikt ChaCha20-Poly1305 wat een stuk simpeler is dan AES. Als je geen fatsoenlijke offloading hebt is Wireguard daardoor sowieso een stuk sneller.
NielsFL
@_JGC_10 maart 2023 12:37
Doet mij denken aan een VPN provider die jarenlang een "Router Pro" abonnement verkocht (voor goedkope Wi-Fi routers, destijds vrijwel altijd zonder AES off-loading). Daarbij zetten ze de encryptie van OpenVPN uit en vervingen ze dit door ROT13. Military grade, dat dan weer wel :+
The Zep Man
@NielsFL10 maart 2023 13:03
Daarbij zetten ze de encryptie van OpenVPN uit en vervingen ze dit door ROT13. Military grade, dat dan weer wel :+
Je kan met ROT13 ook het oneven aantal versleutelingsrondes vergroten. Nog veiliger. Wel natuurlijk hetzelfde aantal rondes gebruiken om de gegevens weer inzichtelijk te maken. ;)

[Reactie gewijzigd door The Zep Man op 10 maart 2023 13:05]

digibaro
@Hans C10 maart 2023 12:21
Ik heb een VPN naar een VPN provider staan en met OpenVPN kan ik 200/300 Mbps halen met een Intel i5 firewall met CPU load van 20%. Denk dat de VPN provider of mijn ISP de bottleneck is.
djwice
@NimRod133710 maart 2023 11:56
UDP support is noodzakelijk voor een HTTP/3 verbinding.
Onder HTTP/3 heeft een reconnect geen tcp-roundtrip nodig en de handshake voor de opbouw van de eerste connectie is sneller dan bij traditioneel TCP.
Ook is de overhead verminderd t.o.v. HTTP/2.

[Reactie gewijzigd door djwice op 10 maart 2023 11:58]

NimRod1337
@djwice10 maart 2023 11:58
Thanks til :)

[Reactie gewijzigd door NimRod1337 op 10 maart 2023 12:31]

Lohengrin
@NimRod133710 maart 2023 21:18
https://nira.com/wireguard-vs-openvpn/
digibaro
@BugBoy10 maart 2023 11:32
Wordt 2FA ondersteund in wireguard?

Ik vind het persoonlijk een beetje te basis met configuratie bestanden en alleen private/public key uitwisseling. Tevens is bij mij Ziggo Upload de beperkende factor en niet techniek van de VPN software.
Wouterie
@digibaro10 maart 2023 11:43
Niet out-of-the-box. Je zou bijvoorbeeld Tailscale kunnen gebruiken.
Sandburger
@Wouterie10 maart 2023 12:40
Echt een super oplossing imho
Jerie
@Sandburger10 maart 2023 16:52
Zeker, helaas aardig wat kwetsbaarheden ingezeten de afgelopen tijd. Maar die worden ook weer snel opgelost, dat dan weer wel. Afhankelijkheid van Google mbt inloggen vond ik ook een nadeel, en natuurlijk dat de C&C server bij Tailscale draait kan een nadeel zijn. Al is er ook Headscale.
Sandburger
@Jerie10 maart 2023 17:09
Ik vind het wel en fijne oplossing. Ik weet alleen niet qua security wat verstandig is, hun de beveiliging laten regelen of het zelf elke keer te moeten updaten.
Het leek mij een fijne relatief veilige oplossing om zonder poorten open te zetten toch een vpn verbinding te maken.
valhalla77
@digibaro10 maart 2023 12:25
Wireguard is een protocol only. Alles wat met authentication of andere features (QR codes voor makkelijker public keys in te voeren) zal in een client gebouwd moeten worden.

Dit is ook de reden waarom wireguard qua code vele malen kleiner is dan OpenVPN, omdat OpenVPN een hele boel features built-in heeft. Ook een voordeel is dat OpenVPN obscurity functies hebben om het verkeer te laten lijken als normaal https verkeer. Dit is by default in wireguard niet het geval.

