The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

06.10.2018 14:22  Для включения в состав ядра Linux предложен VPN WireGuard

Для включения в состав ветки net-next, на основе которой формируется начинка сетевой подсистемы для будущего выпуска ядра Linux, предложен седьмой вариант набора патчей с реализацией VPN-интерфейса от проекта WireGuard. Проект предлагает минималистичную реализацию VPN на основе современных методов шифрования, очень быструю, простую в использовании и лишённую усложнений. WireGuard развивается с 2015 года, прошёл аудит и формальную верификацию применяемых методов шифрования. VPN уже хорошо зарекомендовал себя в ряде крупных внедрений, обрабатывающих большие объёмы трафика. Поддержка WireGuard уже интегрирована в NetworkManager и systemd, VPN входит в базовый состав дистрибутивов Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS и Subgraph.

В WireGuard применяется концепция маршрутизации по ключам шифрования, которая подразумевает привязку к каждому сетевому интерфейсу закрытого ключа и применение для связывания открытых ключей. Обмен открытыми ключами для установки соединения производится по аналогии с SSH. Для согласования ключей и соединения без запуска отдельного демона в пространстве пользователя применяется механизм Noise_IK из Noise Protocol Framework, похожий на поддержание authorized_keys в SSH. Передача данных осуществляется через инкапсуляцию в пакеты UDP. Поддерживается смена IP-адреса VPN-сервера (руминг) без разрыва соединения и автоматической перенастройкой клиента.

Для шифрования используется потоковый шифр ChaCha20 и алгоритм аутентификации сообщений (MAC) Poly1305, разработанные Дэниелом Бернштейном (Daniel J. Bernstein), Таней Ланге (Tanja Lange) и Питером Швабе (Peter Schwabe). ChaCha20 и Poly1305 позиционируются как более быстрые и безопасные аналоги AES-256-CTR и HMAC, программная реализация которых позволяет добиться фиксированного времени выполнения без задействования специальной аппаратной поддержки. Для генерации совместного секретного ключа применяется протокол Диффи-Хеллмана на эллиптических кривых в реализации Curve25519, также предложенной Дэниелом Бернштейном. Для хэширования используются алгоритм BLAKE2s (RFC7693).

Кроме применения быстрых алгоритмов для повышения производительности было решено отказаться от использования предоставляемого ядром crypto API, который достаточно медленный из-за дополнительной буферизации. Собственные реализации примитивов ChaCha20, Poly1305, Blake2s и Curve25519 вынесены в отдельную библиотеку Zinc, которая может дополнить текущий crypto API и предоставить основу для будущей переработки.

При тестировании производительности WireGuard продемонстрировал в 3.9 раза более высокую пропускную способность и в 3.8 раз более высокую отзывчивость, по сравнению с OpenVPN (256-bit AES c HMAC-SHA2-256). По сравнению с IPsec (256-bit ChaCha20+Poly1305 и AES-256-GCM-128) в WireGuard наблюдается небольшое опережение по производительности (13-18%) и снижению задержек (21-23%).



  1. Главная ссылка к новости (https://lkml.org/lkml/2018/10/...)
  2. OpenNews: Разработчики VPN WireGuard представили новую криптографическую библиотеку Zinc
  3. OpenNews: Релиз OpenWrt 18.06
  4. OpenNews: В systemd 237 запланирована поддержка VPN WireGuard
  5. OpenNews: Релиз сетевого конфигуратора NetworkManager 1.14
  6. OpenNews: В рамках проекта WireGuard подготовлена новая реализация VPN для Linux
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: wireguard, vpn, tunnel
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, A.Stahl (ok), 14:37, 06/10/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –29 +/
    Что-то эта штука не выглядит как то, что должно быть в ядре. Они бы ещё туда аудиоплеер запихнули и парсер TeX.
     
     
  • 2.3, AnonPlus (?), 14:42, 06/10/2018 [^] [ответить]    [к модератору]
  • +12 +/
    Оно как раз и обгоняет OpenVPN за счёт того, что выполнено в виде модуля ядра. Теперь проект достиг зрелости (Линус, помню, восхищался тем, как минималистично и красиво написан код).
     
     
  • 3.5, A.Stahl (ok), 14:52, 06/10/2018 [^] [ответить]    [к модератору]
  • –8 +/
    Если аудиоплеер впихнуть в ядро, то он тоже будет обгонять юзерспейсные плееры. Но это не повод для впихивания.

     
     
  • 4.9, AnonPlus (?), 15:19, 06/10/2018 [^] [ответить]     [к модератору]
  • +/
    Аудиоплееры не страдают от тормознутости и не нагружают заметно процессор А в... весь текст скрыт [показать]
     
     
  • 5.21, Crazy Alex (ok), 16:49, 06/10/2018 [^] [ответить]    [к модератору]  
  • –8 +/
    А что он забыл на роутерах?
     
     
  • 6.26, НяшМяш (ok), 17:30, 06/10/2018 [^] [ответить]    [к модератору]  
  • +7 +/
    Вломился вот и спрашивает "что там про меня Crazy Alex думает?"
     
  • 6.30, Fyjybv755 (?), 17:44, 06/10/2018 [^] [ответить]    [к модератору]  
  • +21 +/
    > А что он забыл на роутерах?

    Действительно, VPN на роутере. Что может быть глупее? Разве что фаервол на роутере.

     
     
  • 7.96, abi (?), 09:27, 08/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    OpenVPN на роутере - это 10 mbps, потому что армовая дрянь, которая там стоит, не может в математику.
     
     
  • 8.132, имя (?), 00:05, 10/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Не ARM, а MIPS. OpenVPN такая дрянь, что даже на мощных x86 гигабит не тянет.
     
  • 8.139, Аноним (-), 11:40, 12/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Современные ARM таки и с openvpn могут довольно много Однако в целом openvpn да... весь текст скрыт [показать]
     
  • 6.59, AnonPlus (?), 23:42, 06/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Подключать роутер в качестве клиента. Либо поднять на роутере сервер и подключаться к своему домашнему интернету из публичных мест.

    Это весьма распространённый сценарий.

     
  • 6.64, Аноним (64), 04:38, 07/10/2018 [^] [ответить]    [к модератору]  
  • +/
    А на самом деле, зачем?
    Обычно впн идет как приложение для виндового трея.
     
     
  • 7.130, Shwarma (?), 14:34, 09/10/2018 [^] [ответить]    [к модератору]  
  • +/
    >Обычно впн идет как приложение для виндового трея.

    Куда идёт?

     
  • 6.66, KonstantinB (ok), 05:20, 07/10/2018 [^] [ответить]    [к модератору]  
  • +/
    А куда еще засунуть vpn, чтобы на всех домашних устройствах не испытывать последствий от действий роскомнадзора?
     
  • 6.140, Аноним (-), 11:42, 12/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Роутер как бы самое логичное место для того чтобы на нем vpn запустить Он всегд... весь текст скрыт [показать]
     
  • 4.32, Fyjybv755 (?), 17:48, 06/10/2018 [^] [ответить]    [к модератору]  
  • +7 +/
    > Если аудиоплеер впихнуть в ядро, то он тоже будет обгонять юзерспейсные плееры. Но это не повод для впихивания.

    Ту часть плеера, которая критична по скорости, уже давно впихнули. Слышали про такую штуку — ALSA?

     
  • 4.69, shatsky (?), 11:01, 07/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Будешь рассуждать про отсутствие поводов для впихивания, когда тебе придется объ... весь текст скрыт [показать]
     
  • 4.120, Аноним (120), 19:12, 08/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Вы передаёте в аудиоплеер гигасы данных в секунду? Зачем?
     
  • 4.157, marios (ok), 00:22, 14/10/2018 [^] [ответить]    [к модератору]  
  • +/
    А то, что в ядре есть модули для CIFS и NFS — достаточно прикладных штук, не смущает?
    Никто же не заставляет компилирировать или подключать данный модуль.
     
  • 3.20, Andrey Mitrofanov (?), 16:39, 06/10/2018 [^] [ответить]    [к модератору]  
  • –6 +/
    >(Линус, помню, восхищался тем,
    > как минималистично и красиво написан код).

    Пральна, т-щ Линус!, нужно втащить в ядро бОООльше минималистичного, а то оно кокраснело, разбухло и облотварилось!

     
  • 3.88, gpyra (ok), 18:19, 07/10/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > Линус, помню, восхищался тем, как минималистично и красиво написан код

    Ну не прям чтобы восхищался, он просто заметил что оно не такое дерьмо, как OpenVPn и подобные

     
  • 3.97, DmA (??), 09:28, 08/10/2018 [^] [ответить]    [к модератору]  
  • +/
    >Линус, помню, восхищался тем, как минималистично и красиво написан код

    Таня же писала код :)

     
     
  • 4.98, DmA (??), 09:40, 08/10/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Ну и Таня Ланге - профессор в нидердланском университете, на страничке опубликов... весь текст скрыт [показать]
     
     
  • 5.100, Аноним (-), 10:47, 08/10/2018 [^] [ответить]    [к модератору]  
  • +/
    > в России есть хоть один профессор

    Нет. Опровергните, тогда изменю мнение, основанное на обучении в бауманке.

     
     
  • 6.109, DmA (??), 12:50, 08/10/2018 [^] [ответить]    [к модератору]  
  • +/
    да я тоже думаю, что нет таких.
     
  • 2.35, Майор (??), 18:36, 06/10/2018 [^] [ответить]    [к модератору]  
  • +9 +/
    Полностью согласен с Вами, гражданин. Незачем вот это повсеместное шифрование, оно только все осложняет! Если вам нечего скрывать, то и шифроваться не надо.
     
     
  • 3.124, DmA (??), 09:11, 09/10/2018 [^] [ответить]    [к модератору]  
  • +/
    А чего вы тогда свою переписку не выкладываете в Интернет, чтобы все могли её читать?
     
     
  • 4.135, товарищ майор (?), 09:54, 10/10/2018 [^] [ответить]     [к модератору]  
  • +/
    чтобы враги государственного строя и вражеские шпионы не могли ее прочитать, раз... весь текст скрыт [показать]
     
  • 2.62, Аноним (62), 01:39, 07/10/2018 [^] [ответить]    [к модератору]  
  • +/
    > Что-то эта штука не выглядит как то, что должно быть в ядре.
    > Они бы ещё туда аудиоплеер запихнули и парсер TeX.

    Ядро станет еще более монолитным.

     
  • 2.65, KonstantinB (ok), 05:18, 07/10/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Вот уж чего надо выкинуть из ядра, так это долбаный ipsec с его нагромождениями слоев на пустом месте.
    А wireguard прекрасен.
     
     
  • 3.99, нах (?), 10:42, 08/10/2018 [^] [ответить]     [к модератору]  
  • +/
    да-да, ведь никуда кроме распоследней версии линукса гордому админу локалхоста п... весь текст скрыт [показать]
     
     
  • 4.121, KonstantinB (??), 19:51, 08/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Задачи внезапно разные Мне, скажем, на перечисленные задачи по барабану, нереле... весь текст скрыт [показать]
     
     
  • 5.126, нах (?), 12:34, 09/10/2018 [^] [ответить]     [к модератору]  
  • +/
    внезапно, да Поэтому я может и буду где-то в очень узкоспециальных строго линy... весь текст скрыт [показать]
     
  • 4.125, Аноним (125), 10:53, 09/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Только вот беда, реально в ойписеке ничего кроме psk с предопределенными пирами толком не работает.
    И работать не может ибо спецификации протокола неполны и бестолковы.
     
     
  • 5.127, нах (?), 12:39, 09/10/2018 [^] [ответить]     [к модератору]  
  • +/
    мой корпоративный vpn с xauth с сертификатом и отдельно mschap2 поверх, доступны... весь текст скрыт [показать]
     
     ....нить скрыта, показать (34)

  • 1.2, Аноним (2), 14:37, 06/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Почему с tinc'ом нет сравнений? Хотя, полагаю он будет где-то около openvpn, т.к. юзерспейсный. Но всё же ...
     
     
  • 2.60, tensor (?), 00:36, 07/10/2018 [^] [ответить]    [к модератору]  
  • +/
    По производительности - да, Вы правы, не очень из-за юзер-пейса. По простоте настройки - wg даже проще, как мне кажется.
     
  • 1.4, mikevmk (??), 14:50, 06/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Производительность это хорошо, но не главное. Главное - это аудит самих алгоритмов шифрования/авторизации на предмет хорошо замаскированных закладок. А его, боюсь, никто не осилит
     
     
  • 2.19, evkogan (?), 16:35, 06/10/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Судя по новости сделали.
    Хотя надо бы посмотреть отчет и кто делал.
     
  • 2.54, КО (?), 22:00, 06/10/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Да бог с ними - с алгоритмами Вполне достаточно будет взбрыка на какой-нибудь о... весь текст скрыт [показать]
     
  • 2.67, KonstantinB (ok), 05:24, 07/10/2018 [^] [ответить]    [к модератору]  
  • +/
    https://www.wireguard.com/formal-verification/
     
     
  • 3.83, Andrey Mitrofanov (?), 16:55, 07/10/2018 [^] [ответить]     [к модератору]  
  • +/
    I has undergone all sorts of formal verification, covering aspects of ... весь текст скрыт [показать]
     
     
  • 4.87, KonstantinB (??), 18:15, 07/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    От этого никто не застрахован, конечно.
    Но что будет на порядки меньше, чем в ipsec, это очевидно хотя бы из объема и качества кода. :)
     
  • 1.11, Аноним (11), 15:47, 06/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    > Передача данных осуществляется через инкапсуляцию в пакеты UDP.

    А если UDP заблокирован?

     
     
  • 2.12, Аноним (12), 15:52, 06/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Это поможет, привет из Китая https github com wangyu- udp2raw-tunnel https g... весь текст скрыт [показать]
     
  • 2.14, Аноним (14), 16:24, 06/10/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    "а если интернет вообще отключили?"

    примерно так же.

     
  • 2.28, Fyjybv755 (?), 17:40, 06/10/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    > А если UDP заблокирован?

    В смысле, добрые админы выпускают наружу только через HTTP-прокси? Тогда живите с OpenVPN, он умеет под HTTPS косить. Но мееееедленный, как и положено юзерспейсу.

     
     
  • 3.136, недобрый админ (?), 09:59, 10/10/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    this http method does not allowed Будешь ты тут мне трудовую дисциплину наруш... весь текст скрыт [показать]
     
     
  • 4.145, Аноним (145), 11:54, 12/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Для таких умников есть тунели которые в HTTP запросах TCP пропихивают, чо А ... весь текст скрыт [показать]
     
  • 1.13, Аноним (13), 15:54, 06/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    а где будет этот впн если оба или один из пиров за натом?
     
     
  • 2.16, Аноним (16), 16:31, 06/10/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Если только один пир за натом то никаких проблем не будет если на нем включить опцию persistent-keepalive.
     
  • 2.34, Shevchuk (ok), 18:23, 06/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Для таких случаев есть ZeroTier: https://www.reddit.com/r/linux/comments/7c0zkw/zerotier_open_source_crossplatf
     
  • 2.39, Анонимная триада (?), 18:51, 06/10/2018 [^] [ответить]    [к модератору]  
  • +/
    https://peervpn.net
     
     
  • 3.146, Аноним (146), 13:34, 12/10/2018 [^] [ответить]     [к модератору]  
  • +/
    На фоне WireGuard он, мягко говоря, так себе 1 Примерно 300 кило кода, на все ... весь текст скрыт [показать]
     
  • 2.40, Анонимная триада (?), 18:54, 06/10/2018 [^] [ответить]    [к модератору]  
  • +/
    https://www.freelan.org
     
     
  • 3.147, Аноним (146), 13:38, 12/10/2018 [^] [ответить]     [к модератору]  
  • +/
    А это вообще кошмар какой-то, плюсатый, с бустом, скунсом, и дюжиной огромных ли... весь текст скрыт [показать]
     
  • 1.23, Аноним_ка (?), 16:58, 06/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Было бы отлично, но ситуацию усугубляет то, что на впсках один хрен дистры предлагаются с ядром куда древнее.
     
     
  • 2.24, merifri (ok), 17:20, 06/10/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Ну, если уж так сильно хочется - выбираем kvm/xen виртуализацию и собираем ядрышко ручками. Если хотим впсочку за 50 рублей... ну, упс.
     
     
  • 3.33, Аноним_ка (?), 17:52, 06/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Хм... А хотя про репы я и не подумал, а в репах наверняка будет все...
     
  • 3.148, Аноним (146), 13:40, 12/10/2018 [^] [ответить]     [к модератору]  
  • +/
    А в чем проблема найти full virt за сравнимые деньги, в пределах 1-2 Их есть ... весь текст скрыт [показать]
     
  • 2.27, Fyjybv755 (?), 17:37, 06/10/2018 [^] [ответить]     [к модератору]  
  • +/
    VPS на базе OpenVZ Да там пофиг, какое ядро, все равно без высочайшего позволен... весь текст скрыт [показать]
     
  • 2.36, Аноним (-), 18:39, 06/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Это проблема тех ВПСок, которыми ты пользуешься, не?
     
  • 2.46, Я русского поймал (?), 20:18, 06/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    На нормальных ВПСках тебе дают возможность творить с системой что хочешь, нужно ядро свежее поставишь, а вообще сейчас прекрасно dkms'ом модуль WireGuard собирается и работает.
     
     
  • 3.48, Аноним (48), 20:26, 06/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Подтверждаю, нормальный VPSки FTW!
     
     
  • 4.149, Аноним (-), 13:46, 12/10/2018 [^] [ответить]     [к модератору]  
  • +/
    И главное они уже давно стоят вполне вменяемых денег Многие хостеры с кривым ov... весь текст скрыт [показать]
     
  • 1.37, sec (?), 18:41, 06/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    Производительность у WireGuard отличная, особенно в сравнении с OpenVPN, который как ни тюнингуй, все равно как будто упирается в потолок производительности одного ядра процессора.
    Хотелось бы все же и поддержку AES, чтобы получить выгоду ещё и от аппаратного ускорения шифрования.
     
     
  • 2.53, Гентушник (ok), 21:18, 06/10/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Да, я тоже уже хотел свой роутер выкидывать и брать новый, ибо OpenVPN плохо тянет.
    Перешёл на WireGuard - проц почти не грузит, скорость хорошая.
    Видимо роутер я пока менять не буду. :)
     
     
  • 3.129, Злой Админ (?), 13:14, 09/10/2018 [^] [ответить]    [к модератору]  
  • +/
    "скорость хорошая" это сколько, если не секрет? И на каком железе?
     
  • 3.150, Аноним (-), 13:47, 12/10/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Там и подборка алгоритмов нормальная и в ядре к тому же Понятное дело что openv... весь текст скрыт [показать]
     
  • 2.103, PnDx (ok), 11:48, 08/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Внезапно, WireGuard — тоже однопоточный. Не так давно обходил сей прескорбный факт сборкой tap+bond.
     
  • 1.41, Анонимная триада (?), 19:05, 06/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Когда завезут в микротик, джунипер, аарис и циску?
     
     
  • 2.57, mumu (ok), 22:32, 06/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Когда они асилят нормальные ОСи, а не самописные костыли.
    В общем исходники-то открыты, всё дело за индусокодерами стало.
     
  • 2.61, Pofigist (?), 01:01, 07/10/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    А нафига он в кошках-то? Там своя реализация VPN отличная.
     
     
  • 3.73, Аноним (73), 12:21, 07/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Ох, как сказать отличная Насколько понимаю в этом wireguard накосячить можно ма... весь текст скрыт [показать]
     
     
  • 4.84, Pofigist (?), 17:14, 07/10/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    В таких случаях просто даем ему готовый конфиг А вообще если настройкой любого ... весь текст скрыт [показать]
     
     
  • 5.95, Аноним (73), 00:48, 08/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Естественно ты всё говоришь как надо Вот только жизнь иногда умеет шутить И пр... весь текст скрыт [показать]
     
  • 4.101, нах (?), 10:51, 08/10/2018 [^] [ответить]     [к модератору]  
  • +/
    с цисками в минимальном варианте - около 15 строчек конфига около пяти если все... весь текст скрыт [показать]
     
     
  • 5.123, Аноним (123), 08:54, 09/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Угу, или федорка, где в 100500 версии лёниного пoдeлия опять и снова все передел... весь текст скрыт [показать]
     
  • 4.151, Аноним (-), 13:49, 12/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Циска тебе априори не подконтрольна - сорцов у тебя нет, так что предлагается ве... весь текст скрыт [показать]
     
  • 2.138, А (??), 01:38, 11/10/2018 [^] [ответить]    [к модератору]  
  • +/
    А что такой "аарис"?
     
     ....нить скрыта, показать (9)

  • 1.47, ABATAPA (ok), 20:20, 06/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Лично мне он понравился. Заводится "влёт", есть в OpenWRT / debian / Ubuntu / etc. Использую несколько месяцев, доволен.
     
  • 1.50, Ilya Indigo (ok), 20:35, 06/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Помогите разобраться в его настройке, скорее всего в правилах iptables.

    На сервере:
    [Interface]
    Address = 192.168.13.1/24
    ListenPort = 51820
    PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o enp0s10 -j MASQUERADE
    PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o enp0s10 -j MASQUERADE
    PrivateKey =

    [Peer]
    PublicKey =
    AllowedIPs = 192.168.13.1/32

    [Peer]
    PublicKey =
    AllowedIPs = 192.168.13.2/32


    На клиенте:
    [Interface]
    Address = 192.168.13.2/24
    PrivateKey =

    [Peer]
    PublicKey =
    Endpoint = ilya.pp.ua:51820
    AllowedIPs = 192.168.13.1/24
    PersistentKeepalive = 25

    Сервер имеет реальный IP - клиент нет, и с помощью этого конфига я могу подключаться с сервера к клиенту по ssh 192.168.13.2, что мне и требовалось.

    В данный момент, как мне сейчас и нужно, через vpn идут запросы только для сети 192.168.13.0/24.

    Вопрос, а как изменить конфиг так, чтобы через vpn с клиента шёл весь трафик через сервер, а не только 192.168.13.0/24 ?

     
     
  • 2.51, Аноним (51), 20:53, 06/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    -AllowedIPs = 192.168.13.1/24
    +AllowedIPs = 0.0.0.0/0
     
     
  • 3.70, Ilya Indigo (ok), 11:49, 07/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Если я так делаю. то интернет на клиенте вообще перестаёт работать и у меня не пингуется ни одна сеть кроме 192.168.13.0/24 и DNS-ников.
     
     
  • 4.77, Fyjybv755 (?), 13:14, 07/10/2018 [^] [ответить]    [к модератору]  
  • +/
    > Если я так делаю. то интернет на клиенте вообще перестаёт работать и
    > у меня не пингуется ни одна сеть кроме 192.168.13.0/24 и DNS-ников.

    Покажите iptables-save и ip ro sh на сервере.

     
     
  • 5.80, Ilya Indigo (ok), 15:59, 07/10/2018 [^] [ответить]     [к модератору]  
  • +/
    default via 192 168 0 1 dev enp0s10 proto dhcp src 192 168 0 2 metric 10 192 168... весь текст скрыт [показать]
     
     
  • 6.102, нах (?), 11:01, 08/10/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    делай раз - apt purge ufw - все равно ты им пользоваться не обучен Или что у те... весь текст скрыт [показать]
     
     
  • 7.112, Ilya Indigo (ok), 16:47, 08/10/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Благодарю Среди этого мусора я и впрямь это не разглядел У меня не Ubuntu с uf... весь текст скрыт [показать]
     
     
  • 8.114, нах (?), 17:17, 08/10/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    да я в их сортах не того как вижу проделки интуитивно-приятных, так и удаляю ... весь текст скрыт [показать]
     
     
  • 9.115, Andrey Mitrofanov (?), 17:36, 08/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > "одна windows у меня уже и так есть". Правда, все идет к
    > тому, что кругом будет "как в windows".

    "" В инторнетах объявлен год Linux "как в windows".  Новости в 11! ""

     
     
  • 10.128, нах (?), 12:45, 09/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    "" В инторнетах объявлен год Linux "как в windows"
    ГООООД? Are you serious about that? Лет десяток уже, не меньше, линyпс бодро шлепает ластами в этом единственном направлении.
     
     
  • 11.134, Andrey Mitrofanov (?), 08:50, 10/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Вот именно Теперь пора смеяться над теми, кто Вот сам пару раз попользовал... весь текст скрыт [показать]
     
  • 9.116, Ilya Indigo (ok), 17:57, 08/10/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Проконсультируйте меня по iptables, пожалуйста Нужна ли вообще эта строчка в ко... весь текст скрыт [показать]
     
     
  • 10.122, пох (?), 19:59, 08/10/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    нет, потому что это неправильная строчка Правильная выглядит как-то так -A FOR... весь текст скрыт [показать]
     
  • 8.152, Аноним (-), 13:55, 12/10/2018 [^] [ответить]     [к модератору]  
  • +/
    И что характерно - оба этих дружественных креатива годны только под деинсталл ... весь текст скрыт [показать]
     
     
  • 9.154, Andrey Mitrofanov (?), 14:19, 12/10/2018 [^] [ответить]    [к модератору]  
  • +/
    >> У меня не Ubuntu с ufw.
    >> У меня openSUSE с firewalld.
    > И что характерно - оба этих "дружественных" креатива годны только под деинсталл.

    И тут мы понимаем, какой дизигн-фичур был _решающим_ в "успехе" system-d[I]![/I] :-D

    > Лучше все же RTFMнуть про нормальный айпитаблес. Хотя, конечно, парни в

    А потом RTFM-нуть в норм.генерато правиля для.
      А перед этим таковой найти...   //я firehol взял, но давно это было

    > индии строят дома как-то так: берут несколько фанерок, сверху кусок шифера
    > - обана, дом готов. Вот firewalld и ufw - очень в
    > духе такого софтостроя.

    Ну, если Вы так говорите...

     
  • 2.55, Аноним (55), 22:20, 06/10/2018 [^] [ответить]    [к модератору]  
  • +/
    То-есть на клиенте разрешен только маскарад без выхода в сеть?
     
     
  • 3.71, Ilya Indigo (ok), 11:53, 07/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Если сделать то, что указано выше, разрешить клиенту полностью ходить через vpn, то интернета всё равно нет не нём.
    Как и нет вменяемой инструкции по настройке на офф сайте, к сожалению.
     
     
  • 4.79, Аноним (79), 14:54, 07/10/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    https technofaq org posts 2017 10 how-to-setup-wireguard-vpn-on-your-debian-gn... весь текст скрыт [показать]
     
     
  • 5.85, Ilya Indigo (ok), 17:27, 07/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Благодарю за ссылки Первая похожая на арчевиковскую, по которой я настраивал, h... весь текст скрыт [показать]
     
  • 3.75, Ilya Indigo (ok), 12:34, 07/10/2018 [^] [ответить]    [к модератору]  
  • +/
    > То-есть на клиенте разрешен только маскарад без выхода в сеть?

    Клиент подключен к интернету, только не имеет выделенного реального IP.

     
  • 2.72, KonstantinB (ok), 11:54, 07/10/2018 [^] [ответить]    [к модератору]  
  • +/
    sysctl net.ipv4.ip_forward=1
     
     
  • 3.74, Ilya Indigo (ok), 12:23, 07/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Это у меня прописано и на сервере и на клиенте.
     
     
  • 4.81, KonstantinB (ok), 16:17, 07/10/2018 [^] [ответить]    [к модератору]  
  • +/
    На клиенте не надо.
    Вроде выглядит правильно (за исключением уже упомянутого 0/0 на клиенте).
    А UDP точно по дороге не режется?
     
     
  • 5.82, Ilya Indigo (ok), 16:27, 07/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Если я могу зайти по ssh на 192 168 13 1 с клиента на сервер и наоборот, то пр... весь текст скрыт [показать]
     
     
  • 6.86, KonstantinB (??), 18:11, 07/10/2018 [^] [ответить]     [к модератору]  
  • +/
    А wg что выдает Туннель-то установлен Если нет, то попробуйте настроить безо в... весь текст скрыт [показать]
     
     
  • 7.89, Ilya Indigo (ok), 18:36, 07/10/2018 [^] [ответить]     [к модератору]  
  • +/
    sudo wg interface wg0 public key private key hidden listening port 5... весь текст скрыт [показать]
     
     
  • 8.90, Я русского поймал (?), 20:50, 07/10/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    В последних релизах wg-quick стал творить странное и прописывать в тэйбл 0xca6c ... весь текст скрыт [показать]
     
     
  • 9.119, Ilya Indigo (ok), 18:37, 08/10/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Благодарю Вас за желание мне помочь - Вроде разобрался, проблема была в firew... весь текст скрыт [показать]
     
  • 8.91, ABATAPA (ok), 20:55, 07/10/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    На сервере сделайте так etc wireguard wg0 conf Interface PrivateKey xxxxxx... весь текст скрыт [показать]
     
     
  • 9.113, Ilya Indigo (ok), 17:10, 08/10/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Большая благодарность Заработало - 3 -ne 3 case 3 in iptabl... весь текст скрыт [показать]
     
  • 9.117, Ilya Indigo (ok), 18:22, 08/10/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    А чем отличаются Ваши правила iptables -t nat -I POSTROUTING -s 192 168 13 0 24 ... весь текст скрыт [показать]
     
     
  • 10.118, Andrey Mitrofanov (?), 18:24, 08/10/2018 [^] [ответить]    [к модератору]  
  • +/
    > И какие лучше применять, если они оба работают?

    Лучше применять те, которые понимаешь[I]!

     
  • 6.93, Аноним (93), 22:59, 07/10/2018 [^] [ответить]     [к модератору]  
  • +/
    ssh работает поверх TCP Используй iperf или netcat ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (32)

  • 1.52, Аноним (52), 20:59, 06/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    В новости не расскрывается как этот впн позволяет обходить двойной нат и прочее, или не позволяет?
     
     
  • 2.56, Озорной Гусь (?), 22:23, 06/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Имеется ввиду одна сторона Никаких проблем нет с прохождением, обычный UDP траф... весь текст скрыт [показать]
     
  • 2.94, Аноним (93), 23:04, 07/10/2018 [^] [ответить]    [к модератору]  
  • +/
    По идее, надо STUN/TURN прикручивать.
     
     
  • 3.137, Pilat (ok), 00:13, 11/10/2018 [^] [ответить]    [к модератору]  
  • +/
    То есть сделать tinc. Уже сделали, работает.
     
     
  • 4.155, Аноним (-), 03:12, 13/10/2018 [^] [ответить]     [к модератору]  
  • +/
    А в нем крипто нормальное сделали все-таки в итоге Ну то-есть 25519 и прочие Ch... весь текст скрыт [показать]
     
     
  • 5.156, Pilat (ok), 03:15, 13/10/2018 [^] [ответить]    [к модератору]  
  • +/
    >> То есть сделать tinc. Уже сделали, работает.
    > А в нем крипто нормальное сделали все-таки в итоге? Ну то-есть 25519
    > и прочие ChaCha? А то уповать на AES не очень хочется,
    > он довольно тормозной если криптоакселератора нет, а что там криптоакселератор внутрях
    > делает хрен бы его знает. RSA так и вообще слоупок.

      You can further change the configuration as needed either by manually editing the configuration files, or by using tinc(8).
         The tinc init command will have generated both RSA and Ed25519 public/private keypairs.  The private keys should be stored
         in files named rsa_key.priv and ed25519_key.priv in the directory /etc/tinc/NETNAME/ The public keys should be stored in
         the host configuration file /etc/tinc/NETNAME/hosts/NAME.  The RSA keys are used for backwards compatibility with tinc ver‐
         sion 1.0.  If you are upgrading from version 1.0 to 1.1, you can keep the old configuration files, but you will need to
         create Ed25519 keys using the following command:

               tinc -n NETNAME generate-ed25519-keys

     
     
  • 6.160, Аноним (160), 02:38, 14/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Мне не надо BOTH Весь пойнт DJBшной крипты - в том что критичный криптокод небо... весь текст скрыт [показать]
     
  • 1.58, Аноним (58), 23:25, 06/10/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Штука нужная хорошая Но какие же гавнистые и агресивные там разработчики это пр... весь текст скрыт [показать]
     
     
  • 2.159, Аноним (160), 02:29, 14/10/2018 [^] [ответить]     [к модератору]  
  • +/
    А нельзя ли пруфца на это дело В чем их агрессия проявляется Глядя на реализац... весь текст скрыт [показать]
     
  • 1.107, Ващенаглухо (ok), 12:36, 08/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Новость, конечно отличная, но когда же будет клиент для винды?
     
     
  • 2.131, KonstantinB (ok), 17:09, 09/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Когда кто-нибудь его напишет. Сам Джейсон точно этого делать не будет, я догадываюсь, на чем он вертел эту вашу винду.
     
  • 2.153, Аноним (153), 14:01, 12/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Не понимаю смысла в нормальном впн под систему с встроенным кейлоггером А для т... весь текст скрыт [показать]
     
  • 1.110, Аноним (110), 13:03, 08/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    >формальную верификацию

    Значение знают? А также какой это ППЦ даже для hello world?

     
     
  • 2.111, Andrey Mitrofanov (?), 13:52, 08/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Значение значительное, значит ся Вон чуть выше, http www opennet ru openf... весь текст скрыт [показать]
     
  • 1.133, Pilat (ok), 00:08, 10/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Большой недостаток WireGuard - для сети узлов A,B,C он не свяжет узлы A и C, если нет прямого соединения между A и C, но есть соединение AB и BC.

    А вот tinc сможет это сделать.

     
     
  • 2.158, marios (ok), 00:24, 14/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну это уже вопрос поиска баланса между количеством фич и простотой.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor