Wireguard

Wünsche und Vorschläge zur Verbesserung der LANCOM Produkte

Moderator: Lancom-Systems Moderatoren

Antworten
Kalle
Beiträge: 11
Registriert: 29 Dez 2017, 16:10

Wireguard

Beitrag von Kalle »

Hallo zusammen,

ich wünsche mir Wireguard für die Lancomrouter.
Wireguard hat mittlerweile die Version 1.0 erreicht, ist den Linuxkernel eingezogen und es gibt für alle relevanten Plattformen einen Client.
Aus meiner Sicht werden bald die Hersteller linuxbasierter Router Wireguard hinzufügen. Ohne die neue VPN-Technik wird es mittelfristig schwierig Businessrouter zu verkaufen.

Viele Grüße
Kalle
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: Wireguard

Beitrag von ittk »

Haha, gilt dann nicht als Standard auch nicht schon OpenVPN? :D
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Wireguard

Beitrag von 5624 »

Aus meiner Sicht werden bald die Hersteller linuxbasierter Router Wireguard hinzufügen.
Und jetzt kommt der übliche Satz: Das LCOS, welches auf den Routern läuft, ist kein Linux und kommt nicht mal ansatzweise in die Nähe. Sprich LANCOM müsste ALLES selbst entwickeln. Und ich glaube, dass kannst du vergessen.
Ohne die neue VPN-Technik wird es mittelfristig schwierig Businessrouter zu verkaufen.
Wer sagt das? Cisco, Huawei und ähnliche haben bis heute kein OVPN im Programm und Wireguard hab ich auch noch nicht gesehen. Und ich glaube, der Kram verkauft sich noch ganz gut.
LCS NC/WLAN
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: Wireguard

Beitrag von ittk »

Haha, Cisco et al. haben aber auch SSL-VPNs im Portfolio, genauso wie LANCOM im LCOS mit NCP Pathfinder Technik, nur nicht komplett mit OVPN meist interoperabel. Aber R&S LANCOM Firewalls bieten es ja nach OVPN Standard... Ob da jemals oetwas wie Wireguard auftauchen wird, wer weiß... Die R&S Hardware hat ja ein normalen Linux-Unterbau (gehaertet) und die neuen LANCOM APs mit 802.11ax setzen ja auch zwangweise nicht mehr auf LCOS, sondern einen Linux -basierten Unterbau :D
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Wireguard

Beitrag von ua »

Tach Zusammen,

die Antwort von Lancom wird sein: "Drohe mit der Abnahme von 10k Geräten und Du wirst sehen ..."

VG
... das Netz ist der Computer ...
n* LC und vieles mehr...
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Wireguard

Beitrag von alf29 »

Moin,

bei Wireguard kommt m.W. erschwerend hinzu, daß die Entwickler sich auf Chacha20 als Verschlüsselungsalgorithmus festgelegt haben, eine Aushandlung anderer Algorithmen ist nicht vorgesehen. Das müßte auf den LANCOMs aber in Software von der CPU gerechnet werden, der eingebaute Hardware-Krypto-Beschleuniger unterstützt kein Chacha20. Der Durchsatz wäre voraussichtlich deutlich schlechter als mit IPsec und AES.

Dazu die "übliche Frage" wie schon bei OpenVPN: wo sind die RFCs, die das Protokoll detailliert beschreiben, ohne daß man anderer Leute Code reverse-engineeren muß? Ich habe mich in den letzten Jahren immer mal wieder damit herumschlagen müssen mit Hard- und Software, die einzig und allein durch den mehr oder weniger gut lesbaren Quellcode "dokumentiert" ist. Wenn ich kann, meide ich solche Lösungen...

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
cha-berlin
Beiträge: 2
Registriert: 16 Okt 2020, 05:29

Re: Wireguard

Beitrag von cha-berlin »

Hi,
um eine Standortvernetzung oder sonstige Konfigurationen mit Wireguard hinzubekommen braucht man keinen neuen Router (etwa von LANCOM) .
Ich vernetze einen Standort mit einem Vodafone GigaCube (LTE) und einem Lancom Router 1781EF mit einem Vodafone CableMax 1000 und einem Lancom 1781EF+ (hier habe ich DynIp Adressauflösung) . Dann habe ich einen RaspberryPI als Wiregard Server aufgesetzt, der über Portweiterleitung erreichbar ist. Jetzt verbindet sich ein zweiter RaspberryPi aus dem Vodafone Gigacube Netz als Client (oder auch mit einem anderen Gerät) mit dem Raspi aus dem CableMax (das kann er durch den festen FQDN). Somit ist eine bidirektionale Verbindung aufgebaut und ich kann zB. eine Webcam oder einen Windows 10 Client über RAS aus meinem Heimnetz mit dem CableMax Anschluss erreichen.
Das funktioniert wunderbar... :D
So entlaste ich den Lancom Router 1781EF+ von einigen Aufgaben, so dass ich eher den Datendurchsatz optimiert bekomme.

VG Christian
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Wireguard

Beitrag von GrandDixence »

Die Aufgabe der Verschlüsselung und Entschlüsselung des mit AES verschlüsselten Datenstroms bei IPSec übernimmt beim LANCOM 1781+ ein Hardware-Krypto-Beschleuniger. Dieser entlastet die SoC/CPU des LANCOM-Routers.

Alle Raspberry Pi-Modelle bis und mit 4b verfügen aus lizenztechnischen Gründen über keinen Hardware-Krypto-Beschleuniger. Somit muss beim Einsatz eines Raspberry Pi als VPN-Endpunkt dessen SoC die Verschlüsselung und Entschlüsselung des Datenstroms des VPN-Tunnels (per Software) übernehmen, was energiemässig höchst ineffizient ist und wahrscheinlich zu einer schlechten Performance des VPN-Tunnels führt.
https://www.raspberrypi.org/forums/view ... 3&t=207888

https://de.wikipedia.org/wiki/System-on-a-Chip

Die Nachteile von Wireguard hat Alfred kurz und bündig geschildert. Darüber, dass Wireguard nur Chacha20 unterstützt, kann man nur den Kopf schütteln. Schliesslich wird Chacha20 nur von wenigen auf dem Markt erhältlichen Hardware-Krypto-Beschleunigern unterstützt. Wie sieht das Vorgehen aus beim Einsatz von Wireguard als VPN-Tunnellösung, wenn eines Tages der Einsatz von Chacha20, wegen einem öffentlich bekannten Designfehler, als ein Sicherheitsrisiko angesehen werden muss?
Zuletzt geändert von GrandDixence am 26 Okt 2020, 21:38, insgesamt 1-mal geändert.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Wireguard

Beitrag von alf29 »

Moin,

Chacha20 ist ein Algorithmus, der auf Software-Implementierungen hin designt wurde, und dadurch, daß die Wireguard-Leute keinen Krypto-Algorithmus aushandeln, sparen sie sich vermutlich ein oder zwei Roundtrips und Komplexität beim Verbindungsaufbau. Das ist halt deren legitime Designentscheidung und wenn das Ziel ein möglichst schneller Aufbau ist, kann man das machen. Ich will Wireguard auch überhaupt nicht schlechtreden. Die Hürde ist ohne Doku nur halt relativ hoch, die Nachfrage bei Projekten ist aktuell eher bei Null und wer weiß, was in zwei, drei Jahren als nächstes Protokoll in der Szene 'gehyped' wird...

Chacha20 supporten wir auch an ein paar Stellen im LCOS (SSH und SSL/TLS), aber das sind alles wenig performance-kritische Anwendungen, da ist es recht egal, ob die CPU oder die Krypto-Hardware rechnet ;-)

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Wireguard

Beitrag von GrandDixence »

Einige Messresultate ohne weiteren Kommentar:

Performance von Raspberry Pi 4 Modell B (ohne Hardware-Krypto-Beschleuniger) beim Verschlüsseln:

# openssl speed -elapsed -evp aes-128-gcm
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-128-gcm 28043.88k 29551.21k 30220.46k 30539.43k 30930.26k 31009.45k

# openssl speed -elapsed -evp aes-256-gcm
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-256-gcm 22121.00k 23161.66k 23636.82k 23786.50k 23912.45k 23824.84k

# openssl speed -elapsed -evp chacha20-poly1305
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
chacha20-poly1305 74049.73k 120579.84k 225001.22k 257821.70k 265723.90k 265988.78k

Performance von Intel Core i3-7100U mit Hardware-Krypto-Beschleuniger AES-NI beim Verschlüsseln:

# openssl speed -elapsed -evp aes-128-gcm
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-128-gcm 364740.32k 928854.57k 1835831.64k 2900934.66k 3654819.84k 3730303.66k

# openssl speed -elapsed -evp aes-256-gcm
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-256-gcm 303631.41k 850440.36k 1548748.80k 2132407.98k 2304013.65k 2503344.13k

# openssl speed -elapsed -evp chacha20-poly1305
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
chacha20-poly1305 180835.21k 351651.33k 738893.82k 1338579.63k 1422199.47k 1430814.72k

Die Performancewerte der LANCOM-Router beim Verschlüsseln kann man dem LANCOM Techpaper Routing-Performance entnehmen:
https://www.lancom-systems.de/fileadmin ... 040_DE.pdf
Antworten