Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

ProtonVPN gaat standaard gebruikmaken van WireGuard-protocol

Proton gaat in zijn vpn-dienst ProtonVPN voortaan standaard gebruikmaken van WireGuard. Het protocol wordt voortaan de default optie. Dat zou moeten zorgen voor snellere verbindingen en betere accuduur voor apparaten, zeggen de ontwikkelaars.

De verandering gaat in voor alle gebruikers van ProtonVPN, zeggen de ontwikkelaars. Dat gebeurt via een feature genaamd Smart Protocol. Die werd vorig jaar geïntroduceerd en zorgt ervoor dat gebruikers automatisch naar het beste vpn-protocol worden gezet als ze op een netwerk zitten dat bijvoorbeeld bepaalde protocollen blokkeert. Dat gebeurt niet zo vaak, maar alleen als gebruikers op een netwerk zitten dat actief vpn-protocollen blokkeert zoals bedrijfsnetwerken. In de praktijk zullen de meeste gebruikers dus veel op WireGuard blijven zitten als dat de default wordt. Smart Protocol verkiest WireGuard in de toekomst namelijk als het default-protocol.

Volgens de ontwikkelaars heeft WireGuard verschillende voordelen, vooral in de efficiëntie. Zo is het sneller en neemt het minder middelen in op het apparaat waar het op draait. Dat zorgt ervoor dat ProtonVPN snellere verbindingen kan leveren en het apparaat een langere accuduur krijgt. Daarnaast zegt Proton het belangrijk te vinden opensourcestandaarden te ondersteunen.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

14-10-2021 • 07:22

42 Linkedin

Reacties (42)

Wijzig sortering
Ik heb op mijn RPI OpenVPN draaien. Daarbij kon ik bij de setup ook voor het Wireguard-protocol kiezen (zou veiliger zijn) maar op een of andere manier kon ik wanneer ik met deze VPN verbond geen connectie met internet krijgen. Daarna de boel opnieuw geïnstalleerd maar dan gewoon met het OpenVPN-protocol en dat werkte wel. Maargoed, dat zal wel aan mijn onkunde liggen...
Reageer
OpenVPN is niet onveiliger. Het werkt met certficaten bij voorkeur met passphrase. Daarbij kan Wireguard geen TCP. Dat is handig om in elk netwerk weg te kunnen, de OpenVPN poort 1194 staat standaard dicht vaak. Wireguard kun je wel poort 53 UDP DNS geven. Dat werkt vaak ook wel, maar minder vaak dan TCP 443 HTTPS. Maar dat OpenVPN onveiliger zou zijn, dat mag iemand mij even toelichten, wil ik graag meer over weten.

Oveigens kan ik PiVPN aanraden, daarmee zijn beide te installeren, en wordt het voorzien van een extra management shelletje. Erg handig. https://www.pivpn.io/

[Reactie gewijzigd door Vinzz op 14 oktober 2021 08:48]

Reageer
De praktijk:
Qua protocol is zowel OpenVPN als Wireguard gewoon veilig. OpenVPN is al tich keer geaudited (door bedrijven) en wordt als 'velig' bestempeld (geen grote dingen gevonden).
Wireguard is relatief nieuw en nog niet veelvuldig geaudited. De audits die gedaan zijn, hebben net als bij OpenVPN geen grote dingen gevonden.


De theorie:
OpenVPN is honderduizenden regels code. Wireguard is slechts ongeveer 4000 regels (kernel)code. Dit maakt de audits van Wireguard makkelijker en zullen er makkelijker daadwerkelijke problemen worden gevonden.

OpenVPN ondersteund een hele vracht versleutelingsalgoritmen en protocollen. Wireguard ondersteund er slechts een paar. Qua veiligheid betekend dit primair het aanvalsoppervlak van Wireguard velen malen kleiner is, minder complexiteit is en de kans op een 'downgrade-aanval' veel kleiner is. Het nadeel hiervan is echter, dat als één van de gebruikte algoritmen of protocollen een probleem blijkt te hebben dat je effectief alle nodes moet bijwerken naar een hogere versie, waar je bij OpenVPN makkelijker 'slechts' voor een ander protocol kan kiezen.


