Wireguard включен в ядро Linux

Вот это отличная новость!

Не прошло и пяти лет… а, нет, кажись прошло.

Отличная новость! Недавно перешёл на него с OpenVPN, и был поражён скоростью и стабильностью работы. Вот только с документацией напряг, было бы круто если бы дальнейшие усилия были направлены на исправление этого недостатка.

Всего-то три года прошло, прости г-ди.

В смысле? Там же конфиг из трех строк, описанный в manpage, не?

Ура!

Все в ядро! Чем больше монолит, тем лучше!(?)

Тем временем

https://protonvpn.com/blog/openvpn-for-ios/

В том-то и дело, что дано два с половиной примера конфигов, и на этом всё. Начинаешь в этом конфиге что-то менять, и упираешься в то, что смысл и допустимые значения параметров подробно нигде не объяснены. Вот пример непонимания, которое у меня из-за этого возникло: OpenWRT, Wireguard, несколько клиентов.

А они проходили аудит?

Годнота.
Правда с аудитом вопросы, но упирается в скорость интернетов даже на говнороутерах.

Да.

Яхз, я разобрался с первого раза, но я читал их whitepaper.

Недавно перешёл на него с OpenVPN, и был поражён скоростью
OpenVPN

Да тот же IPsec куда быстрее этой поделки (при использовании ядерной реализации).

отсутствием необходимости согласовывать используемые криптографические алгоритмы

Чочочо? Там один алгоритм или как?

малым размером кодовой базы.

1827 files changed, 156150 insertions, 31388 deletions

нуну

Сейчас wireguard принят в основную ветку ядра Linux и будет доступен в релизе 5.6.

А в RouterOS только-только udp сделали у OpenVPN... Интересно, когда RouterOS на 5.6 переведут и Wireguard доступным сделают.

я читал их whitepaper

Вы же не будете отрицать что требовать этого от всех пользователей, мягко говоря, неразумно?

Вы же не будете отрицать что требовать этого от всех пользователей, мягко говоря, неразумно?

Да я и не предлагаю ничего требовать, я просто не увидел ничего сложного в настройке wireguard (вообще).

Ура! Спасибо за новость!

есть чем подтвердить?

Что OpenVPN медленнее IPSec? А это надо подтверждать? :)

я просто не увидел ничего сложного в настройке wireguard (вообще).

А вот я увидел. При этом, с OpenVPN разобраться оказалось куда проще, несмотря на то, что там настройка на два порядка сложнее, именно из-за обилия документации.

он там будет только под очень дорогой лицензией, наверно

и как пользователям routeros обходить проблемы у провайдера?

теперь заживём!!!!!!!1111

Настройка маршрутизации на клиенте у него есть? Или руками маршруты запихивать?

сейчас глянул настройку wireguard, похоже обязательным условием является наличие iptables.

https://www.linode.com/docs/networking/vpn/set-up-wireguard-vpn-on-ubuntu/

Я просто совсем еще не занимался темой vpn на линуксе, это со всеми vpn серверами так?

Интересно, когда RouterOS на 5.6 переведут

Через двадцать лет.

Фанаты микротыков должны страдать даже больше, чем вендузятники, ибо у последних зачастую выбора нет (софт или железо специфичное), а у первых нет никаких оправданий.

Merge git://git.kernel.org/pub/scm/linux/kernel/git/netdev/net-next
Pull networking updates from David Miller:
<…>

Ты же понимаешь, что это не только WireGuard?

это пока не начинаешь делать сложные штуки вроде разных тунелей к разным подсетям..

радикальным упрощением процесса обмена ключами

то есть, все вот эти навороты типа IKE не нужны, оказывается?

А c PFS как?

Стрёмно как-то менять проверенные временем решения…

Отсыпь прмеров, интересно посмотреть.

На рачевики вроде доступно все расписано, с примерами, траблшутами и особыми юзкейсами. Не заглядывал к ним?

С неё и начал. Не хватило.

А вот я увидел. При этом, с OpenVPN разобраться оказалось куда проще, несмотря на то, что там настройка на два порядка сложнее, именно из-за обилия документации.

Нуяхз. Ключ, подсеть, адрес интерфейса. Где там можно запутаться я не не очень понимаю. Разве что AllowedIPs на стороне клиента делают не совсем то, что можно было бы ожидать.

P.S. В арчевики даже разжевана твоя проблема, по ссылке выше.

Подумал что разговор про ваиргард.

Вот это мне понравилось «фанаты микротыков»)). Запишу в блокнотик. Реально, лучше их не назовёшь. «У нас микротик. Вы умеете настраивать микротики?» - фейспалм вызывают такие вопросы. Отвечаю железным голосом робота «да», но «роутеры я настраиваю в том числе» не говорю. Не поймут. Для них «микротик» - это не роутер, это целый микромир … космос!)) Чем-то напоминают маководов эти фанаты микротыков).

похоже обязательным условием является наличие iptables.

Iptables нужен для маскарадинга. Если тебе не нужно маскарадить, не нужно настраивать iptables.

Это в любом VPN так.

сейчас глянул настройку wireguard, похоже обязательным условием является наличие iptables.

Если кто-то так сказал на каком-то васянском сайте, это не означает что так оно и есть. У меня на VPSке запущен WireGuard, а для маскарадинга и прочего я использую nftables (iptables вообще не установлен).

chain forward {
                type filter hook forward priority 0; policy drop;
                iifname wg0 oifname ens3 accept
}

table ip nat {
        chain prerouting {
                type nat hook prerouting priority 0;
        }
        chain postrouting {
                type nat hook postrouting priority 100;
                oifname wg0 ip saddr 172.16.0.0/24 masquerade
        }
}

Это всё потому что, когда ты первый раз коснулся OpenVPN, ты ещё был молодым арчешкольником. Своё время не ценил и вообще…

А сейчас уже постарел, опердунел - по другому смотришь на одни и те же вещи.

Брюзга мод он

Да вообще, понаделали хипстерских сервисов, джинсовороты сраные. В документации описывают только happy case, чуть вправо-влево, никакой документации, ничего нет, трахайся сам или сноси и ставь заново. Вот они и сносят и ставят, вейп им в жопу.

Это не только Wireguard касается, это в принципе.

Брюзга мод офф.

спасибо, буду копать дальше. Обращуть если возникнут вопросы, так-то тема не столько интересная сколько важная

понятно

Ничего у него нет. Просто установка туннеля между двумя компутерами. Все остальное сам.

Скорее всего имелось в виду что он просто был сторонним модулем за который не хотели брать под ответственность основной ветки, теперь это не так, а так то оно наверное как было модулем к ядру так и останется, в монолите нет смысла.

Это проблема openwrt, а не wireguard %) Они выдумали свой формат конфигов, а документировать его поленились. Тоже страдал из-за этого, но только в openwrt.

Это проблема openwrt, а не wireguard %) Они выдумали свой формат конфигов, а документировать его поленились.

В моём случае проблема была не в формате конфигов, а в значениях опций.

P.S. В арчевики даже разжевана твоя проблема, по ссылке выше.

Где?