WireGuard е експериментален VPN протокол, който генерира доста вълнение в VPN света.


Той е изключително лек (само с 3782 реда код), което го прави много по-бърз от традиционните VPN протоколи като OpenVPN и IPsec. Короткостта на кода също прави лесен за одит и тъй като използва доказани криптографски примитиви, той трябва да бъде много сигурен.

Следователно WireGuard има голям потенциал, но все още е много на експерименталния и развойния етап. Тя все още не е надлежно одитирана по въпроси на сигурността и липсата на защитена система за споделяне на ключове на сървъри предотвратява широко разпространеното комерсиално внедряване в този момент..

Този последен проблем може да бъде решен чрез използване на по-традиционна криптосистема с публичен ключ, такава RSA за разпространение на ключове. Но това ще добави сложност и по този начин ще премахне много от предимствата на използването на WireGuard на първо място.

Следователно WireGuard е в голяма степен незавършена работа. Въпреки това е много интересно, че някои доставчици започват да експериментират с новия протокол. И със специални благодарности на NordVPN, ние сме много развълнувани от възможността за практически поглед върху това.

Моля, проверете и какво е WireGuard VPN протокол? за по-подробен поглед върху теорията зад този нов VPN протокол.

Използване на WireGuard

В момента WireGuard е официално достъпен за Android и Linux, въпреки че скоро се обещава поддръжка за Windows и iOS. Той е достъпен и за командния ред macOS с помощта на Homebrew или MacPorts.

Алтернатива на официалните клиенти е TunSafe. Това е разработено като търговско предприятие и неговият софтуер първоначално е бил затворен курс. TunSafe все още предлага търговска VPN услуга, използвайки протокола WireGuard, който е вграден за всички свои клиенти (макар и този, който е безплатен в момента).

Самият софтуер обаче вече е направен напълно с отворен код и може да бъде настроен с помощта на произволни конфигурационни файлове на трети страни.

Както ще видим, софтуерът TunSafe често е по-пълно представен от официалните клиенти. Предлага се в пълна GUI форма за Windows, Android и iOS.

Може да се стартира и от командния ред на Linux, macOS или FreeBSD. Това изисква компилиране от източника, но за това са осигурени прости и лесни за изпълнение инструкции.

Linux

Официалният клиент на WireGuard

WireGuard е създаден специално за Linux ядрото. Официалният клиент на WireGuard е само от командния ред и работи като услуга в терминал.

Освен необходимостта да се коригират някои проблеми с зависимостта ($ sudo apt инсталирате телохранител openresolv linux-headers - $ (unme -r) wireguard-dkms wireguard-tools направи трика), инсталирането и използването е много лесно.

Протоколът WireGuard има пълен IPv4 и IPv6 маршрутизация вътре в VPN тунела. Не открихме никакъв вид течове на DNS, когато го използваме на която и да е платформа, но се съобщава, че TunSafe за Windows може да изтече IPv6 чрез интерфейса на Tun) повече за това по-късно).

Няма вграден превключвател за убийство като такъв, но един може да бъде създаден чрез добавяне на команди iptables към конфигурационния файл.

Добър пример за това как да направите това ръчно, който трябва да е приложим за всички конфигурационни файлове на WireGuard, можете да намерите на страницата за настройка на Wirelluard на Mullvad. Или доставчик на VPN може просто да добави командите към стандартните си конфигурационни файлове.

Както вече беше отбелязано, основният WireGuard клиент може да се стартира и в macOS с помощта на Homebrew или MacPorts.

TunSafe

За да стартирате TunSafe в Linux, трябва сами да компилирате изходния код. За щастие, това никъде не е толкова страшно, колкото звучи. Инструкциите на уебсайта са много ясни и демонът на командния ред беше стартиран и работи само за няколко минути.

Трябва да се каже обаче, че не можем да видим предимство от използването на TunSafe над официалния Linux клиент. TunSafe може да се компилира и от източник за macOS и FreeBSD.

андроид

Официалното приложение WireGuard

Официалното приложение за Android е достъпно чрез уебсайта на F-Droid.

Това, което приложението липсва в функции (всъщност няма такова), то компенсира с лекота на използване. Използвайки това, което си представяме, ще се превърне в стандартен начин за конфигуриране на настройки на WireGuard, NordVPN ни предостави изображения, съдържащи QR кодове за своите експериментални WireGuard сървъри.

Всичко, което трябваше да направим, беше да сканираме този код за всеки сървър, използвайки камерата на нашия телефон, и та-да! Настройката беше завършена. Възможно е също да добавите ръчно файлове за настройка или дори да създадете свои собствени.

И това е всичко, което наистина е на приложението. Веднъж настроен, той се свързва мигновено и работи точно както трябва.

Приложението TunSafe VPN

Сега, когато е с отворен код, TunSafe прави добра алтернатива на официалното приложение за Android. Основната функционалност на приложението е почти идентична с официалното приложение с отворен код, на което то се базира. Като такъв, той може да бъде конфигуриран да се свързва към всеки WireGuard сървъри чрез QR код, конфигуриране на файлове или създаване от нов.

Основната разлика е, че TunSafe изпълнява и VPN услуга, така че по подразбиране имате възможност да се свържете с VPN сървърите на TunSafe. Въпреки че в крайна сметка е търговско предприятие, понастоящем TunSafe VPN е 100% безплатен за използване. След 30 дни обаче честотната лента за TunSafe сървърите е ограничена до 1 GB / ден.

Няма ограничение при използване на конфигурационни файлове на трети страни, извън това, което таксуват операторите на сървъри. Съгласно своята политика за поверителност, TunSafe VPN е услуга без регистрация.

За разлика от официалното приложение, TunSafe за Android разполага с превключвател за убийство и разделно тунелиране („изключени приложения“). Той може също така да показва пинг пъти на собствените си сървъри, но не и на трети страни. За напреднали потребители е възможно сами да настроите WireGuard сървър в Linux.

Windows

TunSafe

По време на писането единственият начин да стартирате WireGuard в Windows е използването на TunSafe. Подобно на OpenVPN, TunSafe за Windows изисква TAP Ethernet адаптер, за да работи.

Основният проблем при това е, че TAP адаптерът може да изтече IPv6 DNS заявки извън VPN интерфейса. Затова силно се препоръчва да деактивирате IPv6 в Windows, когато използвате TunSafe за Windows.

Друг проблем е, че използването на TAP адаптер добавя сложност към простотата на WireGuard. Което донякъде работи срещу едно от основните предимства на използването на WireGuard.

Клиентът използва обикновен графичен интерфейс, който прави импортирането на WireGuard .conf файл много лесен. Няма опция за импортиране на файлове чрез QR код, но това е разбираемо, тъй като много Windows PC не разполагат с камери.

Той също така предлага Killswitch, който може да използва или (базирани на клиента) правила за маршрутизиране, или (системни) правила за защитна стена за работа. Или и двете. Което е много удобно.

GUI Pre-Alpha

През май 2020 г. Edge Security обяви официалната предварителна алфа на WireGuard за Windows Все още е много рано, но клиентът на GUI показва посоката, в която се ръководи проектът.

Най-важното нещо, което трябва да се отбележи, е, че за разлика от клиента TunSafe, не се изисква TAP адаптер на OpenVPN. Клиентът вместо това използва Wintun, минимален драйвер за слой 3 TUN за Windows, който също е разработен от екипа на WireGuard.

Забележимо (и не веднага очевидно от GUI) е, че клиентът разполага с вграден автоматик "Kill-превключвател" за блокиране на трафика извън VPN тунела.

В допълнение към това можем да потвърдим, че превключването между тунели е много гладък процес. Така че всичко изглежда много обещаващо!

Тестове за скорост

В допълнение към простотата заради себе си, едно от най-големите предимства на WireGuard пред OpenVPN е, че добавената простота също трябва да направи WireGuard много по-бърза. Затова проведохме някои тестове...

Решихме да използваме Mullvad за това, защото Mullvad напълно поддържа Linux. Той също така поддържа WireGuard и OpenVPN на едни и същи сървъри (или поне много сходни местоположения на сървъра), което позволява добро сравнение като за подобно.

Тестовете бяха извършени с помощта на speedtest.net, тъй като нашата собствена система за тестване на скоростта изисква OpenVPN файлове да работят. Всички тестове, извършени от Обединеното кралство. Средните ставки на пинг (латентност) са показани в скоби.

На теория WireGuard трябва да бъде много по-бърз от OpenVPN. Но това не се потвърждава от тези тестове. Трябва да се помни обаче, че това все още е много ранни дни за реалното внедряване на WireGuard и че Mullvad пламва бързо, когато става дума за изпълнение на OpenVPN.

заключение

WireGuard все още не е достатъчно одитиран и пробван за проникване, за да препоръча като сериозна алтернатива за сигурността на VPN протоколи като OpenVPN и IKEv2 понастоящем. Но наистина изглежда много обещаващо.

Лесна е за настройка и използване, а в нашите тестове, тя се свързва бързо и поддържа много стабилна връзка.

На хартия WireGuard е много по-функционален от OpenVPN. Резултатите от нашите тестове може да са, защото пълното внедряване все още е на етап прототип, или може да се дължи на ограниченията на нашата тестова среда.

Те бяха изпълнени през WiFi, а единственият WiFi конектор, който в момента имаме, който е съвместим с Linux, е (донякъде иронично) много евтин 802.11g донгъл, който струва около $ 5.

Така че направете това, което ще от нашите резултати от тестовете за скорост. Освен това бяхме много впечатлени от напредването на WireGuard и нямаме търпение той да премине допълнителни тестове за подобрение. За всеки, който споделя този ентусиазъм, даренията за проекта са много добре дошли.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me