LINUX.ORG.RU

да вроде оно и так всегда как модуль ядра было. Судя по каментам. Так что можно вылезать из бгоневичка

dikiy ★★☆☆☆
()

^______^

Очень, очень крутая штука для site-to-site туннелей.

kirk_johnson ★☆
()
Ответ на: комментарий от Deleted

состав — это когда модуль просто входит в ванильную поставку. Поправьте, если ошибаюсь.

dikiy ★★☆☆☆
()
Ответ на: комментарий от post-factum

Почему ТС такой невменяемый?

Ты так говоришь, будто это имеет значение. Он невменяем, а почему - какая разница.

tailgunner ★★★★★
()
Ответ на: комментарий от post-factum

Желание истерить есть, а повод - уж какой был.

t184256 ★★★★★
()
Ответ на: комментарий от legolegs

Шустрее в дохренелион раз.

А «дохрениллион» - это сколько? У меня пинг между клиентами через OpenVPN в 2 раза медленнее, чем пинг через Интернет. Пинг между WireGuard-ами будет, скажем, в 3 раза быстрее, чем через OpenVPN?

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

Ну блин, ты новость читал хотя бы? Там же графики для сравнения есть.

post-factum ★★★★★
()
Последнее исправление: post-factum (всего исправлений: 1)
Ответ на: комментарий от kirk_johnson

Вот например:

ChaCha20 и Poly1305 позиционируются как более быстрые и безопасные аналоги AES-256-CTR и HMAC

Т.е. алгоритмы шифрования тупо другие. Что еще было другим? OpenVPN пустили поверх TCP?

tailgunner ★★★★★
()
Последнее исправление: tailgunner (всего исправлений: 1)
Ответ на: комментарий от tailgunner

Т.е. алгоритмы шифрования тупо другие.

Fair enough. Насколько я понял, на момент тестирования в openssl ещё не было поддержки chacha. Но у того же OpenVPN в приведенных тестах разница между chapoly и aes мизерная.

Что еще было другим? OpenVPN пустили поверх TCP?

Сомневаюсь. Зачем им так делать?

kirk_johnson ★☆
()
Ответ на: комментарий от tailgunner

Не распарсил. Не притворяйся, что ты не знаешь цену гонять данные из юзерспейса в ядро и назад, особенно после всяких Meltdown'ов.

post-factum ★★★★★
()
Ответ на: комментарий от kirk_johnson

Но у того же OpenVPN в приведенных тестах разница между chapoly и aes мизерная.

Ну, может ядро автоматически задействует аппаратное ускорение...

Зачем им так делать?

По недомыслию или злому умыслу. Как говорится, «there are lies, damn lies and benchmarks».

tailgunner ★★★★★
()
Ответ на: комментарий от post-factum

Не распарсил.

Ты не привел цифр оверхеда.

Не притворяйся, что ты не знаешь цену гонять данные из юзерспейса в ядро

Во-первых, копирование «память-память» очень быстрое; во-вторых, скопированные данные еще нужно еще зашифровать и вывести в линк, а линк ГОРАЗДО медленнее, чем память; в-третьих, не притворяйся, что ты не знаешь о zerocopy.

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

Ну, может ядро автоматически задействует аппаратное ускорение...

Простите, IPsec, не Openvpn, фигню пишу. В сети пишут, что чача быстрее AES в том случае, если аппаратного ускорения нет.

По недомыслию или злому умыслу. Как говорится, «there are lies, damn lies and benchmarks».

Ребята проделали довольно качественную работу, я сомневаюсь, что они так глупо облажались.

P.S. Насколько я понимаю, основная проблема openvpn в том, что он однопоточный.

kirk_johnson ★☆
()
Ответ на: комментарий от post-factum

Понятно с тобой всё ☹.

Вообще он дело говорит. Мы как-то с коллегами сравнивали увеличение latency при переходе с userspace-kernel на userspace-kernel-userspace и получали где-то 15% увеличения времени выполнения запроса. Это все-таки не в разы разница.

kirk_johnson ★☆
()
Последнее исправление: kirk_johnson (всего исправлений: 2)
Ответ на: комментарий от kirk_johnson

Ребята проделали довольно качественную работу, я сомневаюсь, что они так глупо облажались.

Я ничего не имею против WireGuard, но разница аж в 4 раза как-то неоправданно велика (по тому немногому, что я знаю).

Насколько я понимаю, основная проблема openvpn в том, что он однопоточный.

Мне кажется, что любая сетевая задача I/O-bound, так что зачем там больше?

tailgunner ★★★★★
()
Ответ на: комментарий от post-factum

Так цифры оверхеда будут?

На сисколл?

На посылку данных. А на сисколл я и сам знаю.

tailgunner ★★★★★
()
Последнее исправление: tailgunner (всего исправлений: 1)
Ответ на: комментарий от tailgunner

Я ничего не имею против WireGuard, но разница аж в 4 раза как-то неоправданно велика (по тому немногому, что я знаю).

Ну когда я луркал бенчмарки по ipsec vs openvpn я что-то похожее видел. Но это было три года назад.

Мне кажется, что любая сетевая задача I/O-bound, так что зачем там больше?

Кодирование/декодирование же. OpenVPN для этого стоковый openssl/gnutls/whatever использует.

kirk_johnson ★☆
()
Ответ на: комментарий от kirk_johnson

Мне кажется, что любая сетевая задача I/O-bound, так что зачем там больше?

Кодирование/декодирование же.

А. Ну, мне кажется. что это относительно легко исправляется.

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

А. Ну, мне кажется. что это относительно легко исправляется.

Я подозреваю, что они хотят заменить IPsec. Проблема в том, что wiregurad — туннель третьего уровня, а не второго. Что создает небольшие сложности в отсутствии DHCP.

kirk_johnson ★☆
()
Ответ на: комментарий от tailgunner

А IPv6 они умеют?

Да. Собстна, IPv6 как раз работает зашибись, потому что там автоконфигурация встроенная. link-level, по крайней мере.

kirk_johnson ★☆
()
Последнее исправление: kirk_johnson (всего исправлений: 2)
Ответ на: комментарий от grim

:(

Это не приватный VPN, шоп прятаться от власти. Это скорее корпоративный VPN, шоп быстро туннели развернуть между частями конторы.

kirk_johnson ★☆
()
Ответ на: комментарий от cheetah111v

SElinux подключаемый модуль, а шифрованльный будет по дефолту включен в ядро.

Подключаемым модулем, написанным гуглом для гуглосервисов.

P.S.

What’s interesting is that the Speck module has defaulted as off from kernel.org but Arch Linux has it turned on by default. Don’t ask me why.

kirk_johnson ★☆
()
Последнее исправление: kirk_johnson (всего исправлений: 3)
Ответ на: комментарий от kirk_johnson

Подключаемым модулем, написанным гуглом для гуглосервисов.

Ну и нафиг нам это в ванили? Пусть делают своё ядро или свои либы, зачем в апстрим это пихать?

cheetah111v
()
Ответ на: комментарий от cheetah111v

Ну и нафиг нам это в ванили? Пусть делают своё ядро или свои либы, зачем в апстрим это пихать?

Потому что в ядро постоянно что-то пихают.

P.S. Тебя BPF не смущает? Который может произвольный код выполнять. Или там парсер сертификатов.

kirk_johnson ★☆
()
Последнее исправление: kirk_johnson (всего исправлений: 1)
Ответ на: комментарий от cheetah111v

добавление модуля шифрования от веселенькой компании NSA

А DES тебя не смущал?

Ну и нафиг нам это в ванили?

А ты кто такой?

tailgunner ★★★★★
()
Последнее исправление: tailgunner (всего исправлений: 1)
Ответ на: комментарий от cheetah111v

Ну и нафиг нам это в ванили?

Потому что Андроид использует то же ядро, что и весь остальной Linux. Ваш К.О.

kirk_johnson ★☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.