Doordat wireguard zo compact is, moderne crypto ciphers gebruikt is het ook ideaal om op low power devices(telefoons) goed te draaien zonder dat je overmatige drain hebt zonder performance hit. google maar eens voor iperf vergelijkingen tussen openVPN en wireguard.

Al met al hebben beide een bestaansrecht en is het afhankelijk van je usecase wat het beste is om te gebruiken.

[Reactie gewijzigd door valhalla77 op 10 maart 2023 12:30]

lenwar
@digibaro10 maart 2023 15:18
In het simpel nee. Dat zit niet in de tooling.

Bij WireGuard heb je inderdaad slechts dat beide kanten een public key van elkaar moeten hebben en zelf dus hun private key.
Bij WireGuard heb je overigens ook niet echt een server of een cliënt. Het is altijd peer to peer en iedere peer kan eventueel routeringstabellen toepassen afhankelijk van of de kernel de betreffende routeringstabellen ondersteund.

Om dus een verbinding te maken moeten beide kanten logischerwijs van elkaar af weten. De authenticatie is dus niet zo zeer op gebruiker maar puur op sleutel.
Met die opzet is het niet mogelijk om MFA op te zetten op een logische manier.
Hooguit met een obscure methode dat de public key één deel van versleuteling doet en de MFA-token het tweede deel, maar dat is cryptografisch niet handig. Of anders gaat het niet meer worden dan iets voor de vorm dat potentieel omzeilt kan worden (zoals TOTP)
TommieW
@BugBoy10 maart 2023 11:44
Grootste voordeel is dat het via UDP werkt en o.a. daardoor een stuk sneller is.
Hoe is dat een voordeel voor Wireguard? OpenVPN kan je over zowel TCP als UDP laten gaan. Afhankelijk van je situatie kan je een van beide kiezen.
NielsFL
@TommieW10 maart 2023 14:55
OpenVPN kan het allebei, maar je moet inderdaad handmatig kiezen. Het schakelt niet automatisch over op TCP wanneer UDP niet werkt.

Wil je dat wel automatisch doen, dan kun je kijken naar openconnect icm ocserv. Die gebruiken TCP voor de initiele verbinding en schakelen vervolgens een UDP kanaal bij voor performance. Als dat laatste mislukt blijft alles gewoon over de TCP verbinding lopen.
lvmeijer
@NielsFL10 maart 2023 16:24
Dat het maken van een WireGuard-verbinding minder dan een seconde duurt is heel fijn.
Jack Flushell
@TommieW10 maart 2023 14:41
UDP is "shoot and forget". Er is geen bevestiging nodig of een pakketje ook is aangekomen zoals bij TCP. Dat maakt het sneller (en iets onbetrouwbaarder, maar dat valt in de praktijk bij dit soort toepassingen heel erg mee). Zie ook dit artikel. Daarnaast wordt met het "verlies van pakketjes" rekening gehouden in de software: de verbinding valt niet zomaar weg. Overigens werkt OpenVPN ook gewoon met UDP (maar TCP ook).

De reden dat WireGuard wat sneller is, is vooral: het hele protocol is wat meer lichtgewicht (veel minder code ook), zie dit artikel. WireGuard is in veel opzichten eenvoudiger (werkt met key-encryption ipv certificaten) op te zetten en te onderhouden.

[Reactie gewijzigd door Jack Flushell op 10 maart 2023 14:49]

Rolfie
@BugBoy10 maart 2023 12:06
Standaard gebruikt OpenVPN ook UDP.
BugBoy
@Rolfie10 maart 2023 14:24
Je hebt helemaal gelijk. Ik ben onderhand zo gewend om OpenVPN als "back-up" te gebruiken dat ik het UTP verhaal helemaal was vergeten. Maar ook dan is Wireguard vaak nog wat sneller omdat het geen handshake nodig heeft. Dat heeft ook nadelen, want soms werkt het niet (bijv. poorten dicht) en dan krijg je de tunnel wel up, maar er komt niks door...
Rolfie
@BugBoy10 maart 2023 18:18
Vreemde port is inderdaad zeker een probleem. Ik zou dit type VPN bij geen enkele klant kunnen maken, terwijl OpenVPN, IPSEC op TCP443 (OpenVPN) wel toegestaan is.

