Openvpn of Wireguard gebruiken - Netwerken

Vraag

woensdag 24 februari 2021 22:15

Acties:

0 Henk 'm!

Topicstarter

Ik heb pfsense 2.5 als moduem/router draaien hier in huis met openvpn erop. Ik vind de snelheid die ik met mijn s21 ultra met vodafone haal erg laag met de openvpn. Tussen de 30 a 40 mbit haal ik op mijn s21 ultra. Met mijn laptop haal ik ongeveer de zelfde snelheid op een ziggo aansluiting 250/25. Ik heb zelf een 1000/500 glasvezel verbinding. Kan ik er nog iets aan doen om die openvpn verbinding sneller te krijgen of kan ik beter overschakelen op WireGuard om meer snelheid te halen? Kan ik WireGuard gewoon naast openvpn draaien zonder problemen om een te proberen? Ik kwam deze mooie uitleg tegen? Wie kan mij hier bij helpen?

Alle reacties

woensdag 24 februari 2021 22:52

Acties:

0 Henk 'm!

Anoniem: 674295

Ik heb met beide ervaring op een raspberry pi; wireguard is een stukje sneller, maar voor mij was dat niet de doorslaggevende factor

Ik merk met wireguard dat het veel sneller is als de verbinding weer opgezet moet worden. Voorheen had ik, als mn toestel uit sleep kwam geen verbinding, bij wireguard is dat vrijwel gelijk. Ik merk dan niet dat een always-on vpn tussen zit.

woensdag 24 februari 2021 23:03

Acties:

0 Henk 'm!

Juup

WireGuard zet echt veel sneller een verbinding op.
OpenVPN alleen gebruiken als je perse een van de networking-features nodig hebt.

Ben ik nou zo dom of zijn jullie nou zo slim?

woensdag 24 februari 2021 23:08

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

Ik heb nu openvpn draaien. Kan ik daarnaast zonder problemen ook wireguard draaien? Kan ik ze beide eens testen om te kijken welke de hoogste snelheid haalt

[ Voor 30% gewijzigd door Egbert Jan op 24-02-2021 23:09 ]

woensdag 24 februari 2021 23:15

Acties:

0 Henk 'm!

_JGC_

Waarom zou je het niet naast elkaar kunnen gebruiken?

Ik heb een setup met 5 IPsec VTI tunnels en daarnaast nog OpenVPN voor de laptops. OSPF ingesteld en dat routeert naar elkaar zonder problemen.

OpenVPN is vooral traag omdat het veel meer overhead heeft dan IPsec en Wireguard.

donderdag 25 februari 2021 09:11

Acties:

0 Henk 'm!

Ben(V)

Wireguard is aanzienlijk minder belasting en sneller, maar Openvpn heeft meer privacy zekerheid.

Wireguard bewaart je Ip-adres op de VPN server en je krijgt dan ook telkens hetzelfde iIP-adres wat natuurlijk minder goed is voor je anonimiteit op het internet.

Sommige VPN provider ondervangen dat privacy probleem door bijvoorbeeld dubbel Nat in de client die ze leveren in te bouwen, wat het natuurlijk maar gedeeltelijk opvangt.
NordVpn doet dat bijvoorbeeld in hun NordLynx client.

[ Voor 27% gewijzigd door Ben(V) op 25-02-2021 09:15 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

donderdag 25 februari 2021 09:18

Acties:

0 Henk 'm!

DR!5EQ

Ik snap je vraag en sommige anderen denk ik niet. Het gaat om doorvoersnelheid. Mijn ervaring is dat er weinig verschil tussen Wireguard en openvpn zit. Ik trek mn 200/200 lijn ook niet dicht bij gebruik van openvpn. Het is ook niet dat ik mn cpu vol zie lopen. Voor mij is het al jaren een raadsel en de vraag hoe vpn providers dat doet.

donderdag 25 februari 2021 09:24

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Als ik de topicstart goed lees dan gaat het hier om het draaien van een eigen VPN server (om veilig bij je thuisnetwerk te kunnen / je verkeer als je op een ander netwerk zit veilig via je eigen thuisverbinding te laten lopen). Niet om het gebruik van een OpenVPN / WireGuard client om met een externe VPN provider te verbinden (waar @Ben(V) en @DR!5EQ vanuit lijken te gaan).

Op een 1000/500 lijn, dus die zou de bottleneck niet moeten zijn (tenzij de ISP VPN verkeer herkent en afknijpt).

2 VPN servers naast elkaar draaien kan prima lijkt me, alleen zullen ze dan wel elk op een eigen poort moeten draaien uiteraard.

Op wat voor hardware draait pfsense? En zie je daar iets aan CPU gebruik?

[ Voor 79% gewijzigd door Orion84 op 25-02-2021 09:27 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

donderdag 25 februari 2021 09:26

Acties:

0 Henk 'm!

Videopac

Rommelt wat aan.

DR!5EQ schreef op donderdag 25 februari 2021 @ 09:18:
Ik snap je vraag en sommige anderen denk ik niet. Het gaat om doorvoersnelheid. Mijn ervaring is dat er weinig verschil tussen Wireguard en openvpn zit. Ik trek mn 200/200 lijn ook niet dicht bij gebruik van openvpn. Het is ook niet dat ik mn cpu vol zie lopen. Voor mij is het al jaren een raadsel en de vraag hoe vpn providers dat doet.

Dat hangt ook af of je encriptie gebruikt of niet. Encriptie i.c.m. OpenVPN en een CPU die AES niet hardwarematig ondersteund. Hoe het zit met encriptie i.c.m. Wireguard weet ik niet.

Asustor AS6704T (32GB, 4x16TB MG08), OpenWrt (3x GL.iNet Flint 2 MT6000), Lyrion Media Server, Odroid H2/N2+/C4/C2, DS918+ (4x8TB WD RED)

donderdag 25 februari 2021 10:24

Acties:

0 Henk 'm!

Ben(V)

Ik ga helemaal nergens vanuit.
Ik vertel gewoon het verschil tussen Wireguard en OpenVpn.

Maar de performance van een VPN verbinding is afhankelijk van de netwerk snelheid en de snelheid waarmee de client en de server kunnen en/de -crypten.
Dat zie je niet altijd terug in cpu load omdat veel devices hardware aan boord hebben om die encryptie te doen en gedurende die tijd staat de cpu te idle-en, maar het kost wel tijd en OpenVpn is gewoon veel trager dan Wireguard.

Tevens is OpenVpn exclusief single threaded en Wireguard niet, dus als je bijvoorbeeld vier core's hebt dan zal OpenVpn er maar een gebruiken en kom je zo wie zo maar tot maximaal 25% cpu belasting.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

donderdag 25 februari 2021 10:27

Acties:

0 Henk 'm!

Ben(V)

Videopac schreef op donderdag 25 februari 2021 @ 09:26:
[...]

Dat hangt ook af of je encriptie gebruikt of niet. Encriptie i.c.m. OpenVPN en een CPU die AES niet hardwarematig ondersteund. Hoe het zit met encriptie i.c.m. Wireguard weet ik niet.

VPN is per definitie encrypted.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

donderdag 25 februari 2021 10:30

Acties:

+2 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Ben(V) schreef op donderdag 25 februari 2021 @ 10:24:
Ik ga helemaal nergens vanuit.
Ik vertel gewoon het verschil tussen Wireguard en OpenVpn.

Dat hele stuk over privacy is toch totaal irrelevant als je zelf thuis een VPN server draait? Of begrijp ik je verkeerd?

Het performance aspect is zeker nuttige info voor de topicstarter

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

donderdag 25 februari 2021 10:35

Acties:

0 Henk 'm!

Ben(V)

Dat is afhankelijk wat je belangrijk vind.

Als je het niet prettig vind dat het te traceren is waar vandaan je met je VPN naar je huis connect dan moet je geen Wireguard gebruiken, vind je dat niet belangrijk dan is Wireguard een prima (en misschien zelfs betere) oplossing.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

donderdag 25 februari 2021 10:55

Acties:

0 Henk 'm!

JaDatIsPeter

Egbert Jan schreef op woensdag 24 februari 2021 @ 23:08:
Ik heb nu openvpn draaien. Kan ik daarnaast zonder problemen ook wireguard draaien? Kan ik ze beide eens testen om te kijken welke de hoogste snelheid haalt

Lijkt mij een goed plan. Ik heb geen ervaring met Wireguard, maar wel met OpenVPN en Ipsec IKEv2 dat probleemloos naast elkaar op pfSense draait.

Als ik jou was zou ik alle drie naast elkaar gaan draaien.. en dan ben ik heel benieuwd naar een vergelijkingstabel die jij hier dan plaatst :-)

PS Het scheelt trouwens of je in OpenVPN TCP of UDP gebruikt, de laatste zou efficiënter zijn. Ik draai OpenVPN op TCP/443, omdat ik hoop dat het dan minder snel geblokkeerd zal worden in bedrijfsnetwerken. Al vermoed ik dat een beetje filter-applicaties ook dat weet te onderscheiden van regulier HTTPS verkeer. Vanwege Corona kom ik niet meer zo veel fysiek bij de opdrachtgever, dus geen recente ervaring over performance of blokkeren..

donderdag 25 februari 2021 11:20

Acties:

+2 Henk 'm!

_JGC_

Videopac schreef op donderdag 25 februari 2021 @ 09:26:
[...]

Dat hangt ook af of je encriptie gebruikt of niet. Encriptie i.c.m. OpenVPN en een CPU die AES niet hardwarematig ondersteund. Hoe het zit met encriptie i.c.m. Wireguard weet ik niet.

Wireguard zit in de kernel en gebruikt ChaCha20 encryptie, wat een stuk vriendelijker is voor CPUs die het niet kunnen offloaden op een hardwarematige encryptie engine.

Verder hebben Wireguard en IPsec het voordeel dat alles in kernel space gebeurt, er hoeft niet steeds heen en weer tussen userspace en kernelspace. OpenVPN doet de encryptie in userspace via OpenSSL, welke de encryptie dan weer via de kernel kan laten lopen voor offloading.

Overigens, in geval van Pfsense moet je AESNI eerst wel aanzetten in de configuratie, als je dat niet doet wordt het totaal niet gebruikt. Weet niet of dit bij 2.5 al standaard ingeschakeld is, bij 2.4.x niet.

donderdag 25 februari 2021 11:44

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

Pfsense 2.5 draait bij mij op een i7-980X Processor Extreme Edition met 12 GB geheugen en een samsung 128gb ssd met een asus p6t-deluxev2 moederbord.

Ik kan helaas als ik de openvpn server instel niet instellen dat mijn processor hardwarematig AESIN gaat doen. Bij die instelling kan ik helaas niks selecteren. Mijn processor ondersteund volgens de intel site wel hardware matige aes encyptie. Zou ik dit wel in kunnen stellen als ik een nieuwere intel processor zou gebruiken? Ik heb in de instellingen van PFSense wel hardwarematige encryptie aangezet. Op mijn home pagina van pfsense zie ik crypto wel op ingeschakeld staan. Ik zie als ik vpn draai dat de processor maar 1 a 2 procent belasting laat zien. Ik draait de openvpn via udp op poort 443 en als encryptie aes-gcm 128bit.

Wat ik wil met mijn eigen vpn server is dat ik veilig bij mijn eigen netwerk kan. Ik heb hogere snelheid nodig, omdat ik bestanden uitwissel en de tv zenders van ziggo en mijn schotel stream naar mijn telefoon of laptop. Ik doe dat via een vu plus ultimo 4k (dat is een linux ontvanger met een kabel schotel tuner erin). Ik zal 1 deze dagen proberen een wireguard vpn in te stellen en dan de snelheid verschillen hier plaatsen. Ik kan ook mijn OpenVPN server instellingen hier eens posten mischien dat jullie iets kunnen zien wat verkeert ingesteld staat waardoor ik mijn snelheid via openvpn hoger kan krijgen.

[ Voor 10% gewijzigd door Egbert Jan op 25-02-2021 12:49 ]

donderdag 25 februari 2021 12:48

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

Hier een overzicht van mijn home page in pfsense

Afbeeldingslocatie: https://tweakers.net/i/o6wr_jjq2CDmAJDYVyq44s93voc=/800x/filters:strip_exif()/f/image/8haXXXLb6EtZeMIA3iJpdybM.png?f=fotoalbum_large

donderdag 25 februari 2021 14:19

Acties:

+2 Henk 'm!

_JGC_

@Egbert Jan Onder FreeBSD (en dus Pfsense) heb je AES-NI in de kernel als interface, en daarnaast Cryptodev. Jij hebt AESNI aangezet en Cryptodev staat uit. Bij de configuratie van OpenVPN zie je alleen Cryptodev devices, dus heb jij het idee dat er geen AES offload gebruikt wordt.

OpenVPN kan op 2 manieren gebruik maken van AES-NI:
- vanuit OpenVPN via cryptodev
- vanuit OpenSSL via AES-NI interface

Cryptodev is een stuk beperkter dan de AES-NI interface, offload via OpenSSL via AES-NI is veel efficienter.

Verder heeft AES-GCM de voorkeur bij AESNI, dus dat doe je goed.

Edit: Overigens wel totale overkill die PC die je hebt opgezet voor OpenVPN...

[ Voor 6% gewijzigd door _JGC_ op 25-02-2021 14:20 ]

donderdag 25 februari 2021 15:03

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

Ik had deze pc over en heb er een Intel X540-BT2 Dual-Port 10GBase-T netwerkkaart in zitten.

donderdag 25 februari 2021 19:56

Acties:

0 Henk 'm!

DR!5EQ

Orion84 schreef op donderdag 25 februari 2021 @ 09:24:
Als ik de topicstart goed lees dan gaat het hier om het draaien van een eigen VPN server (om veilig bij je thuisnetwerk te kunnen / je verkeer als je op een ander netwerk zit veilig via je eigen thuisverbinding te laten lopen). Niet om het gebruik van een OpenVPN / WireGuard client om met een externe VPN provider te verbinden (waar @Ben(V) en @DR!5EQ vanuit lijken te gaan).

Op een 1000/500 lijn, dus die zou de bottleneck niet moeten zijn (tenzij de ISP VPN verkeer herkent en afknijpt).

2 VPN servers naast elkaar draaien kan prima lijkt me, alleen zullen ze dan wel elk op een eigen poort moeten draaien uiteraard.

Op wat voor hardware draait pfsense? En zie je daar iets aan CPU gebruik?

Nee hoor. Juist niet. Het gaat me om de doorvoersnelheid van een vpn server die TS heeft opgezet.

donderdag 25 februari 2021 20:18

Acties:

+1 Henk 'm!

nielsn

Egbert Jan schreef op donderdag 25 februari 2021 @ 12:48:
Hier een overzicht van mijn home page in pfsense

[Afbeelding]

In je screenshot is je adres af te lezen bij Name. Deze zou ik even verwijderen want in combinatie met je profielgegevens is op te maken waar je woont.

dinsdag 2 maart 2021 20:22

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

Ik heb wireguard nu ook ingesteld. Ik haal als ik bij mij thuis via het vodafone netwerk op mijn Galaxy s21 5g ultra 512 gb verbinding maak via wireguard of via openvpn met mijn pfsense 2.5 server ongeveer de zelfde snelheid ergens tussen de 30 a 40 mbit download. Ik ga morgen op mijn werk in Groningen nog even beter testen daar heb ik 5g met 4 streepjes. Bij mij thuis haal ik via vodafone maar iets van 60mbit download en 5 upload. Ik had gehoopt met wireguard dichter bij die 60 mbit uit te komen.

dinsdag 2 maart 2021 20:34

Acties:

0 Henk 'm!

FreakNL

Well do ya punk?

Ben(V) schreef op donderdag 25 februari 2021 @ 10:35:
Dat is afhankelijk wat je belangrijk vind.

Als je het niet prettig vind dat het te traceren is waar vandaan je met je VPN naar je huis connect dan moet je geen Wireguard gebruiken, vind je dat niet belangrijk dan is Wireguard een prima (en misschien zelfs betere) oplossing.

Ik ken wireguard verder niet maar als je dat thuis op PfSense draait wordt er dan nog steeds (extern) gelogged? OpenVPN doet dit niet..

dinsdag 2 maart 2021 20:37

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

Dit zou ik.ook wel willen weten.

FreakNL schreef op dinsdag 2 maart 2021 @ 20:34:
[...]

Ik ken wireguard verder niet maar als je dat thuis op PfSense draait wordt er dan nog steeds (extern) gelogged? OpenVPN doet dit niet..

dinsdag 2 maart 2021 22:16

Acties:

0 Henk 'm!

Vorkie

WireGuard is gewoon een ander soort VPN, als je deze thuis draait zal je naar thuis verbinden en dan vanuit daar naar internet gaan.

Qua privacy scherm je dus je mobiele ip af, maar je gaat dan alsnog vanuit je thuis ip adres.

Dus ik snap het privacy stukje niet?

We hebben het hier over iemand die een PFsense appliance heeft, terwijl het privacy stuk gaat over public VPN

[ Voor 17% gewijzigd door Vorkie op 02-03-2021 22:19 ]

dinsdag 2 maart 2021 22:56

Acties:

0 Henk 'm!

FreakNL

Well do ya punk?

Ja dat snap ik dus ook niet. Of je nou een Wireguard of OpenVPN server THUIS draait, er is toch geen externe logging? De post van @Ben(V) doet anders geloven...

Natuurlijk kom je daarna vanaf je thuis IP (Ipv je mobiele IP) binnen op het Internet maar dat is mijn vraag ook niet...

[ Voor 7% gewijzigd door FreakNL op 02-03-2021 22:58 ]

woensdag 3 maart 2021 00:42

Acties:

0 Henk 'm!

Ben(V)

Als je wireguard gebruikt om via een Vpn provider anoniem het internet op te gaan dan kun je met wireguard niet zekerstellen dat je anoniem bent, je path is terug te tracen.
Sommige Vpn providers voorkomen dat door dubbel Nat toe te passen.

Analoog daaraan is het ook mogelijk als je vanaf het internet naar een wireguard server thuis connect om te zien wie waar naar connect.
Of dat erg is moet iedereen zelf bepalen, maar OpenVpn is wat dat betreft veiliger.

Samengevat, wireguard is prima om data transfer te encrypten, maar niet om connecties te verbergen en openvpn doet beiden.

[ Voor 11% gewijzigd door Ben(V) op 03-03-2021 00:45 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 3 maart 2021 09:21

Acties:

0 Henk 'm!

Thralas

JaDatIsPeter schreef op donderdag 25 februari 2021 @ 10:55:
PS Het scheelt trouwens of je in OpenVPN TCP of UDP gebruikt, de laatste zou efficiënter zijn. Ik draai OpenVPN op TCP/443, omdat ik hoop dat het dan minder snel geblokkeerd zal worden in bedrijfsnetwerken.

Dat efficiëntieaspect is vooral theoretisch, maar 443/tcp (of 53/udp) is wel het meest robuust tegen firewalls. Echter, daarnaast zijn er recent in meerdere topics mensen die klagen over ondermaatse udp performance bij Ziggo. Nu is @Egbert Jan niet duidelijk over wáár die VPN-server staat, maar als ZIggo erbij betrokken is (client/server) dan zou ik zeker even tcp testen.

Ook zou ik ook WiFi of LTE vermijden voor je tests, tenzij je heel zeker weet dat je 5 GHz en/of oerdegelijke LTE hebt.

woensdag 3 maart 2021 10:16

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

Ik heb de vpn server bij mij thuis staan. Die is verbonden via het glasvezel netwerk van kpn. Ik heb het internet via helden van nu. Ik heb een snelheid van 1000/500

woensdag 3 maart 2021 15:42

Acties:

+2 Henk 'm!

JaDatIsPeter

Ben(V) schreef op woensdag 3 maart 2021 @ 00:42:
Analoog daaraan is het ook mogelijk als je vanaf het internet naar een wireguard server thuis connect om te zien wie waar naar connect. [..] maar OpenVpn is wat dat betreft veiliger.

Ik begrijp niet goed wat je hier zegt, wat je bedoelt?

De server thuis zit er als man-in-the-middle tussen dus die kan van alles volgen. Daarin zijn wireguard en openvpn gelijk.

Als je vanuit die thuis server verder het internet op gaat, dan heb je steeds hetzelfde ip-adres, namelijk dat van je thuis. Daarin zijn wireguard en openvpn ook gelijk.

Een onderzoek naar wireguard lijkt ook te stellen dat "identity hiding" en "identity mis-binding" risico's voldoende gewaarborgd zijn. An sich dus geen privacy risico's.

Samengevat, wireguard is prima om data transfer te encrypten, maar niet om connecties te verbergen en openvpn doet beiden.

In eerdere posts is al aangegeven dat het bij @Egbert Jan (TS) om een eigen vpn-server thuis gaat, dus nadelen zoals beschreven door vpndiensten en restoreprivacy zijn niet relevant.

Ik vraag me daarom af welke (privacy) nadelen wireguard nog heeft?

Behalve die door vpndiensten en restoreprivacy genoemd worden, want die zijn bekend. En relevant in de situatie van TS, want daar praten we hier over.

donderdag 4 maart 2021 11:13

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

Ik heb nog even wat testen gedaan met zowel openvpn als wireguard met mijn samsung galaxy s21 ultra op het vodafone netwerk. Ik heb deze testen uitgevoerd op een plek waar ik zonder vpn op het vodafone netwerk zon 250 a 300 mbit haal. Met openvpn haal ik een snelheid van 30 a 35 mbit en via wireguard haal ik 45 a 50 mbit. Ik vind dit een erg lage snelheid. Tijdens deze testen is de cpu in mijn pfsense machine voor 2% a 3% belast. Ik krijg het idee dat mijn pfsense machine de snelheid tegenhoud. Zijn dit normale snelheden die ik haal op mijn Galaxy s21 ultra? Ik ga dit binnenkort ook nog even testen op ziggo verbinding van 250/25 met mijn laptop. Ik kan op verzoek instellingen posten van mijn pfsense machine.

Welke poort kan ik het beste instellen voor wireguard, zodat de kans dat als ik ergens kom het niet geblokeerd is. Ik heb voor openvpn het idee dat ik het beste poort 443 over tcp kan kiezen. wat is sneller bij openvpn tcp of udp? Is er ook een mogelijk om de wireguard vpn app op android en de windows applicatie te beveiligen met een wachtwoord? Ik heb dit bij openvpn wel en vind dat veiliger.

vrijdag 5 maart 2021 12:39

Acties:

+1 Henk 'm!

Thralas

Egbert Jan schreef op donderdag 4 maart 2021 @ 11:13:
Ik vind dit een erg lage snelheid.

Ik ook.

Tijdens deze testen is de cpu in mijn pfsense machine voor 2% a 3% belast. Ik krijg het idee dat mijn pfsense machine de snelheid tegenhoud.

Ik niet. Althans: aan de CPU kan het niet liggen.

Zijn dit normale snelheden die ik haal op mijn Galaxy s21 ultra? Ik ga dit binnenkort ook nog even testen op ziggo verbinding van 250/25 met mijn laptop. Ik kan op verzoek instellingen posten van mijn pfsense machine.

Wat je het beste kunt doen is testen, testen, testen. Installeer iperf3 op je pfSense en/of ergens anders.

Download PingTools en gebruik de iperf utility om de snelheid te testen, zowel direct (zonder Wireguard) als met, en binnen het LAN als over het internet.

Op mijn Pixel 4a haal ik 250/320 (WiFi) 182/160 (Wireguard over WiFi). Jouw beurt. Meten is weten.

Welke poort kan ik het beste instellen voor wireguard, zodat de kans dat als ik ergens kom het niet geblokeerd is.

53 is de beste gok, maar het nut zal beperkt zijn.

zaterdag 6 maart 2021 22:45

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

Wireguard vpn werkt nu prima op mijn laptop, Maar nu wil ik op deze server ook mijn galaxy s21 ultra hebben op de zelfde tunnel hebben maar dat werkt helaas niet.

Dit zijn de instellingen die ik gedaan heb voor mijn Laptop en mijn telefoon

Dit zijn de instellingen in pfsense

Afbeeldingslocatie: https://tweakers.net/i/xAJUvuZPIJw72HUeTY9b_EQWXFk=/800x/filters:strip_exif()/f/image/5NdOPej938DCmkUoIGjTTmCP.png?f=fotoalbum_large

Dit is de peer van de laptop

Afbeeldingslocatie: https://tweakers.net/i/lFO96NrDLq9WLszhhgbS_aLdemA=/800x/filters:strip_exif()/f/image/JmuVzenlZB7CTwh3rveq1wnD.png?f=fotoalbum_large

Dit is de peer van de telefoon

Afbeeldingslocatie: https://tweakers.net/i/syfs2AJIyGYvxkeZmJimO9QkQzE=/800x/filters:strip_exif()/f/image/GE67wXsQ7daHcpmgtLB6vLRl.png?f=fotoalbum_large

Dit zijn de instellingen van de laptop

Afbeeldingslocatie: https://tweakers.net/i/tnaKnWPT_-Y6UEjiRQyYcB0XzNU=/800x/filters:strip_exif()/f/image/RKog6DRYNuDmpJDLpZq3tk3X.png?f=fotoalbum_large

Dit zijn de instellingen op de telefoon.

Afbeeldingslocatie: https://tweakers.net/i/0FbksHLqSF-G0cv0uehtRFTefQ4=/x800/filters:strip_icc():strip_exif()/f/image/lMfIPmBSW1NWLti1YBfosZpz.jpg?f=fotoalbum_large

Kan iemand mij uitleggen waarom mijn laptop wel werkt en mijn telefoon niet?

zondag 7 maart 2021 09:35

Acties:

+1 Henk 'm!

Thralas

Aan de 'server'-kant (dus pfSense) moet je niet 0.0.0.0/0 gebruiken als allowedips, maar enkel het tunneled IP van je client. Zo te zien is dat hetzelfde als je daar ook expliciet dient op te geven als peer IP (al dan niet met een /32 mask).

zondag 7 maart 2021 11:46

Acties:

+1 Henk 'm!

Frogmen

Jij gaat er vanuit dat je verbinding volledig over de volle snelheid gerouteerd wordt van het vodafone naar het kpn netwerk. Hoe groot is de kans denk jij dat het onderweg niet een beetje geknepen wordt. Je bent niet alleen op deze wereld en betaald niet de prijs voor een dedicated verbinding. Kijk ook naar het grote geheel dan besef je dat al die prachtige supersnelle verbindingen vooral marketing en extra inkomsten zijn.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

zondag 7 maart 2021 16:08

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

Thralas schreef op zondag 7 maart 2021 @ 09:35:
Aan de 'server'-kant (dus pfSense) moet je niet 0.0.0.0/0 gebruiken als allowedips, maar enkel het tunneled IP van je client. Zo te zien is dat hetzelfde als je daar ook expliciet dient op te geven als peer IP (al dan niet met een /32 mask).

Dit was de oplossing voor meerdere cliets op de zelfde tunnel. Bedankt hier voor. Nu heb ik nog twee andre problemen. Ik krijg het niet over port 53 (ik wil dat het op vakantie ook werkt in hotels en niet geblokeerd kan worden) en kan de clients die via openvpn aan mijn router verbonden zijn niet benaderen als ik verbind via wiregaurd. Wie weet hoe ik deze 2 laatste dingen kan oplossen.

[ Voor 5% gewijzigd door Egbert Jan op 07-03-2021 16:10 ]

zondag 7 maart 2021 21:15

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

Ik heb wireguard nu kunnen testen op mijn laptop i5 7300u 16gb op een ziggo verbinding van 250/25. Ik haalde zowel bedraad als via wifi een snelheid van 250/25 mbit. Ik haal nu ook een cpu belasting op mijn pfsense machine van 8%. Met openvpn is dit met de zelfde laptop 50/25mbit op de zelfde ziggo verbinding. Op Mijn telefoon galaxy s21 ultra haalde ik op deze ziggo verbinding 80mbit via de wifi. Wat ook heel mooi is aan wireguard ten opzichte van openvpn is dat hij keurig multi-core is. Ik hoop dat ze bij openvpn ooit nog eens multi-core ondersteuning in gaan bouwen. Ik ben er nu ook achter dat mijn de snelheid van mijn telefoon de beperkende factor is bij de snelheid van de wireguard als ik via het vodafone netwerk verbinding maak met mijn pfsene machine. Ik weet helaas niet wat de maximale snelheid is die ik kan halen met wireguard, omdat ik niemand ken met een snellere internet verbinding dan ziggo 250/25. Wat ik aan openvpn wel mooier vind is dat je veel meer kan instellen en dat hij met dhcp werk.

Het enige wat ik helaas nog niet werkende heb is als ik via de laptop of telefoon wireguard vpn aanzet ik mijn apparaten die via openvpn verbonden zijn niet kan benaderen. Weet iemand misschien hoe ik dit kan oplossen?

maandag 8 maart 2021 19:18

Acties:

0 Henk 'm!

MsG

Forumzwerver

Egbert Jan schreef op donderdag 4 maart 2021 @ 11:13:
[...]
Is er ook een mogelijk om de wireguard vpn app op android en de windows applicatie te beveiligen met een wachtwoord? Ik heb dit bij openvpn wel en vind dat veiliger.

Hier ben ik ook wel benieuwd naar. Ik lees en hoor overal pleidooien voor Wireguard op Tweakers, versus OpenVPN. Maar waar iemand bij OpenVPN niet zomaar kan verbinden met alleen mijn certificaat, ben je bij WireGuard daarmee meteen binnen. Het is wel wat sneller hier, maar het voelt voor mij daarmee nog wel een stuk onveiliger.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

maandag 8 maart 2021 23:06

Acties:

0 Henk 'm!

Luxicon

MsG schreef op maandag 8 maart 2021 @ 19:18:
[...]

Hier ben ik ook wel benieuwd naar. Ik lees en hoor overal pleidooien voor Wireguard op Tweakers, versus OpenVPN. Maar waar iemand bij OpenVPN niet zomaar kan verbinden met alleen mijn certificaat, ben je bij WireGuard daarmee meteen binnen. Het is wel wat sneller hier, maar het voelt voor mij daarmee nog wel een stuk onveiliger.

Daar zijn de keys voor lijkt mij toch? Aan zowel de server, als cliënt zijde?

...

maandag 8 maart 2021 23:38

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

MsG schreef op maandag 8 maart 2021 @ 19:18:
Hier ben ik ook wel benieuwd naar. Ik lees en hoor overal pleidooien voor Wireguard op Tweakers, versus OpenVPN. Maar waar iemand bij OpenVPN niet zomaar kan verbinden met alleen mijn certificaat, ben je bij WireGuard daarmee meteen binnen. Het is wel wat sneller hier, maar het voelt voor mij daarmee nog wel een stuk onveiliger.

Dat klopt, Wireguard doet minder, het heeft een heel beperkte taak en doet dat erg goed, namelijk dat veilig van A naar B transporteren. Wat dat betreft is het minder veilig dan OpenVPN.
Maar eerlijk gezegd beweegt de wereld toch al die kant op. Het klassieke VPN-model is dat je een "intern" netwerk hebt met daarin vertrouwde gebruikers die afgeschermd zijn van de boze buitenwereld en als ze niet op kantoor zijn een VPN gebruiken om toch deel te zijn van het interne netwerk. Dat model verdwijnt omdat de grenzen tussen intern en extern steeds vager worden door byod, cloud en thuiswerken.
VPNs worden daarom steed meer domme pijpen die geen ander doel hebben dan data veilig te transporteren over onveilige netwerken. Als je meer toegangscontrole wil dan doe je dat in de applicatie, niet in het netwerk. In die wereld werkt Wireguard prima.
Tegelijkertijd is de realiteit natuurlijk wel dat we nog lang aan oude ontwerpen vast zullen zitten.

This post is warranted for the full amount you paid me for it.

dinsdag 9 maart 2021 08:19

Acties:

0 Henk 'm!

MsG

Forumzwerver

Luxicon schreef op maandag 8 maart 2021 @ 23:06:
[...]

Daar zijn de keys voor lijkt mij toch? Aan zowel de server, als cliënt zijde?

Bij beide vpn-servers heb je een certificaat/settings bestand. Bij openvpn moet je nadat je die inlaadt OOK nog een wachtwoord invoeren, voordat je kan verbinden.

Bij wireguard kan je na het inladen van het bestand al verbinden. Stel dat bestand ligt op de een of andere manier op straat, dan ben je volledig gecompromitteerd, en bij OpenVPN niet, omdat iemand het wachtwoord dan ook nog moet weten.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

dinsdag 9 maart 2021 21:23

Acties:

0 Henk 'm!

Thralas

MsG schreef op dinsdag 9 maart 2021 @ 08:19:
Stel dat bestand ligt op de een of andere manier op straat, dan ben je volledig gecompromitteerd, en bij OpenVPN niet, omdat iemand het wachtwoord dan ook nog moet weten.

Wireguard maakt het (in tegenstelling tot OpenVPN) stukken simpeler om keys op de machine te genereren waar je ze gebruikt. Ze zouden nooit de machine moeten verlaten waar je ze gebruikt.

Als iemand bij je computer kan, dan is het toch al over en uit, ook bij OpenVPN. Die computer (of smartphone) is als het goed is zelf al voorzien van een wachtwoord om dat te voorkomen.

Bij OpenVPN is er meestal één CA (al dan niet op de server) die iedereen (in bezit van die CA) in staat stelt om toegangscertificaten voor willekeurige gebruikers uit te geven. Een stuk minder veilig als je het mij vraagt.

zondag 14 maart 2021 23:53

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

Ik heb nog weer wat onderzoek gedaan. Ik kan inmiddels apparaten verbinden die met openvpn verbonden zijn met apparaten die met wireguard verbonden zijn op mijn netwerk. Het werkte eerste niet, omdat ik mijn apparaart via een openvpn multiple tunnel OpenVPN verbinding verliep. Als ik de openvpn verbind via een fore tunnel verbinding werkt het wel. Nu is mijn vraag is er ook een mogelijk om apparaten die via een openvpn multiple tunnel verbinding verbonden zijn te verbinden met apparaten die gebruik maken van wireguard vpn? Als die niet kan. Kan iemand mij dan misschien uitleggen waarom het niet kan?

Ik heb namelijk een apparaat staan die via openvpn verbonden is met mijn netwerk via een multiple tunnel verbinding die ik niet op een force tunnel kan zetten. Ik zou die graag willen kunnen bereiken via mijn telefoon via wireguard. Alles zit verbonden via vpn aan mijn pfsense 2.5 machine

Pagina: 1

Reageer