Openvpn of Wireguard gebruiken

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • Egbert Jan
  • Registratie: September 2008
  • Laatst online: 05-07 16:21
Ik heb pfsense 2.5 als moduem/router draaien hier in huis met openvpn erop. Ik vind de snelheid die ik met mijn s21 ultra met vodafone haal erg laag met de openvpn. Tussen de 30 a 40 mbit haal ik op mijn s21 ultra. Met mijn laptop haal ik ongeveer de zelfde snelheid op een ziggo aansluiting 250/25. Ik heb zelf een 1000/500 glasvezel verbinding. Kan ik er nog iets aan doen om die openvpn verbinding sneller te krijgen of kan ik beter overschakelen op WireGuard om meer snelheid te halen? Kan ik WireGuard gewoon naast openvpn draaien zonder problemen om een te proberen? Ik kwam deze mooie uitleg tegen? Wie kan mij hier bij helpen?

Alle reacties


Acties:
  • 0 Henk 'm!

Anoniem: 674295

Ik heb met beide ervaring op een raspberry pi; wireguard is een stukje sneller, maar voor mij was dat niet de doorslaggevende factor

Ik merk met wireguard dat het veel sneller is als de verbinding weer opgezet moet worden. Voorheen had ik, als mn toestel uit sleep kwam geen verbinding, bij wireguard is dat vrijwel gelijk. Ik merk dan niet dat een always-on vpn tussen zit.

Acties:
  • 0 Henk 'm!

  • Juup
  • Registratie: Februari 2000
  • Niet online
WireGuard zet echt veel sneller een verbinding op.
OpenVPN alleen gebruiken als je perse een van de networking-features nodig hebt.

Ben ik nou zo dom of zijn jullie nou zo slim?


Acties:
  • 0 Henk 'm!

  • Egbert Jan
  • Registratie: September 2008
  • Laatst online: 05-07 16:21
Ik heb nu openvpn draaien. Kan ik daarnaast zonder problemen ook wireguard draaien? Kan ik ze beide eens testen om te kijken welke de hoogste snelheid haalt

[ Voor 30% gewijzigd door Egbert Jan op 24-02-2021 23:09 ]


Acties:
  • 0 Henk 'm!

  • _JGC_
  • Registratie: Juli 2000
  • Laatst online: 22:35
Waarom zou je het niet naast elkaar kunnen gebruiken?

Ik heb een setup met 5 IPsec VTI tunnels en daarnaast nog OpenVPN voor de laptops. OSPF ingesteld en dat routeert naar elkaar zonder problemen.

OpenVPN is vooral traag omdat het veel meer overhead heeft dan IPsec en Wireguard.

  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 18:48
Wireguard is aanzienlijk minder belasting en sneller, maar Openvpn heeft meer privacy zekerheid.

Wireguard bewaart je Ip-adres op de VPN server en je krijgt dan ook telkens hetzelfde iIP-adres wat natuurlijk minder goed is voor je anonimiteit op het internet.

Sommige VPN provider ondervangen dat privacy probleem door bijvoorbeeld dubbel Nat in de client die ze leveren in te bouwen, wat het natuurlijk maar gedeeltelijk opvangt.
NordVpn doet dat bijvoorbeeld in hun NordLynx client.

[ Voor 27% gewijzigd door Ben(V) op 25-02-2021 09:15 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


  • DR!5EQ
  • Registratie: November 2009
  • Niet online
Ik snap je vraag en sommige anderen denk ik niet. Het gaat om doorvoersnelheid. Mijn ervaring is dat er weinig verschil tussen Wireguard en openvpn zit. Ik trek mn 200/200 lijn ook niet dicht bij gebruik van openvpn. Het is ook niet dat ik mn cpu vol zie lopen. Voor mij is het al jaren een raadsel en de vraag hoe vpn providers dat doet.

  • Orion84
  • Registratie: April 2002
  • Laatst online: 18:45

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Als ik de topicstart goed lees dan gaat het hier om het draaien van een eigen VPN server (om veilig bij je thuisnetwerk te kunnen / je verkeer als je op een ander netwerk zit veilig via je eigen thuisverbinding te laten lopen). Niet om het gebruik van een OpenVPN / WireGuard client om met een externe VPN provider te verbinden (waar @Ben(V) en @DR!5EQ vanuit lijken te gaan).

Op een 1000/500 lijn, dus die zou de bottleneck niet moeten zijn (tenzij de ISP VPN verkeer herkent en afknijpt).

2 VPN servers naast elkaar draaien kan prima lijkt me, alleen zullen ze dan wel elk op een eigen poort moeten draaien uiteraard.

