Publié dans Logiciel

18

VPN : WireGuard passe en version 1.0 et intègre le noyau Linux 5.6

VPN : WireGuard passe en version 1.0 et intègre le noyau Linux 5.6

Cela fait maintenant près de cinq ans que Jason Donenfeld planche sur son projet visant à remplacer OpenVPN et IPsec.

« WireGuard a l’approche opposée : voir à quel point un design peut être minimal, tout en étant fondé sur de bons concepts et utilisable comme bloc fondateur d’autres projets », nous expliquait son concepteur en 2017.

Dans une mailing-list, Jason Donenfeld annonce la disponibilité de la mouture 1.0.0 et son intégration par défaut dans le noyau Linux 5.6. En conséquence, son code a fait l’objet d’un audit de sécurité. 

L’intégration de WireGuard au noyau lui ouvre grand les portes de nombreuses distributions Linux. Il est également possible de télécharger WireGuard sur de nombreux OS par ici. Attention, toutes les versions ne sont pas (encore ?) en 1.0.

18

Tiens, en parlant de ça :

Pilule rouge et bleue avec des messages codés

Europol milite pour un chiffrement de bout en bout « flexible »

Here we go again

17:00 Sécu 11
Collectif La Barbe

Inclusion dans la tech : critiqué, le CEO de Qovery menace une internaute de poursuites

Re:Qovery

14:49 Société 19
La Section 702 de la loi sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act – FISA)

L’extension des prestataires américains devant collaborer avec la NSA fait polémique

All your base are belong to US

12:25 DroitSécu 10
18

Fermer

Commentaires (18)


Bravo <img data-src=" />



Par contre, j’ai eu a l’utiliser il y a peu et j’ai été un peu déçu par la stabilité (au point de le virer de mon projet).

J’espère que la v1.0 a corrigé ces problèmes de jeunesse.


jamais testé tiens. Est-ce que ça vaut le coup par rapport à OpenVPN ?


Le concept semble bien optimiser et l’avis de Linus dessus semble positif. Sur un poste de 2018 le projet Wireguard avez 100 fois de ligne de code (environ 4000) alors que OpenVPN 600 000 et Ipsec 400 000.



Donc à mon avis quand il commencera à se démocratiser cela risque de soulager les serveurs VPN car aujourd’hui très gourmand. Et plus sécurisé car plus facilement auditable



Source:

&nbsp;Voir l’article NxI ethttps://arstechnica.com/gadgets/2018/08/wireguard-vpn-review-fast-connections-am…

&nbsp;


sur mon android, il est hyper stable. aucune déconnexion (ou bien reconnexion automatique immédiate) alors que je passe de wifi à 4G régulièrement. la connexion est super rapide et la configuration est assez simple à comprendre et prendre en main (mais ça mériterait un petit outil pour l’automatisation d’ajout de peer)


Salut !!



J’ai une VM avec Wiregard au bureau.

on l’utilise tous pour travailler a distance (que ce soit sur nos serveurs, ou sur nos postes en RDP).



et il fonctionne parfaitement et on a eu aucun problème (ca fait 1 an que nous l’utilisons en remplacement de OPENVPN)



En performance comparé a OpenVPN) c’est le jour et la nuit.

plus stable, bien plus rapide. On a vu une très grosse différence.


C’est un peu comme les micro noyaux temps réel et sécurisés face aux noyaux gros et gras de windows et linux… Un jour on fera un équivalent libre de QNX


Je l’utilise depuis plus d’un an maintennant dans un environnement exclusivement Linux (Ubuntu 18.04.4 en majorité), avec quelques clients Android autour. Je n’ai jamais constaté le moindre problème de stabilité.



Quels genres de problèmes as tu rencontrés, et dans quel environnement ?


C’est le jour et la nuit. Autant OpenVPN est lent que Wireguard est véloce. La configuration est facile, logique, efficace, et c’est très résilient.



Personnellement, j’ai complément délaissé OpenVPN après avoir essayé Wireguard.



La seule chose qui me manque c’est un équivalent à l’option “port-share” d’OpenVPN pour passer en SSL via port 443 d’un serveur web afin de passer sous le radar d’environnements bloquant les usages autres que web/mail. Sinon, à part ça, je n’y vois que du gain.


Mullvad a sorti un client sur Android et il utilise Wireguard. Rien à signaler, ça marche du feu de dieu.








stratic a écrit :



C’est le jour et la nuit. Autant OpenVPN est lent que Wireguard est véloce. La configuration est facile, logique, efficace, et c’est très résilient.



Personnellement, j’ai complément délaissé OpenVPN après avoir essayé Wireguard.



La seule chose qui me manque c’est un équivalent à l’option “port-share” d’OpenVPN pour passer en SSL via port 443 d’un serveur web afin de passer sous le radar d’environnements bloquant les usages autres que web/mail. Sinon, à part ça, je n’y vois que du gain.





Je confirme donc, je viens d’installer une VM au bureau, la config se fait en 2 secondes, et les perfs sont largement supérieures à OpenVPN, je pense que je vais basculer tout le monde dessus :)









stratic a écrit :



Quels genres de problèmes as tu rencontrés, et dans quel environnement ?







Un projet nécessitant de générer à la volée 2 instances Cloud avec des applis et une base en réplication via un lien privé pour sécuriser des échanges. Tout doit être automatisé complétement car on peut avoir besoin de popper un couple d’instances plusieurs fois par jour avec une seule commande.

Pour diverses raisons, j’avais fait le choix de monter un tunnel wireguard entre les 2 VMs. Facile à installer et à configurer, mes tests étaient plutôt satisfaisants…

Mais en moins de 3 semaines, j’ai eu 2 gros problèmes de packages (officiels) complétement buggés qui faisaient planter l’ensemble… Ça devait entrer en prod la semaine d’après, j’ai viré le bazar.

Dommage… J’espère qu’ils sont monté en puissance sur les tests et en fiabilité sur les packages.



C’est possible d’avoir un VPN layer 2 avec Wireguard?








KP2 a écrit :



Un projet nécessitant de générer à la volée 2 instances Cloud avec des applis et une base en réplication via un lien privé pour sécuriser des échanges. Tout doit être automatisé complétement car on peut avoir besoin de popper un couple d’instances plusieurs fois par jour avec une seule commande.

Pour diverses raisons, j’avais fait le choix de monter un tunnel wireguard entre les 2 VMs. Facile à installer et à configurer, mes tests étaient plutôt satisfaisants…

Mais en moins de 3 semaines, j’ai eu 2 gros problèmes de packages (officiels) complétement buggés qui faisaient planter l’ensemble… Ça devait entrer en prod la semaine d’après, j’ai viré le bazar.

Dommage… J’espère qu’ils sont monté en puissance sur les tests et en fiabilité sur les packages.







Pour sécuriser la communication entre 2 hosts linux, y a rien de plus simple que de le faire en ipsec en mode transport.



J’ai découvert Wireguard en l’installant sur une dédibox pour profiter de la bonne interco de Scaleway contrairement à celle dégueulasse de mon FAI.



Y’a pas photo, config beaucoup plus simple, les performances c’est le jour et la nuit VS openVPN. Très belle découverte qu’est ce projet.








Qruby a écrit :



C’est possible d’avoir un VPN layer 2 avec Wireguard?





Bonne question, d’autant plus que la doc utilisateur officielle est plutôt maigre… Je n’ai pas vu la réponse à cette question pourtant basique pour un VPN. De même que sur le sujet du site-to-site.



Je m’en sers avec mon smartphone dès que je quitte la maison. J’y redirige mon traffic internet afin de filtrer via mon dns at home. Si vous voulez l’installer facilement faite comme moi une vm minuscule avec debian et pivpn. PiVPN permet le deploiement d’openvpn ou Wireguard avec une simplification pour l’ajout de user. Par contre coté monitoring c’est pauvre pour avoir des logs. Il faut fouiller dans le kernel mais je n’ai pas trop creusé encore. Aussi le developpeur du client Viscerion a été embaucher pour apporter les meme fonctionnalité (tasker etc) sur le client officiel. En tout cas je suis le projet depuis le début. Par contre ipfire a un avis mitigé .https://blog.ipfire.org/post/why-not-wireguard








stratic a écrit :



La seule chose qui me manque c’est un équivalent à l’option “port-share” d’OpenVPN pour passer en SSL via port 443 d’un serveur web afin de passer sous le radar d’environnements bloquant les usages autres que web/mail. Sinon, à part ça, je n’y vois que du gain.





Je l’utilise avec OpnSense et je le fais passer par le port 53 qui est généralement ouvert partout vu qu’il sert aux requêtes DNS.









yannickta a écrit :



Bonne question, d’autant plus que la doc utilisateur officielle est plutôt maigre… Je n’ai pas vu la réponse à cette question pourtant basique pour un VPN. De même que sur le sujet du site-to-site.





L’occasion rêvée de ne pas faire de VPN layer 2 en fait, c’est moche.