La VPN WireGuard se integrará en el Kernel de FreeBSD, ¿qué implica?

La VPN WireGuard se integrará en el Kernel de FreeBSD, ¿qué implica?

Sergio De Luz

La popular VPN WireGuard se ha convertido en el protocolo más utilizado en entornos domésticos, y poco a poco se está haciendo un hueco en entornos empresariales. La principal característica de este protocolo VPN es su seguridad por defecto, y también su gran rendimiento en la gran mayoría de hardware, a diferencia de OpenVPN o IPsec que consiguen la mitad de velocidad. Ahora el equipo de desarrollo de FreeBSD 13 va a incorporar WireGuard en el kernel, para tener el mejor rendimiento posible y el mínimo impacto en la CPU del servidor. ¿Quieres conocer todo lo que implica esta decisión?

FreeBSD tendrá WireGuard integrado en su kernel

El equipo de desarrollo de FreeBSD ha anunciado que la popular VPN WireGuard se incorporará en el kernel, haciendo uso de un driver llamado if_wg, el cual tiene soporte completo con wg y wg-quick que tenemos actualmente en sistemas operativos Linux. Por supuesto, también tendremos una integración total en el espacio de usuario de FreeBSD. Gracias a este movimiento, el rendimiento de este protocolo VPN debería ser sobresaliente, en comparación con lo que teníamos hasta el momento en este sistema operativo ampliamente usado. La implementación de WireGuard en FreeBSD debería funcionar bastante bien, pero debemos tener en cuenta lo siguiente.

La empresa Netgate, la popular empresa que está detrás del proyecto de pfSense, encargó a un desarrollador que escribiera una implementación de WireGuard para FreeBSD, sin embargo, por lo que comentan internamente en la comunidad, fue un desastre. Antes de lanzar WireGuard en FreeBSD 13.0 se ha revisado por completo el código fuente para optimizarlo y que sea seguro, ya que no se partió sobre la base de OpenBSD como recomendaron. Algunos de los fallos encontrados en el código original fue que había condiciones de carrera, no se validaban las funciones correctamente, había vulnerabilidades graves, partes enteras del protocolo sin implementar y mucho más.

Finalmente, han decidido que se incorporará en la siguiente revisión de FreeBSD 13.1, por tanto, en la versión FreeBSD 13.0 no estará aún integrado en el kernel, estará deshabilitado. Esto permitirá a estos desarrolladores revisar por completo el código fuente nuevamente, y optimizarlo al máximo, sin prisas por el lanzamiento de FreeBSD 13.0, por lo que creemos que es una buena decisión.

También han indicado que posiblemente tengamos backports para la versión 13.0 y también la versión 12.y, haciéndolo lo más disponible posible y exprimir al máximo el hardware de los diferentes equipos. Os recomendamos visitar este anuncio donde encontraréis todos los detalles y problemas que se encontraron.

¿Qué implica esto para nosotros?

La incorporación de WireGuard en el kernel de Linux y de FreeBSD significa que obtendremos un mayor rendimiento, y un menor consumo de CPU. Gracias a esta decisión, si tienes un servidor basado en Linux o FreeBSD, y haces uso de WireGuard, podrás conseguir una mayor velocidad simplemente por el hecho de que está integrado en el Kernel. Aunque podrías notarlo con un solo cliente VPN, sobre todo se notará cuando se hagan uso de múltiples clientes VPN WireGuard conectados al mismo servidor VPN de forma simultánea. Dependiendo del hardware que tengamos, la diferencia de rendimiento podría ser entorno a un 50% más e incluso el doble.

Sistemas operativos beneficiados por esta decisión

FreeBSD es el sistema operativo base de muchos sistemas operativos, por ejemplo, si buscas un sistema operativo orientado a servidores NAS, los dos más recomendables con XigmaNAS y TrueNAS, ambos incorporan el sistema de archivos ZFS, y con la incorporación de WireGuard en el Kernel, es posible que XigmaNAS incorpore este servidor VPN de forma nativa, y no tengamos que instalarlo de forma manual como ocurre con OpenVPN. TrueNAS sí incorpora el servidor OpenVPN, pero con esta decisión, podrían incorporar también el protocolo WireGuard para tener un mejor rendimiento en las conexiones cifradas.

Por supuesto, uno de los más beneficiados por este movimiento es pfSense, en la última versión de pfSense 2.5.0 incorporaron WireGuard VPN en el firewall, ideal para conectar clientes remotos y también VPN de tipo Site-to-Site. En RedesZone tenemos un completo tutorial de configuración de WireGuard VPN en pfSense, donde encontraréis paso a paso todo lo que hay que tener en cuenta.

¿Aún no has probado la VPN WireGuard? Os invitamos a probarla usando nuestros tutoriales paso a paso para no tener ningún problema con la configuración.