Op wat voor hardware draait pfsense? En zie je daar iets aan CPU gebruik?

[ Voor 79% gewijzigd door Orion84 op 25-02-2021 09:27 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr


  • Videopac
  • Registratie: November 2000
  • Laatst online: 23:00

Videopac

Rommelt wat aan.

DR!5EQ schreef op donderdag 25 februari 2021 @ 09:18:
Ik snap je vraag en sommige anderen denk ik niet. Het gaat om doorvoersnelheid. Mijn ervaring is dat er weinig verschil tussen Wireguard en openvpn zit. Ik trek mn 200/200 lijn ook niet dicht bij gebruik van openvpn. Het is ook niet dat ik mn cpu vol zie lopen. Voor mij is het al jaren een raadsel en de vraag hoe vpn providers dat doet.
Dat hangt ook af of je encriptie gebruikt of niet. Encriptie i.c.m. OpenVPN en een CPU die AES niet hardwarematig ondersteund. Hoe het zit met encriptie i.c.m. Wireguard weet ik niet.

Asustor AS6704T (32GB, 4x16TB MG08), OpenWrt (3x GL.iNet Flint 2 MT6000), Lyrion Media Server, Odroid H2/N2+/C4/C2, DS918+ (4x8TB WD RED)


  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 18:48
Ik ga helemaal nergens vanuit.
Ik vertel gewoon het verschil tussen Wireguard en OpenVpn.

Maar de performance van een VPN verbinding is afhankelijk van de netwerk snelheid en de snelheid waarmee de client en de server kunnen en/de -crypten.
Dat zie je niet altijd terug in cpu load omdat veel devices hardware aan boord hebben om die encryptie te doen en gedurende die tijd staat de cpu te idle-en, maar het kost wel tijd en OpenVpn is gewoon veel trager dan Wireguard.

Tevens is OpenVpn exclusief single threaded en Wireguard niet, dus als je bijvoorbeeld vier core's hebt dan zal OpenVpn er maar een gebruiken en kom je zo wie zo maar tot maximaal 25% cpu belasting.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 18:48
Videopac schreef op donderdag 25 februari 2021 @ 09:26:
[...]

Dat hangt ook af of je encriptie gebruikt of niet. Encriptie i.c.m. OpenVPN en een CPU die AES niet hardwarematig ondersteund. Hoe het zit met encriptie i.c.m. Wireguard weet ik niet.
VPN is per definitie encrypted.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


Acties:
  • +2 Henk 'm!

  • Orion84
  • Registratie: April 2002
  • Laatst online: 18:45

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Ben(V) schreef op donderdag 25 februari 2021 @ 10:24:
Ik ga helemaal nergens vanuit.
Ik vertel gewoon het verschil tussen Wireguard en OpenVpn.
Dat hele stuk over privacy is toch totaal irrelevant als je zelf thuis een VPN server draait? Of begrijp ik je verkeerd?

Het performance aspect is zeker nuttige info voor de topicstarter d:)b

The problem with common sense is that it's not all that common. | LinkedIn | Flickr


  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 18:48
Dat is afhankelijk wat je belangrijk vind.

Als je het niet prettig vind dat het te traceren is waar vandaan je met je VPN naar je huis connect dan moet je geen Wireguard gebruiken, vind je dat niet belangrijk dan is Wireguard een prima (en misschien zelfs betere) oplossing.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


  • JaDatIsPeter
  • Registratie: Februari 2019
  • Niet online
Egbert Jan schreef op woensdag 24 februari 2021 @ 23:08:
Ik heb nu openvpn draaien. Kan ik daarnaast zonder problemen ook wireguard draaien? Kan ik ze beide eens testen om te kijken welke de hoogste snelheid haalt
Lijkt mij een goed plan. Ik heb geen ervaring met Wireguard, maar wel met OpenVPN en Ipsec IKEv2 dat probleemloos naast elkaar op pfSense draait.

Als ik jou was zou ik alle drie naast elkaar gaan draaien.. en dan ben ik heel benieuwd naar een vergelijkingstabel die jij hier dan plaatst :-)

PS Het scheelt trouwens of je in OpenVPN TCP of UDP gebruikt, de laatste zou efficiënter zijn. Ik draai OpenVPN op TCP/443, omdat ik hoop dat het dan minder snel geblokkeerd zal worden in bedrijfsnetwerken. Al vermoed ik dat een beetje filter-applicaties ook dat weet te onderscheiden van regulier HTTPS verkeer. Vanwege Corona kom ik niet meer zo veel fysiek bij de opdrachtgever, dus geen recente ervaring over performance of blokkeren..

Acties:
  • +2 Henk 'm!