Authenticatie is ook nog wel een dingetje bij Wireguard.

Sneller en lichter is het zeker inderdaad.
bucovaina89
@BugBoy10 maart 2023 12:08
Ik draai ook Wireguard tot zéér grote tevredenheid. Nog een toevoeging op jouw post:

Ook op Android, macOS, Windows en uiteraard ook Linux clients werkt Wireguard goed. UDP heeft ook voordelen dat het stateless is. De VPN blijft gewoon "up" ook al switch je tussen 4G/WiFi. Het lijkt dus idd zoals je zegt perfect alsof je thuis op de WiFi zit (buiten dan mDNS/Avahi/Bonjour).

De CPU overhead is verwaarloosbaar. Ik heb Wireguard in een LXC container draaien in Proxmox op een oude (i5) laptop en op een RPI4. Zelfs als ik een grote file transfereert, zie je dat amper aan het CPU-gebruik. Toppie!

Ik draai geen OpenVPN dus de vergelijking met CPU kan ik niet maken.
Jerie
@BugBoy10 maart 2023 16:45
Voor iedereen die een wat lichter en eenvoudiger VPN zoekt kan ik Wireguard aanraden. Voor huis, tuin en keuken gebruik is https://hub.docker.com/r/weejewel/wg-easy een handige om snel mee van start te gaan. Grootste voordeel is dat het via UDP werkt en o.a. daardoor een stuk sneller is.
Dan heb ik weer iets meer vertrouwen in Tailscale dan in een random binary draaien van 'weejewel' met als dependancy Docker.

Het komt trouwens niet door UDP dat Wireguard sneller is; IPsec maakt gebruik van TCP. Ook is sneller nogal vaag. Wireguard heeft drie voordelen: 1) de throughput is hoger (dan OpenVPN, IPsec heeft dezelfde throughput maar is veel complexer) 2) de latency is lager dan OpenVPN 3) de authenticatie gaat sneller (met name interessant bij sleep/suspend en roaming).
Ook voor de telefoon zijn er goede clients beschikbaar. Mijn telefoon (iPhone) verbind nu automatisch via de thuis VPN als deze via 4G of andere WIFI netwerken verbind. Zo lijkt het alsof ik altijd "thuis" ben op mijn telefoon en ook alle interne diensten kan benaderen.
Wat ook je telefoon en andere clients die Wireguard gebruiken een zeer interessant object maakt om je thuisnetwerk aan te vallen. Dat dan weer wel. Ik denk dat je dit standaard niet moet willen. Daarom gebruik ik voor mijn always-on Wireguard een andere routing (VLAN), waarbij men niet bij mijn thuisnetwerk kan maar wel via mijn thuisnetwerk verbinding krijgt (inclusief Pi-Hole).
UDP is ook een nadeel, want je kan het niet via TCP poort 443 draaien. Sommige bedrijven staan alleen uitgaande verbindingen toe over TCP 80/443 en dan gaat Wireguard niet werken.
Dergelijke crippled netwerken zou ik simpelweg niet gebruiken. Voor zo'n werkgever zou ik niet willen werken.
batjes
@BugBoy10 maart 2023 11:44
Ervaring met Wireguard op een RasPi 4 toevallig?
idef1x
@batjes10 maart 2023 12:00
werkt prima op debian/bullseye (Raspberrypi OS). Ik gebruik de 64 bit versie
batjes
@idef1x10 maart 2023 12:09
Cool, ook bij veel bandbreedte gebruik? Ik weet niet hoe snel die 4 kleine cores tegen hun limiet aanlopen.
Jerie
@batjes10 maart 2023 16:48
Ik gebruik het op een MIPS (die in de EdgeRouter-Lite zit), en die saturate netjes 1 gbit op alle ports. Throughput en latency hoef je je bij Wireguard geen zorgen om te maken.
RaZer0r
@batjes10 maart 2023 15:42
Ik trek makkelijk 100/100 op mijn rpi van DK naar BE (100/100 is mijn limiet in DK) geen enkel probleem ;)
batjes
@RaZer0r10 maart 2023 16:30
nice, thx.
zaadstra
@batjes10 maart 2023 18:40
Moet makkelijk lukken want hier een Pi2 in gebruik, en niks te klagen.