Mijn persoonlijke conclusie:
Zowel OpenVPN als Wireguard zijn gewoon veilig te gebruiken, alleen is de kans op problemen bij Wireguard kleiner omdat het veel minder complex is dan OpenVPN.
Als ik dat afzet tegen de snelheid van Wireguard tegenover OpenVPN, zie ik voor mijn persoonlijke gebruik geen reden om OpenVPN te gebruiken. Voor zakelijk/professioneel gebruik biedt OpenVPN nog wat andere handige zaken zoals een PKI, centrale configuratie van nodes, enz. enz. enz. Dergelijke zaken bestaan wel voor WireGuard, maar daar heb je dan derdepartijsoftware voor nodig die nog niet heel erg gemeengoed zijn. (Ik zeg dus niet dat als iemand op kantoor WireGuard gebruikt dat dit dan niet goed is)
Reageer
OpenVPN ondersteund een hele vracht versleutelingsalgoritmen en protocollen. Wireguard ondersteund er slechts een paar. Qua veiligheid betekend dit primair het aanvalsoppervlak van Wireguard velen malen kleiner is, minder complexiteit is en de kans op een 'downgrade-aanval' veel kleiner is.
Waarom zou er een downgrade plaats vinden? Je vereist minimaal TLS 1.2 (of hoger) wat de standaard is of de connectie wordt geweigerd. Je typische nginx-ssl-conf op je webserver vereist minimaal TLS 1.2 of de connectie wordt geweigerd.
Als ik dat afzet tegen de snelheid van Wireguard tegenover OpenVPN, zie ik voor mijn persoonlijke gebruik geen reden om OpenVPN te gebruiken.
Dit komt niet echt door de protocollen/cipher suites die gebruikt worden, tenzij je wil beweren dat 10 Gbps over HTTPS (TLS) niet mogelijk is. OpenVPN is erg slecht multi-threaded en dit zou voornamelijk de reden zijn.

AES-GCM met AES-NI is zo'n 5x sneller als ChaCha20 (WireGuard) met een Ryzen 7 1800x.
https://calomel.org/aesni_ssl_performance.html

Ik vind nergens een benchmark dat niet van de WG auteur komt. Want de auteur kwam af met resultaten van 1011 Mbps over een 1Gbit link wat niet eens mogelijk is zonder jumbo frames te gebruiken. Verder werd er ook gebruik gemaakt van GSO en dit heeft heeft wel een performance impact op andere applicaties.

Source: https://blog.ipfire.org/post/why-not-wireguard
Reageer
Waarom zou er een downgrade plaats vinden? Je vereist minimaal TLS 1.2 (of hoger) wat de standaard is of de connectie wordt geweigerd. Je typische nginx-ssl-conf op je webserver vereist minimaal TLS 1.2 of de connectie wordt geweigerd.
Als alles goed gaat en goed geconfigureerd is zal dat inderdaad niet gebeuren. Ik gaf ook een 'kans' op een downgrade-aanval aan. Uiteraard is dat onder specifieke omstandigheden. Mogelijk een software-bug of misconfiguratie van de beheerder.
Dit komt niet echt door de protocollen/cipher suites die gebruikt worden, tenzij je wil beweren dat 10 Gbps over HTTPS (TLS) niet mogelijk is. OpenVPN is erg slecht multi-threaded en dit zou voornamelijk de reden zijn.
Dat zeg ik ook nergens. De praktijksneldheid van WireGuard is gemiddeld genomen (veel) hoger dan OpenVPN (throughput, latency, enz.) op dezelfde hardware. Waardoor het technisch gezien komt, is hier niet relevant in. Het gaat mij om de praktijkresultaten.
AES-GCM met AES-NI is zo'n 5x sneller als ChaCha20 (WireGuard) met een Ryzen 7 1800x.
Klopt helemaal. En toch is WireGuard in de praktijk vaal sneller in throughput en latency dan OpenVPN. Blijkbaar komt dat dus niet door de gebruikte ciphers.
Ik vind nergens een benchmark dat niet van de WG auteur komt. Want de auteur kwam af met resultaten van 1011 Mbps over een 1Gbit link wat niet eens mogelijk is zonder jumbo frames te gebruiken. Verder werd er ook gebruik gemaakt van GSO en dit heeft heeft wel een performance impact op andere applicaties.
Je vindt overal en nergens metingen die mensen zelf hebben gemaakt en gepubliceerd hebben. Mijn persoonlijke ervaring is dat het een (groot) verschil was met de spullen die ik gebruikte. Allicht had ik OpenVPN nooit goed geconfigureerd gekregen. Wil ik best accepteren, maar mijn persoonlijke ervaring is nou eenmaal zo.

