Для включения в основной состав ядра Linux предложены (https://lkml.org/lkml/2018/7/31/790) патчи с реализацией VPN-интерфейса от проекта WireGuard (https://www.wireguard.io/), который развивается последние три года, прошёл аудит применяемых методов шифрования и хорошо зарекомендовал себя в ряде крупных внедрений, обрабатывающих большие объёмы трафика. До сих пор WireGuard поставлялся в виде отдельного модуля к ядру, но сейчас разработчики считают, что проект достиг готовности для включения в основное ядро. WireGuard сочетает применение проверенных современных методов шифрования с предоставлением минималистичной реализации, очень быстрой, простой в использовании и лишенной усложнений. Подробнее о проекте можно прочитать в первом анонсе (https://www.opennet.me/opennews/art.shtml?num=44695).
Обновлённая реализация WireGuard примечательна созданием (https://lkml.org/lkml/2018/8/1/136) новой криптографической библиотеки Zinc (https://git.kernel.org/pub/scm/linux/kernel/git/zx2c4/linux....), в которую вынесены все применяемые проектом криптоалгоритмы. Отмечается, что при разработке создатели Zinc попытались избежать усложнений и на основе написанных для WireGuard криптографических примитивов подготовили решение, которое было бы меньше библиотеки, но больше просто набора файлов с кодом.
Zinc предлагает криптографический API, более минималистичный и низкоуровневый, чем текущее crypto API ядра. Zinc может дополнить текущий crypto API, предоставить основу для его реализации и со временем вытеснить его. Zinc предоставляет готовый к применению, протестированный и верифицированный набор криптографических примитивов, код которых собран в одном месте и представлен как lib/zinc/ (без выноса ассемблерного кода в arch/). Код оптимизирован для достижения высокой производительности и автоматически задействует инструкции SIMD для ускорения вычислений.
Из основные принципов построения нового API отмечается желание избежать лишних высокоуровневых абстракций, которые становятся источником проблем при некорректном использовании разработчиками. В Zinc предоставляется только простой набор готовых функций, которые можно применять только по прямому назначению без неоднозначных трактовок.В текущем виде предлагаются следующие криптографические примитивы:
- Потоковые шифры ChaCha20 (http://cr.yp.to/chacha.html) и HChaCha20 (https://cr.yp.to/snuffle/xsalsa-20081128.pdf) (реализованы оптимизации для x86_64 SSSE3, x86_64 AVX-2, x86_64 AVX-512F, x86_64 AVX-512VL, ARM NEON, ARM64 NEON, MIPS);
- Алгоритм аутентификации сообщений (MAC) Poly1305 (http://cr.yp.to/mac.html) (оптимизации x86_64, x86_64 AVX, x86_64 AVX-2, x86_64 AVX-512F, ARM NEON, ARM64 NEON, MIPS, MIPS64);
- Протокол Диффи-Хеллмана на эллиптических кривых в реализации Curve25519 (http://cr.yp.to/ecdh.html), используемый для генерации совместного секретного ключа (оптимизации x86_64 BMI2, x86_64 ADX, ARM NEON);
- Алгоритм хэширования BLAKE2s (RFC7693) (https://www.opennet.me/opennews/art.shtml?num=35676) (оптимизации x86_64 AVX, x86_64 AVX-512VL);
- Механизмы аутентифицированного шифрования ChaCha20-Poly1305 и XChaCha20-Poly1305.URL: https://lkml.org/lkml/2018/8/1/136
Новость: https://www.opennet.me/opennews/art.shtml?num=49064
Дааа,больше новых криптографических библиотек богу библиотек!!!
Особенно в ядре...
ну, в принципе, если не считать модного увлечения никем не верифицированными алгоритмами имени djb и тани-шланге, без каких либо альтернатив - выглядит оно всяко лучше того, что сейчас понапихано в ведро.Как и сам этот vpn. И настройка, и внутренние механизмы вполне разумные.