  • _JGC_
  • Registratie: Juli 2000
  • Laatst online: 22:35
Videopac schreef op donderdag 25 februari 2021 @ 09:26:
[...]

Dat hangt ook af of je encriptie gebruikt of niet. Encriptie i.c.m. OpenVPN en een CPU die AES niet hardwarematig ondersteund. Hoe het zit met encriptie i.c.m. Wireguard weet ik niet.
Wireguard zit in de kernel en gebruikt ChaCha20 encryptie, wat een stuk vriendelijker is voor CPUs die het niet kunnen offloaden op een hardwarematige encryptie engine.

Verder hebben Wireguard en IPsec het voordeel dat alles in kernel space gebeurt, er hoeft niet steeds heen en weer tussen userspace en kernelspace. OpenVPN doet de encryptie in userspace via OpenSSL, welke de encryptie dan weer via de kernel kan laten lopen voor offloading.

Overigens, in geval van Pfsense moet je AESNI eerst wel aanzetten in de configuratie, als je dat niet doet wordt het totaal niet gebruikt. Weet niet of dit bij 2.5 al standaard ingeschakeld is, bij 2.4.x niet.

  • Egbert Jan
  • Registratie: September 2008
  • Laatst online: 05-07 16:21
Pfsense 2.5 draait bij mij op een i7-980X Processor Extreme Edition met 12 GB geheugen en een samsung 128gb ssd met een asus p6t-deluxev2 moederbord.

Ik kan helaas als ik de openvpn server instel niet instellen dat mijn processor hardwarematig AESIN gaat doen. Bij die instelling kan ik helaas niks selecteren. Mijn processor ondersteund volgens de intel site wel hardware matige aes encyptie. Zou ik dit wel in kunnen stellen als ik een nieuwere intel processor zou gebruiken? Ik heb in de instellingen van PFSense wel hardwarematige encryptie aangezet. Op mijn home pagina van pfsense zie ik crypto wel op ingeschakeld staan. Ik zie als ik vpn draai dat de processor maar 1 a 2 procent belasting laat zien. Ik draait de openvpn via udp op poort 443 en als encryptie aes-gcm 128bit.

Wat ik wil met mijn eigen vpn server is dat ik veilig bij mijn eigen netwerk kan. Ik heb hogere snelheid nodig, omdat ik bestanden uitwissel en de tv zenders van ziggo en mijn schotel stream naar mijn telefoon of laptop. Ik doe dat via een vu plus ultimo 4k (dat is een linux ontvanger met een kabel schotel tuner erin). Ik zal 1 deze dagen proberen een wireguard vpn in te stellen en dan de snelheid verschillen hier plaatsen. Ik kan ook mijn OpenVPN server instellingen hier eens posten mischien dat jullie iets kunnen zien wat verkeert ingesteld staat waardoor ik mijn snelheid via openvpn hoger kan krijgen.

[ Voor 10% gewijzigd door Egbert Jan op 25-02-2021 12:49 ]


  • Egbert Jan
  • Registratie: September 2008
  • Laatst online: 05-07 16:21
Hier een overzicht van mijn home page in pfsense

Afbeeldingslocatie: https://tweakers.net/i/o6wr_jjq2CDmAJDYVyq44s93voc=/800x/filters:strip_exif()/f/image/8haXXXLb6EtZeMIA3iJpdybM.png?f=fotoalbum_large

Acties:
  • +2 Henk 'm!

  • _JGC_
  • Registratie: Juli 2000
  • Laatst online: 22:35
@Egbert Jan Onder FreeBSD (en dus Pfsense) heb je AES-NI in de kernel als interface, en daarnaast Cryptodev. Jij hebt AESNI aangezet en Cryptodev staat uit. Bij de configuratie van OpenVPN zie je alleen Cryptodev devices, dus heb jij het idee dat er geen AES offload gebruikt wordt.

OpenVPN kan op 2 manieren gebruik maken van AES-NI:
- vanuit OpenVPN via cryptodev
- vanuit OpenSSL via AES-NI interface

Cryptodev is een stuk beperkter dan de AES-NI interface, offload via OpenSSL via AES-NI is veel efficienter.

Verder heeft AES-GCM de voorkeur bij AESNI, dus dat doe je goed.

Edit: Overigens wel totale overkill die PC die je hebt opgezet voor OpenVPN...

[ Voor 6% gewijzigd door _JGC_ op 25-02-2021 14:20 ]


  • Egbert Jan
  • Registratie: September 2008
  • Laatst online: 05-07 16:21
Ik had deze pc over en heb er een Intel X540-BT2 Dual-Port 10GBase-T netwerkkaart in zitten.

  • DR!5EQ
  • Registratie: November 2009
  • Niet online
Orion84 schreef op donderdag 25 februari 2021 @ 09:24:
Als ik de topicstart goed lees dan gaat het hier om het draaien van een eigen VPN server (om veilig bij je thuisnetwerk te kunnen / je verkeer als je op een ander netwerk zit veilig via je eigen thuisverbinding te laten lopen). Niet om het gebruik van een OpenVPN / WireGuard client om met een externe VPN provider te verbinden (waar @Ben(V) en @DR!5EQ vanuit lijken te gaan).

Op een 1000/500 lijn, dus die zou de bottleneck niet moeten zijn (tenzij de ISP VPN verkeer herkent en afknijpt).

2 VPN servers naast elkaar draaien kan prima lijkt me, alleen zullen ze dan wel elk op een eigen poort moeten draaien uiteraard.

Op wat voor hardware draait pfsense? En zie je daar iets aan CPU gebruik?
Nee hoor. Juist niet. Het gaat me om de doorvoersnelheid van een vpn server die TS heeft opgezet.

Acties:
  • +1 Henk 'm!

  • nielsn
  • Registratie: November 2010
  • Laatst online: 18:40
Egbert Jan schreef op donderdag 25 februari 2021 @ 12:48:
Hier een overzicht van mijn home page in pfsense

[Afbeelding]
In je screenshot is je adres af te lezen bij Name. Deze zou ik even verwijderen want in combinatie met je profielgegevens is op te maken waar je woont.

Acties:
  • 0 Henk 'm!

  • Egbert Jan
  • Registratie: September 2008
  • Laatst online: 05-07 16:21
Ik heb wireguard nu ook ingesteld. Ik haal als ik bij mij thuis via het vodafone netwerk op mijn Galaxy s21 5g ultra 512 gb verbinding maak via wireguard of via openvpn met mijn pfsense 2.5 server ongeveer de zelfde snelheid ergens tussen de 30 a 40 mbit download. Ik ga morgen op mijn werk in Groningen nog even beter testen daar heb ik 5g met 4 streepjes. Bij mij thuis haal ik via vodafone maar iets van 60mbit download en 5 upload. Ik had gehoopt met wireguard dichter bij die 60 mbit uit te komen.

Acties:
  • 0 Henk 'm!

  • FreakNL
  • Registratie: Januari 2001
  • Laatst online: 23:31

FreakNL

Well do ya punk?

Ben(V) schreef op donderdag 25 februari 2021 @ 10:35:
Dat is afhankelijk wat je belangrijk vind.

Als je het niet prettig vind dat het te traceren is waar vandaan je met je VPN naar je huis connect dan moet je geen Wireguard gebruiken, vind je dat niet belangrijk dan is Wireguard een prima (en misschien zelfs betere) oplossing.
Ik ken wireguard verder niet maar als je dat thuis op PfSense draait wordt er dan nog steeds (extern) gelogged? OpenVPN doet dit niet..

Acties:
  • 0 Henk 'm!

  • Egbert Jan
  • Registratie: September 2008
  • Laatst online: 05-07 16:21
Dit zou ik.ook wel willen weten.
FreakNL schreef op dinsdag 2 maart 2021 @ 20:34:
[...]


Ik ken wireguard verder niet maar als je dat thuis op PfSense draait wordt er dan nog steeds (extern) gelogged? OpenVPN doet dit niet..

Acties:
  • 0 Henk 'm!

  • Vorkie
  • Registratie: September 2001
  • Niet online
WireGuard is gewoon een ander soort VPN, als je deze thuis draait zal je naar thuis verbinden en dan vanuit daar naar internet gaan.

Qua privacy scherm je dus je mobiele ip af, maar je gaat dan alsnog vanuit je thuis ip adres.

Dus ik snap het privacy stukje niet?

We hebben het hier over iemand die een PFsense appliance heeft, terwijl het privacy stuk gaat over public VPN :?

[ Voor 17% gewijzigd door Vorkie op 02-03-2021 22:19 ]


Acties:
  • 0 Henk 'm!

  • FreakNL
  • Registratie: Januari 2001
  • Laatst online: 23:31

FreakNL

Well do ya punk?

Ja dat snap ik dus ook niet. Of je nou een Wireguard of OpenVPN server THUIS draait, er is toch geen externe logging? De post van @Ben(V) doet anders geloven...

Natuurlijk kom je daarna vanaf je thuis IP (Ipv je mobiele IP) binnen op het Internet maar dat is mijn vraag ook niet...

[ Voor 7% gewijzigd door FreakNL op 02-03-2021 22:58 ]


Acties:
  • 0 Henk 'm!

  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 18:48
Als je wireguard gebruikt om via een Vpn provider anoniem het internet op te gaan dan kun je met wireguard niet zekerstellen dat je anoniem bent, je path is terug te tracen.
Sommige Vpn providers voorkomen dat door dubbel Nat toe te passen.

Analoog daaraan is het ook mogelijk als je vanaf het internet naar een wireguard server thuis connect om te zien wie waar naar connect.
Of dat erg is moet iedereen zelf bepalen, maar OpenVpn is wat dat betreft veiliger.

Samengevat, wireguard is prima om data transfer te encrypten, maar niet om connecties te verbergen en openvpn doet beiden.

[ Voor 11% gewijzigd door Ben(V) op 03-03-2021 00:45 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


Acties:
  • 0 Henk 'm!

  • Thralas
  • Registratie: December 2002
  • Laatst online: 02:27
JaDatIsPeter schreef op donderdag 25 februari 2021 @ 10:55:
PS Het scheelt trouwens of je in OpenVPN TCP of UDP gebruikt, de laatste zou efficiënter zijn. Ik draai OpenVPN op TCP/443, omdat ik hoop dat het dan minder snel geblokkeerd zal worden in bedrijfsnetwerken.
Dat efficiëntieaspect is vooral theoretisch, maar 443/tcp (of 53/udp) is wel het meest robuust tegen firewalls. Echter, daarnaast zijn er recent in meerdere topics mensen die klagen over ondermaatse udp performance bij Ziggo. Nu is @Egbert Jan niet duidelijk over wáár die VPN-server staat, maar als ZIggo erbij betrokken is (client/server) dan zou ik zeker even tcp testen.

Ook zou ik ook WiFi of LTE vermijden voor je tests, tenzij je heel zeker weet dat je 5 GHz en/of oerdegelijke LTE hebt.

Acties:
  • 0 Henk 'm!

  • Egbert Jan
  • Registratie: September 2008
  • Laatst online: 05-07 16:21
Ik heb de vpn server bij mij thuis staan. Die is verbonden via het glasvezel netwerk van kpn. Ik heb het internet via helden van nu. Ik heb een snelheid van 1000/500

Acties:
  • +2 Henk 'm!

  • JaDatIsPeter
  • Registratie: Februari 2019
  • Niet online
Ben(V) schreef op woensdag 3 maart 2021 @ 00:42:
Analoog daaraan is het ook mogelijk als je vanaf het internet naar een wireguard server thuis connect om te zien wie waar naar connect. [..] maar OpenVpn is wat dat betreft veiliger.
Ik begrijp niet goed wat je hier zegt, wat je bedoelt?

De server thuis zit er als man-in-the-middle tussen dus die kan van alles volgen. Daarin zijn wireguard en openvpn gelijk.

Als je vanuit die thuis server verder het internet op gaat, dan heb je steeds hetzelfde ip-adres, namelijk dat van je thuis. Daarin zijn wireguard en openvpn ook gelijk.

Een onderzoek naar wireguard lijkt ook te stellen dat "identity hiding" en "identity mis-binding" risico's voldoende gewaarborgd zijn. An sich dus geen privacy risico's.
Samengevat, wireguard is prima om data transfer te encrypten, maar niet om connecties te verbergen en openvpn doet beiden.
In eerdere posts is al aangegeven dat het bij @Egbert Jan (TS) om een eigen vpn-server thuis gaat, dus nadelen zoals beschreven door vpndiensten en restoreprivacy zijn niet relevant.

Ik vraag me daarom af welke (privacy) nadelen wireguard nog heeft?

Behalve die door vpndiensten en restoreprivacy genoemd worden, want die zijn bekend. En relevant in de situatie van TS, want daar praten we hier over.

Acties:
  • 0 Henk 'm!

  • Egbert Jan
  • Registratie: September 2008
  • Laatst online: 05-07 16:21
Ik heb nog even wat testen gedaan met zowel openvpn als wireguard met mijn samsung galaxy s21 ultra op het vodafone netwerk. Ik heb deze testen uitgevoerd op een plek waar ik zonder vpn op het vodafone netwerk zon 250 a 300 mbit haal. Met openvpn haal ik een snelheid van 30 a 35 mbit en via wireguard haal ik 45 a 50 mbit. Ik vind dit een erg lage snelheid. Tijdens deze testen is de cpu in mijn pfsense machine voor 2% a 3% belast. Ik krijg het idee dat mijn pfsense machine de snelheid tegenhoud. Zijn dit normale snelheden die ik haal op mijn Galaxy s21 ultra? Ik ga dit binnenkort ook nog even testen op ziggo verbinding van 250/25 met mijn laptop. Ik kan op verzoek instellingen posten van mijn pfsense machine.

Welke poort kan ik het beste instellen voor wireguard, zodat de kans dat als ik ergens kom het niet geblokeerd is. Ik heb voor openvpn het idee dat ik het beste poort 443 over tcp kan kiezen. wat is sneller bij openvpn tcp of udp? Is er ook een mogelijk om de wireguard vpn app op android en de windows applicatie te beveiligen met een wachtwoord? Ik heb dit bij openvpn wel en vind dat veiliger.

Acties:
  • +1 Henk 'm!

  • Thralas
  • Registratie: December 2002
  • Laatst online: 02:27
Egbert Jan schreef op donderdag 4 maart 2021 @ 11:13:
Ik vind dit een erg lage snelheid.
Ik ook.
Tijdens deze testen is de cpu in mijn pfsense machine voor 2% a 3% belast. Ik krijg het idee dat mijn pfsense machine de snelheid tegenhoud.
Ik niet. Althans: aan de CPU kan het niet liggen.
Zijn dit normale snelheden die ik haal op mijn Galaxy s21 ultra? Ik ga dit binnenkort ook nog even testen op ziggo verbinding van 250/25 met mijn laptop. Ik kan op verzoek instellingen posten van mijn pfsense machine.
Wat je het beste kunt doen is testen, testen, testen. Installeer iperf3 op je pfSense en/of ergens anders.

Download PingTools en gebruik de iperf utility om de snelheid te testen, zowel direct (zonder Wireguard) als met, en binnen het LAN als over het internet.

Op mijn Pixel 4a haal ik 250/320 (WiFi) 182/160 (Wireguard over WiFi). Jouw beurt. Meten is weten.
Welke poort kan ik het beste instellen voor wireguard, zodat de kans dat als ik ergens kom het niet geblokeerd is.
53 is de beste gok, maar het nut zal beperkt zijn.

Acties:
  • 0 Henk 'm!

  • Egbert Jan
  • Registratie: September 2008
  • Laatst online: 05-07 16:21
Wireguard vpn werkt nu prima op mijn laptop, Maar nu wil ik op deze server ook mijn galaxy s21 ultra hebben op de zelfde tunnel hebben maar dat werkt helaas niet.

Dit zijn de instellingen die ik gedaan heb voor mijn Laptop en mijn telefoon

Dit zijn de instellingen in pfsense

Afbeeldingslocatie: https://tweakers.net/i/xAJUvuZPIJw72HUeTY9b_EQWXFk=/800x/filters:strip_exif()/f/image/5NdOPej938DCmkUoIGjTTmCP.png?f=fotoalbum_large

Dit is de peer van de laptop

Afbeeldingslocatie: https://tweakers.net/i/lFO96NrDLq9WLszhhgbS_aLdemA=/800x/filters:strip_exif()/f/image/JmuVzenlZB7CTwh3rveq1wnD.png?f=fotoalbum_large

Dit is de peer van de telefoon

Afbeeldingslocatie: https://tweakers.net/i/syfs2AJIyGYvxkeZmJimO9QkQzE=/800x/filters:strip_exif()/f/image/GE67wXsQ7daHcpmgtLB6vLRl.png?f=fotoalbum_large

Dit zijn de instellingen van de laptop

Afbeeldingslocatie: https://tweakers.net/i/tnaKnWPT_-Y6UEjiRQyYcB0XzNU=/800x/filters:strip_exif()/f/image/RKog6DRYNuDmpJDLpZq3tk3X.png?f=fotoalbum_large

Dit zijn de instellingen op de telefoon.

Afbeeldingslocatie: https://tweakers.net/i/0FbksHLqSF-G0cv0uehtRFTefQ4=/x800/filters:strip_icc():strip_exif()/f/image/lMfIPmBSW1NWLti1YBfosZpz.jpg?f=fotoalbum_large

Kan iemand mij uitleggen waarom mijn laptop wel werkt en mijn telefoon niet?

Acties:
  • +1 Henk 'm!

  • Thralas
  • Registratie: December 2002
  • Laatst online: 02:27
Aan de 'server'-kant (dus pfSense) moet je niet 0.0.0.0/0 gebruiken als allowedips, maar enkel het tunneled IP van je client. Zo te zien is dat hetzelfde als je daar ook expliciet dient op te geven als peer IP (al dan niet met een /32 mask).

Acties:
  • +1 Henk 'm!

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
Jij gaat er vanuit dat je verbinding volledig over de volle snelheid gerouteerd wordt van het vodafone naar het kpn netwerk. Hoe groot is de kans denk jij dat het onderweg niet een beetje geknepen wordt. Je bent niet alleen op deze wereld en betaald niet de prijs voor een dedicated verbinding. Kijk ook naar het grote geheel dan besef je dat al die prachtige supersnelle verbindingen vooral marketing en extra inkomsten zijn.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


Acties:
  • 0 Henk 'm!

  • Egbert Jan
  • Registratie: September 2008
  • Laatst online: 05-07 16:21
Thralas schreef op zondag 7 maart 2021 @ 09:35:
Aan de 'server'-kant (dus pfSense) moet je niet 0.0.0.0/0 gebruiken als allowedips, maar enkel het tunneled IP van je client. Zo te zien is dat hetzelfde als je daar ook expliciet dient op te geven als peer IP (al dan niet met een /32 mask).
Dit was de oplossing voor meerdere cliets op de zelfde tunnel. Bedankt hier voor. Nu heb ik nog twee andre problemen. Ik krijg het niet over port 53 (ik wil dat het op vakantie ook werkt in hotels en niet geblokeerd kan worden) en kan de clients die via openvpn aan mijn router verbonden zijn niet benaderen als ik verbind via wiregaurd. Wie weet hoe ik deze 2 laatste dingen kan oplossen.

[ Voor 5% gewijzigd door Egbert Jan op 07-03-2021 16:10 ]


Acties:
  • 0 Henk 'm!

  • Egbert Jan
  • Registratie: September 2008
  • Laatst online: 05-07 16:21
Ik heb wireguard nu kunnen testen op mijn laptop i5 7300u 16gb op een ziggo verbinding van 250/25. Ik haalde zowel bedraad als via wifi een snelheid van 250/25 mbit. Ik haal nu ook een cpu belasting op mijn pfsense machine van 8%. Met openvpn is dit met de zelfde laptop 50/25mbit op de zelfde ziggo verbinding. Op Mijn telefoon galaxy s21 ultra haalde ik op deze ziggo verbinding 80mbit via de wifi. Wat ook heel mooi is aan wireguard ten opzichte van openvpn is dat hij keurig multi-core is. Ik hoop dat ze bij openvpn ooit nog eens multi-core ondersteuning in gaan bouwen. Ik ben er nu ook achter dat mijn de snelheid van mijn telefoon de beperkende factor is bij de snelheid van de wireguard als ik via het vodafone netwerk verbinding maak met mijn pfsene machine. Ik weet helaas niet wat de maximale snelheid is die ik kan halen met wireguard, omdat ik niemand ken met een snellere internet verbinding dan ziggo 250/25. Wat ik aan openvpn wel mooier vind is dat je veel meer kan instellen en dat hij met dhcp werk.

Het enige wat ik helaas nog niet werkende heb is als ik via de laptop of telefoon wireguard vpn aanzet ik mijn apparaten die via openvpn verbonden zijn niet kan benaderen. Weet iemand misschien hoe ik dit kan oplossen?

Acties:
  • 0 Henk 'm!

  • MsG
  • Registratie: November 2007
  • Laatst online: 23:47

MsG

Forumzwerver

Egbert Jan schreef op donderdag 4 maart 2021 @ 11:13:
[...]
Is er ook een mogelijk om de wireguard vpn app op android en de windows applicatie te beveiligen met een wachtwoord? Ik heb dit bij openvpn wel en vind dat veiliger.
Hier ben ik ook wel benieuwd naar. Ik lees en hoor overal pleidooien voor Wireguard op Tweakers, versus OpenVPN. Maar waar iemand bij OpenVPN niet zomaar kan verbinden met alleen mijn certificaat, ben je bij WireGuard daarmee meteen binnen. Het is wel wat sneller hier, maar het voelt voor mij daarmee nog wel een stuk onveiliger.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn


Acties:
  • 0 Henk 'm!

  • Luxicon
  • Registratie: Oktober 2010
  • Laatst online: 18-07-2021
MsG schreef op maandag 8 maart 2021 @ 19:18:
[...]


Hier ben ik ook wel benieuwd naar. Ik lees en hoor overal pleidooien voor Wireguard op Tweakers, versus OpenVPN. Maar waar iemand bij OpenVPN niet zomaar kan verbinden met alleen mijn certificaat, ben je bij WireGuard daarmee meteen binnen. Het is wel wat sneller hier, maar het voelt voor mij daarmee nog wel een stuk onveiliger.
Daar zijn de keys voor lijkt mij toch? Aan zowel de server, als cliënt zijde?

...


Acties:
  • 0 Henk 'm!

  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 23:48

CAPSLOCK2000

zie teletekst pagina 888

MsG schreef op maandag 8 maart 2021 @ 19:18:
Hier ben ik ook wel benieuwd naar. Ik lees en hoor overal pleidooien voor Wireguard op Tweakers, versus OpenVPN. Maar waar iemand bij OpenVPN niet zomaar kan verbinden met alleen mijn certificaat, ben je bij WireGuard daarmee meteen binnen. Het is wel wat sneller hier, maar het voelt voor mij daarmee nog wel een stuk onveiliger.
Dat klopt, Wireguard doet minder, het heeft een heel beperkte taak en doet dat erg goed, namelijk dat veilig van A naar B transporteren. Wat dat betreft is het minder veilig dan OpenVPN.
Maar eerlijk gezegd beweegt de wereld toch al die kant op. Het klassieke VPN-model is dat je een "intern" netwerk hebt met daarin vertrouwde gebruikers die afgeschermd zijn van de boze buitenwereld en als ze niet op kantoor zijn een VPN gebruiken om toch deel te zijn van het interne netwerk. Dat model verdwijnt omdat de grenzen tussen intern en extern steeds vager worden door byod, cloud en thuiswerken.
VPNs worden daarom steed meer domme pijpen die geen ander doel hebben dan data veilig te transporteren over onveilige netwerken. Als je meer toegangscontrole wil dan doe je dat in de applicatie, niet in het netwerk. In die wereld werkt Wireguard prima.
Tegelijkertijd is de realiteit natuurlijk wel dat we nog lang aan oude ontwerpen vast zullen zitten.

This post is warranted for the full amount you paid me for it.


Acties:
  • 0 Henk 'm!

  • MsG
  • Registratie: November 2007
  • Laatst online: 23:47

MsG

Forumzwerver

Luxicon schreef op maandag 8 maart 2021 @ 23:06:
[...]


Daar zijn de keys voor lijkt mij toch? Aan zowel de server, als cliënt zijde?
Bij beide vpn-servers heb je een certificaat/settings bestand. Bij openvpn moet je nadat je die inlaadt OOK nog een wachtwoord invoeren, voordat je kan verbinden.

Bij wireguard kan je na het inladen van het bestand al verbinden. Stel dat bestand ligt op de een of andere manier op straat, dan ben je volledig gecompromitteerd, en bij OpenVPN niet, omdat iemand het wachtwoord dan ook nog moet weten.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn


Acties:
  • 0 Henk 'm!

  • Thralas
  • Registratie: December 2002
  • Laatst online: 02:27
MsG schreef op dinsdag 9 maart 2021 @ 08:19:
Stel dat bestand ligt op de een of andere manier op straat, dan ben je volledig gecompromitteerd, en bij OpenVPN niet, omdat iemand het wachtwoord dan ook nog moet weten.
Wireguard maakt het (in tegenstelling tot OpenVPN) stukken simpeler om keys op de machine te genereren waar je ze gebruikt. Ze zouden nooit de machine moeten verlaten waar je ze gebruikt.

Als iemand bij je computer kan, dan is het toch al over en uit, ook bij OpenVPN. Die computer (of smartphone) is als het goed is zelf al voorzien van een wachtwoord om dat te voorkomen.

Bij OpenVPN is er meestal één CA (al dan niet op de server) die iedereen (in bezit van die CA) in staat stelt om toegangscertificaten voor willekeurige gebruikers uit te geven. Een stuk minder veilig als je het mij vraagt.

Acties:
  • 0 Henk 'm!

  • Egbert Jan
  • Registratie: September 2008
  • Laatst online: 05-07 16:21
Ik heb nog weer wat onderzoek gedaan. Ik kan inmiddels apparaten verbinden die met openvpn verbonden zijn met apparaten die met wireguard verbonden zijn op mijn netwerk. Het werkte eerste niet, omdat ik mijn apparaart via een openvpn multiple tunnel OpenVPN verbinding verliep. Als ik de openvpn verbind via een fore tunnel verbinding werkt het wel. Nu is mijn vraag is er ook een mogelijk om apparaten die via een openvpn multiple tunnel verbinding verbonden zijn te verbinden met apparaten die gebruik maken van wireguard vpn? Als die niet kan. Kan iemand mij dan misschien uitleggen waarom het niet kan?

Ik heb namelijk een apparaat staan die via openvpn verbonden is met mijn netwerk via een multiple tunnel verbinding die ik niet op een force tunnel kan zetten. Ik zou die graag willen kunnen bereiken via mijn telefoon via wireguard. Alles zit verbonden via vpn aan mijn pfsense 2.5 machine
Pagina: 1