Onderstaande zijn twee linkjes en zeggen niks over iedereen z'n eigen praktijkervaring natuurlijk. Dit zijn puur individuele gevallen.
https://restoreprivacy.com/vpn/wireguard-vs-openvpn/
https://www.youtube.com/watch?v=RkgL-NfPdYs

De meting van de 'fabrikant' kan je natuurlijk ook niks mee. (net zoals het theoretische brandstofverbruik van een auto, waar niemand in de praktijk in de buurt komt)
Ik ben altijd van mening dat je in de praktijk nooit zo veel hebt aan statische benchmarks. Ik houd persoonlijk meer van praktijkvoorbeelden. In mijn persoonlijke ervaring, op mijn hardware werkt WireGuard siginificant beter/sneller dan OpenVPN. Andere mensen beamen dit blijkbaar.
(Ander simpel voorbeeld. Als ik op m'n KPN-lijn een speedtest doe fluctueert dat tussen de 300 en 600 mbit (op een 1Gbit lijn). Als ik echter via Steam/Origin software downloadt, dan haal ik tussen de 800 en 950mbit/s op dezelfde computer. (snelheid weergegeven door m'n router)

Wat ik ook al aangaf, heeft OpenVPN, zeker qua management zeker grote voordelen t.o.v. WireGuard, maar dat heb ik voor mijn persoonlijke gebruik niet nodig.
Reageer
Onderstaande zijn twee linkjes en zeggen niks over iedereen z'n eigen praktijkervaring natuurlijk. Dit zijn puur individuele gevallen.
https://restoreprivacy.com/vpn/wireguard-vs-openvpn/
https://www.youtube.com/watch?v=RkgL-NfPdYs
De prestatieverschillen variëren wel enorm van provider tot provider en de configuratie van hun VPN servers kunnen sterk verschillen. Soms kan het zijn dat WG trager is dan OpenVPN zoals met PIA (zie link). Gemiddeld was WG 14% sneller dan OpenVPN en dit werd getest met 5 verschillende providers. https://vladtalks.tech/vpn/is-wireguard-faster-than-openvpn

Een Raspberry Pi4 heeft geen ondersteuning voor AES-NI, dus ChaCha20 is stukken sneller als AES. OpenVPN, of specifiek TLS, heeft ook ondersteuning voor ChaCha20 maar dat wordt standaard niet eens gebruikt en die informatie vind je niet terug in de video.

Dit is een betere scientific benchmark getest op twee devices met en zonder AES-NI:
https://www.pcwrt.com/202...ocols-on-a-budget-router/
https://www.reddit.com/r/...vpnikev2wireguard_vpn_on/

WireGuard presteert veel beter dan OpenVPN/IPSec op een router waar je geen AES-NI extensions terug vindt. Echter is het verschil tussen OpenVPN en WireGuard echt wel minimaal (40 vs 50 Mbps) wanneer de VPN server gehosted in bv een VM of op een host. IPSEC blaast WireGuard helemaal weg met 80 Mbps vs 50 Mbps. De kernel-mode versie werd gebruikt voor WG, dus hij heeft het getest op een laptop die linux draait.
Ik ben altijd van mening dat je in de praktijk nooit zo veel hebt aan statische benchmarks. Ik houd persoonlijk meer van praktijkvoorbeelden.
Maar het zijn allemaal praktijkvoorbeelden. Trouwens als je het niet kunt bewijzen, blijft het voor mij een fabeltje dat WG sneller is.