альтернатива - уродливый ipsec с бесконечными проблемами
Никогда не слышал про IPsec VPN и не видел чтобы такой продавали... Где он вообще используется?
checkpoint. Попробуйте настроить vpn с ним из Linux, познаете боль.
> ну, в принципе, если не считать модного увлечения никем не верифицированными алгоритмамиТо ли дело верифицированный Dual_EC_DRBG …
Я правильно понимаю - в Linux появится встроенный VPN? Останется только выбрать провайдера WireGuard и заплатить за тариф (а все ПО уже встроено в ядро и настроено)?
В Linux и так есть встроенный VPN — IPsec.
IPSec — это не vpn. Это боль, сажа и страдания. Он переусложнён там, где это совершенно не нужно и не гибок там, где должен быть. Сделать универсальный конфиг сервера, так чтобы он работал на всех известных клиентах без патчей, правки реестра/конфигов системы и при этом был устойчив к взлому на калькуляторе — просто нельзя. Стабильность как опенсорцных так и проприетарных клиентов никакая. Тоннель рушится даже на стабильном линке.
Если он такое дерьмо, зачем он нужен в линуксовом ядре? Это легаси шняга?
Да
Так само ядро во многом как раз "легаси шняга". Путем винды, "работать на всем", да.Правда, минимальным дистрибутивом Линукса считают уже образ в 1 Гб ("ну а чё, меньше флешки же?"), и редко какая свежая сборка (хоть RHEL-линейки, хоть производная от Debian) вообще станет прилично работать на то старое железо, поддержка которого нежно хранится в каждом ядре.
Да, это те люди, которые ругают винду за попытку угнаться за всеми зайцами.
расскажите же мне, почему туннель между двумя цисками у меня за пять лет ложился десяток раз - и почему-то каждый раз вместе с каналом оператора? Что я делаю не так?
почему туннель между циской и тем же чекпоинтом тоже никуда не девается, пока вообще доступны друг для друга его эндпоинты?
Наконец, почему клятая винда умеет в пару кликов пошифровать весь траффик в локальной сети, и тоже - не ложится?
А у опенотсосеров почему-то с этим неодолимые проблемы, и да, во всех их клиентах полный history записей вида "а мы в этой версии rekeying починили. Опять!"спасибо хоть openvpn (тоже в общем-то "мы читали-читали описание ipsec, поняли с пятого на десятое, и решили забить, сделаем свое отдаленно похожее, но ни с чем несовместимое") есть везде.
Неплохо жить с IPSec, когда коннектишь два шлюза с публичными IP. Хуже дело, когда есть NAT.
ну опять же - смотря чей ipsec. В фребеэсде десять лет чинили-чинили, непочинили (то нужен патч, то патч не прикладывается и непонятно, как поменять, то прикладывается но не работает, то глючит), переписали половину кода заново в 11 - вроде заработало. Что-то другое поломалось, но это мелочи.У циски вроде за последние десять лет - ни единого разрыва (если клиент не линукс с vpnc, где "мы починили...опять!"). У чекпоинта бывало всякое, но в целом - работает, у меня двойной нат - как-то выживает. Про джунипер не в курсе, но вроде страданий от пользующих не слышно, наверное тоже работает. У PA просто-работает, если посчастливилось выхватить версию без RU в серийнике.
В линуксе... ну все как всегда - строго определенная версия strongswan, скачанная на перекрестке трех дорог в новолуние с конкретной версией ядра, релизнутой в период стояния марса...
В ядро + утилиты в юзерспейсе для настройки.
При чём штатными утилитами:
# ip link add dev wg0 type wireguard
потом же все равно wg set чтонибудь... уж могли бы и add делать автоматически, тоже мне, достижение...
>и заплатить штраф за использование несертифицырованных ФСБ критпографических средств без лицензии и без передачи ключей в соответствии с законом Яровойпофиксил, не благодари
попробуйте потоньше - штрафы ложатся на предоставляющих услуги (впн сервис или хост впс, если впн кастомный), а не пользователей. Ну и неуловимый джо, да
Зачем еще одна крипто либа, если все необходимое уже есть в ядре?
