VPN Sikkerhedsrapport: Migration fra PPTP til WireGuard

VPN Sikkerhedsrapport: Migration fra PPTP til WireGuard

Ubuntu 20.04 LTS Desktop til Ubuntu 24.04 LTS Server

Sammenfatning og Konklusion

PPTP er fundamentalt usikker og bør erstattes øjeblikkeligt. WireGuard er den bedste erstatning med overlegen sikkerhed, hastighed og stabilitet.
Anbefaling: Migrer fra PPTP til WireGuard hurtigst muligt. WireGuard tilbyder moderne kryptografi, automatisk genoprettelse og er 57% hurtigere end OpenVPN.

1. Analyse af Nuværende PPTP Setup

PPTP Sikkerhedsproblemer

⚠️ Kritiske sårbarheder:

  • MS-CHAPv2 autentifikation: Kan reduceres til kompleksiteten af at knække en enkelt DES 56-bit nøgle
  • RC4 kryptering: Kan brydes på mindre end en uge med tilstrækkelig computerkraft
  • Ingen forward secrecy: Kompromittering af én session kompromitterer alle tidligere sessioner
  • Bit-flipping attacks: RC4 verificerer ikke dataintegriteten

Praktiske konsekvenser:

  • Regeringsorganer kan bryde RC4 på timer
  • Cyberkriminelle kan intercepte og dekryptere trafik
  • Ingen beskyttelse mod moderne surveillance-teknikker
  • Lette password-guessing attacks via L0phtcrack lignende værktøjer

2. VPN Protokol Sammenligning

Protokol Kryptering Sikkerhedsstatus Anbefaling
PPTP RC4 128-bit ❌ Fundamentalt usikker Erstat øjeblikkeligt
WireGuard ChaCha20 ✅ State-of-the-art Anbefalet
OpenVPN AES-256 ✅ Meget sikker Acceptabel alternativ

Hastighedstests

57%
Hurtigere end OpenVPN

750 Mbps
På nærliggende servere

WireGuard vs. andre protokoller:

  • 3x hurtigere end OpenConnect
  • Minimal overhead og lav latency

3. WireGuard Fordele

Sikkerhedsfordele

Moderne kryptografi:

  • ChaCha20 til symmetrisk kryptering
  • Poly1305 til autentifikation
  • Curve25519 til nøgleudveksling
  • BLAKE2s til hashing
  • HKDF til nøgleafledning

Lille kodemasse:

  • Kun ~4.000 linjer kode vs. 600.000 i OpenVPN+OpenSSL
  • Lettere at auditere og færre sårbarheder
  • Bygget ind i Linux kernel siden version 5.6

Stabilitetsfordele

Automatisk genoprettelse:

  • Håndterer netværksændringer sømløst
  • Robust mod forbindelsesforstyrrelser
  • PersistentKeepalive for NAT-gennemtrængning
  • Stateless design – forbindelser overlever suspend/hibernate

4. Ubuntu Kompatibilitet

Ubuntu 24.04 LTS Server

Native support:

  • WireGuard inkluderet i kernel som standard
  • Installation: sudo apt install wireguard wireguard-tools
  • Ingen ekstra kernel-moduler nødvendige
  • Fuld Network Manager integration

Ubuntu 20.04 LTS Desktop

Kompatibilitet:

  • Fuld WireGuard support inkluderet
  • Network Manager GUI-support
  • Automatisk konfiguration via config-filer
  • Systemd service integration

5. Implementeringsplan

📋 FASE 1: Forberedelse (1-2 timer)

Installation af WireGuard og generering af kryptografiske nøgler på både server og klient.

Server (Ubuntu 24.04 LTS):

💻 Terminal/Bash Kommandoer:
# Installation
$ sudo apt update
$ sudo apt install wireguard wireguard-tools

# Nøglegenerering
$ sudo wg genkey | sudo tee /etc/wireguard/private.key
$ sudo chmod 600 /etc/wireguard/private.key
$ sudo cat /etc/wireguard/private.key | wg pubkey | sudo tee /etc/wireguard/public.key

Klient (Ubuntu 20.04 LTS):

💻 Terminal/Bash Kommandoer:
# Installation
$ sudo apt update
$ sudo apt install wireguard wireguard-tools resolvconf

# Nøglegenerering
$ wg genkey | tee private.key | wg pubkey > public.key

⚙️ FASE 2: Konfiguration (30 minutter)

Oprettelse og konfiguration af WireGuard konfigurationsfiler på server og klient.

Server konfiguration:

Efter nøglegenerering kan du bruge dette script til automatisk at oprette server konfigurationsfilen:

💻 Terminal/Bash Kommandoer:
# Opret script til server konfiguration
$ sudo nano /usr/local/bin/create-wg-server-config.sh

Indsæt følgende script i filen:

📄 Bash Script:
#!/bin/bash

# WireGuard Server Konfiguration Generator
# Opretter automatisk wg0.conf baseret på genererede nøgler

PRIVATE_KEY_FILE=”/etc/wireguard/private.key”
CONFIG_FILE=”/etc/wireguard/wg0.conf”

# Tjek at private key findes
if [ ! -f “$PRIVATE_KEY_FILE” ]; then
echo “❌ Fejl: $PRIVATE_KEY_FILE ikke fundet!”
echo “Kør først: sudo wg genkey | sudo tee /etc/wireguard/private.key”
exit 1
fi

# Læs private key
PRIVATE_KEY=$(cat $PRIVATE_KEY_FILE)

# Opret server konfigurationsfil
cat > $CONFIG_FILE << EOF
[Interface]
PrivateKey = $PRIVATE_KEY
Address = 10.0.0.1/24
ListenPort = 51820
# Klient peers tilføjes senere automatisk
EOF

# Sæt korrekte rettigheder
chmod 600 $CONFIG_FILE
chown root:root $CONFIG_FILE

echo “✅ Server konfiguration oprettet: $CONFIG_FILE”
echo “📋 Indhold:”
cat $CONFIG_FILE

Gør scriptet kørbart og kør det:

💻 Terminal/Bash Kommandoer:
# Gør scriptet kørbart
$ sudo chmod +x /usr/local/bin/create-wg-server-config.sh

# Kør scriptet
$ sudo /usr/local/bin/create-wg-server-config.sh

Klient konfiguration:

Opret konfigurationsfilen på klienten:

💻 Terminal/Bash Kommandoer:
# Opret konfigurationsmappe hvis den ikke findes
$ sudo mkdir -p /etc/wireguard

# Opret og rediger klient konfigurationsfil
$ sudo nano /etc/wireguard/wg0.conf

Indsæt følgende indhold i filen:

📄 Konfigurationsfil:
[Interface]
PrivateKey = <client_private_key>
Address = 10.0.0.2/24
DNS = 1.1.1.1

[Peer]
PublicKey = <server_public_key>
Endpoint = <server_ip>:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Vigtigt at erstatte:

  • <server_private_key> – Indsæt indholdet fra /etc/wireguard/private.key på serveren
  • <client_private_key> – Indsæt indholdet fra private.key på klienten
  • <server_public_key> – Indsæt indholdet fra /etc/wireguard/public.key på serveren
  • <client_public_key> – Indsæt indholdet fra public.key på klienten
  • <server_ip> – Indsæt serverens offentlige IP-adresse

🌐 FASE 3: IP Forwarding (2 minutter)

Aktivering af IP forwarding på serveren for at muliggøre VPN gateway-funktionalitet.

Aktivér IP forwarding på serveren:

Selvom serveren er bag en ekstern firewall, skal IP forwarding aktiveres for at serveren kan fungere som VPN gateway:

💻 Terminal/Bash Kommandoer:
# Aktivér IP forwarding permanent
$ echo ‘net.ipv4.ip_forward = 1’ | sudo tee -a /etc/sysctl.conf
$ sudo sysctl -p

# Verificér at det er aktiveret
$ sysctl net.ipv4.ip_forward

Ekstern Firewall: Da serveren er bag en ekstern firewall, skal du sikre dig at port 51820/UDP er åben i din firewall-konfiguration. Ingen lokal UFW/iptables konfiguration er nødvendig.

Vigtigt: IP forwarding er nødvendigt fordi WireGuard klienterne sender al deres internet-trafik gennem serveren (AllowedIPs = 0.0.0.0/0). Uden IP forwarding kan serveren ikke videresende pakker mellem WireGuard interface og internet.

🧪 FASE 4: Test og Validering (30 minutter)

Test af VPN-forbindelse og verificering af funktionalitet og sikkerhed.

Funktionstest:

1. Start WireGuard på server:

💻 Terminal/Bash Kommandoer:
sudo wg-quick up wg0

2. Import konfiguration på klient via Network Manager

3. Test forbindelse:

💻 Terminal/Bash Kommandoer:
ping 10.0.0.1

4. Verificer ekstern IP:

💻 Terminal/Bash Kommandoer:
curl ifconfig.me

5. Test automatisk genoprettelse

6. Masseudrulning til 40 Klienter

For at forenkle udrulningen til 40 identiske klienter kan du bruge følgende automatiserede script på serveren til at generere alle nødvendige konfigurationsfiler.

Server-side Script til Generering af Klient-konfigurationer

Opret dette script på serveren for at automatisk generere alle klientkonfigurationer:

💻 Terminal/Bash Kommandoer:
# Opret script til massegenerering
$ sudo nano /usr/local/bin/generate-wireguard-clients.sh

Indsæt følgende script i filen:

📄 Bash Script:
#!/bin/bash

# WireGuard Masseklient Generator
# Genererer konfigurationer til 40 klienter

SERVER_PUBLIC_KEY=$(cat /etc/wireguard/public.key)
SERVER_IP=”DIN_SERVER_IP” # Erstat med din servers offentlige IP
CLIENT_DIR=”/etc/wireguard/clients”
SERVER_CONFIG=”/etc/wireguard/wg0.conf”

# Opret klient-directory
mkdir -p $CLIENT_DIR

# Backup eksisterende server konfiguration
cp $SERVER_CONFIG ${SERVER_CONFIG}.backup

# Start server konfiguration
cat > $SERVER_CONFIG << EOF
[Interface]
PrivateKey = $(cat /etc/wireguard/private.key)
Address = 10.0.0.1/24
ListenPort = 51820
EOF

# Generer konfigurationer for klient 1-40
for i in {1..40}; do
CLIENT_IP=”10.0.0.$((i+1))”
CLIENT_NAME=”client-$(printf “%02d” $i)”
echo “Genererer konfiguration for $CLIENT_NAME…”
# Generer private/public key par for klient
CLIENT_PRIVATE_KEY=$(wg genkey)
CLIENT_PUBLIC_KEY=$(echo $CLIENT_PRIVATE_KEY | wg pubkey)
# Opret klient konfigurationsfil
cat > $CLIENT_DIR/$CLIENT_NAME.conf << EOF
[Interface]
PrivateKey = $CLIENT_PRIVATE_KEY
Address = $CLIENT_IP/24
DNS = 1.1.1.1
[Peer]
PublicKey = $SERVER_PUBLIC_KEY
Endpoint = $SERVER_IP:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25
EOF
# Tilføj klient til server konfiguration
cat >> $SERVER_CONFIG << EOF
[Peer] # $CLIENT_NAME
PublicKey = $CLIENT_PUBLIC_KEY
AllowedIPs = $CLIENT_IP/32
EOF
# Sæt korrekte rettigheder
chmod 600 $CLIENT_DIR/$CLIENT_NAME.conf
echo “✓ $CLIENT_NAME konfiguration oprettet: $CLIENT_IP”
done

# Sæt rettigheder på server konfiguration
chmod 600 $SERVER_CONFIG
chown root:root $SERVER_CONFIG

echo “”
echo “🎉 Alle 40 klient-konfigurationer er genereret!”
echo “📁 Klient-filer findes i: $CLIENT_DIR/”
echo “🔧 Server konfiguration opdateret: $SERVER_CONFIG”
echo “”
echo “📋 Næste trin:”
echo “1. Rediger SERVER_IP i scriptet”
echo “2. Genstart WireGuard: systemctl restart wg-quick@wg0”
echo “3. Kopier klient-filer til klienter med SCP”

Kør Scriptet

💻 Terminal/Bash Kommandoer:
# Gør scriptet kørbart
$ sudo chmod +x /usr/local/bin/generate-wireguard-clients.sh

# Rediger SERVER_IP i scriptet først!
$ sudo nano /usr/local/bin/generate-wireguard-clients.sh

# Kør scriptet
$ sudo /usr/local/bin/generate-wireguard-clients.sh

Distribution til Klienter med SCP

Efter scriptet har kørt, kan du distribuere konfigurationsfilerne til alle klienter:

💻 Terminal/Bash Kommandoer:
# Eksempel: Kopier til klient 01
$ scp /etc/wireguard/clients/client-01.conf bruger@klient-ip:/tmp/

# Eller brug loop til alle klienter (hvis de har sekvensive IP’er)
$ for i in {1..40}; do
scp /etc/wireguard/clients/client-$(printf “%02d” $i).conf \
bruger@192.168.1.$((100+i)):/tmp/
done

Installation på Klienter

På hver klient skal du køre følgende kommandoer:

💻 Klient Installation:
# Installer WireGuard (hvis ikke allerede gjort)
$ sudo apt update && sudo apt install wireguard resolvconf

# Opret WireGuard directory
$ sudo mkdir -p /etc/wireguard

# Flyt og sæt rettigheder på konfigurationsfil
$ sudo mv /tmp/client-XX.conf /etc/wireguard/wg0.conf
$ sudo chmod 600 /etc/wireguard/wg0.conf
$ sudo chown root:root /etc/wireguard/wg0.conf

# Start og aktivér WireGuard
$ sudo systemctl enable wg-quick@wg0
$ sudo systemctl start wg-quick@wg0
Resultat: Med dette script genereres automatisk 40 unikke klient-konfigurationer med IP-adresser 10.0.0.2 til 10.0.0.41, og server-konfigurationen opdateres automatisk med alle klient public keys.

Verifikation

Test forbindelsen fra serveren:

💻 Terminal/Bash Kommandoer:
# Se aktive forbindelser
$ sudo wg show

# Ping alle klienter
$ for i in {2..41}; do ping -c 1 10.0.0.$i; done

7. Automatisk Genoprettelse

En af WireGuards største fordele er dens evne til automatisk at genoprette VPN-forbindelsen uden brugerindgriben. Dette er især vigtigt for stabile og pålidelige VPN-forbindelser.

Hvordan WireGuard Genopretter Forbindelsen

Stateless Design:

  • Ingen permanent forbindelse: WireGuard opretholder ikke en aktiv TCP-forbindelse som traditionelle VPN’er
  • UDP-baseret: Sender kun pakker når der er data at transmittere
  • Automatic wake-up: Hvis forbindelsen mistes, genoprettes den automatisk når der sendes trafik
  • Seamless roaming: Håndterer skift mellem forskellige netværk (WiFi ↔ mobildata) automatisk

Praktiske Eksempler

Automatisk genoprettelse sker ved:

  • Netværksskift: Skift fra WiFi til mobildata på laptop/telefon
  • Forbindelsestab: Midlertidig internetafbrydelse genoprettes automatisk
  • Suspend/Resume: Computer der går i dvale og vågner igen
  • IP-ændringer: ISP tildeler ny IP-adresse til din forbindelse
  • Server restart: Hvis WireGuard-serveren genstartes

Systemd Integration for Ubuntu

For at sikre automatisk start og genoprettelse på Ubuntu kan du aktivere systemd-service:

💻 Terminal/Bash Kommandoer:
# Aktivér automatisk start ved boot
$ sudo systemctl enable wg-quick@wg0

# Start WireGuard service nu
$ sudo systemctl start wg-quick@wg0

# Kontroller status
$ sudo systemctl status wg-quick@wg0
Resultat: Med disse indstillinger vil WireGuard automatisk genoprette forbindelsen efter netværksafbrydelser, systemgenstart eller andre forstyrrelser uden brugerindgriben.

8. Konklusion

WireGuard er den klare vinder

  • Overlegen sikkerhed med moderne kryptografi
  • Bedre performance med 57% hastighedsforbedring
  • Automatisk genoprettelse og netværksresiliens
  • Native Ubuntu support uden kompleks konfiguration
  • Fremtidssikret teknologi med aktiv udvikling
2-3 timer
Implementeringstid totalt

< 30 min
Downtime

Migration til WireGuard vil give dig en moderne, sikker og hurtig VPN-løsning, der vil holde i mange år frem.