Представлен знаковый выпуск VPN WireGuard 1.0.0, который отметил собой поставку компонентов WireGuard в основном составе ядра Linux 5.6 и стабилизацию разработки. Включённый в состав ядра Linux код прошёл дополнительный аудит безопасности, выполненный независимой фирмой, специализирующейся на подобных проверках. Аудит не выявил каких-либо проблем...Подробнее: https://www.opennet.me/opennews/art.shtml?num=52636
Ура товарищи, свершилось!
>свершилось!свершится, когда выйдет ЦентОС с ядром 5.6++. Т.е. лет через несколько....
Кстати, а зачем WG, если ipsec во всём лучше?
> а зачем WG, если ipsec во всём лучше?Тут у нас случай "статью читал жопой"
Вы просто не в теме, вся шумиха вокруг ущербного WireGuard в силу его простоты сойдет на нет, в результате упрощения текущих алгоритмов шифрования через годик (а может и меньше) найдут пачку критических дырок. Сейчас просто специалисты по ИБ (реальные специалисты, а не скрипткидисы которым все поИБ) ждут момента когда на куче дырок можно будет выехать, а конторы которые занимаются "аудитом кода" проводят как правило статический анализ набором софта который не способен показать криптостойкость алгоритмов, так как это несколько иное. Ну ни чего, через годик товарищи радеющие сейчас за "скорость" и "надежность" данного выкидыша для тупого сапорта будут кричать совсем другие вещи...
Пока что надежнее IPsec ничего нету, это факт, гибче с точки зрения выбора поддерживаемых алгоритмов шифрования тоже, многопоточность... МНОГОПОТОЧНОСТЬ блять твоя возможна только до выхода в мир, в твоей ламповой лаборатории, а как только пойдешь в мир оператор просто соберет все в один jumbo frame на магистрали и положит большой болт на твою многопоточность... и тут выяснится что оказывается это говно которое сунули в ядро не быстрее старого и доброго IPsec (openvpn я предлагаю вообще не рассматривать как что-то для ынтырпрайза)...
Накипело видеть и слушать всю эту муйню...
Чет покекол как дегенерат с этого крика больной души
Посмотрю на этот комент через годик ещё раз
Ты что наркоман? IPsec во всем хуже!
Люди делятся на тех кто хвалит ipsec и тех кто уже пытался его использовать.
> зачем WG, если ipsec во всём лучше?Секта свидетелей вайргарда с тобой не согласится
Имхо, людям просто нравится процесс замены шила на мыло
А, ну раз вам нужон ЦентОС, тогда ждите... А мы воспользуемся более живыми дистрами.
Я хоть и не юзер центоса, но даже я знаю, что они бэкпортируют фичи в старые ядра. Так что дожидаться 5.6 не имеет смысла, всё будет раньше.
>Кстати, а зачем WG, если ipsec во всём лучше?А кто из публичных провайдеров VPN предоставляет доступ по IPSec?
Да многие наверно... Proton тот же
Офисный планктон ликует, а всем кто использовал VPN для анонимности наступил капец.
Ну все OpenVPNкaпeц
Мне нужен ваш совет . Стоит у меня WireGuard с ядром 5.5.13 и работает все хорошо. WireGuard с ядром 5.6 будет предустановлен в графической среде NetworkManadgar? Просто не хочу его удалять.
>WireGuard с ядром 5.6 будет предустановлен в графической среде NetworkManadgar?Каким боком WireGuard, который в ядре, относится к твоему НетворкМанагеру? Это уже от твоего дистроклепаетля зависит и от версии НетворкМанагера.
В KDE Plasma WireGuard уже интегрирован в NetworkManager там только устанавливай настройки и всё
а вот в GNOME еще пока нет приходится загружать networkmanager-wireguard-git.
Это что ещё за фигня? Есть же nordVPN работает нормально, и все дела. Кому эта подделка нужна?!!!
nordVPN - сервис
WireGuard - протокол работы самого VPN.
Сам nordVPN может работать поверх WireGuard.
Учи матчать. И еще русский язык за компанию.
>Поддержка WireGuard уже интегрирована в systemdэм.... зачем оно нужно в ините?
зачем всё остальное нужно в системД, включая сервер?
Не обязательно устанавливать systemd-networkd, в который добавили поддержку WireGuard.
Но тем, кто уже пользуется systemd-networkd, удобно с его помощью настраивать интерфейсы с Kind=wireguard.
> Не обязательно устанавливать systemd-networkdОбычно systemd-networkd идёт в одном пакете с systemd, по крайней мере так в debian. Но по умолчанию он отключён и вместо него используется ifupdown, плюс ещё на десктопах NetworkManager.
А зачем генератор QR-кодов и http-сервер в init'е?
https://habr.com/ru/company/dcmiran/blog/492888/
Почему не стоит пользоваться WireGuard
Однобокая статья. Которая совершенно умалчивает, насколько WireGuard прост и надёжен, в сравении с IPSec. Да, если у тебя большая сложная сеть, то тебе нужно что-то гибкое, и, возможно, WireGuard тебе плохо подходит (ибо оркестрировать им тяжеловато, и вообще он не гибок). А если тебе нужно тупо две личных машинки связать (для чего, кстати, и разрабатывался изначально WireGuard), то на порядок целесообразнее (просто по затраченным нервам/времени на результат), чем вменяемо настраивать IPSec.
> тупо две личных машинки связатьНе только. Использую его для связи нескольких домашних сетей, сервера за границей (сами-знаете-для-чего), рабочего компьютера и сетей (~20 маршрутов), при этом используется одна сеть /24, но есть маршруты между узлами напрямую. Всё работает как часы, причём, в домашней сети всё "крутится" на роутере с OpenWRT.
До этого был OpenVPN и IPSec (остался и сейчас, но не использую). WireGuard нравится больше.
Статья идиотская. Тут stargrave откритиковал: http://blog.stargrave.org/russian/102ce271ae0a15db27b5793392...
некий stargrave разгромил статью с посылом "а зачем WG, когда уже цать лет есть IPSEC", а в конце написал:"Не хочу сказать что я рекомендую его использовать, так как сам я однозначно поклонник IKEv2+ESP (IPsec)"
гы гы...
а ты, видимо, дальше первого абзаца не читаешь...
Автор рекламирует своё решение "наколеночное"? С деньгами я лучше возьму цисковый дмвпн или альтернативы от других производителей сетевого железа. Простому ипсеку до этого как вг до ипсека.
Потому что так сказал какой-то недоумок, который не понимает, чем бенчмарк алгоритмов отличается от бенчмарка сети?
> Блог компании Дата-центр «Миран»,Зaшквapная кoнтора! Вечно постят xpень в блогах.
> Michael Tremer
Ты остальные статьи этого нeaдeквата читал? :)
Ты сам-то этот бред читал? Там к каждому абзацу можно докопаться. Совершенно идиотская статья, написанная технически безграмотным человеком.
Module Size Used by
wireguard 94208 0
curve25519_x86_64 40960 1 wireguard
libchacha20poly1305 16384 1 wireguard
chacha_x86_64 28672 1 libchacha20poly1305
poly1305_x86_64 28672 1 libchacha20poly1305
libblake2s 16384 1 wireguard
blake2s_x86_64 20480 1 libblake2s
ip6_udp_tunnel 16384 1 wireguard
udp_tunnel 16384 1 wireguard
libcurve25519_generic 49152 2 curve25519_x86_64,wireguard
libchacha 16384 1 chacha_x86_64
libblake2s_generic 20480 1 blake2s_x86_64
По моим тестам текущая версия WireGuard обгоняет OpenVPN в 16 раз.
Это как?
Померил трафик при соединении —16 кбайт vs 256 кбайт?
Приблизительно во столько же раз (~20) максимальная производительность OpenVPN больше необходимой мне.
А у меня почему-то разницы почти нет (+/-5%), но зато файлы (~ по 100Гб) по nfs/smb у Wireguard чаще всего битые, а через OpenVPN всегда целые - вот и думай после этого...
но если знать размерность плоскости и алгоритм - то все эти, ваши, кривые можно ж расшифровать...
"Расшифровать кривые"... Кривые эти ничего не шифруют, а используются для обмена ключами (для генерации общего ключа).
Народ, а можно ли из Windows подключится к удаленной машине с Linux используя WireGuard? Или это решение чисто для связи двух Linux?
https://www.wireguard.com/install/
Можно, но от юзерспейс-реализации для винды чудес производительности ожидать не стоит.
Да ладно. На бытовых задачах что-то сомневаюсь что чего-то заметишь.
Да и как-то примитивно думать, что если в ядре, то значит априори зашибись - есть и обратные примеры.
Насчёт возможности высокопроизводительных юзерспейс решений я не сомневаюсь, достаточно того же bsd netflow. Сомнения мои касаются прежде всего винды :)
Короче какие-то "идиоты" включили WG в состав ядра, а "эксперты" хабра говорят, что это говно. Значит хорошие сапоги, надо брать. Время накажет.
Надеюсь мне дадут ключ шифрования
>позиционируются как (((более быстрые и безопасные аналоги))) AES-256-CTR и HMAC.
Когда будет во фрибсд?
А оно там давно есть. 1.0.0 тоже скоро подтянется.