Больше бекдоров богу бекдоров. Даже если там ничего нет, то проверяльшики будут разделены на большее кол-во кода , и меньше вероятность, что заметят
Именно так.
кто нибудь пользовался сабжем? Чем оно лучше/хуже опенвпн?
быстрее, латенси меньше, оверхед меньше, возможностей из коробки тоже меньше.
оно неентерпрайсное. Что с одной стороны, делает настройку банальных схем - банальной, и легко проверяемой/расширяемой, настраивать по сути нечего, ошибаться негде.с другой, как только тебе нужен минимальный энтерпрайз (ну вот тупо чтобы ты выдал сертификат клиенту-однодневке, и не бегал за ним, тыщи их, а через положенный месяц тот сам автоматом превратился в тыкву, [зачеркнуто: и вместе с клиентом и его лавочкой] ) - ну его нафиг, ставим openvpn, если не хватило денег на циску, даже если там и там линукс и технически было возможно.
TIL: энтерпрайз-решения на OpenVPN. Я даже не знаю, смеяться мне или плакать.
Оно более-менее живое, как ни странно
Перечислите весь список, пжалуста.
буишь смеяться, а я вот приделал на базе классических сертификатов от openssl обмен динамически генерируемыми ключами wireguard всякий раз когда требуется, можно сертификат, разумеется, отозвать.
Ну так опубликуй уже решение.
Использую и для удобства доступа к серверам, и для обхода цензуры в российском сегменте интернета.
Меньше latency, чем у OpenVPN, гораздо проще настройка, чем у OpenVPN
А что за провайдер? Сколько стоит?
я использую, AzireVPN. Пока полет нормальный
Скрин с Azire, кстати. Мой 100-мегабитный канал. Сервер в Швеции. Ограничений по объёму трафика нет. Торренты разрешены. 3.75 евро в месяц, если брать сразу на несколько месяцев вперёд.
>гораздо проще настройка, чем у OpenVPNтакие вещи принято подкреплять ссылками
А ссылку тебе в посте дали. На официальный сайт.
https://www.wireguard.com/quickstart/
Вон там тебе даже с видео, раз ты читать не можешь
Потычьтесь в вики хотя бы на Openwrt. Для обоих вариантов есть, под wg - чуть не в 2 тычка делается.
За NAT-ом использовать получается или нужен реальный или даже статический IP?
Получается. А в чём проблема? Тут настройка фаервола аналогична настройке его с OpenVPN, тут тоже весь трафик ходит по UDP на один порт.
OpenVPN работает в юзерспейсе, и каждый коннект жрёт ровно один поток ядра. Это значит, что на mips-овом роутере он выдаст от силы 25-35 Мбит/с, а на x86 прокачивает гигабит только без шифрования и с тюнинговой магией.
Wireguard работает в ядре и спокойно прожёвывает 10Gbps, при этом обладает достаточной безопасностью и низкими задержками.С другой стороны, WG подходит пока что скорее для быстрого деплоя приватной mesh-сети поверх существующей. Тогда как OpenVPN позволяет развернуть шлюз удалённого доступа с PKI, генерацией, раздачей и отзывом ключей, имеет клиенты под разные ОС, позволяет pre- и post-up скрипты и push-ить их клиентам, может работать через udp/tcp/http, имеет L2-режим, а значит, бриджится.
> С другой стороны, WG подходит пока что скорее для быстрого деплоя приватной
> mesh-сети поверх существующей. Тогда как OpenVPN позволяет развернуть шлюз удалённого
> доступа с PKI, генерацией, раздачей и отзывом ключей, имеет клиенты под
> разные ОС, позволяет pre- и post-up скрипты и push-ить их клиентам,
> может работать через udp/tcp/http, имеет L2-режим, а значит, бриджится.а уже есть вариант "в OpenVPN использовать механизм WG в качестве протокольного уровня" ? или это в принципе невозможно?
Насколько я знаю, OpenVPN реализует туннель+криптографию на пользовательском уровне - тогда как в ядре используется tuntap драйвер, плюс сетевой стек, разумеется.
При попытке скрестить его с WG может оказаться, что OpenVPN тупо не нужен. Без протокола с кучей фич он станет просто юзерспейс прослойкой. То есть такое можно сделать, но смысла, как мне кажется, нет.
> Насколько я знаю, OpenVPN реализует туннель+криптографию на пользовательском уровне -
> тогда как в ядре используется tuntap драйвер, плюс сетевой стек, разумеется.
> При попытке скрестить его с WG может оказаться, что OpenVPN тупо не
> нужен. Без протокола с кучей фич он станет просто юзерспейс прослойкой.
> То есть такое можно сделать, но смысла, как мне кажется, нет.но вот это же весьма удобно и полезно?
> Тогда как OpenVPN позволяет развернуть шлюз удалённого доступа с PKI, генерацией, раздачей и отзывом ключей, ... позволяет pre- и post-up скрипты и push-ить их клиентам
я сделал раздачу и отзыв ключей, в планах добавить чуть ынтерпрайзы для работы с большим количеством клиентов
> позволяет pre- и post-up скриптыДа-да, а WireGuard их не умеет. А в конфиге у меня какие-то несуществующие сущности
PostUp =
PostDown =Точно, они там просто так :-D
Раз уж на то пошло, то и на уровне "демона" в дистрах есть ifup/ifdown-скрипты ;)
Другое дело, что в OVPN можно одной строчкой в конфе сервера добавить новый маршрут всем клиентам.
если посмотреть ветку сообщений дальше, то майнтейнеры просят изменить свой кодестайл. очень много строк длиннее 100 символов, что усложняет читаемость, но перед этим в целях пиара малое количество строк подавалось как 1 из аргументов. Допускаю что текущее количество строк вырастет раза в 4 перед принятием в ядро.
это математика, дружище. От того что ты нарежешь форумулу ломтиками, она понимаемей ни разу не станет, скорее наоборот.
замечания были для конструкций вида:
static int walk_by_peer(struct allowedips_node __rcu *top, u8 bits, struct allowedips_cursor *cursor, struct wireguard_peer *peer, int (*func)(void *ctx, const u8 *ip, u8 cidr, int family), void *ctx, struct mutex *lock)структуры удобно разделяются на несколько строк и становятся реально более читабельными
Также есть такая штука как code-style проекта, которого должны придерживаться все комитеры. Иначе проект превратится в непойми что.
*структуры и типы переменных/параметров
Мне вот это больше понравилось:for (; cursor->len > 0 && (node = cursor->stack[cursor->len - 1]); --cursor->len, push(cursor->stack, node->bit[0], cursor->len), push(cursor->stack, node->bit[1], cursor->len)) {
Вот зачем так? Кулхацкеры, блин.
Через while намного читаемее будет.
да уж, выпендрились
я бы вот посмотрел в .S, в том числе и на то, что там внутри цикла.
иногда так удивительно выглядят оптимизации под модные-современные процессоры.
Не мне хаять разрабов ядра, но, IMHO, сейчас, да на C, да в большом проекте 100 символов - это не криминал. Иначе начинается сокращение имён или запись в несколько строк, что читабельности тоже не в плюс
Выше приложил пример - данная конструкция легко разделяется на несколько строк и читабельность реально становится лучше.
Вот как раз тот случай, когда если ситуация позволяет (здесь позволяет) - надо рефакторить, когда нет - оставлять как есть. Тут читабельность не ночевала в любом случае, с такой тучей параметров. Здесь либо знать API, и тогда эта декларация - только для компилятора, или копаться и путаться.А убери здесь, как положено, теп функции в typedef - и резко уменьшится длина и читабельнее будет. А может вообще всё или большую часть в структуру совать - но это уже надо исходники глядеть.
В чужой монастырь со своим уставом не ходят.
К тому же, а не допкскаете что из сырцов может генерится дока, книги, pdf всякие?
И тут бац, вторая смена и прощай...
