The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Анонсирована внутриядерная реализация WireGuard для OpenBSD

12.05.2020 05:37

В твиттере компании EdgeSecurity, основателем которой является автор WireGuard, сообщили о создании нативной и полностью поддерживаемой реализации VPN WireGuard под OpenBSD. В подтверждение словам опубликован скриншот с демонстрацией работы. Готовность патчей для ядра OpenBSD также подтверждена Джейсоном Доненфилдом (Jason A. Donenfeld), автором WireGuard, в анонсе обновления утилит wireguard-tools.

В настоящий момент доступны лишь внешние патчи, однако, авторы обещают в ближайшее время отправить их финальный вариант в список рассылки разработчиков OpenBSD. Код WireGuard для ядра OpenBSD включает 3322 строки, что меньше, чем реализация для ядра Linux. Если код с реализацией WireGuard будет в итоге принят в дерево исходных текстов OpenBSD, то она станет второй ОС (после Linux) с полной и интегрированной поддержкой WireGuard "из коробки". Включение широкой поддержки WireGuard ожидается в выпуске OpenBSD 6.8 (в релиз OpenBSD 6.7, который был перенесён с 1 на 19 мая, патчи не попадают). Пока же желающие использовать WireGuard в OpenBSD должны использовать порт net/wireguard-go или вручную установить предоставленные патчи.

Дополнительно можно отметить публикацию корректирующих обновлений пакетов wireguard-tools v1.0.20200510 и wireguard-linux-compat v1.0.20200506, включающих работающие в пространстве пользователя утилиты, такие как wg и wg-quick, и слой для обеспечения совместимости со старыми ядрами Linux (от 3.10 и до 5.5 включительно), в которых нет встроенной поддержки WireGuard. В новом выпуске утилит wg и wg-quick добавлена поддержка взаимодействия с реализацией WireGuard для ядра OpenBSD. Сообщается, что патчи для ядра OpenBSD планируются передать в течение следующей недели. Для настройки туннеля в OpenBSD будет использоваться привычный интерфейс wg и "ifconfig wg0 create".

Из не связанных с поддержкой OpenBSD изменений выделяется добавление в утилиту wg-quick доменов, подпадающих под маску "dns search" в resolv.conf. Для Android добавлена поддержка белого списка приложений в дополнение к чёрному списку. Для systemd добавлен сервис wg-quick.target для перезапуска и управления wg-quick. В пакете wireguard-linux-compat наиболее заметным изменением является обеспечение совместимости с будущими обновлениями пакетов с ядром для Ubuntu 19.10 и 18.04-hwe, которые пока находятся в секции "proposed" и не перенесены в обновления.

Дополнение: Патчи с реализацией WireGuard для OpenBSD опубликованы в списке рассылки разработчиков OpenBSD. Патчи включают драйвер для ядра OpenBSD, изменения для утилит ifconfig и tcpdump с поддержкой функциональности WireGuard, документацию и мелкие изменения для интеграции WireGuard с остальной системой. В драйвере используется собственная реализация алгоритмов blake2s и curve25519, а также уже присутствующие в ядре OpenBSD реализации SipHash и ChaCha20Poly1305. Реализация совместима со всеми официальными клиентами WireGuard для Linux, Windows, macOS, *BSD, iOS и Android. Тестирование производительности на ноутбуке разработчика (Lenovo x230) показало пропускную способность на уровне 750mbit/s. Для сравнения isakmpd с базовыми настройками ike psk обеспечивает пропускную способность 380mbit/s.

При разработке драйвера для ядра OpenBSD были выбраны некоторые схожие с драйвером для Linux архитектурные решение, но драйвер в первую очередь разрабатывался для OpenBSD, с оглядкой на специфику данной системы и учитывая опыт, полученный при создании драйвера для Linux. При согласии изначального автора WireGuard код нового драйвера целиком распространяется под свободной лицензией ISC. Драйвер тесно интегрируется с сетевым стеком OpenBSD и использует существующие подсистемы, что позволило сделать код очень компактным (около 3000 строк кода). Из отличий также отличается иное чем для Linux разделение компонентов драйвера: специфичные для OpenBSD интерфейсы вынесены в файлы "if_wg.*", код для защиты от DoS в "wg_cookie.*", а логика согласования соединений и шифрования в "wg_noise.*".

  1. Главная ссылка к новости (https://twitter.com/EdgeSecuri...)
  2. OpenNews: Доступен VPN WireGuard 1.0.0
  3. OpenNews: В ядро Linux 5.6 принят код с поддержкой VPN WireGuard и расширения MPTCP (MultiPath TCP)
  4. OpenNews: Cloudflare опубликовал реализацию VPN WireGuard на языке Rust
  5. OpenNews: WireGuard и andOTP удалены из Google Play из-за ссылок на приём пожертвований
  6. OpenNews: Разработчики VPN WireGuard представили новую криптографическую библиотеку Zinc
Автор новости: Дон Ягон
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/52929-wireguard
Ключевые слова: wireguard, openbsd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (153) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 08:24, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    > станет второй ОС (после Linux) с полной и интегрированной поддержкой WireGuard "из коробки"

    Ну вот наконец и в BSD завезли. Технологическое отставание BSD от Linux слегка сократилось.

     
     
  • 2.9, Аноним (9), 10:07, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Быстрый ВПН шлюз единственная сфера применения OpenBSD.
     
     
  • 3.24, пох. (?), 12:11, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Быстрый что-либо - это вообще не про openbsd.

    Вот интересно, почему автор выбрал самую маргинальную и ненужную из всех *bsd?

     
     
  • 4.39, Аноним (39), 13:28, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    самая маргинальная и ненужная-fragonfly, чуть менее netbsd. Опенок частенько встречается.
     
     
  • 5.43, пох. (?), 13:35, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    dragonfly вообще-то вполне себе нужная - а то так и останетесь с мертвыми по лицензионным причинам zfs и btrfs, но да, более маргинальная.
    netbsd и более нужная, и менее маргинальная.

    Но вообще-то есть еще free, которая в отличие от этих всех по сей день используется мелкими провайдерами сэкономившими на сетевом оборудовании - и, подозреваю, число только таких использований на пару порядков выше чем вообще всех юзеров openbsd (да, всех пятерых ;-)

     
     
  • 6.71, анонимуслинус (?), 15:32, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    опенка в штатах крепко припрягла одна компания занимающаяся разработкой дронов безопасности. пока квадрокоптеры и прочее, но они переводят все свое оборудование на опенбсд. хотя от линя тоже не отказываются. так что точно не пять пользователей. и да опенка используют много людей и фирм , только в ограниченных отраслях. если ось не очень подходит для широкого промышленного или домашнего использования это не значит, что она совсем бесполезна, но да во всем остальном линух лидирует и это понятно. даже фряха потеряла много своих пользователей с улучшением линуха, но она все равно так же часто используется.
     
  • 6.87, Аноним (87), 17:52, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты до сих пор не осилил администрирование OpenBSD? А как надувал щеки!
     
  • 6.129, Аноним (129), 07:22, 13/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Пох, ты все знаешь Подскажи что-то умное Есть мать на чипсете Intel G41 Хотел... большой текст свёрнут, показать
     
     
  • 7.137, пох. (?), 11:39, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    включаешь дебаг загрузки гугли , лучше - перенаправив всю ботву в serial port, ... большой текст свёрнут, показать
     
     
  • 8.155, Аноним (87), 03:52, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Десять лет, говоришь Нагуглил нотабуг, подозрительно напоминающий то, что вижу ... текст свёрнут, показать
     
  • 8.156, Аноним (87), 16:49, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Переписал на бумажку сообщения загрузчика CODE FreeBSD x86 bootstrap loader, ... текст свёрнут, показать
     
     
  • 9.157, пох. (?), 17:07, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, вообще-то, не notabug, а исправлено, но пока не попало в релизы Вполне допу... текст свёрнут, показать
     
     
  • 10.161, Аноним (87), 18:50, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что необычного в чипсете Intel G41 ICH7 и процессоре Intel Core 2 Проблема бы... текст свёрнут, показать
     
  • 9.159, Аноним (-), 18:07, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    -- Status New Reported 2019-11-20 12 03 UTC by Dave Cottlehuber Modified 2020... текст свёрнут, показать
     
     
  • 10.160, Аноним (87), 18:40, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты хоть немножко догадываешься, клоун, кому ты это пишешь ... текст свёрнут, показать
     
     
  • 11.163, Аноним (-), 20:14, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Очередному эталону двойных стандартов, хамлу вы мне все должны, патамушта я так... текст свёрнут, показать
     
  • 6.130, БреттонВудс (?), 08:37, 13/05/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    netbsd вообще не используется и служит толька для обкатки бредовых идей
     
  • 6.133, Аноним (87), 07:42, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Есть ещё вопросы к опытным собаководам.

    В настройках pkg предусмотрены пути следующего вида:

    [CODE]
    http://pkg.freebsd.org/FreeBSD:8:i386/latest
    [/CODE]


    На pkg.freebsd.org есть пакеты только для последних релизов. Для упомянутой FreeBSD 8 пакетов там нету, а её pkg, естественно, не работает. Как быть?

    На фришном форуме тамошние авторитетные анонимы глубокомысленно вещают, что, дескать, если такой-то релиз EOL, то спешите обмазаться свежим, ароматным. Но это не ответ на данный вопрос. Нет, их ценное мнение о моей безопасТносте меня не интересует никак и никогда. Мне просто надо пакетов для восьмой фри, например. Мне чтобы работало в дальнем шкафу, а не чтобы модно и молодёжно. Где в интернетах лежат пакеты для старых фрибздей?

