7.4.3.2. Wireguard¶
wireguard es una solución alternativa a OpenVPN que, además, a partir de la versión 5.6 del núcleo de Linux, estará integrada oficialmente como módulo.
Ventajas:
La configuración es bastante sencilla.
Tiene mucho mejor rendimiento.
No usa certificados, sino parejas de claves (como SSH).
Limitaciones:
Establece la VPN sólo en capa 3.
No se admite identificación del cliente con usuario y contraseña.
Lo que podríamos denominar falta de anonimato, aunque el administrador del servidor no tenga intención de querer identificar al cliente. Esto es debido a que, por un lado, a los clientes debe asignárseles una IP fija en su extremo del túnel y, a que, por otro, la asociación entre IP real del cliente y su correspondiente IP en el túnel no se registra sin más en un fichero de registro (que podría ser
/dev/null
para evitar el registro efectivo), sino que es permanentemente consultable a través de la ordenwg show
. Esta circunstancia, no obstante, movió a AzireVPN a contratar al desarrollador de Wireguard un módulo que asegure el anonimato, esto es, que evite que el administrador pueda llegar a averiguar la correspondencia entre ambas IPs. El resultado es el módulo blind_operator_mode.
Está experimentando un rápido desarrollo y, si se desea contratar un servicio externo, son cada vez más los proveedores que lo soportan. Es particularmente interesante, además, la lectura de este completo artículo sobre el estado de Wireguard en junio de 2019.
Nota
En caso de que utilicemos Buster[1], no dispondremos aún del software en el repositorio, así que tendremos que echar mano de la rama backports:
# echo "deb http://ftp.fr.debian.org/debian/ buster-backports main" > /etc/apt/sources.list.d/backports.list
# apt update
Además, el módulo pertinente no forma parte del núcleo por lo que hay que generarlo y para ello se requieren las cabeceras del núcleo que se esté usando y que probablemente no estén instaladas[2]:
# apt install linux-headers-$(uname -r)
Si se instala antes wireguard que las cabeceras, el módulo
wireguard.ko
no se generará automáticamente durante la instalación y
habrá, después de haberlas instalado, que generar el módulo a mano:
# dpkg-reconfigure wireguard-dkms
Para acceder al software, basta con instalarlo:
# apt install wireguard
Contenidos
Enlaces de interés
Notas al pie