Расскажите про WireGuard подробнее!1. Чем он лучше OpenVPN в техническом плане?
2. Может ли он противостоять блокировкам и DPI?
3. Спасет ли он Россию, если Роскомпозор начнет массово блочить OpenVPN?
4. Будут ли популярные VPN-провайдеры предоставлять доступ по WireGuard? А может кто-то уже предоставляет?
1. Парой веток выше расписано
2. Как и любой впн - пока товарищ майор не побанит сервера с впн
3. Массово блочить опенвпн никто не будет ибо ынтырпрайз. А от блокировок популярнейших провайдеров спасет мелкий впс.
4. В википедии написано, кто предоставляет и кто интересуется.Совсем обленились уже, Товарищ Майор
> 3. Массово блочить опенвпн никто не будет ибо ынтырпрайзв китае вроде блочат...а ынтырпрайз обращается в органы для внесения своих серверов в белый список
Ынтерпрайз в Китае тоже под колпаком.
розовая мечта российского государства
Если нужна защите от "будут его блочить", то ни OVPN, ни WG не помогут. Тут уже нужен shadowsocks+obfs4 или SoftEther, который умеет мимикрировать под обычный SSL.
А, ну и ещё надо озаботиться тем, чтобы сервер отвечал чем-то правдоподобным при попытке цензора установить SSL-соединение на порт, который использует ваш замаскированный VPN. Иначе, пойдёт как в Китае: там файерволл при обнаружении SSL делает probe на адрес:порт, а не найдя там легитимного делает вывод, что тут замаскированный VPN и дропает нахрен.
Для OpenVPN делаем так: Ok, google. sslh
Значит пора запасаться знаниями как настроить shadowsocks и SoftEther...
ovpn можно заставить работать без хендшейков, для dpi это будет как рандомный мусор
> для dpi это будет как рандомный мусори мы его дропнем вместе с прочим рандомным мусором.
почему-то я уверен, что никто не прибежит жаловаться. Некоторые еще и поблагодарят (нет, товарищ майор, я не вас имел в виду)
Мусор подозрителен тоже. Это как огромный файл с мусором на ПК. Заставляет задуматься, а не зашифрованный ли это контейнер.Нужна именно маскировка. Мол, тут вполне обычный сервис, который ничего неугодного не делает.
Как стеганография: вот фото Млечного Пути, а внутри фото что-то спрятано, но вы этого не узнаете.
Трафик Wireguard в wireshark выглядит как рандомный набор шифрованного мусора, и он UDP не TCP. Каким образом они его будут блокировать если он всегда рандомный не ясно.
Трафик надо не в wireshark а в DPI загонять.
Ладно если вам так будет "приятнее" прочтите слово трафик как "ethernet фреймы в wireshark".
Ну если будет приятней то я говорил про глубокое изучение трафика специальным ПО. А никак не ваершарком. Обфускация трафика опенвпн не помогла - вместо ссл сессии засветился подозрительный трафик удаленного доступа к сети.
обновляйте сигнатуры - должен быть четкий детект именно "openssl vpn" - как минимум pa умеет отличить его и от "ssl сессии", если нескрытый, и от другого мусора, если obfuscated, значит и dpi тоже смогут.P.S. обычная беда лучше-всех-прячущихся авторов гуано-обфускаторов - у них нет $100000 на самую дешевую из продаваемых в розницу коробок с угадавом траффика. Друзей, знакомых готовых сотрудничать, похоже, тоже не бывает. Поэтому они что-то изобретают, высасывая из пальца свое предположение о том, как оно угадывает, а через день после жалобы - индус выкатывает апдейт сигнатуры, и оно угадывается со 100% вероятностью.
(или, хуже того, угадывается без апдейта, потому что метод угадава был вовсе не так банален, как им думалось)
Да тут такое дело. Оно для тестов было. Денег на покупку нет. Так то я с радостью обновил бы всё по подписке и дальше смеялся над "не определяемым мусорным трафиком".
>1. Чем он лучше OpenVPN в техническом плане?работает в режиме ядра, соответственно, не требует переключений контекста юзерспейс/ядро на каждый пакет -- даёт экономию ресурсов процессора (впрочем, как и ipsec). подозреваю, что на значениях ~100kpps экономия будет где-то между "в несколько раз" и "в несколько десятков раз"
ovpn кроссплатформеный, а сабж нет
Говорят, что если врать, то вырастет нос, как у Пиноккио.
https://www.wireguard.com/install/
И там тебе и GNU/Linux-дистрибутивы, и Android Linux, и OS X, и FreeBSD, и OpenBSD, и Non-GNU/Linux Alpine, и даже Nix on Darwin, извините за выражение.
>A Windows client is coming soon.ясно-понятно
И что? Проблемы маргиналов волнуют только маргиналов. Виндовс — среда для запуска игр, а кто ее использует для чего-то отличного — сам себе злобный баклан.
Для винды есть tunsafe. Он, конечно, не OSS, но на винде вам не привыкать.
не спасет, у меня заблочили сервера с wireguard на оушене
оушен под веерными блокировками телеги - Ваша персона нафиг никому не сдалась
А чем закончилось дело с портированием на другие ОС?
Вроде под виндос где-то билд валялся, на оффсайте видел.
Под винду есть билд от какого-то из коммерческих провайдеров ВПНа. В теме о выходе этого билда на реддите первое же сообщение от автора WG со словами «Я, как автор WG, не рекомендую использовать, так как код закрытый и фиг знает что оно делает»
Так и есть это tunsafe. У них есть даже публичный VPN построенный на деньги донаторов https://tunsafe.com/vpnАвтор tunsafe это автор оригинального uTorrent (до момента его продажи когда начали туда встраивать рекламу и прочую вирусню, так что автор tunsafe не причастен к ужасам торрент клиента). Он работает емнип в spotify и в свободное время пилит клиент под windows и macos.
Пилит он их потому что авторы wireguard это ЭПИЧЕСКИЕ тормозилы с немного "специфическим" мировоззрением. Клиенты под винду от них есть их два они на rust и go и ни один из них не готов для использования по сей день.
https://lists.zx2c4.com/pipermail/wireguard/2018-March/00244... вот то что автор wireguard написал о tunsafe. То есть человек один из первых заинтересовался их софтом долгое время общался с разработчиками по протоколу и спецификации без какого либо гнева, написал к нему клиент, но в силу понятных причин не может выложить исходный код, моментально превратился в позорище в сообществе был забанен в IRC и вообще засранец.
Автор боится что на основе его нароботок в случае открытия кода будут выпущены клиенты к коммерческим VPN с закрытием кода и судиться с наглецами он не желает.
А что же сделали "opensource" разработчики за 2 года? Да ничего. Пришел человек из openconnect-gui и предложил встроить их wireguard в openconnect-GUI и все будет открыто, так где работа? Ее нет, никто не собирается тратить свое время на это, все ждут что кто-то другой запилит, ну а тогда то мы его _открытый код_ почитаем на все security ошибки.
Вы просто не знаете какой говноскрипт написан в openconnect-gui для проброса маршрутов трафика на машине через OpenVPN TAP Windows Adapter V9.
Кстати да, то что автор просит автора tunsafe показать код выглядит смешно на фоне того что они пилят wireguard-ios приложение для размежения его в AppStore, удачи им сабмитить приложение с открытым кодом https://git.zx2c4.com/wireguard-ios/ или же в Apple будет сабмититься код из "приватного" репозитория? Тогда какого он закрывает код странно... ведь в его iOS GUI клиенте возможны трояны и вирусы.
> но в силу понятных причин не может выложить исходный кодВ силу непонятных причин. А так все ок. Ну то есть понятных. Выкладывание кода может повлечь за собой сборку третьими лицами без встроенных майнеров, а это не выгодно автору кода.
>Пилит он их потому что авторы wireguard это ЭПИЧЕСКИЕ тормозилы с немного "специфическим" мировоззрением. Клиенты под винду от них есть их два они на rust и go и ни один из них не готов для использования по сей день.автор wireguard в первую очередь занимается основной реализацией - под linux, и правильно делает. Сделает кто-то со стороны клиенты под винду/mac/etc - отлично, не сделает - тоже хорошо. Главное - это стабильный, продуманный, лёгкий в настройке и понимании(ssh-like) протокол, который будет в ядре, и вот именно этим автор цп и занят.
А вот поверх стабильного wg уже после аудита можно будет пилить решения для mesh, pki и прочего энтерпрайза, хотя некоторые плюшки уже сейчас есть.
s/цп/wg
Дык под OS X вполне себе официальный у него же на сайте есть, это только вантузятники страдают. И жуют кактус с закрытым кодом.
> автор wireguard в первую очередь занимается основной реализацией - под linux, и правильно делаетправильно было бы при этом не мешать другим, и не заниматься fud-пропагандой (на это у него, как видите, время нашлось)
А он не мешает другим. Он предупреждает людей, что пользоваться сомнительным клиентом с закрытыми исходниками не стоит, ведь если туда авторы засунут троян, то валить потом все будут на него, так как WireGuard им создан.
угу, конечно, конечно, все шишки на бедного разработчика, никому ведь и в голову не придет обращаться туда, откуда скачал. Все пострадавшие от трояна - где-то в десятого уровня вложенности ридмишке раскопают его домашний адрес и телефон, и побегут выдавать незаслуженного леща!ну и как обычно - "сомнительным клиентом с закрытыми исходниками" (если что - это и называется FUD) - не стоит, а вот скачать из неведомого ppa неведомую сpань которая еще и 400 мегабайт девтулзов тянет, выполняющих неведомые скрипты (а это у них такая охрененная "бинарная сборка". Под конкретную, заметим, версию, конкретного линукса) - это пожалуйста, вы ж все их глазками лично на предмет закладок просмотрите, за ближайшие два миллиона лет, аффтор одобряэ.
И, главное, претензии предъявлять действительно будет некому- в отличие от коммерческой лавки, имеющей имя и репутацию - "ой, у нас в репе все норм, это кто-то ломанул ppa/obs/тыщиих". Ну или "ой, ключи от гитхаба проэтосамили, ну чо, бывает, это ж не мы, это ж все они!"
А бесплатный WG бывает? :)
Конечно. Я за свой не плачу ни копейки.
Да, WG World of Tanks
RSA нет а эллиптика под сомнением.
Учитывая что видимо оно там на гвозди прибито то поделка так себе.
На сколько я знаю соединение устанавливается путем отправки с клиента на "сервер" шифрованного сообщения ключами которые ты указал заранее на обоих концах, при чем если ключ клиента не верный то ответа не будет. Вообще там есть PSK.(вообще wireguard это point to point, а "VPN" из него получился сам собой путем заворачивания трафика на другом конце)
В ядре и так дыр хватает. Еще решили добавить?
ты за своими дырами лучше смотри, хсперд.
Давай, расскажи нам о дырах в ядре. Жду пример удаленных уязвимостей в ядре Linux за последние 10 лет и внимательно тебя слушаю.
> В ядре и так дыр хватает. Еще решили добавить?Это Леннарт ч-з другую калитку в кернел.орг щемится.
Вот этот проект посмотрите
https://www.softether.org/ну и для openvpn скрипт:
https://github.com/Angristan/OpenVPN-installПочитайте три ссылки github там по тексту
SoftEther интересен тем, что умеет косить под честный https, да тем, что умеет работать over icmp и прикидываться ДНСом. Но у него совершенно невозможный для человека cli, написанный инсектоидами для рептилоидов и гуевая управлялка только под винду.
> совершенно невозможный для человека cli, написанный инсектоидамиЯпонцами. Из более упopотых систем команд я пожалуй вcпомню только MegaCli.
Я и сказал инсектоидами для рептилоиодов :-D
FYI: эллиптические кривые уже тихо признаны плохой практикой компетентными службами. Для себя они их не используют.
