Wireguard-Unterstützung?

citronalco · 18. Januar 2022 um 19:21

Plant ihr eigentlich Unterstützung für Wireguard im Ansible-Setup?

corny456 · 19. Januar 2022 um 10:25

Aktuell ist nicht so wirklich was geplant in der Richtung.
Gibt es denn Gründe warum man Wireguard möchte anstelle von l2tp? Also welche vorteile bietet mir das? Mal abgesehen davon das Wireguard verschlüsselt sehe ich da keinen Grund. Und selbst das ist für mich in diesem Fall kein Grund weil es einfach nur Ressourcen verbrennt und es absolut unsinnig ist diese Teilstrecke zu verschlüsseln.

Aber wenn es gute Argumente gibt immer gern her damit.

cosimo · 20. Januar 2022 um 05:54

Macht wirklich keinen Sinn da der Traffic sehr darunter leiden wird und wenn du verschlüsselt und mit verborgener ip ins Netz möchtest schalte ein VPNTunnel daschwischen und gut ist

citronalco · 20. Januar 2022 um 19:59

Klar, bei L2TP ergibt Wireguard keinen Sinn. Die Frage war reiner Faulheit geschuldet:
Bei uns in Ingolstadt nutzt etwa die Hälfte der Nodes aus Gründen noch fastd. Die hätten wir gerne irgendwann auf Wireguard. Und da hatten wir natürlich ein klein wenig Hoffnung dass da Münster schon was in Vorbereitung hätte. Hätte ja sein können. Theoretisch.

corny456 · 20. Januar 2022 um 20:36

Ich denke nicht das eine Implementierung ein großer Akt wäre. Kann man sich bestimmt irgendwo bei anderen Communitys abgucken. Wir haben allerdings grad mit unserem AS Projekt noch eine große Baustelle offen sodass ich nicht glaube das jemand von uns ohne not in absehbarer Zeit da ran gehen wird.

Bin aber gern bereit das zu Reviewen und zu Mergen wenn jemand sich die Mühe macht.

wusel · 23. Januar 2022 um 03:43

»Aus $Gründen« — welchen denn konkret?

Aber warum? Habt Ihr eine kommunikative Altlast »über den Internet-Zugang läuft ein verschlüsselter Tunnel«?

That said: die Münchner müßten das in ihrem Saltstack kodifiziert haben, die Umschreibung auf Ansible sollte machbar sein. Bitte aber die dort gefundenen Probleme im »Tunnel-Stacking« beachten, erst ab Kernel x.y.z funktioniert VXLAN-over-WireGuard auch performant.

citronalco · 24. Januar 2022 um 18:23

Die Gründe dafür, dass wir neben L2TP auch noch fastd anbieten, sind vor allem historisch. Und kulturell. Sprich: Es liegt außerhalb meiner Entscheidungsbefugnis.

Danke für den Tipp mit der Münchner Konfiguration, werde ich mir mal anschauen. VXLAN haben wir nicht.

wusel · 24. Januar 2022 um 20:08

FTR: WireGuard ist L3, die Münchner haben daher über die WireGuard-Tunnel VXLAN-Tunnel geworfen (bzw. in jene gesteckt), um darüber weiter Batman sprechen zu können. Genausogut könnte man wohl L2TP nutzen, Aussage aus München war in etwa »VXLAN ist in Gluon halt schon drin«. Herzstück ist aber die Verteilung der WireGuard-Schlüssel zwischen Knoten und Gateways, dafür haben die Münchner 'nen entsprechenden Mechanismus geschrieben.

BTW: Ihr habt mitbekommen, daß fastd seit v22 auch über L2TP Daten (unverschlüsselt) übertragen kann, Stichwort null@l2tp.