Hallo, die zweite.
Sicher haben schon viele von Wireguard gehört / gelesen. Das ganze ist zwar noch in der Entwicklung aber es ist doch schon so weit gediehen, dass man es auf allen Plattformen zum Laufen bekommt.
Das schöne ist, dass man es auch bereits direkt unter OPNSense einbinden kann – ganz in der Hoffnung, dass die Performance der VPN-Tunnel damit deutlich verbessert wird.
Ein paar Links:
1.) in der c’t
2.) mit OPNSense
3.) Setup OPNSense
Schöne Grüße,
Michael
Ich habe Wireguard bereit mehrfach eingesetzt und bin beeindruckt. Der große Vorteil ist die Fehlertoleranz dieser Art von VPN. Es gibt kein initiales Etablieren der Verbindung, die Verbindung kann auch nicht abbrechen und müsste neu hergestellt werden. Sie besteht virtuell immer. Es ist ein super Konzept auf mobilen Geräten, bei denen Verbindungsabbrüche und -Wechsel Normalität sind.
Hi.
Ich habe Wireguard unter OPNSense ausprobiert. Die Verbindung wird wirklich super schnell aufgebaut. Das Paket dort ist ja leider noch alpha/beta aber das Konzept ist echt super. Es ist schon erstaunlich, wie schnell die Verbindung steht. Zudem habe ich einen QR-Code für meine Zugangsdaten generiert und mit dem Smartphone importiert. Lief alles ootb! Auch unter Ubuntu läuft “wg-quick up /etc/wireguard/wg0.conf” völlig problemlos. Von daher auch von mir: Klare Empfehlung.
Michael
das ist natürlich gemein, das so zu beschreiben (im vergleich mit der konkurenz), da ist garkein löffel, äh, keine verbindung 
“da ist garkein löffel” ist ein zitat aus dem film “Matrix”…
wg hat garkeine verbindung, da ist es ein wenig gemein wg aufgrund des schnellen verbindungsaufbaus mit VPNs zu vergleichen, die einen solchen haben 
gibt es ein Problem, diesen Löffel erscheinen zu lassen?
IPFire mit der lmn 6.2. kann das doch?
VG, Tobias
Die Idee/Frage ist ja, ob OpenVPN nicht mittelfristig durch Wireguard abgelöst werden sollte … wenn der Durchsatz wirklich bis zu 4x größer sein soll, ist das neben der viel einfacheren Verwaltung der Zugänge durchaus eine Überlegung wert 
Ah – jetzt erinnere ich mich wieder an die Szene!
Soeben habe ich gesehen, dass für das Wireguard-Paket unter OPNSense ein Upgrade verfügbar ist!
Schönen Gruß,
Michael
Hi.
Die Wireguard Verbindung zu OPNSense funktioniert hier zwar, doch nun wollte ich das ganze so ergänzen, dass der gesamte Traffic des Android-Smartphones durch den Tunnel geroutet wird (für fremde/unbekannte WLANs unbedingt zu empfehlen). Das klappt bisher leider nicht. Ich kann nur das Wireguard Netzwerk erreichen aber nichts anderes sobald der Tunnel aufgebaut ist. In der offiziellen Anleitung steht dazu (Punkt 2c):
https://docs.opnsense.org/manual/how-tos/wireguard-client.html
Leider klappt das bisher nicht so wie gedacht – hat das jemand hinbekommen??
Schönen Gruß
Michael
Hallo.
Noch eine Ergänzung zu Wireguard – hier ist eine sehr ausführliche Anleitung:
https://emanuelduss.ch/2018/09/wireguard-vpn-road-warrior-setup/
Wer Wireguard einsetzen möchte, wird früher oder später über die Erzeugung von QR-Codes stolpern, die einem viel Arbeit abnehmen. Das ist auf der o.g. Seite ebenfalls dargestellt.
Schönen Gruß,
Michael
Hi.
Ok, OPNSense mit Wireguard läuft jetzt. Super Sache!
Ich habe heute ein paar VPN-Zugänge erstellt. Da waren zig Keys, Files, Konfigurationen beteiligt, so dass ich mich frage, ob es auch mit V7 (eines Tages) wieder so einen schicken Button in der WebUI geben wird, der einem eine Wireguard-Konfiguration in sein Home-Verzeichnis packt, so dass man den Peer nur noch auf dem Server aktivieren muss?
Es ist ja fast ein Einzeiler:
wg genkey | tee privatekey.my-name | wg pubkey > publickey.my-name, der dann in eine „dummy wg0.conf“ eingebaut werden müsste…
Schöne Grüße,
Michael
Heute ist mir ein „Nachteil“ von wireguard im Vergleich zu OpenVPN aufgefallen (ist aber auch bisher absolut der einzige Nachteil weit und breit):
Wenn man lokal den Tunnel scharf stellt, wird ja lokal ganz stumpf sowas ausgeführt wie:
[#] ip -4 route add 10.16.0.0/12 dev wg0
Wenn aber der wireguard-Server gar nicht läuft (abgeschmiert, nicht erreichbar, $whatever), bekommt man das uU gar nicht mit. Einen „aktiven Verbindungsaufbau“ gibt es ja nicht…