Hoe WireGuard veilig inrichten? - Netwerken

vrijdag 26 mei 2023 18:02

Acties:

0 Henk 'm!

Topicstarter

Ik zou graag bij een cloud provider op een Ubuntu VM WireGuard installeren.
Dit om vanaf alle iPhones en laptops te VPN’en.
Het opzetten hiervan is gelukt dankzij: https://github.com/wg-easy/wg-easy

Nu zit ik met het volgende: voor beheer is poort 22 nodig, deze firewall regel aan de kant van de cloud provider heb ik aangemaakt om alleen naar die poort te kunnen vanaf een vast IP (thuis). Beheer moet dus verder niemand bij komen. Dat werkt ook prima. Hoef op de VM niks in te stellen, is al geregeld door de firewall daarvoor.

De enige poorten die ik open zet voor 0.0.0.0/0 zijn de WireGuard poorten 51820 (UDP) en 51821 (TCP). Dit omdat ik via de mobiele abonnementen nooit weet met welk IP adres ik ga verbinden. Deze poorten staan dus altijd voor iedereen open.
Is dit veilig genoeg of moet ik nog meer zaken aanpassen?
Benieuwd naar jullie tips. Vast bedankt.

vrijdag 26 mei 2023 20:17

Acties:

0 Henk 'm!

jvanhambelgium

Nope, prima zo. Je kan ook niet anders hé. Je "clients" hebben immers geen voorspelbaar IP-adres. Ze mogen zoveel ze willen "proberen" naar die UDP/TCP poorten, als het cryptografisch niet klopt gaan die gewoon de vuilbak in hoor.
Hier thuis op m'n Mikrotik staat dat ook gewoon "open" altijd en eigenlijk heb ik daar weinig gekke hits op...

vrijdag 26 mei 2023 20:22

Acties:

0 Henk 'm!

peak

In principe kan je ook je ssh open zetten voor het internet mits je de ssh up to date houdt en met public key pair gaat werken voor inloggen.

Zo kan je altijd bij je systeem ongeacht je locatie.

Eventueel aangevuld met fail2ban zodat bots en hackers ip adressen op de blacklist komt na x aantal pogingen.

vrijdag 26 mei 2023 23:13

Acties:

0 Henk 'm!

lier

MikroTik nerd

Wireguard kan je ook gebruiken om het beheer over te doen, dan hoeft poort 22 niet open. Wat mij betreft per definitie een no go...

De TCP poort is volgens mij niet nodig, ik gebrujik alleen UDP voor Wireguard. Scheelt alweer een poort.

Eerst het probleem, dan de oplossing

vrijdag 26 mei 2023 23:42

Acties:

0 Henk 'm!

FreakNL

Well do ya punk?

lier schreef op vrijdag 26 mei 2023 @ 23:13:
Wireguard kan je ook gebruiken om het beheer over te doen, dan hoeft poort 22 niet open. Wat mij betreft per definitie een no go...

De TCP poort is volgens mij niet nodig, ik gebrujik alleen UDP voor Wireguard. Scheelt alweer een poort.

Totdat je Wireguard eruit ligt.

Ik gebruik thuis een flink dichtgetimmerde OpenVPN als backup voor mijn Wireguard.

zaterdag 27 mei 2023 06:01

Acties:

0 Henk 'm!

Zwelgje

Heb je er ook aan gedacht dat die cloudprovider (Azure doet dit ook0 moet betalen voor uitgaand verkeer voor die VM?

ik had een tijdje terug ook zo'n setup in gedachten maar als je dan bedenkt dat je voor elk bitje data-traffic moet betalen dan wordt het wel een hele dure oplossing

A wise man's life is based around fuck you

zaterdag 27 mei 2023 06:11

Acties:

0 Henk 'm!

Boudewijn

omdat het kan

lier schreef op vrijdag 26 mei 2023 @ 23:13:
Wireguard kan je ook gebruiken om het beheer over te doen, dan hoeft poort 22 niet open. Wat mij betreft per definitie een no go...

De TCP poort is volgens mij niet nodig, ik gebrujik alleen UDP voor Wireguard. Scheelt alweer een poort.

Ik zie de no-go niet in als je een up-to-date ssh implementatie (OpenSSH bijvoorbeeld) hebt waar 1 user op in mag loggen met alleen een keypair. Gooi er wat anti-bruteforceing a la fail2ban bij en het enige risico dat ik zie is misbruik van een 0day in de software in kwestie, danwel het in handen krijgen van de private key door derden.
Beide risicos heb je ook met een vpn oplossing.

i3 + moederbord + geheugen kopen?

zaterdag 27 mei 2023 06:38

Acties:

+1 Henk 'm!

Cave_Boy

De TCP poort is inmiddels aardig wat updates terug komen te vervallen naar mijn weten. Ik heb hier dan ook gewoon een Wireguard setup draaien met alleen aan de server kant de open UDP poort.
Moet wel erbij typen ik heb het niet met een Ubuntu systeem maar met GL Inet routertjes gedaan.

zaterdag 27 mei 2023 09:09

Acties:

0 Henk 'm!

FreakNL

Well do ya punk?

Dat klopt, 51820 UDP is voldoende.

zaterdag 27 mei 2023 09:14

Acties:

0 Henk 'm!

MsG

Forumzwerver

Nadeel bij Wireguard vond ik dat er geen overkoepelend wachtwoord meer was, dus mocht iemand op een of andere manier jouw config hebben verkregen, dan heb je gewoonweg vpn-toegang.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

zaterdag 27 mei 2023 09:58

Acties:

0 Henk 'm!

Ben(V)

Zoals al opgemerkt gebruikt wireguard enkel udp.
Bedenk dat een port alleen veilig is als er een applicatie daar luistert en ongeautoriseerd verkeer afvangt, dus die tcp port is potentieel onveilig omdat wireguard daar niet op luistert.

En als je die port 22 geconfigureerd hebt om enkel toegang vanaf je eigen ipadres te krijgen, kun je een probleem krijgen als je provider jouw Wan ipadres verandert, die is namelijk niet gegarandeerd altijd hetzelfde.
Omdat te omzeilen zul je een DDNS adres moeten gebruiken.

PS
Bedenk dat wireguard wel veilig is, maar kan niet anonimiteit garanderen.
Wireguard houd namelijk op de server de ip-adressen van z'n clients bij en ben je via die weg altijd te traceren.

[ Voor 15% gewijzigd door Ben(V) op 27-05-2023 10:02 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zaterdag 27 mei 2023 10:57

Acties:

0 Henk 'm!

darkrain

Moderator Discord

Geniet

Ben(V) schreef op zaterdag 27 mei 2023 @ 09:58:
PS
Bedenk dat wireguard wel veilig is, maar kan niet anonimiteit garanderen.
Wireguard houd namelijk op de server de ip-adressen van z'n clients bij en ben je via die weg altijd te traceren.

Deze begrijp ik niet helemaal, als je 2 nodes hebt die enkel met elkaar kunnen communiceren is er geen server van een derde partij bij betrokken. Dus als je zelf je server beheert is dit helemaal geen punt.

Daarnaast doet wireguard helemaal niets loggen in zijn default config...

[ Voor 6% gewijzigd door darkrain op 27-05-2023 11:17 . Reden: logging toegevoegd ]

Tweakers Discord

zaterdag 27 mei 2023 12:11

Acties:

0 Henk 'm!

Ben(V)

Wireguard is een client/server model en dus zijn er geen twee nodes, maar een client en een server.
De wireguard server houd een lijst bij van client ip-adressen waar hij connectie mee heeft of gehad, dat zit nu eenmaal in het protocol ingebakken.

Op de wireguard server (in dit geval zijn cloud server) kun je dus terugvinden met welke ip-adressen hij verbonden is of is geweest.
En een cloud server is door de cloud provider altijd te benaderen.

VPN providers nemen extra maatregelen om die logging te voorkomen.
NordVPN gebruikt daar een dubbel Nat systeem voor zodat alleen tijdelijke door NordVpn zelf uitgegeven ip-adressen bewaart worden.
Andere Vpn providers hebben een proces draaien dat die ip-adressen lijst opschoont als de connectie een bepaalde tijd verbroken is.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zaterdag 27 mei 2023 12:37

Acties:

0 Henk 'm!

darkrain

Moderator Discord

Geniet

Ben(V) schreef op zaterdag 27 mei 2023 @ 12:11:
Wireguard is een client/server model en dus zijn er geen twee nodes, maar een client en een server.
De wireguard server houd een lijst bij van client ip-adressen waar hij connectie mee heeft of gehad, dat zit nu eenmaal in het protocol ingebakken.

Op de wireguard server (in dit geval zijn cloud server) kun je dus terugvinden met welke ip-adressen hij verbonden is of is geweest.
En een cloud server is door de cloud provider altijd te benaderen.

VPN providers nemen extra maatregelen om die logging te voorkomen.
NordVPN gebruikt daar een dubbel Nat systeem voor zodat alleen tijdelijke door NordVpn zelf uitgegeven ip-adressen bewaart worden.
Andere Vpn providers hebben een proces draaien dat die ip-adressen lijst opschoont als de connectie een bepaalde tijd verbroken is.

Neen, wireguard is niet per definitie een client server model, dat kun je er wel van maken. Het kan ook in een soort mesh variant draaien met nodes.

Daarbij de claim dat een cloud provider altijd de servers kan benaderen graag even ondersteunen met wat voorbeelden, dat is namelijk zover ik weet zeker niet aan de orde.

NordVPN is een VPN provider, dat is totaal niet vergelijkbaar met een protocol zoals wireguard.

Tweakers Discord

zaterdag 27 mei 2023 14:12

Acties:

0 Henk 'm!

Ben(V)

Als hij wireguard wil gebruiken zoals hij beschrijft is het duidelijk een client server configuratie.

Uiteraard kun je er een point-to-point van maken maar dan is het nog steeds een client server.
De client initieert de connectie en de andere kant serviced die.

En NordVpn gebruikt zoals veel VPN providers o.a. wireguard als core en heeft die uitgebreid met de beschreven dubbel Nat omdat het standaard privacy gevoelig is zoals ik beschreef en noemt dat NordLynx.
Ander VPN providers bieden ook wireguard aan met extra privacy maatregelen.

En aangezien je twijfelt aan mijn informatie ben ik zelf maar even gaan googlen en hier vind je twee onafhankelijke bronnen die bevestigen dat wireguaerd ip-adress bewaart op de server.

https://www.purevpn.com/b...surfaces%20than%20OpenVPN.

There are some privacy concerns with using WireGuard, though. The protocol’s Cryptokey Routing algorithm stores users’ IP addresses on the VPN server until it reboots, which doesn’t complement the concept of a zero-logs VPN.

There’s also the risk that your IP address could become exposed due to a WebRTC leak. The good news is, leading VPN providers have come up with workarounds to address this issue to make WireGuard more private.

https://restoreprivacy.com/vpn/wireguard-vs-openvpn/

WireGuard stores user IP addresses on the VPN server
As part of its cryptokey routing algorithm, WireGuard maps the public keys and allowed IP (Internet Protocol) addresses. This simplifies certain aspects of WireGuard, but by default, it results in user IP addresses remaining stored on the VPN server until the server is rebooted. Storing your IP address on the server like this could be considered logging your IP address and is incompatible with the concept of a no-logs VPN. This static IP address could also be exposed by a WebRTC leak.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zaterdag 27 mei 2023 14:25

Acties:

0 Henk 'm!

darkrain

Moderator Discord

Geniet

Ben(V) schreef op zaterdag 27 mei 2023 @ 14:12:
En aangezien je twijfelt aan mijn informatie ben ik zelf maar even gaan googlen en hier vind je twee onafhankelijke bronnen die bevestigen dat wireguaerd ip-adress bewaart op de server.

https://www.purevpn.com/b...surfaces%20than%20OpenVPN.

[...]

https://restoreprivacy.com/vpn/wireguard-vs-openvpn/

[...]

Waar ik aan twijfel is je eerdere statement dat een cloud provider op een server van de klant kan inloggen... Hier zie ik graag voorbeelden van (ik zou dergelijke cloud providers dan graag links laten liggen).

Dat wireguard werkt zoals het werkt is me bekend, wat dat betreft is het in de basis ongeschikt als je een VPN nodig bent voor privacy.

[ Voor 0% gewijzigd door darkrain op 27-05-2023 14:38 . Reden: twijfel niet langer ]

Tweakers Discord

zaterdag 27 mei 2023 14:31

Acties:

+1 Henk 'm!

Ben(V)

Uiteraard kan elke cloud provider als hij dat wil op zijn servers komen.
Zelfs als hij bare-metal servers levert dan hebben die nog steeds een apart management interface waar hij altijd bij kan.

En bij virtuele servers of dat nu Hyper-V of VMware is kun je altijd via de management interface op de gevirtualiseerde server komen.

[ Voor 25% gewijzigd door Ben(V) op 27-05-2023 14:32 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zaterdag 27 mei 2023 14:34

Acties:

0 Henk 'm!

darkrain

Moderator Discord

Geniet

Ben(V) schreef op zaterdag 27 mei 2023 @ 14:31:
Uiteraard kan elke cloud provider als hij dat wil op zijn servers komen.
Zelfs als hij bare-metal servers levert dan hebben die nog steeds een apart management interface waar hij altijd bij kan.

Hmm ja goed punt. Daar had ik ff niet aan gedacht.

Tweakers Discord

zaterdag 27 mei 2023 15:01

Acties:

0 Henk 'm!

i-chat

ik denk dat een setup als deze vooral bedoelt is om te zorgen dat openbare wifi netwerken etc er niet voor zorgen dat je snel slachtoffer zult zijn van allerlei network attacks.

zoals gezegd je hoster en daarmee dus ook justitie (in geval van bijvoorbeeld illegale activiteiten), gaat altijd gewoon nog bij je verkeer komen en gaat die ook kunnen loggen (zodra je hoster door een rechter wordt verplicht een logscriptje te gaan draaien).

en met een beetje geluk kun je door zo'n vpn ook eens veilig data uitwisselen tussen al je devices niet alleen elke wanneer ze aan het zelfde (wifi) netwerk hangen.

zaterdag 27 mei 2023 15:05

Acties:

0 Henk 'm!

Zwelgje

i-chat schreef op zaterdag 27 mei 2023 @ 15:01:
ik denk dat een setup als deze vooral bedoelt is om te zorgen dat openbare wifi netwerken etc er niet voor zorgen dat je snel slachtoffer zult zijn van allerlei network attacks.

hoe dan? ik zit op https sites dus niemand kan dat verkeer in principe onderscheppen. hooguit zien ze mijn DNS queries maar echte data is net zo goed beveiligd als via een VPN tunnel

DNS kan nog via DNS over TLS/https dan is dat probleem ook opgelost

A wise man's life is based around fuck you

zaterdag 27 mei 2023 15:35

Acties:

0 Henk 'm!

i-chat

Zwelgje schreef op zaterdag 27 mei 2023 @ 15:05:
[...]

hoe dan? ik zit op https sites dus niemand kan dat verkeer in principe onderscheppen. hooguit zien ze mijn DNS queries maar echte data is net zo goed beveiligd als via een VPN tunnel

DNS kan nog via DNS over TLS/https dan is dat probleem ook opgelost

op onbeveiligde wifi's dns poisoning attacks bijvoorbeeld?

maar ook gewoon, slecht beveiligde / ingerichte sites, custom apps die buiten de bekende browsers werken, en het sniffen naar meta-informatie.

toegegeven hiermee ga je geen bankgegevens buitmaken, maar dat neemt niet weg dat sommige mensen zich er toch druk om maken... persoonlijk wil ik ook geen verbinding met 'onbeveiligde' netwerken of openbare netwerken waar geen ap-isolation is toegepast.

zaterdag 27 mei 2023 15:48

Acties:

0 Henk 'm!

Zwelgje

i-chat schreef op zaterdag 27 mei 2023 @ 15:35:
[...]
op onbeveiligde wifi's dns poisoning attacks bijvoorbeeld?

maar ook gewoon, slecht beveiligde / ingerichte sites, custom apps die buiten de bekende browsers werken, en het sniffen naar meta-informatie.

toegegeven hiermee ga je geen bankgegevens buitmaken, maar dat neemt niet weg dat sommige mensen zich er toch druk om maken... persoonlijk wil ik ook geen verbinding met 'onbeveiligde' netwerken of openbare netwerken waar geen ap-isolation is toegepast.

iOS en android apps zijn al sinds 2016/2018 verplicht om niet meer via http te mogen werken dus dat gaat niet op. DNS poisoning. wellicht maar dat werkt ook niet altijd meer. lekker dns via HTTPS doen (extern)

we drijven af van de oorsprong van de topicstart (en daar heb ik mezelf schuldig aan gemaakt, excuses!)

A wise man's life is based around fuck you