Verder ben ik ook van mening dat data confidentiality (encryption) eerder gelijk stelt aan privacy en niet aan security. Malware dat loopt over een encrypted tunnel blijft malware. Ongewenste logins, encrypted of niet, blijven ongewenst. OpenVPN of andere TLS VPN implementaties zie je terug bijna in elke enterprise firewall/router en dan spreken we over een heel andere wereld waar WG helemaal niet klaar voor is. Firewall vendors zoals Palo Alto, Fortinet etc. gaan WG nooit implementeren want ze hebben ieder hun eigen TLS implementatie.
Reageer
Je hebt uiteraard helemaal gelijk met alles wat je zegt.

Ik zeg alleen dat ik op mijn hardware met Wireguard een duidelijk snellere verbinding heb. Ik maak geen gebruik van commerciële partijen (dus niet van die externe vpn-providers e.d.)
Ik heb thuis op m'n router (unifi router) wireguard draaien. Ik heb verschillende telefoons/tablets/laptops en een VPS op het internet hangen en 'gekoppeld' met wireguard.

Ik had dit alles in het verleden met OpenVPN en toen ik 'voor de gein' is keek naar WireGuard schrok ik eigenlijk van hoe groot de verschillen waren met mijn hardware. (Of ipsec mogelijk nog sneller is op mijn hardware zou ik niet weten, heb ik nooit geprobeerd)

Mijn doel is wat ik met de vpn zelf kan doen en met WireGuard werkt het sneller op mijn hardware. Het interesseert me helemaal niks of ik Wireguard, OpenVPN of een willekeurig ander mechanisme/protocol gebruik.
De enige reden dat ik WireGuard wilde testen, was omdat ik niet tevreden was over de snelheid die ik haalde met OpenVPN. Ik kreeg het niet voor elkaar om een, voor mijn gevoel, fatsoenlijke performance te halen, maar had me er op een gegeven moment maar bij neergelegd. Mogelijk dat ik het product niet goed genoeg snapte, of dat m'n hardware gewoon niet goed genoeg was. WireGuard leek heel simpel om even snel te testen, en ik had niks te verliezen, want ik kon het er gewoon naast opzetten en aanzetten.

Het is denk ik een verschil met wat we 'praktijkvoorbeelden' noemen. Je kan natuurlijk een datastroom opzetten en dan meten van a naar b over de VPN of van die speedtest-websites enzo (zoals ze bij die pcwrt-site deden), maar dat zegt niet zo veel over de echte praktijk voor mijn gebruik. (er gaan zomaar jaren voorbij dat ik geen 'speedtest-website' gebruik bijvoorbeeld)

Wat ik onder praktijkvoorbeelden versta is hoe lang het duurt om een bestand te kopiëren van a naar b over de tunnel heen, of hoe stabiel een Plex-stream is van m'n VPS naar m'n netwerk (met OpenVPN ging dat niet altijd goed. Hij moest regelmatig bufferen), want dat is namelijk wat ik in de praktijk onder andere doe. Uiteraard heb je dan nog meer factoren die erbij komen die het positief of negatief beïnvloeden voor (één van) beide producten. Maar wat ik al schreef. De vpn zelf is zelf is niet mijn doel, maar een middel, het product (Wireguard of OpenVPN) interesseert me dus nog minder. Het interesseert me alleen of hetgeen dat ik wil doen, goed kan doen.

Je mag het van mij allemaal een fabeltje vinden/noemen. Ik weet alleen wat ik ervoer en ik heb nu een oplossing die voor mij goed werkt. Het is snel en stabiel. Het was makkelijk te configureren en het is makkelijk te onderhouden. Ik zeg dus niet dat iemand anders dit niet kan hebben met OpenVPN, maar ik kreeg het blijkbaar niet goed voor elkaar.
Ik zou zeggen. Probeer het zelf uit. Wireguard aanzetten is kinderlijk simpel en gratis. Probeer het een keer en kijk of je met je eigen hardware geen of wel (en, indien wel, dan hoeveel) verschil je ziet of merkt. Als je niet blij bent met de resultaten dan blijf je gewoon bij wat je nu hebt en dan is het ook goed. Als je wel blij bent met de resultaten kan je overwegen over te stappen, of niet als andere zaken je daarvan tegenhouden.

