WireGuard VPN简介:你需要了解的WireGuard VPN现状

WireGuard(官网)是一种新的VPN协议,有可能为VPN行业带来重大变革。与现有的VPN协议(如OpenVPN和IPSec)相比,WireGuard可以通过新的和改进的加密标准提供更快的速度和更好的可靠性。

虽然它确实在简单性,速度和加密方面提供了一些有领先的功能,但WireGuard也有一些值得注意的缺点,我们将在下面的几部分讨论WireGuard VPN的各项现状:

  • 什么是WireGuard
  • WireGuard优点
  • WireGuard缺点(为什么还没有大范围应用)
  • 哪些VPN提供商目前支持WireGuard
  • WireGuard的前景

什么是WireGuard VPN?

WireGuard是一种新的实验性VPN协议,旨在为VPN隧道提供比现有VPN协议更简单,更快速,更安全的解决方案。与OpenVPN和IPSec相比,WireGuard有一些主要差异,例如代码大小(低于4,000行!),速度和加密标准。WireGuard背后的开发人员是Edge Security的创始人Jason Donenfeld 。(术语“WireGuard”也是Donenfeld的注册商标。)在我看过的一次采访中,Donenfeld表示WireGuard的想法来自于他居住在海外并需要Netflix的VPN。

为什么围绕WireGuard有如此多的讨论?答案很简单:它提供了许多优于现有VPN协议的优势,我们将在下面向您展示。它甚至引起了Linux背后的开发人员Linus Torvalds的注意,他在Linux内核邮件列表中有这样的说法:我可以再一次表达我对[WireGuard]的热爱并希望它能很快合并吗?也许代码并不完美,但我已经撇去了它,与OpenVPN和IPSec的恐怖相比,它是一件艺术品。

WireGuard VPN的优点

1.先进的加密

正如在各种采访中所解释的那样,Jason Donenfeld希望通过OpenVPN和IPSec升级他认为是“过时”的协议。WireGuard使用以下协议和原语,如其网站上所述

您可以在其网站或白皮书中了解有关WireGuard现代加密技术的更多信息。

2.简单和最小的代码库

WireGuard在代码库方面非常突出,目前大约有3,800行。这与OpenVPN和OpenSSL形成鲜明对比,OpenVPN和OpenSSL共有大约600,000行。与XFRM和StrongSwan一起,IPSec在大约400,000总线上也很庞大。

较小代码库的优点是什么?

  • 审计要容易得多。OpenVPN将需要一个大型团队进行多日审核。一个人可以在几个小时内阅读WireGuard的代码库。
  • 更容易审核=更容易发现漏洞,这有助于保持WireGuard的安全
  • 与OpenVPN和IPSec相比,攻击面小得多
  • 更好的性能

虽然较小的代码库确实是一个优势,但它也反映了一些限制,我们将在下面讨论。

3.性能改进

于许多不同的原因,速度可能是VPN的限制因素。WireGuard 旨在显着改善性能领域:

极高速加密原语的组合以及WireGuard在Linux内核中存在的事实意味着安全网络可以非常高速。它适用于智能手机和满载骨干路由器等小型嵌入式设备。

从理论上讲,WireGuard应该以下列方式提供改进的性能:

  • 更快的速度
  • 手机/平板电脑可延长电池续航时间
  • 更好的漫游支持(移动设备)
  • 更可靠
  • 更快地建立连接/重新连接(更快的握手)

WireGuard应该对移动VPN用户真正有益。使用WireGuard,如果您的移动设备更改了网络接口,例如从WiFi切换到移动/单元数据,只要VPN客户端继续将经过身份验证的数据发送到VPN服务器,连接就会保持不变。

4.跨平台易用性

虽然尚未准备好迎接黄金时段,但WireGuard应该可以在不同平台上很好地工作。WireGuard支持Mac OS,Android,iOS和Linux,Windows支持仍处于开发阶段。

WireGuard的另一个有趣功能是它使用公钥进行识别和加密,而OpenVPN使用证书。这确实会在VPN客户端中使用WireGuard产生一些问题,例如密钥生成和管理。

WireGuard VPN的缺点

尽管WireGuard提供了许多令人兴奋的优势,但它目前还存在一些值得注意的缺点。

1.仍处于初期研发阶段,未经审计

尽管WireGuard仍然处于“重大开发”状态并且还没有为一般用途做好准备,但仍有许多人希望立即将其用作主要的VPN协议。您可以在reddit和各种论坛上找到许多WireGuard促销活动 – 即追逐最新的VPN趋势。

必须指出WireGuard不完整,它没有通过安全审计,开发人员明确警告信任当前代码:

WireGuard尚未完成。你不应该依赖这个代码。它尚未经过适当程度的安全审核,协议仍有可能发生变化。我们正在努力推出一个稳定的1.0版本,但那个时候还没有到来。

尽管如此,还是有一些VPN正在准备或现在提供WireGuard支持。但是,此时,您应该仅将WireGuard 用于测试目的。

2.WireGuard VPN隐私问题和日志

虽然WireGuard可以在性能和安全性方面提供优势,但通过设计它不利于隐私。许多VPN提供商都表达了对WireGuard无日志使用能力的担忧,以及这可能会如何影响用户隐私。

AzireVPN是最早实施WireGuard的VPN之一,去年曾说过:

在AzireVPN,我们关心我们的无日志策略,这就是为什么我们所有的服务器都在无盘硬件上运行,所有日志文件都通过管道传输到/ dev/null。但是当涉及到WireGuard时,默认行为是在服务器界面中显示端点和allowed-ip,这与我们的隐私策略无关。我们不应该知道您的源IP,也不能接受在我们的服务器上看到它。

AzireVPN 试图通过聘请Jason Donenfeld“编写类似rootkit的模块来消除普通系统管理员查询有关WireGuard对等端的端点或allow-ip信息以及禁用运行tcpdump的能力”来解决这些问题(请参阅此处)。

Perfect Privacy认为WireGuard在他们博客上的一篇有趣帖子中“不能没有日志”:

WireGuard没有动态地址管理,客户端地址是固定的。这意味着我们必须注册客户的每个活动设备,并在每个VPN服务器上分配静态IP地址。此外,我们必须存储每个设备的最后登录时间戳,以便回收未使用的IP地址。我们的用户几周后就无法连接您的设备,因为地址已被重新分配。对我们来说特别重要的是我们根本不创建或存储任何连接日志。因此,我们无法存储当前WireGuard运行所需的上述注册和登录数据。

VPN.ac不是无日志VPN提供商。因此,WireGuard的日志记录和隐私问题可能不是问题。尽管如此,他们仍然提出了担忧:

隐私考虑:根据设计,WireGuard不适用于无/有限的日志记录策略。具体而言,用户的最后公共IP将保存在用于连接的服务器上,并且根据我们当前的隐私政策,它不能在一天内删除。稍后我们可能会对源代码进行一些调整,以清理或删除上次使用的公共IP。

ExpressVPN在他们的博客上对WireGuard及其对隐私的影响提出了类似的担忧:

WireGuard面临的挑战之一是确保VPN的匿名性。在公共网络和虚拟网络上都不应该静态地为单个用户分配单个IP地址。用户的内部IP地址可能会被攻击者(例如通过WebRTC)发现,然后他们可以将其与从VPN提供商处获取的记录(通过盗窃,销售或合法查封)进行匹配。一个好的VPN必须无法将这样的标识符与单个用户匹配。目前,使用WireGuard无法轻松实现此设置。正如我们过去使用OpenVPN所做的那样,ExpressVPN将支持审查和审核WireGuard代码的工作。我们将尽可能地提供代码并报告错误,并直接向开发团队提出安全和隐私问题。

AirVPN是另一项VPN服务,它对WireGuard对匿名的影响表示担忧,正如他们在论坛中所解释的那样:

在当前状态下,Wireguard不仅具有危险性,因为它缺乏基本功能并且是一种实验性软件,但它也会危害匿名层。我们的服务旨在提供一些匿名层,因此我们无法深入考虑削弱它的东西。我们很乐意在它达到稳定版本时考虑到Wireguard,并提供至少15年前OpenVPN能够提供的最基本选项。基础设施可以调整,我们的任务不能。

在他们的论坛中,AirVPN进一步解释了为什么WireGuard根本不符合他们的要求:

  • Wireguard缺乏动态IP地址管理。客户端需要事先分配一个预定义的VPN IP地址,该IP地址唯一地链接到每个VPN服务器上的密钥。对匿名层的影响是灾难性的;
  • Wireguard客户端不验证服务器身份(这一功能非常重要,以至于当Wireguard不再是实验性软件时,它肯定会实现); 这个漏洞对安全的影响非常大;
  • 缺少TCP支持(正如您所建议的那样,使用TCP作为隧道协议需要第三方或任何其他代码,与OpenVPN相比,这是一个可怕的回归);
  • 不支持使用各种身份验证方法通过某些代理将Wireguard连接到VPN服务器。

尽管存在这些问题,许多VPN服务仍在关注该项目,并且在对WireGuard进行全面审核和改进后,有兴趣实施该项目。然而,与此同时,正如AirVPN在其论坛中所述:“我们不会将客户作为测试人员使用。”

3.新产品的有太多未经测试的问题

当然,OpenVPN存在问题,但它也有很长的记录,是经过验证的VPN协议,具有广泛的审计功能。虽然Donenfeld可能会在各种采访中将OpenVPN称为“过时”,但其他人可能会认为它已被证实且值得信赖 – 这是WireGuard目前所缺乏的品质。

OpenVPN 最初于2001年发布,历史悠久。OpenVPN还受益于庞大的用户群和定期更新的主动开发。2017年5月,它进行了开源技术改进基金OSTIF的重大审计。

在这一点上,WireGuard似乎更像是一个利基项目 – 但是对于该行业来说具有巨大潜力的项目。这是一个非常新的,尚未走出“重大发展”阶段,尽管它已经过正式验证。即使在WireGuard正式发布之后,用户也应谨慎行事。

4.有限的运用(目前)

正如我们上面所述,在整个行业范围内采用WireGuard存在一些重大障碍:

  • 密钥管理和分发的问题(而不是使用证书)。
  • WireGuard需要自己的基础设施,与现有的OpenVPN服务器分开。
  • 与现有操作的兼容性。对于已经围绕OpenVPN构建其服务和功能的提供商,WireGuard可能不会很快出现在卡中。

Perfect Privacy 还解释说,WireGuard与其现有的服务器端功能不兼容,例如多跳VPN级联,TrackStop和NeuroRouting。尽管如此,我还是向Perfect Privacy伸出援助之手,他们证实,当时机成熟时,他们可能会支持WireGuard作为独立选项。

同样,AirVPN还表示WireGuard在其基础设施中“完全无法使用”:

前它在我们的基础设施中完全无法使用, 因为它缺乏TCP支持,缺乏动态VPN IP分配,并且(至少我们看到的构建)缺乏严格必要的安全功能(验证服务器提供的CA证书,因此客户端不能确定另一方面某些恶意实体不冒充VPN服务器)。

哪些VPN服务支持WireGuard VPN?

以下是目前支持WireGuard或已确认他们正在测试WireGuard的VPN,目的是在协议准备就绪时支持该协议:

  • AzireVPN
  • VPN.ac
  • Mullvad
  • IVPN
  • NordVPN(仍在测试中)
  • Private Internet Access(仍在测试中)

现在我们将详细介绍下面的每个WireGuard VPN服务。

1.AzireVPN – WireGuard服务器直播

最好的电线保护vpn

AzireVPN是一种基于瑞典的VPN服务,主要关注隐私和安全性。它自2012年开始运营,为那些想要测试WireGuard的人提供了出色的支持。

AzireVPN是WireGuard最早的采用者之一,并在其网站上有一个WireGuard部分。

我们已经开发了一个用于密钥分发的API,并且正在考虑将WireGuard添加到我们的客户端。目前,该协议可用于Windows,Linux,macOS,Android和运行OpenWRT的路由器,但对Windows的支持即将推出。只需注册即可连接我们所有位置的WireGuard服务器。

注意:AzireVPN目前通过第三方TunSafe VPN客户端支持Windows用户。但是,目前没有官方的WireGuard支持Windows,开发人员建议不要使用第三方客户端:

Windows客户端即将推出。与此同时,强烈建议您远离未从本网站发布的Windows客户端,因为尽管进行了营销工作,但它们可能会使用起来很危险。

AzireVPN拥有较小的服务器网络,但它完全由在信誉良好的数据中心运行的专用自有服务器组成。他们在迈阿密(美国),多伦多(加拿大),瑞典,西班牙和英国设有服务器。所有这些服务器位置目前都支持WireGuard,以及完整的IPv6连接。

2.VPN.ac – WireGuard服务器正常运行

vpn服务电线保护

VPN.ac是一种安全可靠的服务,位于罗马尼亚,由网络安全公司运营。正如我在对VPN.ac的评论中所讨论的那样,它是一个出色的全方位提供商,唯一值得注意的缺点是连接日志(但它们每天被删除)。

VPN.ac在他们的博客上宣布,在内部测试了WireGuard后,他们决定支持该协议。正如他们在他们的网站 (博客)上所解释的:

最初它将在测试版中提供。由于WireGuard的设计不能使其适合我们的开箱即用基础设施,因此实施起来有点挑战性。我们希望实现从头开始尽可能简单和完整,并且完全自动化。这需要在后端方面做一些工作:API,服务器同步密钥等等。不像启动另一台服务器那么容易,但绝对可行。

VPN.ac已经完成了将WireGuard完全集成到其服务中的三个阶段:

  • 第1阶段:设计和部署后端API
  • 第2阶段:用于手动设置/第三方客户端软件的配置生成器的前端可用性
  • 第3阶段:实施到我们的VPN客户端应用程序

VPN.ac还提供折扣测试帐户(请参阅常见问题解答页面),它为您提供为期一周的完整试用订阅,价格为2美元。

3.Mullvad – WireGuard服务器正常运行

最好用于电线保护的vpn

与AzireVPN一样,Mullvad也位于瑞典,是一家以隐私为中心的服务。Mullvad目前支持Linux,Mac OS,Android和一些路由器上的WireGuard。除了281个OpenVPN服务器外,它们还拥有一个大型有源WireGuard服务器网络(共49个)。

4.IVPN – WireGuard服务器现场直播

ivpn wireguard

IVPN是一种基于直布罗陀的VPN服务,具有一些出色的高级功能。看起来IVPN是第一个将WireGuard构建到自己的VPN客户端的提供商,IVPN目前有10个WireGuard服务器位置。正如他们在他们的网站上解释的那样:

WireGuard可在我们的macOS,iOS和Android客户端上使用。您还可以使用大多数Linux发行版进行连接。目前Windows不支持WireGuard。

5.其他WireGuard VPN提供商

还有一些不同的VPN服务公开声明他们打算添加WireGuard,但尚未准备好实施。

  • NordVPN

NordVPN目前不支持WireGuard,但他们正在积极测试并准备好发布。

  • Private Internet Access

Private Internet Access是WireGuard的大力支持者,甚至捐赠给了这一事业。尽管如此,由于当前状态和缺乏审计,它还没有准备好触发并向其用户提供WireGuard,正如他们在reddit上所解释的那样:

WireGuard很棒,但它正在积极开发中。这意味着存在等待发现的安全漏洞,并且可能对早期采用者的VPN提供商造成严重后果。安全或隐私泄露是我们作为一个组织无法承担的风险。

肯定有其他提供商正在观看该项目并权衡将其添加到其服务中的利弊。当状态发生变化时,我会与其他提供商更新本指南。

WireGuard的前景

考虑到WireGuard的当前状态,隐私影响以及未经审核的事实,不建议将WireGuard用于常规使用。鉴于我们对隐私和在线匿名的关注,WireGuard固有的隐私问题是一个主要缺点。这不太可能改善,它迫使VPN服务创建某种独特的开箱即用解决方案,使其能够与无日志策略一起工作,正如我们在上面看到的AzireVPN。OpenVPN不是这种情况。

尽管如此,WireGuard可能是各种用户的理想选择,具体取决于他们的威胁模型和特定需求。但是,目前,使用OpenVPN或IPSec进行常规使用是明智之举。那么WireGuard VPN的未来是什么?

一旦WireGuard完全发布,经过审核并被清除以供常规使用,它可能会继续受欢迎 – 假设它受到VPN用户群的好评。随着人气和需求的不断增加,您可以确信更多VPN服务将WireGuard整合到他们的基础架构中 – 即使这会带来一些成长的痛苦。

WireGuard很可能成为未来几年的首选VPN协议,特别是对于厌倦了连接问题和使用现有协议加速瓶颈的移动用户。

如果您想尝试这种新的VPN协议,可以使用上面的一个WireGuard VPN服务测试它或者参考在Linode的Ubuntu安装WireGuard VPN。考虑到项目的当前状态,请务必考虑隐私和安全隐患。然而,在完全发布和审核WireGuard之前,最好坚持使用OpenVPN或IPSec进行常规使用。