Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • Status Nouveau
  • Percent Complete
    0%
  • Task Type Évolution
  • Category Services locaux → Serveur VPN
  • Assigned To No-one
  • Operating System Tous
  • Severity Low
  • Priority Very Low
  • Reported Version 4.7.4
  • Due in Version Undecided
  • Due Date Undecided
  • Votes 2
  • Private

FS#37768 - Wireguard / openVPN routé - implémenter l'IPv6

Les serveurs VPNs de la Freebox sont une bénédiction, un grand merci, c’est une solution majeure pour les globes trotteurs qui de l’étranger veulent se protéger de hotspots potentiellement malveillants.

La Rolls, un peu lente et ne fonctionnant que sur PC Windows ou Linux, c’est openVPN bridgé. IPv4 + IPv6 RAS

Si on veut connecter iOS, Android, Windows de façon native : IKEv2, IPv4 + IPv6 RAS

Vous avez choisi de proposer le protocole Wireguard, un nouveau protocole qui “monte” et semble-t-il un peu plus rapide qu’IKEv2 (mais je ne suis pas certains que ce soit onligatoirement plus sûr).

En l’état… c’est quasi inutilisable. L’IPv6 n’est pas implémenté.

Suite à des tests extérieurs, je me suis rendu compte que les serveurs VPNs qui ne fournissent pas d’adresse IPv6 posent souci :

- lenteurs sur certains sites
- certains sites sont totalement inacessibles. J’ai par exemple des petits jeu Android qui fonctionnent parfaitement chez moi en Wifi, mais ne fonctionnent pas en extérieur via VPN Wireguard, il faut que je passe par IKEv2

Concernant openVPN Routé… je n’ai pas la situation en tête, mais là aussi, il faut implémenter “si ce n’est pas déjà fait” l’IPv6
openVPN routé est la seule solution openVPN qui fonctionne sur Android et iOS (openVPN bridgé ne fonctionnera jamais sur iOS ou Android)

L’IPv6 est impératif désormais car beaucoup d’infrastructures ont basculé ces dernières années.
Un PC Windows sur une connexion “IPv4 only”, il a tendance à ramer…. les mises à jour, déjà lentes, deviennent très très lentes.

C’est sympa de donner le choix aux utilisateurs… mais juste un petit effort pour aller jusqu’au bout.

Bonjour

Wireguard est effectivement très performant et vos doutes ne sont pas justifiés.

Il est très léger (moins de 5000 lignes de code dans le kernel) et supporte nativement des ciphers modernes et performants comme aes256gcm ou chacha20poly1305.

Certain IPSEC IKEv2 modernes utilisent les mêmes ciphers et des asics spécialisés pour offload IPSEC et gagner en performance, mais on est encore loin du rapport coût/performance offert par WireGuard avec les mêmes ciphers

Test à l'instant :
Sur 1 thread WG avec comme cipher chacha20poly1305 avec 1 seul coeur de CPU sur un i7-9750H : débit 5,4gb/s
En IPsec sur 1 thread (même cipher avec StrongSwan, 1 core i7-9750H no asic offloading): débit 600mb/s
En IPsec sur 1 thread (même cipher mais offload sur un ASIC Fortinet NP7): débit 4,4gb/s

alors c'est des tests vraiement vite fait, sur le NP7 on doit pouvoir atteindre 50gb/s en IPSEC mais pas sur 1 connexion et le NP7 ne se trouve que dans des appliances spécialisées et hors de prix (> à 50 k€), ce n'est pas une petite carte qu'on branche dans son PC…

Wireguard apporte réellement un très gros GAP en terme de performance dans le domaine du VPN, c'est pour cela que des constructeurs comme Fortinet et Palo Alto essayent de ne pas l'implémenter dans leurs équipements, il n'est pas dans les roadmaps
(les recherches et le développement des ASIC chez Fortinet et des FPGA chez PALO-ALTO spécialement pour offload IPSEC à une vitesse supérieur aux autres constructeurs ont coûtés trop cher pour que tout soit balayé d'un revers de manche par un protocole VPN opensource)

Mais inévitablement Wireguard gagnera la bataille un de ces jours, n'en déplaise à ceux qui se tirent la bourre au Gartner

Donc oui, SVP merci d'implémenter IPv6 dans le client et dans le serveur WireGuard de la Freebox, et merci d'ouvrir le client à autre chose qu'au gestionaire de download (genre pouvoir utiliser le client VPN pour tout ou partie du trafic sortant de la box et pour de l'interco site-to-site)

Merci
Cordialement
nbanba

icek commented on 14.04.2023 11:42

Bonjour,

Wireguard ne permet plus l'accès au LAN ou quoi?
Range 192.168.1.0/24 reste inaccessible.

J'ai constaté ça sur 2 freebox, dans 2 endroits différents.

J'ai supprimé et refait, mais ça ne fonctionne plus.
Je ne veux pas retourner sur OpenVPN routé.

Help please.

David

J'ai constaté qu'en enlevant l'agrégat 4G, le LAN est de nouveau accessible. J'ai testé sur 2 Freebox delta à deux endroits différents même constat.

Effectivement, il serait très intéressant d'implémenter l'IPv6 au sein du protocole Wireguard sur la Freebox.

Il serait bien également de vouloir relier par Wiregaurd deux sites distants ou plus pour crééer un grand réseau "famille" par exemple.

Je confirme l'obligation vu que le réseau Free est par défaut en IPv6 (hors exceptions).

Je rajoute également la proposition de @spectre3brad pour le lien entre plusieurs sites distants, j'avais déjà proposé par le passé pour OpenVPN…

Loading...

Available keyboard shortcuts

Tasklist

Task Details

Task Editing