wireguard

FreeBSD 14.0 釋出

FreeBSD 14.0-RELEASE 的公告也出來了：「FreeBSD 14.0-RELEASE Announcement」，比較完整的 release notes 在「FreeBSD 14.0-RELEASE Release Notes」。

先從官方列的 highlight 來看，首先比較重要的是 GENERIC kernel 支援 1024 cores：

FreeBSD supports up to 1024 cores on the amd64 and arm64 platforms.

看了一下 commit log 是從 256 變成 1024。

先就 x86-64 這邊來看，目前「家用」最多的應該是 AMD 的 7995WX (96 cores)，舊版的 256 限制應該也還能撐住，但看 commit log 有提到，主要是預期這幾年應該會有更暴力的機器出現。

另外一塊是伺服器端，Intel 這邊有 8 sockets 的版本 (參考「Intel Xeon Sapphire Rapids to Scale to 4 and 8 Sockets」)，如果都是接 8490H 的話就是 480 cores 了。

ARM 的話好像也可以堆，但不熟...

另外一個提到的重點是 TCP 預設的 congestion control 改成 CUBIC：

The default congestion control mechanism for TCP is now CUBIC.

翻 commit log 可以看到是從 NewReno 換成 CUBIC 的，這樣就跟 Linux kernel 預設值一樣了。

再來比較重要的是在 release notes 裡面提到的，FreeBSD 15.0 將會拔光 32-bit 環境的支援，只留 armv7，這代表 Raspberry Pi 第一代的 armv6 也被淘汰掉了：

FreeBSD 15.0 is not expected to include support for 32-bit platforms other than armv7. The armv6, i386, and powerpc platforms are deprecated and will be removed. 64-bit systems will still be able to run older 32-bit binaries.

然後有些我自己翻覺得還蠻有趣的。

首先是看到 non-root 的 chroot：

The chroot facility supports unprivileged operation, and the chroot(8) program has a -n option to enable its use. a40cf4175c90 (Sponsored by EPSRC)

然後把 OpenSSH 內對 FIDO/U2F 的支援開起來了：

The use of FIDO/U2F hardware authenticators has been enabled in ssh, using the new public key types ecdsa-sk and ed25519-sk, along with corresponding certificate types. FIDO/U2F support is described in https://www.openssh.com/txt/release-8.2. e9a994639b2a (Sponsored by The FreeBSD Foundation)

ASLR 預設開啟：

Address Space Layout Randomization (ASLR) is enabled for 64-bit executables by default. It can be disabled as needed if applications fail unexpectedly, for example with segmentation faults. To disable for a single invocation, use the proccontrol(1) command: proccontrol -m aslr -s disable command. To disable ASLR for all invocations of a binary, use the elfctl(1) command: elfctl -e +noaslr file. Problems should be reported via the problem reporting system, https://bugs.freebsd.org, or posting to the freebsd-stable@FreeBSD.org mailing list. b014e0f15bc7 (Sponsored by Stormshield)

然後先前被罵臭頭的 WireGuard 支援也放回來了：(「FreeBSD & pfSense 上的 WireGuard 問題」)

The kernel wg(4) WireGuard driver has been reintegrated; it provides Virtual Private Network (VPN) interfaces using the WireGuard protocol. 744bfb213144 (Sponsored by Rubicon Communications, LLC ("Netgate") and The FreeBSD Foundation)

然後看到 Netflix 贊助的 kTLS 支援 TLS 1.3：

KTLS (the kernel TLS implementation) has added receive offload support for TLS 1.3. Receive offload is now supported for TLS 1.1 through 1.3; send offload is supported for TLS 1.0 through 1.3. 05a1d0f5d7ac (Sponsored by Netflix)

然後 FreeBSD 長久以來 root 預設用的 /bin/csh 改成 /bin/sh 了：

The default shell for the root user is now sh(1), which has many new features for interactive use. d410b585b6f0

預設的 MTA 變成 dma (Dragonfly Mail Agent)，看名字加上翻了一下 manpage，確認是從 Dragonfly BSD 移植過來的：

The default mail transport agent (MTA) is now the Dragonfly Mail Agent (dma(8)) rather than sendmail(8). Configuration of the MTA is done via mailer.conf(5). sendmail(8) and its configuration remain available. a67b925ff3e5

然後 portsnap 被拔掉了，現在就建議直接用 git 拉了，算是功成身退了：

The portsnap(8) utility has been removed. Users are encouraged to fetch the ports tree by using pkg install git and then git clone https://git.FreeBSD.org/ports.git /usr/ports. df53ae0fdd98

而 mergemaster 也被換成 etcupdate 了：

mergemaster(8) has been deprecated. Its replacement is etcupdate(8). 398b12691b4f (Sponsored by The FreeBSD Foundation)

然後支援 tarfs，而且可以用 zstd：

The tarfs(5) file system has been added, which is backed by POSIX tar archives optionally compressed with zstd(1). 69d94f4c7608 (Sponsored by Juniper Networks, Inc.) (Sponsored by Klara, Inc.)

好久沒看 FreeBSD 的 release notes...

透過 SOCKS5 界面連進 WireGuard 網段的軟體 wireproxy

在 Hacker News 上看到「A userspace WireGuard client that exposes itself as a proxy (github.com/octeep)」看到這個有趣的東西，可以把自己當作是一個 WireGuard client，然後透過 SOCKS5 界面讓使用者使用... 專案則是在 GitHub 上的「Wireguard client that exposes itself as a socks5 proxy」這邊可以看到。

除了軟體本身有支援 SOCKS5 的可以用以外，另外可以搭配透過 LD_PRELOAD 把 TCP 連線都轉進 SOCKS5 服務的套件來用，像是 tsocks 或是 redsocks 這種工具。

然後這包東西是用 Golang 寫的，好像剛好可以拿來練手包 Ubuntu PPA...

用 Tailscale 取代個人的 VPN

Tailscale 是個基於 WireGuard 的 VPN 服務，基本的邏輯是所有的機器都連上 VPN，然後 Tailscale 建立一組 CGNAT 網段的內部網路讓你可以互連，另外也可以透過這些 VPN 設定 exit node 連外：

另外的一個特點是他把 Hole punching 的方式包好了，可以打通兩個都在 NAT 後面的機器 (大多數的狀態都可以成功)，不需要透過 VPN hub 代轉流量，於是 latency 會低很多 (因為大多數在台灣都沒有 VPN hub)。

也因為不太需要 VPN hub，對 Tailscale 來說營運的成本就沒那麼高，所以 Tailscale 有提供個人可以用的免費版本，提供 20 個 devices 連上同一個內部網段。

以前在外面的咖啡廳用網路會習慣透過 VPN server 稍微保護一下連線，現在看起來可以用 Tailscale 取代掉... 家裡的 HiNet 桌機或是 VPS 的機器都可以拿來當 exit node。

另外還有 open source 的 headscale 專案可以看，如果想要完全更高的安全性，完全自己 host 的話...

FreeBSD & pfSense 上的 WireGuard 問題

FreeBSD 與 pfSense 上的 WireGuard 實做問題前幾天被 Ars 的人整理出來：「Buffer overruns, license violations, and bad code: FreeBSD 13’s close call」，文章有點長度，但整個劇情有種在看八點檔的感覺... 在 Hacker News 上的「Buffer overruns, license violations, and bad code: FreeBSD 13’s close call (arstechnica.com)」與後續的「In-kernel WireGuard is on its way to FreeBSD and the pfSense router (arstechnica.com)」都值得翻翻。

目前 FreeBSD 與 pfSense 都已經把現有的 WireGuard 實做拿掉，主要原因是實做本身的品質很差 (以及安全性問題)，而且沒有將 WireGuard 的功能實做完整。

文章裡面有提到兩個組織面上的問題 (還有攻擊個人的部份，這邊就不提了)，第一個是 FreeBSD 的 review process，看起來比較像是系統面的問題，目前還是缺乏人力。

另外一個是 Netgate 本身 (pfSense 後面的公司)，本來沒有太多背景知識，但這次事件發生後跑去翻了一下資料，發現原來之前就有一些「記錄」了，像是註冊競爭對手的產品 OPNsense 沒有註冊的網域 opnsense.com，然後導去 pfSense 家的事情，最後使得 Deciso (OPNsense 後面的公司) 到 WIPO 上搶回來：「WIPO Domain Name Decision: D2017-1828」。

可以花些時間來看看替代方案...

WireGuard 的 OpenBSD porting

在「WireGuard patchset for OpenBSD」這邊看到有人試著把 WireGuard 放入 OpenBSD 的消息。

整包 patchset 包括了 kernel 與 userland 的實做，可以在 mailing list 上「WireGuard patchset for OpenBSD」這邊可以看到，整串討論可以在「'WireGuard patchset for OpenBSD' thread - MARC」這邊看到，目前看起來還在 code review 的階段，有看到討論提到應該用 OpenBSD 內已經實做的 Chacha20-Poly1305，所以可能還會需要一些時間...

看起來慢慢的在滲進每個作業系統中，蠻有希望在幾年後成為業界標準...

WireGuard 1.0.0 的釋出

在「[ANNOUNCE] WireGuard 1.0.0 for Linux 5.6 Released」這邊看到的消息，看起來 WireGuard 1.0.0 會回過頭來 backport 到幾個重要的版本：

We'll also continue to maintain our wireguard-linux-compat [2] backports repo for older kernels. On the backports front, WireGuard was backported to Ubuntu 20.04 (via wireguard-linux-compat) [4] and Debian Buster (via a real backport to 5.5.y) [5]. I'm also maintaining real backports, not via the compat layer, to 5.4.y [6] and 5.5.y [7], and we'll see where those wind up; 5.4.y is an LTS release.

包括 Debian 與 Ubuntu 的新版，以及 5.4.x 的 LTS 版本，讓使用起來更方便一些...

Cloudflare 自己用 Rust 寫了一套相容 WireGuard 協定的軟體

Cloudflare 發現目前符合他們條件的 WireGuard 軟體效能不夠好，所以就用 Rust 寫了一套出來：「BoringTun, a userspace WireGuard implementation in Rust」，軟體在「BoringTun」這邊可以看到。

Cloudflare 的條件是 userspace 以及多平台，市面上有 wireguard-go 符合這兩個條件，但效能不太好，所以就下去寫了。

GitHub 的頁面上可以看出還在剛開始的階段，很多頁面都還只有個雛型... 等這幾天陸陸續續更新後再回來看好了。

WireGuard 上 macOS 了...

在「WireGuard for macOS」這邊看到 WireGuard 進到 Apple 家的 Mac App Store 了。

除了是透過 app store 下載外，另外的重點在於整合了 NetworkExtension API：

This is built from the same code base as our existing iOS app and makes use of Apple's Network Extension API to provide native integration into the operating system's networking stack.

這樣可以確保相容性，而且可以用內建的 VPN 機制管理。另外也給了一些 screenshot 可以看，可以看出來就是走 Mac 上的管理方式：

WireGuard 被收進 Linux Kernel 了...

Twitter 上看到 WireGuard 被收進 Linux Kernel 了，等 review 完後就就會正式納入了... 而且 Linus 給的評價還蠻高的：

It is official. wireguard vpn is now part of upstream linux kernel and here is what Linus said about it. pic.twitter.com/FwxKi7fzX8

— nixCraft (@nixcraft) August 3, 2018

找了一下起源是「[PATCH v1 3/3] net: WireGuard secure network tunnel」這邊，而 Twitter 上面引用的是「Re: [GIT] Networking」這篇...