The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

VPN WireGuard принят в ветку net-next и намечен для включения в ядро Linux 5.6

09.12.2019 18:42

Дэвид Миллер (David S. Miller), отвечающий за сетевую подсистему ядра Linux, принял в состав ветки net-next патчи с реализацией VPN-интерфейса от проекта WireGuard. В начале следующего года изменения, накапливаемые в ветке net-next, лягут в основу выпуска ядра Linux 5.6.

Попытки продвижения кода WireGuard в основной состав ядра предпринимались последние несколько лет, но оставались без результата из-за привязки к собственным реализациям криптографических функций, которые применялись для повышения производительности. Вначале данные функции были предложены для ядра в качестве дополнительного низкоуровневого API Zinc, который со временем смог бы заменить штатный Crypto API.

После переговоров на конференции Kernel Recipes, создатели WireGuard в сентябре приняли компромиссное решение перевести свои патчи на использование имеющегося в ядре Crypto API, к которому у разработчиков WireGuard имеются претензии в области производительности и общей безопасности. API Zinc было решено продолжать развивать, но как отдельный проект.

В ноябре разработчики ядра пошли на ответный компромисс и согласились перенести в основное ядро часть кода из Zinc. По сути, некоторые компоненты Zinc будут перенесены в ядро, но не как отдельный API, а как часть подсистемы Crypto API. Например, в Crypto API уже включены подготовленные в WireGuard быстрые реализации алгоритмов ChaCha20 и Poly1305.

В связи с предстоящей поставкой WireGuard в основном составе ядра, основатель проекта объявил о реструктуризации репозитория. Для упрощения разработки на смену монолитному репозиторию "WireGuard.git", который был рассчитан на обособленное существование, придут три отдельных репозитория, лучше подходящие для организации работы с кодом в основном ядре:

  • wireguard-linux.git - полное дерево ядра с изменениями от проекта Wireguard, патчи из которого будут рецензироваться для включения в ядро и регулярно переноситься в ветки net/net-next.
  • wireguard-tools.git - репозиторий для запускаемых в пространстве пользователя утилит и скриптов, таких как wg и wg-quick. Репозиторий можно использовать для создания пакетов в дистрибутивах.
  • wireguard-linux-compat.git - репозиторий с вариантом модуля, поставляемым отдельной от ядра и включающим слой compat.h для обеспечения совместимости со старыми ядрами. Основная разработка будет вестись в репозитории wireguard-linux.git, но пока есть возможность и потребность у пользователей обособленный вариант патчей также будет поддерживаться в рабочем виде.

Напомним, что VPN WireGuard реализован на основе современных методов шифрования, обеспечивает очень высокую производительность, прост в использовании, лишён усложнений и хорошо зарекомендовал себя в ряде крупных внедрений, обрабатывающих большие объёмы трафика. Проект развивается с 2015 года, прошёл аудит и формальную верификацию применяемых методов шифрования. Поддержка WireGuard уже интегрирована в NetworkManager и systemd, а патчи для ядра входят в базовый состав дистрибутивов Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS, Subgraph и ALT.

В WireGuard применяется концепция маршрутизации по ключам шифрования, которая подразумевает привязку к каждому сетевому интерфейсу закрытого ключа и применение для связывания открытых ключей. Обмен открытыми ключами для установки соединения производится по аналогии с SSH. Для согласования ключей и соединения без запуска отдельного демона в пространстве пользователя применяется механизм Noise_IK из Noise Protocol Framework, похожий на поддержание authorized_keys в SSH. Передача данных осуществляется через инкапсуляцию в пакеты UDP. Поддерживается смена IP-адреса VPN-сервера (роуминг) без разрыва соединения с автоматической перенастройкой клиента.

Для шифрования используется потоковый шифр ChaCha20 и алгоритм аутентификации сообщений (MAC) Poly1305, разработанные Дэниелом Бернштейном (Daniel J. Bernstein), Таней Ланге (Tanja Lange) и Питером Швабе (Peter Schwabe). ChaCha20 и Poly1305 позиционируются как более быстрые и безопасные аналоги AES-256-CTR и HMAC, программная реализация которых позволяет добиться фиксированного времени выполнения без задействования специальной аппаратной поддержки. Для генерации совместного секретного ключа применяется протокол Диффи-Хеллмана на эллиптических кривых в реализации Curve25519, также предложенной Дэниелом Бернштейном. Для хеширования используются алгоритм BLAKE2s (RFC7693).

При тестировании производительности WireGuard продемонстрировал в 3.9 раза более высокую пропускную способность и в 3.8 раз более высокую отзывчивость, по сравнению с OpenVPN (256-bit AES c HMAC-SHA2-256). По сравнению с IPsec (256-bit ChaCha20+Poly1305 и AES-256-GCM-128) в WireGuard наблюдается небольшое опережение по производительности (13-18%) и снижение задержек (21-23%). Тесты выполнены при использовании развиваемых проектом быстрых реализаций алгоритмов шифрования - перевод на штатный Crypto API ядра возможно приведёт к ухудшению показателей.



  1. Главная ссылка к новости (https://lists.zx2c4.com/piperm...)
  2. OpenNews: Для включения в состав ядра Linux предложен VPN WireGuard
  3. OpenNews: Разработчики VPN WireGuard представили новую криптографическую библиотеку Zinc
  4. OpenNews: В рамках проекта WireGuard подготовлена новая реализация VPN для Linux
  5. OpenNews: Cloudflare опубликовал реализацию VPN WireGuard на языке Rust
  6. OpenNews: Уязвимость, позволяющая вклиниваться в TCP-соединения, осуществляемые через VPN-туннели
Лицензия: CC-BY
Тип: Интересно / К сведению
Ключевые слова: wireguard, vpn
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (220) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Fyjy (?), 19:30, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Алилуйя! Хотя dkms и так прекрасно собирает модуль, но если будет в ядре из коробки это приятно
     
     
  • 2.150, Аноним (-), 03:03, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чей-то там сторонний модуль - это одно. А ядерный модуль - другое. Если посторонний модуль ядро уронит - никто как бы не виноват. А если встроенный в ядро - Торвальдс костьми ляжет чтобы такого не произошло.
     

  • 1.2, cat666 (ok), 19:36, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –32 +/
    Нафига? Разработчики ядра мне всё больше напоминают алкашей, которые по пьянке тащат домой всё что под руку попадётся.
     
     
  • 2.5, A.Stahl (ok), 19:41, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –7 +/
    В этом суть монолита: omnia mea mecum porto.
    Всё что мы можем сделать так это оказаться подальше когда всё это лопнет.
     
     
  • 3.32, Аноним (-), 21:11, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Монолитные ОС это про другое вообще-то. А ядро линyпc, судя по всему, будет напоминать гигантскоe лоскутное одело, сшитое из триллиард свистоперделок.
     
     
  • 4.61, Макс (??), 00:33, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Дружище, ядро можно собрать самостоятельно, без этого модуля. В чем проблема?
     
     
  • 5.86, пох. (?), 09:53, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это тебе можно - а он ждет ебилдов. Потому что умеет только на опеннет.
     
  • 5.98, Аноним (-), 12:02, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Дружище, ядро можно собрать самостоятельно, без этого модуля. В чем проблема?

    Спасибо за информацию, которая всем известна. Проблем нет никаких. Но зачем ты это написал?
    Речь вообще не об этом идёт. Речь о том, что персонаж выше использовал слово "монолит" совсем не к месту. Ядро Linux - не монолит.

     
     
  • 6.134, Аноним (134), 16:48, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Ядро Linux - не монолит.

    Вы хотите сказать, что все драйверы устройств, файловые системы и сетевой стек перенесли в юзерспейс? Вот я блин проспал революцию...

     
     
  • 7.159, Аноним (-), 03:41, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы хотите сказать, что все драйверы устройств, файловые системы и сетевой стек
    > перенесли в юзерспейс? Вот я блин проспал революцию...

    Можно даже ядро Linux в юзерспейсе запустить, как обычный ELF. UML это называется.

     
  • 6.136, Аноним (136), 17:16, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Модульность не противоречит монолитности, это отдельная категория.

    Что не-монолитное в ядре Linux? FUSE? :)

     
     
  • 7.152, Аноним (-), 03:11, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще кому сильно надо - есть и юзерспейсные сетевые стеки, и ФС в юзерспейсе, и даже работа с девайсами из юзерспейса, если очень хочется.

    Но вот посмотришь потом с какой скоростью работает exFAT через FUSE и с какой нативно в ядре - и пойдет FUSE-версия exFAT'а на полку истории. К микроядрам и прочим.

     
  • 4.151, Аноним (-), 03:08, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А ядро линyпc, судя по всему, будет напоминать гигантскоe лоскутное одело, сшитое из
    > триллиард свистоперделок.

    Оно и напоминало. Потом разработчики набили руку, научились как делать не надо, отрефакторили много чего. Исторических артефактов еще довольно много, но уже и архитектура прорисовывается, и майнтайнеры умеют делать чтобы их подсистемы хорошо работали, отвечая за это головой. И все такое. А если кто думает что может лучше - какие проблемы? Компилер в руки и вперед.

     
  • 2.7, arthi (ok), 19:44, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Ну нифига себе. Это "что попало" одна из лучших, если вообще не лучшая реализация. Если не это то что ж тогда вообще в ядро принимать.
     
     
  • 3.10, A.Stahl (ok), 19:51, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А самый лучший тетрис когда войдёт в состав ядра?
    Может эта штука и лучшая в своём классе, но к ядру-то какое она имеет отношение?
     
     
  • 4.25, Аноним (25), 21:00, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Перебрасыватель сетевых пакетов между очередями должен находиться в ядре, потому что перебрасывать сетевые пакеты между очередями — это функция сетевого стека, который является подсистемой ядра (по крайней мере, когда речь идёт о монолите).
     
     
  • 5.35, Аноним (-), 21:22, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –9 +/
    > речь идёт о монолите

    Монолит на то и монолит, что он не предполагает модульность (иначе он перестанет быть монолитом). Любая монолитность противоречит самой сущности ядра linux, которое самое по себе имеет модульную структуру. Так что все эти патчи с реализациями VPN-интерфейсов в ядре - полный бред имхо.

     
     
  • 6.57, Аноним (57), 23:49, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Витя, держи себя в руках блин, никто не трогает твою модульность.

    Не хочешь wg в свое едро - menuconfig в помощь. Никакой монолитности!

     
     
  • 7.95, Аноним (-), 11:46, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Не хочешь wg в свое едро - menuconfig в помощь.

    Зачем ты это пишешь? Речь не о menuconfig и не о возможности сборки своего ядра. Речь о том, что люди слово "монолитность" используют совсем не к месту и не в попад.

    > Витя, держи себя в руках

    Геннадий. Если не куришь - бросай и пить. Сначала разберись о чём разговор, а потом выплёскивай совй манямирок.

     
  • 6.94, Аноним (94), 11:33, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Обколются своей марихуаны и давай комментарии писать на опеннете Монолитность и... большой текст свёрнут, показать
     
     
  • 7.97, Аноним (-), 11:56, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > WireGuard - это бред?

    Разумеется это бред. Так как речь идёт не о монолитной архитектуре, а о ядре Linux, разработка которого предполагает модульный подход. Когда мы говорим о монолитных ОС - им свойственнен монолитный подход. Одно дело, когда мы имеем NetBSD, где из коробки должно быть всё представлено. Так как это монолитная ОС, другое дело -  ваше лоскутное одеяло, которое противоречит своей собственной модульной философии разработки. Учитывая, что сейчас в ядро усиленно лезут любители смузи (и не только в ядро - яркий пример подсистема днс в ненужнод), я совсем не удивлён происходящему тотальному идиотизму. Но ты продолждай писать простыни демагогии.

     
     
  • 8.102, Аноним (94), 13:12, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Демагогия - это всё что ты написал С философиями и словоблудием тебе бы на гумф... текст свёрнут, показать
     
  • 8.131, Аноним (134), 16:37, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ждём вашу версию диаграммы https upload wikimedia org wikipedia commons d d0 O... текст свёрнут, показать
     
  • 8.139, Ordu (ok), 18:01, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты сейчас путаешь тёплое с мягким Монолит -- это об адресном пространстве ядра,... большой текст свёрнут, показать
     
  • 6.127, Аноним (134), 16:26, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Монолит на то и монолит, что он не предполагает модульность (иначе он перестанет быть монолитом).

    Идите Википедию подправьте, а то они не в курсе

    > На сегодняшний день Linux — монолитное ядро с поддержкой загружаемых модулей.

    Ну и английскую тоже

    > The Linux kernel is a free and open-source, monolithic, Unix-like operating system kernel.

    Оказывается, весь мир ошибается в определении монолитности, и только вы знаете Истину. Так спешите же её донести!

     
  • 4.153, Аноним (-), 03:16, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Может эта штука и лучшая в своём классе, но к ядру-то какое она имеет отношение?

    Простое: VPN целиком о том чтобы брать пакеты и что-то с ними делать. Ну например читать из интерфейса, как-то обрабатывать и закидывать результат в сетевой стек. В случае юзерспейса получается довольно много оверхеда даже в монолитной ОС. А в ядре - ядру не требуется себя изолировать от самого себя, поэтому ядерная реализация просто идет и делает то что хотела сделать с этими пакетами. Без камасутры с копированием в юзерспейс по 5 раз.

     
  • 3.13, cat666 (ok), 19:54, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Я лучше SoftEther, ничего не видел, а OpenVPN какой замечательный и т.д. и т.п. этот список можно продолжать долго. С чего это WireGuard стал лучшим?
     
     
  • 4.15, Аноним (15), 19:59, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А скорость из-за  userland <-> kernel не пробовал сравнить?
     
     
  • 5.17, cat666 (ok), 20:14, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Неужто вы провели полноценное тестирование различных реализаций VPN, на разных каналах связи при разных условиях? Не поделитесь результатами? Очень взглянуть хочется!
     
     
  • 6.24, Аноним (25), 20:54, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Для того, чтобы убедиться, что 3>1, не нужно проводить экспериментов. Юзерспейсная реализация всегда будет cливать ядерной, это простая арифметика.
     
     
  • 7.33, Аноним (33), 21:14, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    скажи это мужикам из DPDK
     
     
  • 8.44, Аноним (44), 21:57, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Они в курсе, именно по этому и пилят свою бабалайку... текст свёрнут, показать
     
  • 7.74, Адекват (ok), 07:51, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Стало быть результатов исследования у вас нет, так и запишем.
    А как там ограничением потребления ресурсов - система колом не встанет, если нагрузка ОООЧЕНЬ большая станет ? Ядро же.
     
  • 6.71, лютый жжжжж (?), 06:19, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >вы провели полноценное тестирование различных реализаций VPN

    Кстати, тут они намеряли 257 мегабит у OpenVPN я даже до 30 мегабит не смог его разогнать, хотя потратил в свое время целый день. По tcp и через http-прокси, правда.

    у OpenVPN ровно один плюс, он умеет через наты и через http-прокси. Остальное минусы...

     
     
  • 7.73, llirik (ok), 06:43, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    у меня без проблем тянет чуть более 40 мб/с. Меня эта скорость устраивает, нагрузка на сервер и клиенты небольшая.
     
     
  • 8.178, Аноним (-), 06:31, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И дыры в openssl надо каждый месяц латать - иначе сервак разнесут хакеры Спасиб... текст свёрнут, показать
     
  • 7.143, Аноним (143), 22:10, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Более 100 мбит вполне реально выжать, но нужно шаманить с txqueuelen, sndbuf/rcvbuf и MTU.
    А WireGuard просто работает...
     
     
  • 8.144, Аноним (143), 22:17, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Здесь кое-что полезное по теме написано https community openvpn net openvpn wi... текст свёрнут, показать
     
     
  • 9.160, Аноним (160), 03:48, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Единственное чего полезного и по теме openvpn может сделать - переписать свое до... текст свёрнут, показать
     
     
  • 10.199, пох. (?), 10:56, 13/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    положив на ssl - напишешь точно такую же васян-ориентированную фигню, как и wg ... текст свёрнут, показать
     
     
  • 11.200, Аноним (-), 04:51, 14/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Васян для себя прогает лучше чем энтерпрайзные кодеры на продажу Проверено Торв... большой текст свёрнут, показать
     
  • 4.103, Аноним (103), 13:20, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Я лучше SoftEther, ничего не видел

    А вы хоть одним глазком на его исходники поглядели? Очевидно, что его вантузы пишут, а у них не особо принято заботится о безопасности.

     
     
  • 5.156, Аноним (-), 03:29, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я поглядел. Очешуел и стер к чертям. Нельзя так сетевые программы писать.
     
  • 4.104, DerRoteBaron (ok), 13:25, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Мне одной попытки настроить SoftEther хватило, чтобы понять, насколько этот кусок софта не предназначен для использования людьми
     
     
  • 5.155, Аноним (-), 03:27, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Адская энтерпрайзятина. С огроменным кодом. Делающая черт знает что. Парит, жарит, крестиком вышивает. И дыр наверняка из-за этого просто море. Большому коду - много багов.
     
  • 4.154, Аноним (-), 03:26, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я лучше SoftEther, ничего не видел

    Огромный монстр с кучей хлама. В код смотреть - страшно.

    > OpenVPN какой замечательный и т.д.

    Пока на код и производительность не посмотришь.

    > С чего это WireGuard стал лучшим?

    1) Хорошая подборка крипто.
    2) Можно сделать с минимумом зависимостей, втч изза 1).
    3) Довольно шустрый, в тч изза 1).
    3) Довольно просто настраивается, с ipsec не сравнить.
    4) Не монструозный, кода в десятки раз меньше чем в openvpn и прочих софтэзерах. Изза 1).
    5) Обычный UDP, не требующий к себе специального внимания сетевых железок.

     
  • 3.28, SOska (?), 21:04, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Да просто гениальная, только по TCP работаь не умеет, ниче что все фаерволлы наглухо блочат udp
     
     
  • 4.30, Аноним (25), 21:06, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не надо врать, мой не блочит.
     
     
  • 5.76, SOska (?), 08:49, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А что твой это = все?
     
     
  • 6.91, Аноним (91), 11:03, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А твои - все?
     
     
  • 7.108, SOSOk (?), 14:03, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А при чем тут мои? Я говорю про то что разрабы могли бы сделать поддержку 2х протоколов а не одного. В ином случае смысла от wg за фаерволлом становится ноль.
     
     
  • 8.116, Аноним (91), 14:31, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Настрой свой фаервол и не морочь людям голову А так-то можно и TCP зарезать по ... текст свёрнут, показать
     
     
  • 9.168, Аноним (-), 05:56, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ща, погодь, пойдет QUIC в массы, потому что TCP всех уже достал своим поведением... текст свёрнут, показать
     
     
  • 10.210, Аноним (25), 01:35, 15/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то, QUIC жестко завязан на гарантированный порядок доставки пакетов инач... текст свёрнут, показать
     
     
  • 11.212, Аноним (-), 08:21, 15/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Все там будет ок - гугл в состоянии нанять нормальных инженеров, а не таких эксп... большой текст свёрнут, показать
     
  • 9.187, x3who (?), 11:53, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я, например, использую vpn для хождения через _чужие_ сети, т е там, где файрво... текст свёрнут, показать
     
     
  • 10.201, Аноним (-), 04:59, 14/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Hint есть такой порт, 53 Довольно часто не зафайрволен Сам не понимаю почему ... текст свёрнут, показать
     
     
  • 11.222, пох. (?), 13:57, 15/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    он довольно часто проксится на собственный сервер Правда, правильному туннелю э... текст свёрнут, показать
     
     
  • 12.223, Аноним (223), 00:00, 16/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    натурные эксперименты показали что админы слишком ленивы, к тому же всякие capti... текст свёрнут, показать
     
  • 6.125, Аноним (134), 16:12, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А что твой это = все?

    Раз мой не блочит, значит, ваше утверждение, что "все блочат" — вpаньё.

    Чтобы опровергнуть предикат с квантором всеобщности, достаточно предъявить хотя бы один объект, для которого он даёт результат "ложь".

     
  • 4.38, Vrein (ok), 21:25, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кстати да, у клиентов, которым даём впн через SoftEther, иногда не проходит коннект. Решается переключением на 443/TCP. За пару лет таких случаев было около 5, но тенденция удручающая.
     
  • 4.58, h31 (ok), 23:51, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Заблокированный UDP в эпоху QUIC и HTTP/3 - это либо жестко закрученные гайки в плане безопасности, либо упоротые админы. Ни на одно, ни на другое не стоит равняться.
    Если вдруг нарвались на подобную сеть, то есть udp2raw, Shadowsocks и SSH-туннели. Можно, конечно, взять TCP-шный VPN, но man Why TCP Over TCP Is A Bad Idea и другие проблемы.
     
     
  • 5.68, Аноним (68), 05:21, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И безопасность, и упоротые админы которые хотят что бы и другой трафик в их сети ходил. А не только гуглосайты.
     
  • 5.72, лютый жжжжж (?), 06:25, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Заблокированный UDP в эпоху QUIC и HTTP/3 - это либо жестко закрученные гайки в плане безопасности, либо упоротые админы

    Для физлица васяна хороший VPN это тот, который будет работать везде, в любой кафешке, первом попавшемся открытом wifi или через модем. А не тот, у которого скорость 100500 мегабит. Здесь openvpn царёк.

    А для юрлиц хороший VPN это скорость. ipsec уже есть. у wireguard тут шансы есть.

    А сразу на два стула не сядешь...

     
     
  • 6.87, пох. (?), 09:57, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ровно наоборот - васяну надо чтоб торрент-шморрент побыстрее, пока из кафешки не погнали.

    А для юрлиц - rdp пролазит - сойдет.
    А те vpn, которые у них критичны к скорости - выглядят вовсе не васян-поделками на линуксах (и, как правило, вообще без шифрования - дорого и ненужно, а часто и нереально в принципе - растянутый cross-dc san, к примеру)

     
  • 6.105, Аноним (103), 13:27, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А насторойка IPSEC это секас под бубен.
     
     
  • 7.118, Аноним (91), 14:35, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если речь о клиенте, то настраивается в два клика в морде NetworkManager'а.
     
     
  • 8.130, Аноним (134), 16:36, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Веселье начинается, когда DPD выгоняет этого клиента на мороз, а ikelifetime не ... текст свёрнут, показать
     
     
  • 9.177, Аноним (-), 06:29, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Философия nix между прочим, о том что программа делает 1 вещь и делает ее хорош... текст свёрнут, показать
     
     
  • 10.208, Аноним (25), 01:28, 15/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Внезапно, IPsec соответствует этому принципу лучше, чем OpenVPN и сабж, потому ч... большой текст свёрнут, показать
     
     
  • 11.213, Аноним (213), 08:43, 15/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Принципы не выбиты в камне - логично выбирать те, которые в конкретной ситуации ... большой текст свёрнут, показать
     
  • 5.78, SOska (?), 08:51, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И поиметь тотальную просадку, ну ниче так совет
     
     
  • 6.141, h31 (ok), 20:30, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Просадку? Что?
     
  • 4.157, Аноним (-), 03:34, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > ниче что все фаерволлы наглухо блочат udp

    Ну допустим не все. И вообще, файрволы разные бывают. С GFW например мороки довольно много, но он в основном создает проблемы массовым платным сервисам, их видно по толпе юзеров которые туда ломятся.

     

     ....большая нить свёрнута, показать (71)

  • 1.3, noname.htm (ok), 19:38, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Интересно, насколько пострадала производительность по сравнению с API Zinc. Если останется dkms-версия с Zinc - лучше буду использовать её.
     
     
  • 2.12, Vrein (?), 19:53, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Давеча тестил boringtun из aur, то даже он немного медленнее. Скорее всего это в пределах статистической ошибки, но хз.

    boringtun
    86 packets transmitted, 86 received, 0% packet loss, time 17072ms
    rtt min/avg/max/mdev = 22.419/23.009/28.364/0.791 ms
    standard
    90 packets transmitted, 90 received, 0% packet loss, time 17868ms
    rtt min/avg/max/mdev = 22.272/22.911/27.661/0.606 ms

    Думаю, если у Доненфелда были претензии, то таки медленнее

     

  • 1.4, Аноним (4), 19:40, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какой смысл выдавать превосходство над опенвпн за достижение вселенских масштабов?

    >перевод на штатный Crypto API ядра приведёт к ухудшению показателей

    Какой смысл мухлевать и пропихивать заранее зная что цифры не правдивы?

     
     
  • 2.8, Аноним (8), 19:48, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    пропихнуть попытались как раз с теми самыми цифрами. Разработчики ведра заявили что "не так поклонились", "порежьте помельче и переподайте с земным поклоном, а не поясным".

    Поскольку автор, увы, искренне верит во всякие gpl-фетиши и хранит глубоко в сердце книжку Рэймонда - он и поклонился, и правильный апи выпилил, и с глубоким почтением - переподал.

    Справедливости ради - код zinс c удовольствием раздербанили авторы текущего kernel api. Что-то, наверное, даже улучшится.

     
     
  • 3.158, Аноним (-), 03:37, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Что-то, наверное, даже улучшится.

    Ну так в кернеле и не только - довольно много юзерей кода. И если каждый будет волочь все что ему вздумается, не заморачиваясь тем чтобы и остальные этим могли пользоваться - во что оно превратится? В кадавра с многократным дублированием явно библиотечного кода? Разработчики линха не настолько дилетанты в управлении проектом чтобы это допустить.

     

  • 1.6, Аноним (8), 19:43, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    тесты быстродействия, надо понимать, сделаны с zinc api. Т.е. текущая реализация навряд ли окажется быстрее ipsec.

    С формальной верификацией тоже можно проститься.

    Мораль: новость хорошая для автора, а остальным лучше пока пользоваться версией, отдельной от ядра.

     
     
  • 2.166, Аноним (166), 04:42, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Большую часть zinc интегрировали в крипто. Собственно, это было самым сложным этапом и заняло больше года.
     

  • 1.9, Аноним (9), 19:49, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Что Буквально в ноябре всё поменялось https lists zx2c4 com pipermail wiregua... большой текст свёрнут, показать
     
     
  • 2.14, Vrein (?), 19:58, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати да, читая эту статью, вспомнил, что dkms у арча при ребилде иногда выдавал, что в ядре уже есть готовый модуль. С политикой арча, очень сомниительно, что они бы тащили Zinc в ядро.
     

  • 1.19, Ilya Indigo (ok), 20:21, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Наконец-то!
    Да будет VPN via UDP без геморроя во время обновлении ядра! :-)
     
     
  • 2.27, Аноним (25), 21:03, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А чем не устраивал IPSec over UDP?
     
     
  • 3.48, пох. (?), 22:12, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А чем не устраивал IPSec over UDP?

    неимоверно сложным, плохо совместимым с другими реализациями и регулярно оказывающемся дырявым демоном, требуемым для его запуска, например?
    Причем никакой безопасности все эти энтер-прайсные навороты совершенно не добавляют.


     
     
  • 4.126, Аноним (134), 16:19, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > неимоверно сложным, плохо совместимым с другими реализациями и регулярно оказывающемся дырявым демоном, требуемым для его запуска, например?

    Хм.

    > Поддержка WireGuard уже интегрирована в NetworkManager и systemd

    Это лучше и безопаснее, чем strongswan?

     
     
  • 5.129, пох. (?), 16:34, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Это лучше и безопаснее, чем strongswan?

    так его поддержка - туда же - давно интегрирована...
    (через кривой плагин, кстати, разные версии совместимы с разными версиями nm)

     
     
  • 6.133, Аноним (134), 16:42, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Именно поэтому занесенный в корпоративный RADIUS клиент может просто вбить свои логин-пароль в настройках соединения и подключиться к рабочей сети.

    > (через кривой плагин, кстати, разные версии совместимы с разными версиями nm)

    С libre/open swan были грабли, а strongswan просто работает независимо от версии NM.

     
  • 3.82, Ilya Indigo (ok), 09:20, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    IPSec - это, вкратце, набор костылей для улучшения кучи ранее существующих решений, среди которых Sec лишь в названии.
    WireGuard - написанная с нуля, простая и надёжная реализация того, что мне нужно, изначально на эффективном и безопасном шифровании, без излишеств и обязанности быть совместимым со старым интерпрайзным дерьмом.
    Выбор очевиден!
     
     
  • 4.88, пох. (?), 09:58, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    опеннетовский специалист-по-всему в треде, ныкаемся, пацанчики!
     
  • 4.107, Аноним (94), 13:46, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > IPSec - это, вкратце, набор костылей для улучшения кучи ранее существующих решений, среди которых Sec лишь в названии.

    А вот лучше бы поподробнее, а то получается что вы считаете неэффективным тёплое, потому что вам нужно мягкое. WireGuard это явный прогресс по сравнению с тем же OpenVPN, но нет никакого смысла делать WireGuard там, где требуется GRE over IPSec и совместимость с ентерпрайзным железом.

     
     
  • 5.176, Аноним (-), 06:22, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > там, где требуется GRE over IPSec и совместимость с ентерпрайзным железом.

    Там где все это требуется, есть и пяток админов морально готовых к занятию со всем этим непотребствами, без вазелина. А потом вся эта айписятина застрянет в первой же кафушке у выездного сотрудника.

     
     
  • 6.198, Аноним (198), 00:45, 13/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А потом вся эта айписятина застрянет в первой же кафушке у выездного сотрудника.

    Это одноранговые туннели, выездные сотрудники таким не пользуются, это для соединения кучи филиалов и подразделений. Выездные пользуются в таком случае обычно отдельно стоящим openvpn или проприетарными аналогами.

     
     
  • 7.202, Аноним (-), 05:02, 14/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Это одноранговые туннели, выездные сотрудники таким не пользуются,

    Это только у огромных энтерпрайзов, у которых есть ресурсы на дюжину сапортов, тиму админов, emergency responce team и чего там еще, способные нарулить свой CA и сколь-нибудь внятно (или не очень) это содержать. Ну там да, можно и так, конечно. Саппорт все стерпит. Ну или накрайняк сдернут другого человека с другого проекта - в транснациональном монстре так можно.

     
  • 5.195, Аноним (195), 22:27, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > WireGuard это явный прогресс по сравнению с тем же OpenVPN, но нет никакого смысла делать WireGuard там, где требуется GRE over IPSec и совместимость с ентерпрайзным железом.

    Ну вообще для site2site wireguard как раз наиболее просто и приятен. Это с road warrior конфигурацией много проблем (ну, пока мы все на IPv6 не перешли).

     
  • 3.106, Аноним (103), 13:35, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А чем не устраивал IPSec over UDP?

    Геморроем.

     
  • 2.31, SOska (?), 21:07, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А фаерводчик то тебя подрежит с твоим удобством
     

  • 1.20, Аноним (20), 20:27, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >в Crypto API уже включены подготовленные в WireGuard быстрые реализации алгоритмов ChaCha20 и Poly1305.

    дооптимизируются, блин. Только удаленно эксплуатируемых атак по сторонним каналам не хватало.

     
     
  • 2.85, КО (?), 09:39, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, для ядра, которое в VPN закидывает пакеты из других интерфейсов в обход шифрования, это не самое страшное зло. :)
     
     
  • 3.138, Аноним (134), 17:53, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это, вообще-то, стандартный алгоритм маршрутизации. Реализован не только в линуксе.
     

  • 1.21, Аноним (21), 20:33, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –12 +/
    Разработчику захотелось смотреть Netflix из другой страны без тормозов. Набросал WireGuard - по сути для решения одной этой задачи. Как следствие, таща минимум зависимостей и имея минимум сложностей с запуском. Хипсторы раскудахтались: гениальное изобретение! Инженер с большой буквы! То, что большинству людей это попросту было не нужно, поэтому и не делали - им и в голову не приходит. А вот кричат громче всех, создавая видимость прорыва в технологиях. Ничего кроме фейспалма это не вызывает.
     
     
  • 2.34, Аноним (34), 21:15, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >То, что большинству людей это попросту было не нужно, поэтому и не делали - им и в голову не приходит.

    Количественно это большинство как выглядит? И сколько там есть компетентных в этой сфере сишников? А то я знаю некоторых личностей, которым в голову приходят только сигналы только от ВНС.

    Если так подходить к каждой проблеме, то у нас вообще ничего не будет — колесо ведь тоже изобрели "по сути для решения одной этой задачи".

     
     
  • 3.42, Аноним (21), 21:56, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Если так подходить к каждой проблеме, то у нас вообще ничего не будет — колесо ведь тоже изобрели "по сути для решения одной этой задачи".

    Это повод хайповать? (пинок за невнимательность/желание видеть то, что хочется видеть в комментарии собеседника)

     
     
  • 4.49, Аноним (34), 22:13, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    это повод возмущаться чьей-то радостью пинок за невнимательность желание видет... большой текст свёрнут, показать
     
     
  • 5.53, Аноним (21), 22:58, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > это повод возмущаться чьей-то радостью?

    Это повод считать радующихся не очень умными людьми. Хорошо если 1% радующихся используют WG по назначению для которого он был создан, для остальных это просто мода, незнание истории и области VPN-технологий.

    А что касается простоты - у меня первый раз OpenVPN быстрее удалось поднять, чем первый раз WG.

    > Ну так у большинства одна задача — смотреть нетфликс.

    Азаза.

     
     
  • 6.55, Аноним (34), 23:27, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Это повод считать радующихся не очень умными людьми.

    ну так научи. Я с радостью прочту интересную статью про цели создания WG и область его использования. Ну там сравнение плюсов-минусов различных решений в различных условиях. Ведь это будет полезнее комментария "большинству не нужно".

    >у меня первый раз OpenVPN быстрее удалось поднять, чем первый раз WG.

    у меня тоже. Я тупо конфиг скопировал не разбираясь и оно как-то заработало, а с WG так почему-то не прокатило, пришлось чутка покомпилировать и почитать.

    >Азаза.

    а что, большинство впны админит что ли?

     
     
  • 7.96, Аноним (96), 11:53, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ведь это будет полезнее комментария "большинству не нужно".

    Повторю, это твой комментарий, не мой. Мой - о хайпе, который устроили хипстеры для рядовой технологии. На случай если ты действительно разучился читать.

     
     
  • 8.99, Аноним (99), 12:13, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    нет твой p ... текст свёрнут, показать
     
  • 2.39, пох. (?), 21:42, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    для этого, внезапно, не нужно шифрование - вообще Обычный ipip туннель спас бы ... большой текст свёрнут, показать
     
     
  • 3.203, Аноним (-), 05:08, 14/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > для этого, внезапно, не нужно шифрование - вообще.

    С учетом количества 3.14...сов которые хотят совать свой нос, а то и руки в траф - оно таки очень даже пригодится.

    > большинству виндоюзеров вообще этот ваш линух не нужен.

    Так их никто и не заставляет. Вот им в такой конфигурации шифрование не поможет - они и так майкрософту нажатия кнопок на сервер слили.

     
  • 3.214, Аноним (213), 08:52, 15/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Они свои видосики в тентаклике с хипстаграмчиком и под родной десяточкой посмотрят.

    Они видите ли пиндеть изволят когда сотовый оператор врезает им попадосную рекламу в страницу. Поэтому vpn который от этого не защищает - не надо даже им. Они за такую услугу платить не будут. А вот за защиту от такого - вариант.

     

  • 1.22, Аноним (22), 20:38, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    это как с пропихиванием системдэ -- "теперь всё точно будет быстро!" (с) Похоже скоро и Защитник Шиндошс добавят.
     
     
  • 2.23, Аноним (25), 20:53, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Кому не нравится насильственное пропихивание — уже давно свалили на винду-десятку. Там ни пульсы, ни системды, ни wireguard. И главное — никто и никогда не будет их туда портировать. Свобода, безопасность, юниксвей!
     
     
  • 3.40, пох. (?), 21:44, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    вот не надо - единственная внелинуксная реализация вайргада как раз - под десяточку.
    Правда, афтар ее всячески обсирает, намекая на зонды, происки товарищмайора и что деньги лучше бы отдали бедным (сам он искренне верующий и денег ему не надо, он и свои пожертвовал на храм FSF)

     
     
  • 4.43, Аноним (9), 21:57, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А где про это почитать? Очень интересно стало что этому композитору вот тут https://github.com/TunSafe/TunSafe не хватило.
     
     
  • 5.46, пох. (?), 22:05, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > А где про это почитать?

    ругань в их адрес - где-то вокруг самого сайта wireguard, разумеется.
    Аффтар очень красочно расписывал, почему это кг/ам, и что он один только весь в белом.
    Я, естественно, не слишком проникся, поскольку меня в общем и оригинальный креатиф не особо впечатлил, поэтому и не стал запоминать детали.

     
  • 4.62, Fyjy (?), 01:02, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > единственная внелинуксная реализация вайргада как раз - под десяточку.

    Nix on Darwin
    FreeBSD
    OpenBSD
    macOS Homebrew and MacPorts

    https://www.wireguard.com/install/

    Зачем ты постоянно врешь?

     
     
  • 5.111, пох. (?), 14:16, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну ок, я рад за афтара что он наконец-то осилил не только кидать какашки в tunsafe, но и запилить свою версию.

    > Зачем ты постоянно врешь?

    я просто не занимаюсь дро4евом на ваш впопенсофт - один раз глянул - линуксонли, на альтернативную реализацию других людей, которые как раз захотели поддержать идею - вылит ушат дерьма, и больше, за ненадобностью, к вопросу не возвращаюсь.

    А вы, видимо, не вылезаете с wireguard.com?  Извиняйте, у меня других дел есть.

     
     
  • 6.162, Аноним (162), 04:02, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Дакие дела? Круглосуточно писать каменты на опеннете?
     
  • 6.165, Аноним (166), 04:37, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это комьюнити запилило, разумеется.
    Что логично. Под Винду пилит тот, кому она нужна.
     
  • 4.89, Аноним (89), 10:50, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    уже выпустили оффициальный клеент под вантуз, но надо же пiкнуть в лужу
     
     
  • 5.112, пох. (?), 14:17, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > уже выпустили оффициальный клеент под вантуз,

    всем пох..й.

    Кому страсть как хотелось вайргада в десятке - давным-давно пользовался неофициальным, а не ждал джва года.

     
  • 3.41, Аноним (9), 21:54, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  уже давно свалили на винду-десятку. Там ни пульсы, ни системды, ни wireguard.

    Ну это не совсем неправда.
    https://tunsafe.com/download
    https://www.wireguard.com/install/
    https://www.freedesktop.org/wiki/Software/PulseAudio/Ports/Windows/Support/

     
  • 2.36, Аноним (34), 21:22, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Ну вот никак не получится не загружать модуль или отменить запись файла модуля на диск, а если не установишь, то и система загружаться не будет.

    Разработчик старательно ведет переписку, переделывает и присылает патчи снова, ищет компромисс — ну точно как системдэ.

     

  • 1.26, Аноним (26), 21:01, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как быть с разделом "Work in Progress" https://www.wireguard.com/#work-in-progress, который говорит о том, что еще не готово?
     
     
  • 2.29, Аноним (25), 21:05, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Работа над разделом "Work in Progress" ещё не завершена.
     

  • 1.45, knike (?), 22:02, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А почему функции API Zinc нельзя было добавить в Crypto API? Почему он должен был заменить его?
     
     
  • 2.47, пох. (?), 22:08, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему функции API Zinc нельзя было добавить в Crypto API? Почему

    потому что он простой, дубовый и в многоуровневой этажерке crypto api не нуждался, чем и был, единственно, хорош.

    Но у него был один существенный недостаток - отсутствие не-djb протоколов.
    а сами низкоуровневые реализации - вон, во всю копипастят.


     

  • 1.50, Аноним (50), 22:38, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Wireguard под управлением PKI - туннельные ключи генерятся динамически, основываясь на (само)подписанных сертификатах.

    https://github.com/tengre/kurenma

     
     
  • 2.84, пох. (?), 09:25, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    молодцы, весь смысл проекта свели к х..ю.
    Вам racoon2 было мало, с сертификатами, блэдкжеком и так далее?

     
     
  • 3.92, юзер (??), 11:19, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    управлять сертификатами проще чем с ключами wireguard, особенно когда клиентов много планируется- не находите?
    Отозвал сертификат и знаешь, что вот этого клиента ты отключил. По крайней мере, я запускал с тремя четырьмя клиентами - удобно. Сертификат (CN) можно привязать к DNS и т.п. плюс если использовать knock с автонастройкой файрволла - сервер впн посторонним практически вообще не виден.
     
     
  • 4.109, пох. (?), 14:08, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > управлять сертификатами проще чем с ключами wireguard,

    гм. а наивный автор думал с точностью до наоборот ;-)

    Так-то все то же самое умеет любой ентер-прайсный ипсек. А вот быстро без лишней возни поднять надежно защищенный туннельчик точка-точка так же просто, как поднимается какой-нибудь ipip - не умеет. На мой взгляд - ценность вайргада именно в этом.

     
     
  • 5.137, юзер (??), 17:27, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    так вот kurenma позволяет объединить преимущества wireguard и PKI - лишние усилия не возникают, потому как в нем вручную ( или инцидентно - как настроишь) генерятся сертификаты PKI (включая приватный ключ) вместо пары ключей wireguard - та же самая работа или даже приятнее, потому как commonname можно забиндить в dns или еще как заинвентаризировать. Затем уже wireguard ключи генерятся автоматически на каждый сеанс и хранить их не нужно, а вот приватные PKI ключи - как обычно, впрочем и сертификаты тоже разбрасывать ни к чему.
     
  • 5.175, Аноним (-), 06:19, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > ценность вайргада именно в этом.

    Именно. Такой себе дежурный тунель когда надо траф пробросить от A до B без каких-то сильно крутых/специальных требований, но без того чтобы первый же роутер или хакер в кафушке с бесплатной вафлей его нахаляву расхакали. И уж конечно без камасутры как ipsec.

     
     
  • 6.207, User (??), 21:02, 14/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    КМК для этого проще всего SSH использовать, не?
    Тут именно что branch-офис со скоростью повыше, нежели дает openvpn подключать, если ipсекс на железках по какой-то причине не манит.
     
     
  • 7.215, Аноним (-), 09:03, 15/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > КМК для этого проще всего SSH использовать, не?

    Именно VPN в ssh - непотребство "для галочки". Зачем они такой реализацией позорятся - я не понял. Там вроде аж PPP гуляет. Первые автомобили так и делали - карета с моторчиком. Но потом дошло что можно и лучше. Кому сейчас карета с моторчиком нужна, кроме музеев? PPP в VPN - туда же.

    > Тут именно что branch-офис со скоростью повыше, нежели дает openvpn подключать, если
    > ipсекс на железках по какой-то причине не манит.

    Как по мне - сабж и для просто линковки кучи своих машин в единую структуру неплохо годится. Без всяких бранчей и айписеков, чур меня.

     

  • 1.51, Аноним (51), 22:43, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Компромисами выхожена дорога в болото.
     
  • 1.54, Аноним (22), 23:03, 09/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почитайте о недостатках, удивитесь как такое можно вообще даже в юзерспейс допускать https://restoreprivacy.com/wireguard/
     
     
  • 2.56, Ананимус (?), 23:45, 09/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Недостатки для анонимного VPN. Это не единственный use-case.
     
     
  • 3.66, Аноним (66), 03:45, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    да пофик на анонимность, важна централизация сети, но чтобы центр соответствова... большой текст свёрнут, показать
     
  • 3.174, Аноним (-), 06:15, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Недостатки для анонимного VPN. Это не единственный use-case.

    Я не понял, куда они логи в diskless сохранять то будут, хоть там что? Ну и таких грабель навалом у любой технологии. Wireguard'а народ тоже причесывать научится. Он пока просто новый и грабли не обтоптаны, о чем честно написано. А так то VPN сервис чудно порекламился - специалисты по приваси качественные, в проблематике шарят.

     

  • 1.60, Aytishnik.com (ok), 00:13, 10/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ура! Наконец то WireGuard будет в ядре!
    Поздравляю создателя!
     
  • 1.63, Аноним (63), 01:16, 10/12/2019 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –1 +/
     
     
  • 2.64, Ананимус (?), 01:20, 10/12/2019 Скрыто модератором
  • +1 +/
     

  • 1.65, Аноним (66), 03:32, 10/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    это просто супер, ждем дальнейших продвижений в том же направлении и стар линк алсо кстати.
     
  • 1.67, Аноним (67), 05:14, 10/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я так понял WireGuard заменит часть программ OpenVPN ? Будет развиваться как отдельный проект не зависимо от состава ядра Linux 5.6. Только часть программ войдёт в состав Ядра а почему они вся прога этого Проекта  WireGuard ?
     
     
  • 2.69, Аноним (67), 05:44, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >  Я так понял WireGuard заменит часть программ OpenVPN ? Будет развиваться
    > как отдельный проект не зависимо от состава ядра Linux 5.6. Только
    > часть программ войдёт в состав Ядра а почему ни вся прога
    > этого Проекта  WireGuard ?
     
     
  • 3.70, Аноним (66), 05:59, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    потому что все слишком субъективно, берут только то что может потом легко без всяких дебатов быть освоено и применино в ядре не зависимо от этого проекта,  а то кто то сутра передумоет пилить проект и не станет проекта, потом его снова выпиливать, может из за того.
     
  • 2.83, пох. (?), 09:23, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я так понял

    "люди читают жопой.jpg"

    > заменит часть программ OpenVPN

    нет
    > Будет развиваться как отдельный проект

    нет

    > Только часть программ войдёт в состав Ядра

    да, потому что, внезапно, ядро не умеет самостоятельно настраивать интерфейсы

    учитесь читать, молодой человек.

     

  • 1.75, Vitto74 (ok), 08:05, 10/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Чем обоснованны претензии к "общей безопасности" существующего CryptoAPI?
    Более быстрая реализация алгоритма вполне может оказаться не безопасной. Аудит проводили? Кто? На чьи деньги? Где отчет?
    И почему вдруг VPN не должен уметь TCP? Есть несколько сценариев, в которых использование TCP принципиально. Например неадекватный провайдер, низкое качество канала или обход через прокси.
    Они несколько лет пропихивали изменения в двух подсистемах одним проектом? Они серьёзно думали, что получится? Так не делается - один проект пилит CryptoAPI, а второй пилит VPN. Только так. Аргумент "мы запили свою реализацию CryptoAPI, потому, что наш VPN с ней работает быстрее" как минимум не состоятельный. Тут может работать только такой "мы запилили VPN но он работает медленно, давайте перепилим CryptoAPI".
    Странная движуха, слишком агрессивная.
     
     
  • 2.77, Аноним (77), 08:49, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Более быстрая реализация алгоритма вполне может оказаться не безопасной.

    Это слишком оптимистичная оценка. История учит тому, что если ты не математик-аутист (в хорошем смысле этого слова), то после вот таких "улучшений" крипто-алгоритмов или энтропия ни к черту, или по анализу задержек, и прочим сторонним каналам можно утянуть не сильно меньше чем при использовании XOR вместо ChaCha.

     
  • 2.79, пох. (?), 09:00, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    читайте статьи самого Донфельда - они вполне доступны для желающего не позвездит... большой текст свёрнут, показать
     
     
  • 3.110, SOSOk (?), 14:13, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    поэтому tcp over tcp работает плохо - а tcp over udp прямо идеально ага
    У меня уже так долго стоит и ниче так.
     
     
  • 4.113, пох. (?), 14:22, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > поэтому tcp over tcp работает плохо - а tcp over udp прямо

    а tcp over udp человек с руками и головой вполне да, может сделать практически неотличимым от голого tcp. Включая и работу на каналах с потерями или большой задержкой (не говоря уже о packet reordering), или, наоборот, быстрых линках, где важна малая задержка и джиттер.

    Но вы ж не разбираетесь в технологии, да?

     
     
  • 5.122, SOSOk (?), 15:06, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Нет конечно я в технологии не разбираюсь, все жду от вас гайда как все это правильно готовить, но что-то пока не вижу его.
     
     
  • 6.173, Аноним (173), 06:09, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Нет конечно я в технологии не разбираюсь,

    ...то и мнение о том что и как работает высказывать наверное неуместно. Еще более неуместно хотеть после этого гайды. Гайд который после такого поведения можно услышать может звучать довольно невкусно.

     
     
  • 7.182, SOska (?), 09:08, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Маладца, поумничал, на конфетку... гайда все еще нет? Ну тогда пи..дабол.
     
  • 4.172, Аноним (173), 06:07, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > поэтому tcp over tcp работает плохо - а tcp over udp прямо идеально ага

    Намного лучше. В tcp over tcp - таймауты вложенных соединений не дружат с таймаутами внешних. И вообще TCP крайне паршиво и диалапно реагирует на малейшие проблемы, типа выпадения пакетов или повышения RTT в беспроводной сети. Такое комбо склонно к коллапсу при первых намеках на проблемы, обваливаясь до воистину диалапных скоростей. Немного лечится, но - только под линуксом и даже после плясок - это полумеры и компромиссный результат.

    UDP этим не страдает - в нем нет понятия таймаутов на уровне протокола. Поэтому он новых проблем для вложенных TCP соединений не создает.

     
  • 2.80, Аноним (195), 09:02, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Проводили, отчет в сети, ты просто не умеешь гуглить В чем принципиальность исп... большой текст свёрнут, показать
     

  • 1.81, ryoken (ok), 09:03, 10/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подскажите простому генту-юзеру, с целью повышения уровня образованности. Насколько сложнее по сравнению с OpenVPN конфигурировать сабжа на OpenWRT-роутерах? (Сейчас используется схема, где к серверу OpenVPN подключается клиент + доступ из сети сервера в сеть за клиентом).
     
     
  • 2.90, hgdslvodf (?), 10:52, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Есть статья https://overclockers.ru/blog/Indigo81/show/30877/wireguard-openwrt-unbound-div
    Возможно, это не оригинал.

    Сам юзаю скрипт https://github.com/trailofbits/algo для разворачивания на микроинстансах, что к вашему вопросу не имеет отношения, но вдруг кому-то пригодится.
     
  • 2.93, мимо проходил (?), 11:27, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://openwrt.org/docs/guide-user/services/vpn/wireguard/basic
     
  • 2.117, колба (?), 14:33, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    в основном конфига даже проще, но когда захочешь вывести из тунеля запросы к оппределённым подсетям придётся уже повозиться с конфигом немногоибо удобных гуей как для опенвпн пока нету, как и кучи гайдов на все частные случаи болезни.
     
     
  • 3.140, Ананимус (?), 18:15, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >  в основном конфига даже проще, но когда захочешь вывести из тунеля запросы к оппределённым подсетям придётся уже повозиться с конфигом немногоибо удобных гуей как для опенвпн пока нету, как и кучи гайдов на все частные случаи болезни.

    WG не пытается быть слишком умным, и все эти вопросы решаются тупо роутингом.

     
     
  • 4.148, Аноним (25), 00:08, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    openvpn тоже сам ничего не роутит, просто добавляет маршруты.
     
     
  • 5.163, Аноним (162), 04:18, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    осталось рассказать каким роутингом.
     
  • 5.171, Аноним (173), 06:01, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > openvpn тоже сам ничего не роутит, просто добавляет маршруты.

    А я то думал что он сперва должен пакеты из tun или tap прочитать, понять что с ними сделать, зашифровать, и вот тогда ... он сможет отдать это ядру. Роутит, конечно, ядро, но толку с этого при таком раскладе довольно немного.

     
     
  • 6.209, Аноним (25), 01:31, 15/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Чтение в/из сокета не является маршрутизацией. И никак к ней не относится. Ваш Кэп.
     
     
  • 7.216, Аноним (-), 09:07, 15/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Чтение в/из сокета не является маршрутизацией. И никак к ней не относится. Ваш Кэп.

    Да просто openvpn должен довольно много всего сделать на своей стороне. В процессе несколько раз отфутболив пакеты в ядро и получив их из ядра. А вот это довольно затратно.

     

  • 1.100, Аноним (100), 12:14, 10/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > создатели WireGuard в сентябре приняли компромиссное решение перевести свои патчи на использование имеющегося в ядре Crypto API, к которому у разработчиков WireGuard имеются претензии в области производительности и общей безопасности.

    Ох ах, претензии к безопасности крыпто-АПИ ОС разрабатываемой в юрисдикции США и подлежащей экспорту.

     
  • 1.114, Броколь (?), 14:22, 10/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Эх, а в моем стабильном дебиане wireguard появится только через пол года. Пока буду пользоваться по старинке openvpn-ом.
     
     
  • 2.123, пох. (?), 15:21, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Эх, а в моем стабильном дебиане wireguard появится только через пол года.

    ну чего ты хотел - супергерой по прежнему защищает человечество от нового софта - правда, постарел, захирел, супергеройской силы хватает только на пол-года.

    Жди ебилдов - самому-то собрать из исходника, я так понимаю, неподъемная задача?

     
     
  • 3.146, Ботан (?), 00:04, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> Жди ебилдов - самому-то собрать из исходника, я так понимаю, неподъемная задача?

    Мне есть куда тратить время, давно уже не студент.

     
     
  • 4.164, Аноним (162), 04:20, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да вы нашли друга.
     
  • 4.179, пох. (?), 07:13, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    паняааатен... скажи, шибкозанятой нестудент - нах ты вообще полез в этот открытый софт? Страдать что опять ебилда ждать приходится?

    Тебе ж от него нет даже той ограниченной пользы, которая в нем еще осталась - а между тем, в Б-жественной Десяточке - все уже год работает из коробки.

    P.S. пересобрать пакет из уже готового исходника лично у меня займет пару минут. Можно сэкономить, побыстрее прожевав бутерброд. Но ты ж просто не умеешь, давно-уже-не-студент, забывший научиться элементарным вещам.

     
     
  • 5.184, Броколь (?), 10:34, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > P.S. пересобрать пакет из уже готового исходника лично у меня займет пару
    > минут. Можно сэкономить, побыстрее прожевав бутерброд. Но ты ж просто не
    > умеешь, давно-уже-не-студент, забывший научиться элементарным вещам.

    Хотел бы посмотреть как ты за пару минут пересоберешь за нескольких десятках машинах с разными архитектурами процессоров разные линуксовые дистрибутивы с разным набором пакетов. А потом еще и заплатишь со своего кармана за протраченное время машинами CPU на компиляцию этих самых пакетов.

     
     
  • 6.185, пох. (?), 11:45, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    кокой ужос А на практике у тебя один ноут, и тот с битым экраном, да До этого ... большой текст свёрнут, показать
     
     
  • 7.189, Броколь (?), 14:35, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Даже самому обычному человеку сейчас нужно:
    1. Виртуалка для разработки: сервер висит с облаке, где-то в хетцнере.
    1. Один рабочий ноут, всегда включен, лежит в офисе, минимум софта.
     
  • 7.190, Броколь (?), 14:37, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Даже самому обычному человеку сейчас нужно:
    1. Виртуалка для разработки: сервер висит с облаке, где-то в хетцнере.
    1. Один рабочий ноут, всегда включен, лежит в офисе, минимум софта.
       на рабочем ноуте 1 виртуалка для инета.
                        1 виртуалка с проприетарным софтом и браузером для коммуникаций с коллегами по работе.

     
     
  • 8.191, пох. (?), 15:17, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    я так и думал - альтернативно-одаренный разработчик-аутсорсер, зарабатывает в по... большой текст свёрнут, показать
     
  • 7.192, Броколь (?), 15:18, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Даже самому обычному человеку, вроде меня для комфортного существования нужна ... большой текст свёрнут, показать
     
     
  • 8.193, пох. (?), 15:25, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    skip прекрасный зоопарк - теперь понятно, почему у владельца нет времени разобр... текст свёрнут, показать
     
     
  • 9.204, Аноним (-), 05:12, 14/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    vpn из ssh таки довольно паршивый ... текст свёрнут, показать
     
     
  • 10.211, JL2001 (ok), 03:48, 15/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    почему ... текст свёрнут, показать
     
     
  • 11.217, Аноним (-), 09:08, 15/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, блин, ppp в VPN в XXI веке - это таки лол ... текст свёрнут, показать
     
  • 10.220, пох. (?), 10:06, 15/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    там не нужен на самом деле vpn - половина этих чудес в одной сети, другой полови... текст свёрнут, показать
     
     
  • 11.229, Аноним (-), 04:21, 29/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В случае вайргада дятл имеет ровно столько сколько ему прописано в конфиг И там... текст свёрнут, показать
     
     
  • 12.233, пох. (?), 18:08, 09/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    еще и все, до чего дотянется через туннель sa тоже привязывается к адресам - пр... текст свёрнут, показать
     
  • 2.145, Аноним (143), 22:21, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Легко ставится через pinning соответствующих пакетов из unstable.
    https://www.wireguard.com/install/#debian-module-tools
     
     
  • 3.149, Ботан (?), 00:14, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Рекомендую сначала самому проверить, прежде чем писать бред. Если следовать инструкциям из wireguard, то в debian buster с пакетом wireguard из unstable ветки, внезапно, при запуске вывалиться с ошибками, ибо ядро debian buster имеет "устаревшее" ядро, и что бы запустить wireguard надо апдейтить само ядро до версии на которую завязан wireguard, а не просто скачивать бинарник с либами.
     
     
  • 4.183, Броколь (?), 10:26, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://blog.veloc1ty.de/2019/11/28/wireguard-arch-error-unknown-device-type/
     
     
  • 5.186, пох. (?), 11:46, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > https://blog.veloc1ty.de/2019/11/28/wireguard-arch-error-unknown-device-type/

    тредстартер страдал по штабильному дебиану. Сборка для которого делается за несколько минут. Причем тут - ракопроблемы? У них рач головного мозга, им простительно.

     
  • 3.196, sena (ok), 16:10, 12/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opennet.ru/openforum/vsluhforumID3/119190.html#197
     
  • 2.170, Аноним (-), 06:00, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Эх, а в моем стабильном дебиане wireguard появится только через пол года.

    Ну как бы во первых бэкпорты, во вторых, make deb-pkg не очень сложно в консоли напечатать. Да, ядро умеет собирать себя в deb-пакеты.

     

     ....большая нить свёрнута, показать (23)

  • 1.115, колба (?), 14:29, 10/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    но ведь ядро линукс официально является гибридным и никакой философии модульности или монолитности противоречить не может потому что соответствует им обоим одновременно.
     
  • 1.128, U (??), 16:32, 10/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    телеметрия будет работать быстрее если её добавить в ядро
     
     
  • 2.135, Аноним (134), 16:58, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > телеметрия будет работать быстрее если её добавить в ядро

    Пока что самая большая сеть слива телеметрии — Tor Project (by NSA). Пока в ядро не интегрировали.

     
  • 2.188, anonymous (??), 11:58, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    OK, но при чём тут wireguard?
     

  • 1.142, Аноним (142), 22:00, 10/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну как бы с 2.4 openvpn может в AES-GCM
     
     
  • 2.147, Аноним (25), 00:07, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И что это меняет?
     
     
  • 3.181, пох. (?), 07:19, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    типа на модных процессорах должен быть побыстрее.
    Правда, для большинства васянов его скорость банально равна скорости их двадцатимегабитного интернета, но они ж начитались писулек и насмотрелись графичков...

     
     
  • 4.218, Аноним (-), 09:12, 15/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > типа на модных процессорах должен быть побыстрее.

    Типа а потом мы запустим это на роутере или одноплатнике, потому что держать всегда включеным здоровенный шумный агрегат ломливо - и обнаружим что производительность openvpn - "не очень". Если кто не вдуплил, wireguard просто нарасхват у юзеров openwrt, его там вкостылили вперед батек из майнлайна, слишком уж спрос велик.

     
     
  • 5.219, пох. (?), 09:56, 15/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> типа на модных процессорах должен быть побыстрее.
    > Типа а потом мы запустим это на роутере или одноплатнике, потому что

    повторяю для непонявших: проблемы с openvpn начинаются там, где кончается ваш роутер-одноплатник, и начинаются взрослые системы - где хаб одновременно обслуживает сотни подключений.
    И да, на тысячи я не делал, а с сотнями- вполне справляется, упираясь в полосу пропускания линка.

    А "роутер" в этих местах - "здоровенный шумный агрегат". Юнитов шесть в стойке занимает, в отличие от лезвия на котором умещается весь впн-хаб.

    > производительность openvpn - "не очень". Если кто не вдуплил, wireguard просто
    > нарасхват у юзеров openwrt, его там вкостылили вперед батек из майнлайна,

    ну так они и должны страдать. Судя по "пятибаксовым виртуалкам" это все тот же контингент что торопользователи и прочие борцуны с режимом, им не для работы же ж.

    А так - на первой rpi клиенты опять же упирались в канал (понятен, там где приходится костылить подобную хрень, канал ни разу не гигабитный и еще и с потерями). Без всякого aes-gcm.

     
     
  • 6.224, Аноним (-), 04:48, 16/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Проблемы перфоманса - везде Если что-то хорошо работает для пары хомяков на мыл... большой текст свёрнут, показать
     
  • 2.169, Аноним (-), 05:58, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Ну как бы с 2.4 openvpn может в AES-GCM

    Он не может в маленький, аккуратный и комапактный код, а также в секурные настройки без 9000 мест в которых можно облажаться. И очередная фича там - не "ура!" а "караул!" потому что увеличивает attack surface сетевой программы.

     
     
  • 3.180, пох. (?), 07:17, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    кокой ужос!
    Покажите пальцем - где вы там сумели облажаться в десятке строк конфига, эквивалентных тому незамысловатому сервису, что предоставляет вайргад?

    > потому что увеличивает attack surface сетевой программы.

    вы уже взломали какой-нибудь хороший и быстрый коммерческий vpn-сервис? (_все_, именно _все_ - предоставляют именно openvpn)
    Поделитесь доступом, а то платить двадцатку в месяц накладно.

     
     
  • 4.206, Аноним (-), 05:18, 14/12/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Покажите пальцем - где вы там сумели облажаться в десятке строк конфига,

    Вы сами же и подсказали - а вон где с сертификатами. Дефолты openvpn в этом вопросе зачем-то дырявы. И похрен какой там AES, вообще не в этом проблема.

     
     
  • 5.221, пох. (?), 10:17, 15/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> Покажите пальцем - где вы там сумели облажаться в десятке строк конфига,
    > Вы сами же и подсказали - а вон где с сертификатами. Дефолты

    ну а там где? По сути все те же асимметричные ключи, только в обертке для альтернативно-одаренных.
    > openvpn в этом вопросе зачем-то дырявы.

    э... а можно конкретнее? Или это опять сказки для самых маленьких об ужасных нисисюрных-нисисюрных алгоритмах шифрования?

    Тогда не надо. Это скучно и глупо.  К тому же авторы openssl о вас уже так позаботились, что от их заботы и дышать сложно стало.

     
     
  • 6.225, Аноним (-), 05:04, 16/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Или это опять сказки для самых маленьких об ужасных нисисюрных-нисисюрных алгоритмах шифрования?

    Оно по дефолту тип сертификата и прочие глупости не проверяет. Приколись, клиентский серт выдан правильным CA, все такое! Остальные клиенты этому CA верят. С точки зрения крипто если какой-то клиент решит изобразить сервер - получится.

    Нет-нет, можно RTFMнуть, включить проверку типа сертификата и даже вроде иных полей, такой финт ушами отвалится, конечно. Но это ж надо разбираться и знать что так можно было, и вообще, мыслить как безопасник. Сколько админов делают именно это, именно так... :)

     
     
  • 7.226, пох. (?), 14:50, 16/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Оно по дефолту тип сертификата и прочие глупости не проверяет.

    ну как бы предполагается, что если у тебя кто-то может подменить сервер, да еще и чисто случайно у него откуда-то взялся полноценный серт - ты настолько в глубокой оппе, что можно уже не париться мелочами.
    Хотя ручка в принципе и предусмотрена, корявенькая (в конце-концов, это v3 ext, как и все прочее - в те времена, когда эту хрень писали, v3 еще не было)

    А наиболее простой и, казалось бы, очевидный способ - просто использовать разные CA для сервера и для клиентов - они ж никак не связаны, клиент сам себя не проверяет, да и наоборот тоже.

    > Сколько админов делают именно это, именно так... :)

    и их юзеру совершенно ничего не грозит. Куда более вероятно что они проимеют ключ CA, валяющийся на десктопчике админчика или вовсе прямо на сервере (который по совместительству корпоративный вебсайт, почта и вебмин для управления всем сразу).

     
     
  • 8.228, Аноним (228), 13:13, 24/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Для себя я буду предполагать что я не хочу разминировать инструментарий до того ... большой текст свёрнут, показать
     
     
  • 9.232, пох. (?), 14:42, 09/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ну блин не сэкономить мне двадцать баксофф ловить этих клиентов с их неправи... текст свёрнут, показать
     
     
  • 10.234, Аноним (-), 08:27, 10/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Единственное чего я в той истории не понял - чего разработчикам мешало В КОДЕ сд... текст свёрнут, показать
     
  • 7.227, пох. (?), 16:26, 16/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Оно по дефолту тип сертификата и прочие глупости не проверяет. Приколись, клиентский

    кстати, глянул - проверяет - по дефолту: https://github.com/OpenVPN/openvpn/blob/master/sample/sample-config-files/clie
    правда, на самом деле оно так херню проверяет, но если не выпендриваться и делать как написано - сработает.

    remote-cert-tls server


    но большинству и эта проверка - излишняя.

     
     
  • 8.230, Аноним (-), 11:11, 08/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Как еще понятнее объяснить что в результате на практике половина конфиг - дырявы... текст свёрнут, показать
     
     
  • 9.231, пох. (?), 14:38, 09/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну с чего им быть дырявым, если все копипастят именно этот образец чо - самому ... текст свёрнут, показать
     
     
  • 10.235, Аноним (-), 08:36, 10/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Видимо все-таки не этот - потому что вот это вот приходилось самому вписывать в ... большой текст свёрнут, показать
     
  • 2.194, KonstantinB (ok), 21:09, 11/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    один фиг на где-то 50 мегабитах затык на пятибаксовой виртуалке. С WG моя сотка проседает минимально. (С l2tp+ipsec, впрочем, тоже).
     

     ....большая нить свёрнута, показать (19)

  • 1.197, sena (ok), 16:12, 12/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А без модуля ядра оно что, вообще не работает? Как-то это... А если я захочу поднять это на виртуальном хостинге?
     
     
  • 2.205, Аноним (-), 05:16, 14/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > если я захочу поднять это на виртуальном хостинге?

    Навалом хостингов продающих виртуалки по 1-2$/mo. Хоть что загружай, на что ресурсов хватит. А на каком-нибудь openvz и прочее ты и так можешь обломаться - на загрузит тебе хостер модуль tun - и ты пойдешь нафиг.

     
     
  • 3.236, sena (ok), 17:19, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Навалом хостингов продающих виртуалки по 1-2$/mo. Хоть что загружай, на что ресурсов хватит.

    В смысле, разве в виртуалке за $1-2 можно загрузить свой ядерный модуль wireguard? Хотелось бы ссылочку на такую виртуалку.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру