VPN: PFSense entfernt Wireguard nach Diskussionen in FreeBSD

Die Hersteller der Firewall-Distribution PFSense, Netgate, haben die moderne VPN-Technik Wireguard aus der freien Community-Version sowie der kommerziellen Variante entfernt. Zuvor ist dies auch in FreeBSD geschehen. In dem kurzen Blog-Eintrag dazu heißt es: "In Anbetracht der Tatsache, dass Wireguard aus dem FreeBSD-Kernel entfernt wurde, und auch aus Vorsicht, entfernen wir Wireguard aus der PFSense-Software, bis eine gründliche Überprüfung und ein Audit durchgeführt wurde".

Stellenmarkt

1. Kassenärztliche Vereinigung Niedersachsen, Hannover (Home-Office möglich)
2. Statistisches Bundesamt, Wiesbaden

Vor wenigen Tagen hatte Wireguard-Gründer Jason Donenfeld auf der Mailingliste des Projekts die Integration von neuem Kernel-Code in FreeBSD angekündigt. Dabei ist der bisher vorhandene Wireguard-Code aber nahezu vollständig durch eine Neuimplementierung ersetzt worden. Donenfeld begründete dies mit der sehr schlechten Qualität des alten Codes, den PFSense schon in seinen Distributionen verteilt hatte.

Diskussionen um neuen Wireguard-Code

Begonnen wurden die Arbeiten an dem Wireguard-Port für FreeBSD vor etwa einem Jahr durch Matthew Macy, der dies für das Unternehmen Netgate umgesetzt hat. Die so entstandenen Arbeiten sind letztlich Ende November 2020 größtenteils in FreeBSD gelandet. Nach der harten Kritik von Donenfeld ist der für PFSense entstandene Code aber aus FreeBSD entfernt und ersetzt worden.

In einem vergleichsweise langen Blogpost hatte Netgate kurz darauf den Wireguard-Gründer und Projektleiter Donenfeld besonders hart kritisiert. Netgate wirft Donenfeld und den anderen Entwicklern dabei Respektlosigkeit vor, ohne diese jedoch namentlich zu nennen. Das Verhalten sei zudem verleumderisch und ein Angriff nicht nur auf Netgate sondern auch auf die gewachsenen Strukturen von FreeBSD.

Golem Akademie

1. OpenShift Installation & Administration
   14.-16. Juni 2021, online
2. Ansible Fundamentals: Systemdeployment & -management
   26.-30. April 2021, online

Weitere IT-Trainings

Anders als bei der teils langwierigen Integration von Wireguard in den Linux-Kernel, die Donenfeld selbst angetrieben hat, sind die Arbeiten von Netgate für PFSense und FreeBSD aber zunächst umgesetzt worden, ohne Donenfeld direkt einzubinden. Auch nicht für Code-Reviews.

Wireguard vorerst wieder entfernt

Das FreeBSD-Team hatte bereits zur Veröffentlichung des nun neuen Wireguard-Codes darüber nachgedacht, die Technik in der kommenden Version 13.0 nicht zu aktivieren. Nach der erwähnten Diskussion vieler auch externer Entwickler rund um die Vorgänge hat das Team sein weiteres Vorgehen geplant und sich letztlich dazu entschieden, auch den neuen Wireguard-Code vollständig wieder aus den eigenen Zweigen zu entfernen. Darauf hat nun auch PFSense reagiert.

Um Wireguard dennoch mittelfristig in FreeBSD zu integrieren, hat Donenfeld ein Entwicklungsrepository dafür im Wireguard-Projekt eingerichtet. Dort soll das Modul weiterentwickelt werden und bald auch als Modul über die Ports-Zweige von FreeBSD bereitgestellt werden. Den Code selbst bezeichnet Donenfeld in der Ankündigung derzeit noch als "experimentell" und er sei dankbar, dass der Code vorerst wieder komplett aus FreeBSD entfernt worden ist.