Wireguard is inderdaad nog (lang) niet klaar voor Enterprise-gebruik. Er ontbreekt (zoals ik al eerder aangaf) minimaal managementsoftware en uiteraard nog andere zaken die voor een grootzakelijke omgeving echt noodzakelijk zijn. Overigens zie je dat bijvoorbeeld Juniper (geen kleine speler) een Wireguard-plugin heeft (voor 'remote users', (nog) niet voor site-to-site). Dus ze zijn er wel mee bezig op een bepaald niveau.
https://www.juniper.net/d...er/docs/plugin_wireguard/

Dat het (nog) niet wordt gebruikt voor Enterprise gebruik is overigens ook niet zo gek natuurlijk. OpenVPN is ongeveer twintig jaar oud. Wireguard anderhalf. Het heeft z'n eerste 'stable' gehad in maart 2020 (althans. toen werd het in de Linux kernel erbij gezet en werd het als zodanig beschouwd. Of dat fair is weet ik niet. De eerste "bruikbare releases" komen uit 2018 dacht ik, maar toen schreven de ontwikkelaars zelf dat je het niet als 'stabiel' of 'betrouwbaar' moest beschouwen en dat het nog geaudit moest worden.
Reageer
Maar dat OpenVPN onveiliger zou zijn, dat mag iemand mij even toelichten, wil ik graag meer over weten.
Als je TLS 1.1, 1,0 of SSL 3.0 zit te gebruiken, dan is het wel onveiliger. Maar browsers gebruiken standaard minimaal TLS 1.2 of hoger. Windows 10 gebruikt standaard TLS 1.2. Eigenlijk komt het erop neer dat je de key exchange methode vergelijkt: TLS vs Curve25519. Uiteindelijk voor de data channel, wordt er AES gebruikt voor TLS en ChaCha20 voor Curve25519 (WG). En nee de cipher suites van WG zijn niet superieur en daar is geen enkel bewijs voor.
Het werkt met certficaten bij voorkeur met passphrase.
WireGuard ook hoor. Public key authentication vind ik niet meer interessant wanneer we weten dat mensen heel slecht omgaan met private keys (die misschien niet eens een passphrase hebben). OpenVPN heeft natuurlijk ondersteuning voor verschillende vormen van authenticatie: SAML, RADIUS, LDAP etc. WG is redelijk gelimiteerd, heeft standaard alleen maar ondersteuning voor PKI dus het ligt aan de vendors om bv MFA te implementeren.
Reageer
Natuurlijk kan het altijd veiliger. Ik zit zelf te overwegen om Yubi of 2fa auth aan OpenVPN toe te voegen. Voor nu werkt het goed. En snel ook, en dat op een simpele Orange Pi Zero plus ter grootte van een halve Rpi.
Reageer
Als het mogelijk is zou ik gaan voor een MFA provider zoals Duo. Push notificaties zijn prettiger om te gebruiken en veiliger dan OTP codes omdat het gebruik maakt van TLS. Dit is wat ik heb voor mijn OpenVPN server: https://duo.com/docs/openvpn-as
Reageer
Goeie inderdaad. Maar punt 1 staat mij gelijk al tegen. Dan is de keuze voor OTP, of een account bij een derde partij waarvan je je maar moet afvragen of dat veilig beheerd wordt waar het staat.
Reageer
Je hebt enkel alleen maar een administrator wachtwoord voor de admin portal. Je voegt users toe, en je stelt ook geen wachtwoorden in per user. Ze krijgen een mail om een QR code toe te voegen in de Duo MFA app.

Je OpenVPN account of de wachtwoorden staan nooit op de website van een MFA provider. Alleen moet de gebruikersnaam wel overeenkomen (via een alias).
Reageer
WireGuard gebruikt een proven mathematically secure cypher, in de praktijk maakt dit weinig verschil. Wat belangrijker is, is dat de WireGuard code base een stuk kleiner is dan die van OpenVPN dus de kans dat er grote exploits inzitten/niet gevonden worden is kleiner.

Maar inderdaad de belangrijkste feautres is dat het een minder chatty protocol met minder overhead is.
Reageer
Proven mathematically secure ciphers bestaan niet (afgezien van kwantum encryption als je dat een cipher noemt, maar dat gebruikt wireguard niet).
Reageer
OTP is bewezen veilig. Niet zo praktisch (en niet beschikbaar voor WireGuard), maar het bestaat wel.
Reageer
Een goed ingestelde openvpn is niet onveiliger. Wireguard kun je eigenlijk niet fout doen.

Aan de ene kant is dat veiliger voor mensen zonder ervaring. Aan de andere kant staat daar tegenover dat er ook simpelweg minder te kiezen is.

De ontwikkelaar heeft overigens aangegeven dat een hoop features wel te implementeren zijn, maar niet in de basis omgeving thuishoren. Andere ontwikkelaars zijn daar al hier-en-daar mee bezig.
Reageer
De tip over pivpn kan ik beamen na het meerdere malen met de hand te hebben gedaan was dit een enorme opluchting. Het enige waar ik tegenaan liep: voor een alternatieve vpn poort moet je de scripts editten anders kloppen de gegenereerde key niet. Maar misschien is dat al in de huidige versie verholpen.
Reageer
Wireguard is echt poepsimpel om op te zetten, maar net omdat het zo simpel is houdt het ook je handje niet vast indien je iets foutief configureert. En er zijn een paar dingen waar je ook op systeemniveau op moet letten, die OpenVPN anders voor jou doet. Zo kan de oorzaak van 'geen internet' bv. liggen aan het ontbreken van een DNS resolver in je cliëntconfiguratie, geen of foutieve iptables entry waardoor Wireguard verkeer geblokkeerd wordt door je eigen firewall op de RPI, of misschien is ip-forwarding niet enabled in de kernel. Ook moet je goed snappen wat de impact van AllowedIPs is, aangezien dit ook invloed heeft op je routing.

Ik raad je aan om Wireguard toch nog eens te herzien en wat tutorials te bekijken van hoe je het correct opzet. De stappen die je moet nemen om jouw configuratie werkende te krijgen zullen erg miniem zijn, in de zin van 1 commando of 1 lijntje in een config. Eens het draait, is de snelheidswinst t.o.v. OpenVPN gigantisch. Zeker op een rpi, waar OpenVPN al snel de volledige CPU belast, in vergelijking met misschien 10-20% met Wireguard. Niet alleen in doorvoersnelheid merk je dit (hier alleen al vaak een factor 5-10), maar ook verbinding maken gebeurt in minder dan een seconde. Ook geen ellenlange reconnects indien je verbinding wegvalt. Zelf recent overgeschakeld en ik zal OpenVPN nooit meer aanraken.

[Reactie gewijzigd door Joecatshoe op 14 oktober 2021 08:33]

Reageer
Gebruik echt al tig jaar OpenVPN en ik herken me echt niet in de lange connecttime van OpenVPN. Het is werkelijk binnen een seconde dat mijn verbinding is opgezet.

Persoonlijk denk ik dat WireGuard dit niet sneller kan.
Reageer
Lang is relatief. Ik denk dat Wireguard het in 1 of 2 roundtrips kan, dat zou ongeveer 20ms zijn bij 8ms ping tijden.
Reageer
WireGuard heeft geen roundtrips nodig na de initiële configuratie. Een packet sturen over je wg-interface is valide en wordt door de overkant geaccepteerd of niet en komt niet aan. Geen roundtrips voor nodig.
Reageer
Helemaal mee eens wat Joecatshoe aangeeft. Grote kans dat het inderdaad een firewall of DNS is waardoor je het internet niet kunt bereiken.

Hiernaast heb ik op een zakenreis naar China meegemaakt dat de openvpn verbinding van mijn thuis server herkend (en dus geblokkeerd) werd terwijl mijn Wireguard VPN gewoon bleef werken. Dit terwijl beide services op niet standaard poorten draaiden (altijd aan te raden). Ik vermoed dat het DPI van de Chinese firewall (nog) niet dit verkeer als VPN verkeer herkend..

Hiernaast ben ik een grote fan van de zeer eenvoudige configuratie van WG, de super performance in mijn geval en het feit dat ik geen hoger stroomverbruik merk op mijn clients en dus WG nu standaard altijd geactiveerd is..
Reageer
Wireguard is echt poepsimpel om op te zetten, maar net omdat het zo simpel is houdt het ook je handje niet vast indien je iets foutief configureert,
Oftewel het is niet simpel, want anders zou je niet zulke fouten moeten maken. 'Niet je handje vasthouden' is altijd meer een excuus voor óf slecht ontwerp óf het feit dat iets gewoon te complex is voor de gemiddelde consument. In dit geval is dat denk ik het tweede, maar als je op systeemniveau dingen moet aanpassen ben je als protocol volgens mij in de definitie al niet eenvoudig.
Zeker met de opkomst van VPN's voor consumenten (Met hun bangmakende marketing dat een VPN de enige manier is waarop er niet altijd mensen mee kijken en al je wachtwoorden het internet over vliegen, of natuurlijk gewoon regelrecht zeggen 'breek de TOS van een streaming dienst, dat is het enige wat ons product relevant maakt') is het denk ik logisch dat het meest eenvoudige protocol de voorkeur blijft houden.
Reageer
Ik denk dat Joecatshoe wil aangeven dat WireGuard als protocol erg simpel is, maar dat het niet de totale configuratie voor je doet zoals route tabellen, DNS servers, IP forwarding, etc.

Misschien is "basaal" een betere term.

Wellicht vergelijkbaar met een GRE tunnel. Dat is dan welliswaar niet versleuteld, maar zal qua werking misschien hetzelfde zijn.. Het is een simpel systeem, zit in je kernel ingebakken, werkt 'poepsimpel', maar het doet ook niet meer dan een tunnel opzetten. Routing, DNS, etc moet je dus ook zelf doen.
Reageer
Dan doen de VPN makers dat configureren toch lekker?

Dat is juist het voordeel van wireguard. Het probeert geen suite te zijn. Het is een VPN die verkeer tussen 2 punten versleuteld, that's it.

Linux is vanuit design veilig. Dat er niet zomaar verkeer begint te lopen, omdat er een tunnel wordt toegevoegd, heeft niets met wireguard te maken, maar de standaard instellingen van linux. Dit is overigens ook zo voor openvpn. Het verschil is dat openvpn een set-up programma meelevert en wireguard, wat een protocol implementatie is, niet. Alle commerciële gebruikers van wireguard hebben al hun eigen set-ups geschreven en daar zal verder dus niemand tegen enige complexiteit aanlopen
Reageer
maar als je op systeemniveau dingen moet aanpassen ben je als protocol volgens mij in de definitie al niet eenvoudig.
Daar ben ik het dus niet mee eens. De meeste mensen associëren VPN met het forwarden van verkeer, in de zin van: je zet je VPN aan en al je internet verkeer gaat nu door de VPN. Dat is dus slechts 1 aspect van een VPN, en niet de hoofdbestaansreden van Wireguard. Wireguard zet een verbinding op tussen 2, of meer, punten (een tunnel) en hoe je die wil gebruiken is vervolgens jouw taak.

Ik durf er haast geld op inzetten dat jouw Wireguard tunnel zelf wel gewoon 100% werkt. Daarmee bedoel ik dat je hoogstwaarschijnlijk wel in staat bent om jouw RPI te pingen door de tunnel, of bv. het benaderen van de SSH server door de tunnel. Dit is de core functionaliteit van Wireguard en werkt gewoon poepsimpel. Wat echter niet werkt is "het internet", dus de ip forwarding functie. Maar dat zijn dus twee verschillende dingen.

Volledig akkoord dat Wireguard minder geschikt is voor de gemiddelde gebruiker, maar als je zelf je eigen VPN server draait ben je in mijn ogen geen gemiddelde gebruiker meer. Indien je morgen een commerciële VPN neemt, dan sturen die je gewoon een .conf bestandje dat je in de Wireguard GUI importeert, je drukt op start en dat is het. Dus voor de 'echte' gemiddelde gebruiker is het wel gewoon gebruiksvriendelijk. Dat je als serverbeheerder een klein beetje moet weten wat er achter de schermen gebeurt met ip en routing tables is toch niet zo gek?

[Reactie gewijzigd door Joecatshoe op 14 oktober 2021 12:47]

Reageer
Waarschijnlijk een DNS probleem waarbij je VPN verkeer niet bij je DNS kan komen. Volgende keer het volgende proberen: In je server conf dient:
DNS=ip.van.je.dns
AllowedIPs = 0.0.0.0/0 en de rest van je ranges
Te staan.
Reageer
Als de VPN provider simpel alleen wireguard gebruiken, dan moeten de VPN servers het ip-adres van de VPN client bijhouden, dus al je een VPN service vanwege privacy redenen gebruikt is wireguard niet zo'n best protocol en OpenVPN veel beter.

Uiteraard zijn er wel mogelijkheden voor een VPN provider om dat te verbeteren bijvoorbeeld door aan hun kant dubbel NAT toe te passen, maar dat moeten ze dan wel doen en dat vertelt dit item niet..
Reageer
Als de VPN provider simpel alleen wireguard gebruiken, dan moeten de VPN servers het ip-adres van de VPN client bijhouden, dus al je een VPN service vanwege privacy redenen gebruikt is wireguard niet zo'n best protocol en OpenVPN veel beter.
Hoe werkt OpenVPN dan zonder jouw IP-adres aan de server bekend te maken? Ik neem aan dat je ook nog graag verkeer terug ontvangt, en dat zal toch echt naar jouw IP-adres moeten gaan.
Reageer
Dit is niet waar. WireGuard ondersteunt gewoon roaming clients. De server-kant hoeft het client-ip niet van te voren te weten (natuurlijk wel als wanneer er verkeer teruggestuurd moet worden).

[Reactie gewijzigd door PaultheWEiRD op 14 oktober 2021 12:16]

Reageer
Ze gebruiken idd double NAT, zoals hier te lezen valt: https://protonvpn.com/support/wireguard-privacy/
Reageer
idee om Tweakers een stuk te laten schrijven over VPN en best buy guide
Reageer
Ik gebruik zelf Private Internet Access en die bieden ook Wireguard ondersteuning aan. Dat heb ik een paar keer geprobeerd door op verschillende servers een speedtest te doen met OpenVPN en Wireguard en ik kan niet anders zeggen dat ze iets heel verkeerd doen met Wireguard. Dat is namelijk veel trager! Zelf heb ik ook een Wireguard setup (privé) en die werkt razendsnel. Veel sneller dan OpenVPN. Ik ben dus wel benieuwd hoe goed dit werkt bij andere VPN aanbieders.
Reageer
Ik heb nog nooit gewerkt met Wireguard. Ken alleen OpenVPN. Is WG net zo goed voor privacy en security?
Reageer
Het lukt mij nog niet om Wireguard op macOS werkend te krijgen. Als ik dat protocol forceer (boven ’smart’), dan kan ik geen pagina’s laden.
Reageer
Ironisch genoeg wordt alleen Windows, macOS, iPhone / iPad, Android, Chromebooks en Android TV ondersteund en nog geen Linux.

[Reactie gewijzigd door Forage op 14 oktober 2021 18:07]

Reageer
lijkt mij geheel logisch in de gewone dagelijkse mensenwereld. In de wereld van bedrijven en tweakers zal het ongetwijfeld anders zijn...
Reageer
Mijn punt is niet de prioriteit die ProtonVPN geeft aan de ondersteunde platformen maar het feit dat WireGuard juist met Linux als basis ontwikkeld is en de andere platformen er later bij zijn gekomen. Dus ironisch dat deze nu als laatste door ProtonVPN ondersteund zal worden.
Reageer
Waren er nog geen privacy problemen met Wireguard? Zou me toch wel sterk lijken als ze dit als standaard instellen dan.
Reageer
Omdat over 't algemeen ProtonVPN nog wat veiliger is dan windscribe (https://www.google.com/am...rities-were-not-encrypted) en wireguard voor ProtonVPN nieuw is. Kortom, voor ProtonVPN gebruikers zal dit zeker nieuwswaarde hebben.
Reageer
Ik zat hier op te wachten, dus voor mij heeft het zeker nieuwswaarde.
Reageer


Om te kunnen reageren moet je ingelogd zijn


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True