Snel opgezet met PiVPN.
Houten klomp
10 maart 2023 11:40
Zowel OpenVPN als Wireguard klinken interessant.
Ben helemaal klaar met NordVPN; niet willen opstarten en de PC moeten herstarten. Soms is VPN uitgeschakeld ondanks mijn kill-switch (en dan kan ik nog steeds op internet), spam van Nord enz.
NimRod1337
@Houten klomp10 maart 2023 11:53
Maar let wel, je eigen VPN is een totaal andere use case dan die van Nord VPN.
Zwelgje
@Houten klomp10 maart 2023 11:46
waarom gebruik je nog een VPN? (serieuze vraag) ja er zijn redenen maar jan modaal heeft het niet nodig, ook niet op public wifi

check dit anders even: https://www.youtube.com/watch?v=WVDQEoe6ZWY
lenwar
@Zwelgje10 maart 2023 13:57
Ja, die blijft briljant
*beeep* VPN: The best option for gay people, pirates, assassins and gay pirate assassins :)

Maar goed.
Je filmpje geeft zelf al aan waarom iemand een VPN zou willen gebruiken. Om te voorkomen dat de netwerkprovider wat je doet/zoekt/enzovoorts. Dat hoeft helemaal niets illegaals te zijn, maar allicht wil je gewoon niet dat je school/winkelcentrum/camping/enz allemaal op internet doet.
Dat zijn gewoon legitieme redenen wat mij betreft. Ik doe er zelf niet aan, maar ik snap dat er mensen zijn die dit wel belangrijk vinden.
dragnar12
@Zwelgje10 maart 2023 14:02
Privacy.
Data verzameling voor alles wat ik doe en waar ik na toe ga is op dit moment niet gevaarlijk voor mij.
Maar voor de tijd van Hitler was het opslaan van je relegie in een locale bestand in Nederland ook niet gevaarlijk.
Tot Hitler Nederland binnen viel.
Die ging in het bestand zoeken en HOP elke jood in Nederland met locatie enz.

Ook is het handig om geo blocking to omzeilen
lenwar
@dragnar1210 maart 2023 19:16
En nu is het nog makkelijker. Alle data bij een handje vol VPN-providers. Ze ‘zeggen’ niet te loggen (en dat zal best kloppen). Maar ze zeggen niks over dat kastje wat ze van de lokale overheid in hun netwerk moeten zetten. Of die ene omgekochte medewerker die toch de logging aan zet voor die paar gebruikers, enz.

Je kiest onder aan de streep je duivel.
Wie vertrouw je meer. Een Nederlands bedrijf die onder Nederlandse wetgeving valt en een Nederlands commercieel belang heeft om jou blij te houden? Of een één of ander Amerikaans bedrijf dat onder weet ik veel welk paranoia-act alsnog een feed naar de lokale spionageveiligheidsdienst moet loggen.
dragnar12
@lenwar10 maart 2023 20:16
er zijn bepaalde VPN waar je geen gegevens achter laat ( behalve als je het zelf doet )
Je stuurt contant geld op met een code and that's it.
Geen login gegevens geen accounts nix niet.
bytemaster460
@lenwar11 maart 2023 12:57
VPN providers moeten meewerken aan gerechtelijke bevelen. Zodra er een gerechtelijk bevel ligt moeten ze meewerken aan het loggen van bijv. een bepaalde gebruiker. Het is niet dat overheidsapparatuur bij een provider full time alsnog alles logt en naar de overheid doorstuurt.
CaptainKansloos
@Zwelgje10 maart 2023 14:05
Voor secure access naar je thuis netwerk zodat je een NAS oid kunt benaderen. Of bv om IP TV te kunnen kijken van je 'thuisprovider' op een vakantie adres, als deze bv een IP filter gebruikt. Ik weet eerlijk gezegd niet of dat nog vaak het geval is, maar toch. Toegegeven, dat is niet persé Jan Modaal maybe, maar wel knetter handig.

Die video van Tom Scott heeft de tand des tijds niet zo best doorstaan, omdat:
1) In recentere video's hij zelf VPN's aanprijst, hoewel de insteek daar vooral is dat als je geografische internetlocatie veranderd (lees; je lijkt uit een ander land te komen) dat dat zoekresultaten en boekings kosten kan drukken.
2) Op een openbaar netwerk zijn unencrypted protocollen (in veel gevallen nog steeds: DNS, maar potentieel ook POP3 en SMTP bv. ) nog steeds vatbaar voor onderschepping.
lenwar
@CaptainKansloos10 maart 2023 19:20
Onversleutelde pop3 en smtp worden in de praktijk niet meer gebruikt toch? Is volgens mij allemaal met STARTTLS of een andere versleutelingstechniek.

DNS is inderdaad een ding. Aldoende is DoH een goed idee.
JaDatIsPeter
@Zwelgje10 maart 2023 14:38
Het geeft je op een one-size-fits-all manier een hogere mate van zekerheid over wat je niet weet :-)
crazyboy01
@Zwelgje10 maart 2023 18:14
De doorsnee persoon gebruikt een VPN sowieso niet voor public wifi, maar om via een ander ip-adres te surfen of (geo)blokkades te omzeilen. Daarvoor is het nog steeds populair.

Maar het begrip van een VPN is verschoven en wat het eigenlijk is, is voor de meeste mensen helemaal niet meer duidelijk. Wanneer mensen het hebben over een VPN wordt niet een traditionele VPN bedoeld zoals je die met OpenVPN meestal opzet, maar inderdaad zoals @Houten klomp er ook een aanhaalt: er wordt dan gedacht aan VPN providers als NordVPN om te verbinden met servers in het buitenland en die ip-adressen te gebruiken. En dat IP, dat zien mensen als het doel van een VPN.

Zelf veel van traditionele VPN's gebruik gemaakt, maar tegenwoordig zelf weinig behoefte meer aan. Ik wil nog wel eens iets tijdelijks doen, maar dan doe ik vaak even een SSH-tunneltje omdat ik die sowieso al open heb staan naar buiten vanaf mijn server.
CaptainKansloos
10 maart 2023 11:49
Grootste voordeel is dat het via UDP werkt en o.a. daardoor een stuk sneller is.
OpenVPN is volgens mij standaard ook UDP ipv TCP, maar je kunt het over TCP draaien, met een custom port (zoals 443 bv): https://openvpn.net/acces...uration-network-settings/

Ik heb beide op een Asus router als VPN server; WireGuard is heel veel sneller dan OpenVPN; als ik me correct herinner ~300+Mbit vs ~80Mbit. Maar OpenVPN over TCP 443 kan een prima fallback zijn wanneer WireGuard op UDP poort 51000_nogwat geblokkerd wordt.
zalazar
10 maart 2023 12:18
Het hangt van het bedrijf af natuurlijk, maar als 443/UDP ook wordt toegestaan vanwege het QUIC protocol
dan kun je Wireguard op deze poort draaien.
Ik gebruik zelf alleen OpenVPN trouwens omdat dit gewoon prima werkt.
De server configuratie is wel wat meer werk en lastiger.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee