VPN: PFSense entfernt Wireguard nach Diskussionen in FreeBSD
Der Wireguard-Code von PFSense in FreeBSD ist erst kritisiert und dann ersetzt worden. Das Team hatte das harsch kommentiert.

Die Hersteller der Firewall-Distribution PFSense, Netgate, haben die moderne VPN-Technik Wireguard aus der freien Community-Version sowie der kommerziellen Variante entfernt. Zuvor ist dies auch in FreeBSD geschehen. In dem kurzen Blog-Eintrag dazu heißt es: "In Anbetracht der Tatsache, dass Wireguard aus dem FreeBSD-Kernel entfernt wurde, und auch aus Vorsicht, entfernen wir Wireguard aus der PFSense-Software, bis eine gründliche Überprüfung und ein Audit durchgeführt wurde".
Vor wenigen Tagen hatte Wireguard-Gründer Jason Donenfeld auf der Mailingliste des Projekts die Integration von neuem Kernel-Code in FreeBSD angekündigt. Dabei ist der bisher vorhandene Wireguard-Code aber nahezu vollständig durch eine Neuimplementierung ersetzt worden. Donenfeld begründete dies mit der sehr schlechten Qualität des alten Codes, den PFSense schon in seinen Distributionen verteilt hatte.
Diskussionen um neuen Wireguard-Code
Begonnen wurden die Arbeiten an dem Wireguard-Port für FreeBSD vor etwa einem Jahr durch Matthew Macy, der dies für das Unternehmen Netgate umgesetzt hat. Die so entstandenen Arbeiten sind letztlich Ende November 2020 größtenteils in FreeBSD gelandet. Nach der harten Kritik von Donenfeld ist der für PFSense entstandene Code aber aus FreeBSD entfernt und ersetzt worden.
In einem vergleichsweise langen Blogpost hatte Netgate kurz darauf den Wireguard-Gründer und Projektleiter Donenfeld besonders hart kritisiert. Netgate wirft Donenfeld und den anderen Entwicklern dabei Respektlosigkeit vor, ohne diese jedoch namentlich zu nennen. Das Verhalten sei zudem verleumderisch und ein Angriff nicht nur auf Netgate sondern auch auf die gewachsenen Strukturen von FreeBSD.
Anders als bei der teils langwierigen Integration von Wireguard in den Linux-Kernel, die Donenfeld selbst angetrieben hat, sind die Arbeiten von Netgate für PFSense und FreeBSD aber zunächst umgesetzt worden, ohne Donenfeld direkt einzubinden. Auch nicht für Code-Reviews.
Wireguard vorerst wieder entfernt
Das FreeBSD-Team hatte bereits zur Veröffentlichung des nun neuen Wireguard-Codes darüber nachgedacht, die Technik in der kommenden Version 13.0 nicht zu aktivieren. Nach der erwähnten Diskussion vieler auch externer Entwickler rund um die Vorgänge hat das Team sein weiteres Vorgehen geplant und sich letztlich dazu entschieden, auch den neuen Wireguard-Code vollständig wieder aus den eigenen Zweigen zu entfernen. Darauf hat nun auch PFSense reagiert.
Um Wireguard dennoch mittelfristig in FreeBSD zu integrieren, hat Donenfeld ein Entwicklungsrepository dafür im Wireguard-Projekt eingerichtet. Dort soll das Modul weiterentwickelt werden und bald auch als Modul über die Ports-Zweige von FreeBSD bereitgestellt werden. Den Code selbst bezeichnet Donenfeld in der Ankündigung derzeit noch als "experimentell" und er sei dankbar, dass der Code vorerst wieder komplett aus FreeBSD entfernt worden ist.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Der Fehler bestand meiner Ansicht nach schon darin, Jason, der ja Wireguard erfunden...
Die Code-Qualität kann ich nicht beurteilen. Hast du den Code gesehen? So weit würde ich...
Den ganzen Zwist hätte sich die Leute auch ersparen können und die OpenBSD-Entwicklung...
Kommentieren