https://www.opennet.ru/openforum/vsluhforumID3/115501.html Для включения в состав ветки net-next, на основе которой формируется начинка сетевой подсистемы для будущего выпуска ядра Linux, предложен (https://lkml.org/lkml/2018/10/6/137) набор патчей с седьмой версией VPN-интерфейса от проекта WireGuard (https://www.wireguard.io/). Проект предлагает минималистичную реализацию VPN на основе современных методов шифрования, очень быструю, простую в использовании и лишённую усложнений. WireGuard развивается с 2015 года, прошёл аудит и формальную верификацию (https://www.wireguard.com/formal-verification/) применяемых методов шифрования. VPN уже хорошо зарекомендовал себя в ряде крупных внедрений, обрабатывающих большие объёмы трафика. <br><br><br>В WireGuard применяется концепция маршрутизации по ключам шифрования, которая подразумевает привязку к каждому сетевому интерфейсу закрытого ключа и применение для связывания открытых ключей. Обмен открытыми ключами для установки соединения производится по аналогии с SSH. Для согласования ключей и соединения без запуска отдельного демона https://www.opennet.ru/openforum/vsluhforumID3/115501.html#161 Mon, 29 Oct 2018 20:36:44 GMT Из однопоточного юзерспейсного tinc на практике не удается выжать больше 600Mbps, а на мелких пакетах - 300.<br>Что умеет это вот?<br> https://www.opennet.ru/openforum/vsluhforumID3/115501.html#160 Sat, 13 Oct 2018 23:38:34 GMT &gt; The tinc init command will have generated <br>&gt; both RSA and Ed25519 public/private keypairs. <br><br>Мне не надо BOTH. Весь пойнт DJBшной крипты - в том что критичный криптокод небольшой, проверенный и зависимостей мало. А этот ваш RSA подразумевает что оно будет от openssl и всех его дыреней зависеть, а в хучшем случае ремота может еще и покормить запросами на счет RSA, после чего процессор очень крепко займется вычислениями с Big Int.<br><br>&gt; tinc <br>&gt; -n NETNAME generate-ed25519-keys <br><br>Это совершенно не отвечает на вопрос: может ли он уже быть маленьким, аккуратным, и без зависимостей от черти-каких стремных внешних либ типа openssl. <br><br>Смотри, минимальный 25519+Salsa20+1305 вообще в виде tweetnacl занимает смешной объем кода (его наизусть можно выучить) и это таки совместимо с NaCl. А если скорость капец как важна можно оптимизированный libsodium взять, но он уже все-же монстр. А теперь покажите мне этот фокус для RSA... и не надо пожалуйста #include'ов openssl.h или как его там, это сразу +100 https://www.opennet.ru/openforum/vsluhforumID3/115501.html#159 Sat, 13 Oct 2018 23:29:18 GMT &gt; Но какие же гавнистые и агресивные там разработчики это просто что-то.<br><br>А нельзя ли пруфца на это дело? В чем их агрессия проявляется?<br><br>&gt; не шифрованный. Прямо сейчас можно использовать реализацию от tunsafe отредактировать <br>&gt; config.h для полностью шифрованных пакетов.<br><br>Глядя на реализацию tunsafe - не надо ее использовать. По сравнению с оригиналом это уж никак не work of art. Какой-то хаотично наваленый код на плюсах вперемешку с наваленым черти как асмом, какие-то stdafx.h (лучше сразу #include &lt;facepalm.jpg&gt;) и прочие характерные прелести. Виндоразработчики могут сделать МАЗДАЙ и подобие OPENVPNного монстра даже из wireguard'а...<br> https://www.opennet.ru/openforum/vsluhforumID3/115501.html#158 Sat, 13 Oct 2018 21:24:32 GMT Ну это уже вопрос поиска баланса между количеством фич и простотой.<br> https://www.opennet.ru/openforum/vsluhforumID3/115501.html#157 Sat, 13 Oct 2018 21:22:39 GMT А то, что в ядре есть модули для CIFS и NFS &#8212; достаточно прикладных штук, не смущает?<br>Никто же не заставляет компилирировать или подключать данный модуль.<br> https://www.opennet.ru/openforum/vsluhforumID3/115501.html#156 Sat, 13 Oct 2018 00:15:29 GMT &gt;&gt; То есть сделать tinc. Уже сделали, работает.<br>&gt; А в нем крипто нормальное сделали все-таки в итоге? Ну то-есть 25519 <br>&gt; и прочие ChaCha? А то уповать на AES не очень хочется, <br>&gt; он довольно тормозной если криптоакселератора нет, а что там криптоакселератор внутрях <br>&gt; делает хрен бы его знает. RSA так и вообще слоупок.<br><br> You can further change the configuration as needed either by manually editing the configuration files, or by using tinc(8).<br> The tinc init command will have generated both RSA and Ed25519 public/private keypairs. The private keys should be stored<br> in files named rsa_key.priv and ed25519_key.priv in the directory /etc/tinc/NETNAME/ The public keys should be stored in<br> the host configuration file /etc/tinc/NETNAME/hosts/NAME. The RSA keys are used for backwards compatibility with tinc ver&#8208;<br> sion 1.0. If you are upgrading from version 1.0 to 1.1, you can keep the old configuration files, but you will need to<br> create Ed25519 keys using the following comman https://www.opennet.ru/openforum/vsluhforumID3/115501.html#155 Sat, 13 Oct 2018 00:12:59 GMT &gt; То есть сделать tinc. Уже сделали, работает.<br><br>А в нем крипто нормальное сделали все-таки в итоге? Ну то-есть 25519 и прочие ChaCha? А то уповать на AES не очень хочется, он довольно тормозной если криптоакселератора нет, а что там криптоакселератор внутрях делает хрен бы его знает. RSA так и вообще слоупок.<br> https://www.opennet.ru/openforum/vsluhforumID3/115501.html#154 Fri, 12 Oct 2018 11:19:25 GMT &gt;&gt; У меня не Ubuntu с ufw.<br>&gt;&gt; У меня openSUSE с firewalld.<br>&gt; И что характерно - оба этих "дружественных" креатива годны только под деинсталл.<br><br>И тут мы понимаем, какой дизигн-фичур был _решающим_ в "успехе" system-d[I]![/I] :-D<br><br>&gt; Лучше все же RTFMнуть про нормальный айпитаблес. Хотя, конечно, парни в <br><br>А потом RTFM-нуть в норм.генерато правиля для.<br> А перед этим таковой найти... //я firehol взял, но давно это было<br><br>&gt; индии строят дома как-то так: берут несколько фанерок, сверху кусок шифера <br>&gt; - обана, дом готов. Вот firewalld и ufw - очень в <br>&gt; духе такого софтостроя.<br><br>Ну, если Вы так говорите...<br> https://www.opennet.ru/openforum/vsluhforumID3/115501.html#153 Fri, 12 Oct 2018 11:01:18 GMT &gt; Новость, конечно отличная, но когда же будет клиент для винды?<br><br>Не понимаю смысла в нормальном впн под систему с встроенным кейлоггером. А для тех кому секурити для галочки - в винде пара каких-то клиентов встроена (pptp, l2tp). А то что они не work of art - так там вся ОС такая, впн-клиент не сделает это сито безопасным, защищенным, приватным и все такое.<br>