Dies ist eine alte Version des Dokuments!
Übersicht über ausgewählte VPN-Technologien
fastd | wireguard | l2tp | |
---|---|---|---|
Stärke | Unterstützt l2 und l3 Netze, ist vorhanden | doppelt so schnell wie fastd | schnell (wie schnell?) |
Challenge | ist langsam | viele Interfaces serverseitig , ausschließlich l3 Netze | keine Authentifizierung |
Wireguard
Wireguard ist neu, schnell und dem Anschein nach gut geeignet für layer 3 Netze. Folgende Herausforderungen sind zu lösen:
Key Exchange
Der Server muss alle Public Keys der Nodes kennen und Interfaces erzeugen. Im wireguard Contrib-Verzeichnis gibt es eine Beispielimplementierung von ncat-client-server in bash, durch die public keys vom node zum server transportiert werden und dort WG-Interfaces erzeugt werden.
Entfernung nicht benötigter Interfaces am Server
Bislang gibt es die Idee, periodisch zu prüfen ob die Interfaces aktiv sind und bei Inaktivität zu entfernen. Neuanlage erfolgt bei Bedarf wie bei einem neuen Node mittels Key Exchange.
Wie prüft man ob das Interface noch da ist?
- man könnte periodisch pings schicken
- man könnte in der neighbour-Tabelle auf dem Server nachsehen. Sofern der remote noch da ist, gibt es dort einen Eintrag. Damit das sinnvoll funktioniert, muss ggf am Server das neighbour-purge-timeout (ähnlich wie bei l3roamd auch) heruntergeregelt werden.