    Пох, ты же знаешь?

     
     
  • 7.134, пох. (?), 08:19, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну ты бы еще на кружке любителей анального рестлинга эти вопросы задавал, в пауз... большой текст свёрнут, показать
     
     
  • 8.135, Аноним (87), 08:49, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    То не так, что архивы пакетов и всего -- где Я могу тебе сказать, где живут арх... большой текст свёрнут, показать
     
     
  • 9.136, пох. (?), 11:24, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    в помойке - сколько их хранить и на чьи деньги Но тебе никто не мешал смиррорит... большой текст свёрнут, показать
     
     
  • 10.142, Аноним (87), 11:59, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то хранить надо навсегда Для этого, в конце концов, даже специальные фай... большой текст свёрнут, показать
     
     
  • 11.143, пох. (?), 12:37, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ну, храни и где же твое зеркало Опачки - из твоего личного-то кишенька оказыва... большой текст свёрнут, показать
     
     
  • 12.152, Аноним (87), 19:02, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если не знаешь ответа на мой вопрос, то и напиши прямо, а столь многословное 1... большой текст свёрнут, показать
     
     
  • 13.158, пох. (?), 17:19, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    я знаю ответ на твой вопрос - стерто нахрен, потому что денег из воздуха - нет ... большой текст свёрнут, показать
     
     
  • 14.162, Аноним (87), 19:33, 16/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну раз так, то туда ей и дорога Надеюсь, ты догадываешься, какие в мире чистога... большой текст свёрнут, показать
     
     
  • 15.164, пох. (?), 13:13, 17/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    абсолютно нормальные В те времена, когда don t ask what linux can do for you, ... большой текст свёрнут, показать
     
     
  • 16.165, Аноним (87), 22:03, 17/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас это затруднительно сказать, пожалуй, даже о Слаквари Патрик, вроде, ещё ... большой текст свёрнут, показать
     
     
  • 17.166, пох. (?), 23:14, 17/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    и ломают ее к хренам Потому что это обновление сделано васяном для своей единст... большой текст свёрнут, показать
     
     
  • 18.167, Аноним (87), 11:15, 18/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда для кого всё это СПО Только для программистов Или я чего-то не понимаю ... большой текст свёрнут, показать
     
  • 7.151, анонн (ok), 18:43, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > В настройках pkg предусмотрены пути следующего вида:
    > [CODE]
    > http://pkg.freebsd.org/FreeBSD:8:i386/latest
    > [/CODE]
    > На pkg.freebsd.org есть пакеты только для последних релизов. Для упомянутой FreeBSD
    > 8 пакетов там нету,

    А если, поклацав по зеркалам, найду?
    http://pkg0.nyi.freebsd.org/FreeBSD:8:i386/latest/

    Это помимо вполне официальных архивов релизов:
    http://ftp-archive.freebsd.org/pub/FreeBSD-Archive/ports/i386/packages-8.4-re

    > На фришном форуме тамошние авторитетные анонимы глубокомысленно вещают, что, дескать, если такой-то релиз EOL, то спешите обмазаться свежим, ароматным.

    Погодите, я не расслышал - сколько-сколько вы задонатили на нужды проекта?

     
     
  • 8.153, Аноним (87), 22:02, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вы там на кассе, а я у вас что-то покупаю Если нет -- не задавайте незнакомым л... текст свёрнут, показать
     
     
  • 9.154, Аноним (154), 23:28, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Эталон двойных стандартов из палаты мер и весов ... текст свёрнут, показать
     
  • 5.48, Дон Ягон (ok), 13:45, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    "Маргинальная ОС" - это TempleOS, например. Применять эту характеристику по отношению к любой из четырёх известных *BSD - унылый троллинг и провокация.
    Все хороши, по своему. И Free, и Net, и Open, и Dragonfly.
     
  • 5.53, expert (??), 14:16, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    между прочим стрекоза используют собственную FS HAMMER. может ли этим похвастаться какой-нибудь убунту линукс?
     
     
  • 6.60, _MadeInRussia_ (?), 15:01, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    А за чем этим хвастаться? Я бы, скорее, сказал, что ФС Dragonfly не нашла применений за рамками самого дистрибутива (в отличии от той же zfs и прочих).
     
  • 4.44, Дон Ягон (ok), 13:36, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Вот интересно, почему автор выбрал самую маргинальную и ненужную из всех *bsd?

    От любви большой.

    "On a personal note, I've kind of gazed enviously at OpenBSD for years, and gladly devoured its general philosophy of programming simple and secure systems. In many ways, WireGuard itself was inspired by the simplicity of approaches found in OpenBSD and the elegance of those interfaces so fastidiously documented in the man pages. So, you might regard it as just a weird historical accident of my own kernel development that this was on Linux, because the influence of the project has clearly been from OpenBSD."

     
     
  • 5.81, Bob (??), 17:20, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ни х... не понял. Но очень интересно.
     
  • 5.84, пох. (?), 17:38, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вот оно че, Михалыч! Даа, чую под более распространенные системы ждать не приходится.

     
  • 4.114, Я (??), 22:10, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    потому что авторы нужных и немаргинальных пока жуют сопли.
     
     
  • 5.138, пох. (?), 11:43, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > потому что авторы нужных и немаргинальных пока жуют сопли.

    авторы open тоже пальцем не пошевелили - за них все сделал собственно изобретатель вайргада.

    Но тут уже ответили, в freebsd мы можем не ждать.

     
  • 4.125, Аноним (125), 23:27, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Потому что среди пользователей OpenBSD нашелся человек, который взял и сделал.
     
     
  • 5.139, пох. (?), 11:45, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому что среди пользователей OpenBSD нашелся человек, который взял и сделал.

    чисто случайно им оказался человек-разработчик оригинального проекта. Взяли и сделал теперь еще и под openbsd. А под более разумные - не сделал, потому что не хочет. Ну ок, его поделка, ему и решать ее судьбу. Теперь она не "linups only", а "linups only + используемая полутора маргиналами bsd". Ооок. Такая любофф - никто не поймет...

     
  • 2.30, expert (??), 12:53, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    жаль что разрабы плюют на их поклоников. 2020 год, до сих пор нет поддержки SSD.
    они просто не могут 20 лет включить TRIM.
     

     ....большая нить свёрнута, показать (43)

  • 1.3, Anonymou (?), 08:49, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Извините, но где видно что это в ядре?
     
     
  • 2.4, Анони м (?), 08:51, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В новости написано же.
     
  • 2.5, Аноним (5), 09:13, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Последняя ссылка в первом параграфе.
     

  • 1.6, б.б. (?), 09:16, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    масленница пришёл. ух, заживём теперь :)
     
  • 1.7, Анончик (?), 09:28, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Надеюсь на разумность разработчиков openbsd и они не будут включать это в ядро.
     
     
  • 2.65, НяшМяш (ok), 15:06, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > разумность
    > openbsd

    Неплохая шутка

     

  • 1.8, Аноним (9), 10:06, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Тащат годноту под свою недолицензию.
     
     
  • 2.23, Аноним (23), 12:04, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так не они тащат, а авторы WireGuard им сами запилили и просят взять под недолицензией. Под православной не возьмут же.
     
  • 2.115, Я (??), 22:12, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    такая штука должна быть под всеми лицензиями чтоб даже майкрософт её в винду встроила.
     
     
  • 3.140, пох. (?), 11:47, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > такая штука должна быть под всеми лицензиями чтоб даже майкрософт её в
    > винду встроила.

    в винде все нормально с 3dparty софтом, включая такой который требует ядерных драйверов. И такой порт - написали, только вот афтырь аригинала покрыл х-ями его разработчиков, заявил что те хотят украсть его суперсекретных котиков и он никому не велит им доверять.

    Это в этих ваших 6ешплатных системах 3dparty driver - вещь нереалистичная, потому что stable api is nonsense.

     

  • 1.10, Ivan_83 (ok), 10:08, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    https://git.zx2c4.com/wireguard-openbsd/tree/src/patches/mbuf.h.patch
    Странное изменение: это они GIF так решили выкинуть?
     
     
  • 2.11, Аноним (11), 10:10, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    В LibreGuard много чего выкинут
     
  • 2.12, Ананимус (?), 10:15, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Он не использовался в дереве, они, видимо, решили его зарецайклить.
     
     
  • 3.13, Ананимус (?), 10:16, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Плохо, что cover letter такой неподробный. Патч явно заслуживает быть разбитым на отдельные куски с хорошими, детальными комментариями.
     
     
  • 4.19, Анотолей (?), 11:34, 12/05/2020 Скрыто ботом-модератором     [к модератору]
  • +3 +/
     
     
  • 5.21, Ананимус (?), 12:00, 12/05/2020 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 6.25, Аноним (25), 12:26, 12/05/2020 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
     
  • 7.28, Ананимус (?), 12:40, 12/05/2020 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 8.32, Анотолей (?), 13:06, 12/05/2020 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 9.42, Аноним (42), 13:32, 12/05/2020 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 10.49, Анотолей (?), 13:53, 12/05/2020 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
     
    Часть нити удалена модератором

  • 12.52, Анотолей (?), 14:07, 12/05/2020 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 5.22, Аноним (11), 12:00, 12/05/2020 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
     
  • 6.33, Анотолей (?), 13:09, 12/05/2020 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 5.36, Дон Ягон (ok), 13:21, 12/05/2020 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (14)

  • 1.15, Сергей (??), 11:07, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И как все это согласуется с лицензионной точки зрения, часть  кода WireGuard что ли  опубликуют под BSD лицензией
     
     
  • 2.16, Аноним (16), 11:09, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ты видимо путаешь копирование-портирование кода и с нуля написанная реализация.
     
