53 lines
2.3 KiB
Markdown
53 lines
2.3 KiB
Markdown
|
+++
|
||
|
author = "Yann Verry"
|
||
|
categories = ["vpn"]
|
||
|
date = 2019-02-11T22:01:46Z
|
||
|
description = ""
|
||
|
draft = false
|
||
|
image = "__GHOST_URL__/content/images/2019/02/35366000233_0580617b42_h.jpg"
|
||
|
slug = "wireguard"
|
||
|
summary = "Wireguard un vpn facile"
|
||
|
tags = ["vpn"]
|
||
|
title = "Wireguard, le vpn simple et rapide"
|
||
|
|
||
|
+++
|
||
|
|
||
|
|
||
|
{{< figure src="__GHOST_URL__/content/images/2019/02/640px-Logo_of_WireGuard.svg-1.png" >}}
|
||
|
|
||
|
Ce nouveau VPN à la mode ou _linus torvalds_ himself en fait des éloges sur l'élégance du code est rien que pour cette raison quelque chose qu'il faut regarder.
|
||
|
|
||
|
## La promesse
|
||
|
|
||
|
Un VPN enfin rapide à setup, facile d'utilisation et sécurisé. Pour connaître IPSec, la joie des phase1, puis 2, passage des clés etc ... Ensuite en alternative nous avons OpenVPN, bien mignon avec une gestion de la PKI à avoir, un code décrié pour sa qualité qui semble disons aléatoire.
|
||
|
|
||
|
La performance est aussi de mise, avec un module noyau, l'intégration de courbe elliptique et des jeux d'instructions CPU la charge processeur doit être faible au vu des débits transféré
|
||
|
|
||
|
Bref quand je vois _facile_ je demande à voir !
|
||
|
|
||
|
## La vrai vie enfin!
|
||
|
|
||
|
Le plus long dans l'installation de ce VPN est le fait que wireguard n'est pas encore inclus dans le kernel mainline et il faut en passer par DKMS. Chose ultra facile, la configuration s'éffecute en quelques lignes avec
|
||
|
|
||
|
* La définition de l'interface, son IP, sa clé privée
|
||
|
* La définition des peers distant, IP autorisé, endpoint, clé pub
|
||
|
|
||
|
**TADA**! rien d'autre, je vous laisse vérifier par vous même
|
||
|
|
||
|
## Les moins
|
||
|
|
||
|
Bon Il y a des moins il faut l'avouer.
|
||
|
|
||
|
Tout d'abord avec mon utilisation massive d'ipv6, immédiatement j'ai vu un problème sur la MTU qui est arbitrairement défini à 1400 en v4 ou en v6 ce qui pose donc un problème :
|
||
|
|
||
|
> ip link set wg0 mtu 1380
|
||
|
|
||
|
Ensuite pas de mode _TCP_ et il y a encore des hôtels avec le port 443 ouvert et c'est tout, dommage [il éxiste des solutions à base de _socat_ mais peu élégant]
|
||
|
|
||
|
Un debug parfois douloureux, l'outil étant encore en version préliminaire il y a de gros manque et la documentation est faiblarde.
|
||
|
|
||
|
## Conclusion
|
||
|
|
||
|
Il faut tester, je pense que dans des cas simples c'est très pratique et l'enfer du vpn n'éxiste plus avec wireguard et c'est une bonne chose, pour la production je dirais qu'il faut attendre encore un peu
|
||
|
|