  • 2.17, Аноним (17), 11:11, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Изначальный автор WireGuard'а  с нуля написал wireguard специально для OpenBSD. Хм-м-м-м, как это согласуется с лицензионной точки зрения...
     
     
  • 3.27, iPony129412 (?), 12:36, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А вообще странно. В чём был смысл не использовать сразу открытую лицензию, а не вирусно прикрытую?
     
     
  • 4.29, Ананимус (?), 12:41, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому что засунуть ISC в Linux довольно тяжело :)
     
  • 3.132, IRASoldier_registered (ok), 10:36, 13/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А кому какая разница, что там с лицензионными тонкостями? Главное, что 1) работает 2) бесплатно 3) патчи будут.
     

  • 1.26, Lockywolf (ok), 12:36, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А чем он лучше strongSwan?
     
     
  • 2.31, Ананимус (?), 13:00, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    IPSec большой и сложный, WG влезает в три тыщи строк на OpenBSD.
     
     
  • 3.41, пох. (?), 13:31, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    in-kernel ipsec в разы проще. И вряд ли занимает 3000 строк, да и тех половина общая - криптографические библиотеки ядра.

    Все сложное и ненадежное там предусмотрительно вынесено в userspace. Кстати, open помнится единственная система, вообще не умеющая ipsec без юзерспейс демона. (кроме, конечно, венды, но это неточно)

     
     
  • 4.45, Ананимус (?), 13:38, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    $ cloc net/ipv4/esp4*.c net/ipv6/esp6*.c net/xfrm/*.c
          18 text files.
          18 unique files.
           0 files ignored.

    github.com/AlDanial/cloc v 1.84  T=0.08 s (238.9 files/s, 252342.2 lines/s)
    -------------------------------------------------------------------------------
    Language                     files          blank        comment           code
    -------------------------------------------------------------------------------
    C                               18           3245            675          15094
    -------------------------------------------------------------------------------
    SUM:                            18           3245            675          15094
    -------------------------------------------------------------------------------

    И это без крипты.

     
     
  • 5.46, Ананимус (?), 13:39, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Правда это линукс, щас в open посмотрю.
     
     
  • 6.47, Ананимус (?), 13:44, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    cloc sys netinet ipsec_ c sys netinet psp c sys net pfkeyv2 7 text ... большой текст свёрнут, показать
     
     
  • 7.80, пох. (?), 17:09, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ну так чудо-вайргад-то тоже поди без udp померян - без которого он не жизнеспособен.
     
     
  • 8.89, Ананимус (?), 18:37, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А без него типа UDP кода в ядре не будет, лол ... текст свёрнут, показать
     
  • 4.55, bOOster (ok), 14:36, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как бэ механизмы обмена ключами к IPSEC относиться весьма косвенно. IPSEC и на симметричных ключах без механизмов обмена в целом работает.
     
     
  • 5.82, пох. (?), 17:23, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    в целом - работает, только как его включить в именно open? ;-)

    (мне на самом деле гораздо интереснее - как это сделать в винде, но, похоже, ответ - никак)

     
     
  • 6.111, Дон Ягон (ok), 21:58, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > как его включить в именно open? ;-)

    Тут http://www.openbsd.org/faq/faq17.html написано, как, примерно, это делается.
    Али не работает что?

     
     
  • 7.141, пох. (?), 11:50, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не работает то что ты не смог прочитать: работа ipsec без ike в принципе. Насколько я вижу - фак по настройке iked, зачем он мне?

    Между линуксом и фрей - работает. Между циской и линуксом - работает. В проклятой, имени корпорации зла - не работает. Ну так корпорация - зла!

     
     
  • 8.144, Дон Ягон (ok), 13:14, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я действительно пропустил про без ike и обратил внимание только на симметричны... большой текст свёрнут, показать
     
     
  • 9.145, пох. (?), 15:14, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    тем что демон дыряв by design И там где я могу не бояться одновременно гугля, n... текст свёрнут, показать
     
     
  • 10.147, Дон Ягон (ok), 15:56, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Security Associations can be set up manually with ipsecctl 8 or automatically ... текст свёрнут, показать
     
     
  • 11.148, пох. (?), 16:05, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    описания ipsec почитать, вероятно Ну или просто оценить количество ручек-глючек... текст свёрнут, показать
     
     
  • 12.149, Дон Ягон (ok), 16:46, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А, ты об этом В этом я с тобой скорее согласен Но я думал у тебя какие-то конк... текст свёрнут, показать
     
     
  • 13.150, пох. (?), 17:13, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, я даже вполне мог бы поверить до недавних детских ошибок что он не хуже и... текст свёрнут, показать
     
  • 3.56, bOOster (ok), 14:42, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ЧЕ там большого и сложного? IKE?
     
     
  • 4.59, Ананимус (?), 14:54, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В StrongSwan примерно 350 тысяч строк кода _только_ на C.
     
     
  • 5.61, bOOster (ok), 15:03, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > В StrongSwan примерно 350 тысяч строк кода _только_ на C.

    Ты мух то от котлет отдели, там напихано все что только можно. А в реальной эксплуатации ты пользуешь процентов 10% из всего что там напихано.

     
     
  • 6.62, Ананимус (?), 15:05, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так это и называется "большой и сложный". Шансов обосраться с очередным zero day на кодовой базе в 350 тысяч строк значительно проще, чем на кодовой базе в 3.5 тыщи строк.
     
     
  • 7.72, lockywolf (ok), 15:40, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=strongswan

    29 эксплоитов с 2004 года? И сколько из них zero-day?

     
     
  • 8.73, Ананимус (?), 15:54, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сколько из них ещё не нашли Сколькими из них не поделились ... текст свёрнут, показать
     
     
  • 9.75, lockywolf (ok), 16:02, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так и в wireguard непонятно сколько ... текст свёрнут, показать
     
     
  • 10.76, Ананимус (?), 16:03, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Wireguard В котором 3 5k строк Который можно целиком за вечер прочитать ... текст свёрнут, показать
     
     
  • 11.77, lockywolf (ok), 16:06, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, ниже уже написали, что в ядерном ipsec те же самые 3000 строк А для того, ч... текст свёрнут, показать
     
     
  • 12.79, Ананимус (?), 16:09, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты думаешь там 400 тыщ строк кода, которыми никто не пользуется ... текст свёрнут, показать
     
     
  • 13.83, пох. (?), 17:26, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ну, вообще-то, в целом ДА - Во всяком случае, этих удивительных особей уч... текст свёрнут, показать
     
  • 2.40, пох. (?), 13:29, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну, типа, для установки соединения и rekeying не нужен здоровенный невменяемый и к тому же сто раз уже ломанный демон в юзерспейсе.

    Линуксные измеризмы еще показали, до кучи, чуть лучшую скорость на идеальном тестовом примере без потерь, но это может у них в линуксе ipsec такой.

     
     
  • 3.57, Lockywolf (ok), 14:42, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > ну, типа, для установки соединения и rekeying не нужен здоровенный невменяемый и
    > к тому же сто раз уже ломанный демон в юзерспейсе.
    > Линуксные измеризмы еще показали, до кучи, чуть лучшую скорость на идеальном тестовом
    > примере без потерь, но это может у них в линуксе ipsec
    > такой.

    Ну, демон наверняка появится. Просто к гадалке не ходи, вся эта пки просто так не делается.

     
     
  • 4.58, Ананимус (?), 14:52, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В Wireguard нет PKI, нет revocation листов и прочей ерунды. Просто два чувака обмениваются ключами, как в SSH.
     
     
  • 5.66, Аноним (66), 15:07, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > В Wireguard нет PKI, нет revocation листов и прочей ерунды. Просто два чувака обмениваются ключами, как в SSH.

    Кто тебе мешает самому написать свой интерфейс управления conf файла wireguard?

    > нет revocation листов

    Удаляешь пир и конфига вот тебе и revocation, больше он не подключится.

     
     
  • 6.67, Ананимус (?), 15:08, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем мне все это писать если он и так отлично работает?
     
  • 5.74, lockywolf (ok), 15:58, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В SSH есть CA, revocation lists и всё такое.

     
     
  • 6.78, Ананимус (?), 16:08, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это нужно только для подписанных ключей.
     
     
  • 7.97, OpenEcho (?), 20:36, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Это нужно только для подписанных ключей.

    Именно, - подписанные теми кто авторизует доступ к куче ресурсов с возможностью ограничивать даже "root"-oв через principal механизм в зависимости куда одним можно лазить а другим нет и удобством управления стандартизированного, проверенного временем механизма.

     
     
  • 8.113, Ананимус (?), 22:09, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Правда SSH не умеет шарить все это самостоятельно и все публичные CA ключи все р... текст свёрнут, показать
     
  • 5.88, OpenEcho (?), 18:26, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > нет PKI, нет revocation листов и прочей ерунды.

    Ерунды говоришь?

    А если у тебя клиентов размером в четыре циферки?

    С PKI админ подписывает CSR и отдает клиенту CRT для пользования, не дотрагиваясь ни до одного сервaка... в случае же с новой игрушкой, необходимо передергивать конфиги на всех серваках.

     
     
  • 6.94, Ананимус (?), 19:53, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > С PKI админ подписывает CSR и отдает клиенту CRT для пользования, не дотрагиваясь ни до одного сервaка... в случае же с новой игрушкой, необходимо передергивать конфиги на всех серваках.

    В случае с новой игрушкой админ пишет в git репозиторий и нажимает 'git push', после чего за него все делает Ansible.

     
     
  • 7.95, OpenEcho (?), 20:26, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >после чего за него все делает Ansible.

    Вот именно -> привлечение кучи (git, ansible/python) стороннего софта, открывающего дополнительные векторы атак. Плюс, каждый новый админ придумывает новую систему, - "а кому же принадлежит ентот килючик"

     
     
  • 8.96, Ананимус (?), 20:32, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если у вас нет в конторе нет системы деплоя ansible, chef, puppet, whatever , т... текст свёрнут, показать
     
     
  • 9.99, OpenEcho (?), 20:47, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Деплой и контроль над доступом - принципиально разные вещи Деплоить ключи через... текст свёрнут, показать
     
     
  • 10.100, Ананимус (?), 21:03, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Шта Какая тебе разница, что деплоить на сервера ... текст свёрнут, показать
     
     
  • 11.104, OpenEcho (?), 21:28, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Разница только в том, что меня немедленно попрут с работы, если я начну деплоить... текст свёрнут, показать
     
     
  • 12.107, Ананимус (?), 21:40, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так это проблемы твоей работы, что я могу сказать ... текст свёрнут, показать
     
  • 10.101, Ананимус (?), 21:03, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если у тебя дыра в деплое, то на твои торчащие наружу вебсервера зальют telnet и... текст свёрнут, показать
     
     
  • 11.105, OpenEcho (?), 21:30, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ок, я все понял, деплойте дальше доступ через ansible ... текст свёрнут, показать
     
     
  • 12.106, Ананимус (?), 21:39, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ты так говоришь, как будто это что-то плохое ... текст свёрнут, показать
     
     
  • 13.108, OpenEcho (?), 21:49, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я уже ответил, - чем это плохо, не знаю , что еще добавить ... текст свёрнут, показать
     
     
  • 14.109, Ананимус (?), 21:51, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, не ответил Кроме ААААА МЕНЯ УВОЛЯТ аргументов как-то не было особо ... текст свёрнут, показать
     
     
  • 15.121, OpenEcho (?), 23:08, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Читай выше, если тебе коненчо это надо ... текст свёрнут, показать
     
  • 14.110, Ананимус (?), 21:56, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю, боишься ansible Ну сливай файлик с ключами wget ом раз в 5 секунд с If... текст свёрнут, показать
     
  • 14.112, Дон Ягон (ok), 22:03, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Добавлять, имхо, и нечего, ты всё правильно сказал ... текст свёрнут, показать
     
     
  • 15.116, Ананимус (?), 22:17, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Кроме того, что публичный ключ CA и revocation list все равно придется раскидыва... текст свёрнут, показать
     
     
  • 16.123, OpenEcho (?), 23:09, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Публичный ключ и crl - не есть секрет ... текст свёрнут, показать
     
     
  • 17.124, Ананимус (?), 23:13, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Публичный ключ в authorized_keys добавлются публичные ключи, лол ВНЕЗАПНО тоже... текст свёрнут, показать
     
  • 4.63, bOOster (ok), 15:06, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> ну, типа, для установки соединения и rekeying не нужен здоровенный невменяемый и
    >> к тому же сто раз уже ломанный демон в юзерспейсе.
    >> Линуксные измеризмы еще показали, до кучи, чуть лучшую скорость на идеальном тестовом
    >> примере без потерь, но это может у них в линуксе ipsec
    >> такой.
    > Ну, демон наверняка появится. Просто к гадалке не ходи, вся эта пки
    > просто так не делается.

    Любит народ изобретением велосипедов заниматься, а так то и Kerberos за PKI весьма неплохо пойдет.

     
     
  • 5.64, bOOster (ok), 15:06, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Любит народ изобретением велосипедов заниматься, а так то и Kerberos за PKI
    > весьма неплохо пойдет.

    Сорри IKE :)))

     
  • 5.68, Ананимус (?), 15:09, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    НО ЗАЧЕМ? Весь профит Wireguard в том, что он тупой как валенок. Это же прекрасно!
     
     
  • 6.69, bOOster (ok), 15:12, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > НО ЗАЧЕМ? Весь профит Wireguard в том, что он тупой как валенок.
    > Это же прекрасно!

    Не спорю - прекрасно, но ключики - стоящие годами на VPN - это очень плохая практика :)

     
     
  • 7.70, Ананимус (?), 15:15, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Почему? Для публичных сертификатов критически важно иметь expiration date, потому что сертификат валиден до тех пока, пока валиден CA, и revocation list лопнет, если пихать туда ВСЕ сертификаты выпущенные CA. А с ключами-то в чем проблема?
     
     
  • 8.90, OpenEcho (?), 18:51, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вы пробывали CRL держит только подписанные CN имена, и если у вас CRL больше... текст свёрнут, показать
     
     
  • 9.92, Ананимус (?), 19:13, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Представь, что у сертификата нет expiration date и тебе нужно хранить все сертиф... текст свёрнут, показать
     
     
  • 10.102, OpenEcho (?), 21:20, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы о чем Представь что ты птица, но ты не птица и тебе надо учитывать таких пт... текст свёрнут, показать
     
     
  • 11.103, Ананимус (?), 21:25, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    О господи ты вообще прочитал на что отвечаешь По-моему, нет ... текст свёрнут, показать
     
  • 6.91, OpenEcho (?), 19:02, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Для малого бизнеса и для "дома" пойдет, но не для серьезного бизнеса.
    Управлять nameless ключами - это вообще не серьезно... Передергивать конфиги на всех серваках при добавлении/удалении клиентов на большой сети - это просто дурдом. Плюс, нет верификации серверов и клиентов относительно СА, что есть потенциальный MITM
     
     
  • 7.93, Ананимус (?), 19:18, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  Для малого бизнеса и для "дома" пойдет, но не для серьезного бизнеса.

    Для site2site туннелей это вообще идеальная штука. Для b2b тоже.

    >Управлять nameless ключами - это вообще не серьезно...

    Ну да, ну да, SSH в интерпрайзе нет.

    > Передергивать конфиги на всех серваках при добавлении/удалении клиентов на большой сети - это просто дурдом.

    Hint: именно это самое делает OpenAccess, когда ты юзера блокируешь :D

    > Плюс, нет верификации серверов и клиентов относительно СА, что есть потенциальный MITM

    Какой к чертям MITM? Верификация относительно CA нужна тогда, когда у тебя есть сертификт, полученный через недостоверный источник (ты зашел на https://yandex.ru и он сам отдал тебе свой сертификат). Если у тебя и клиент, и сервер, шарят ключи заранее по доверенному каналу, никакая валидация относительно CA не нужна, лол.

     
     
  • 8.120, OpenEcho (?), 22:58, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Все зависит от необходимости уровня защиты сети, размера сети, похеризма и паран... большой текст свёрнут, показать
     
     
  • 9.122, Ананимус (?), 23:08, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В Wireguard есть опциональный Preshared Key на этот случай Учитывая, что нет го... большой текст свёрнут, показать
     
     
  • 10.126, OpenEcho (?), 23:58, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Канал передачи ключей проверенный Я все никак догнать не могу, что смешного ... текст свёрнут, показать
     
     
  • 11.128, Ананимус (?), 07:11, 13/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Какой верифицированный канал, лол Как ты CRL на сервер доставляешь ... текст свёрнут, показать
     
  • 7.131, факен (?), 08:38, 13/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    серьёзный бизнос - это там кде админ в танчики играет, вместо того чтобы работать?
     
  • 6.117, Аноним (117), 22:29, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Похоже Линус любит тупые вещи. Сначала линукс, потом гит, теперь и эту поделку.
     
     
  • 7.118, Ананимус (?), 22:31, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тео тоже нравится.
     

     ....большая нить свёрнута, показать (74)

  • 1.37, Котовшив (?), 13:22, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Что скажет дядя Тео?
     
     
  • 2.85, Аноним (85), 17:50, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не нужно!
     
  • 2.98, Anonymous Coward (?), 20:41, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тео первым делом потроллил на тему инструкции по установке вида "ftp|sh":
    https://marc.info/?l=openbsd-tech&m=158926552405950&w=2
     

  • 1.86, Аноним (85), 17:51, 12/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Теперь црушный зонд и в опёнке будет, если примут.
     
     
  • 2.119, Аноним (119), 22:50, 12/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А то у них до этого момента там не было зонда. Зонды и бэкдоры есть в каждой ОС. Сноуден подтверди...
     
     
  • 3.127, мацад (?), 03:29, 13/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    да ты прав бро, радужные курвы25519 от рубинштейнера много куда запихали, вычистить нереально, миллионам мух все равно куда и сколко вставлено а полтора по ехавших шизика для строителей третьего храма опасности не представляют.
     
     
  • 4.146, пох. (?), 15:19, 14/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > по ехавших шизика для строителей третьего храма опасности не представляют.

    тебе же почтальон Печкин из небезызвестного опуса - на практике показал, как именно абсолютно надежно предотвратить постройку третьего храма.

    Вперед!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру