LINUX.ORG.RU

Wireguard включен в ядро Linux

 ,


4

5

Wireguard – это простой и безопасный VPN-протокол, основным разработчиком которого является Jason A. Donenfeld. Долгое время модуль ядра, реализующий этот протокол, не принимали в основную ветку ядра Linux, так как использовалась своя реализация криптографических примитивов (Zinc) вместо стандартного crypto API. Недавно это препятствие было устранено, в том числе за счет доработок, принятых в crypto API.

Сейчас wireguard принят в основную ветку ядра Linux и будет доступен в релизе 5.6.

Wireguard выгодно отличается от других протоколов VPN отсутствием необходимости согласовывать используемые криптографические алгоритмы, радикальным упрощением процесса обмена ключами, и, как следствие, малым размером кодовой базы.

>>> Подробности

Вот это отличная новость!

anonymous ()

Не прошло и пяти лет… а, нет, кажись прошло.

intelfx ★★★★★ ()

Отличная новость! Недавно перешёл на него с OpenVPN, и был поражён скоростью и стабильностью работы. Вот только с документацией напряг, было бы круто если бы дальнейшие усилия были направлены на исправление этого недостатка.

Axon ★★★★★ ()

Всего-то три года прошло, прости г-ди.

kirk_johnson ★☆ ()

Все в ядро! Чем больше монолит, тем лучше!(?)

anonymous ()
Ответ на: комментарий от kirk_johnson

В том-то и дело, что дано два с половиной примера конфигов, и на этом всё. Начинаешь в этом конфиге что-то менять, и упираешься в то, что смысл и допустимые значения параметров подробно нигде не объяснены. Вот пример непонимания, которое у меня из-за этого возникло: OpenWRT, Wireguard, несколько клиентов.

Axon ★★★★★ ()

Годнота.
Правда с аудитом вопросы, но упирается в скорость интернетов даже на говнороутерах.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от Axon

Недавно перешёл на него с OpenVPN, и был поражён скоростью
OpenVPN

Да тот же IPsec куда быстрее этой поделки (при использовании ядерной реализации).

Meyer ★★★★ ()

отсутствием необходимости согласовывать используемые криптографические алгоритмы

Чочочо? Там один алгоритм или как?

Ostegard ()

малым размером кодовой базы.

1827 files changed, 156150 insertions, 31388 deletions

нуну

Sectoid ★★★★★ ()
Ответ на: комментарий от anonymous

Сейчас wireguard принят в основную ветку ядра Linux и будет доступен в релизе 5.6.

А в RouterOS только-только udp сделали у OpenVPN... Интересно, когда RouterOS на 5.6 переведут и Wireguard доступным сделают.

AS ★★★★★ ()
Ответ на: комментарий от kirk_johnson

я читал их whitepaper

Вы же не будете отрицать что требовать этого от всех пользователей, мягко говоря, неразумно?

Axon ★★★★★ ()
Ответ на: комментарий от Axon

Вы же не будете отрицать что требовать этого от всех пользователей, мягко говоря, неразумно?

Да я и не предлагаю ничего требовать, я просто не увидел ничего сложного в настройке wireguard (вообще).

kirk_johnson ★☆ ()
Последнее исправление: kirk_johnson (всего исправлений: 1)

Ура! Спасибо за новость!

anonymous ()
Ответ на: комментарий от vvviperrr

Что OpenVPN медленнее IPSec? А это надо подтверждать? :)

pztrn ★★★★ ()
Ответ на: комментарий от kirk_johnson

я просто не увидел ничего сложного в настройке wireguard (вообще).

А вот я увидел. При этом, с OpenVPN разобраться оказалось куда проще, несмотря на то, что там настройка на два порядка сложнее, именно из-за обилия документации.

Axon ★★★★★ ()
Ответ на: комментарий от AS

он там будет только под очень дорогой лицензией, наверно

ne-vlezay ★★★★★ ()
Ответ на: комментарий от AS

и как пользователям routeros обходить проблемы у провайдера?

ne-vlezay ★★★★★ ()

теперь заживём!!!!!!!1111

Deleted ()

Настройка маршрутизации на клиенте у него есть? Или руками маршруты запихивать?

arsik ()
Ответ на: комментарий от AS

Интересно, когда RouterOS на 5.6 переведут

Через двадцать лет.

intelfx ★★★★★ ()
Ответ на: комментарий от AS

Фанаты микротыков должны страдать даже больше, чем вендузятники, ибо у последних зачастую выбора нет (софт или железо специфичное), а у первых нет никаких оправданий.

pekmop1024 ★★★★★ ()
Ответ на: комментарий от kirk_johnson

это пока не начинаешь делать сложные штуки вроде разных тунелей к разным подсетям..

Thero ★★★★★ ()

радикальным упрощением процесса обмена ключами

то есть, все вот эти навороты типа IKE не нужны, оказывается?

А c PFS как?

Стрёмно как-то менять проверенные временем решения…

pkuutn ()
Ответ на: комментарий от Axon

На рачевики вроде доступно все расписано, с примерами, траблшутами и особыми юзкейсами. Не заглядывал к ним?

Gonzo ★★★★★ ()
Ответ на: комментарий от Axon

А вот я увидел. При этом, с OpenVPN разобраться оказалось куда проще, несмотря на то, что там настройка на два порядка сложнее, именно из-за обилия документации.

Нуяхз. Ключ, подсеть, адрес интерфейса. Где там можно запутаться я не не очень понимаю. Разве что AllowedIPs на стороне клиента делают не совсем то, что можно было бы ожидать.

P.S. В арчевики даже разжевана твоя проблема, по ссылке выше.

kirk_johnson ★☆ ()
Последнее исправление: kirk_johnson (всего исправлений: 2)
Ответ на: комментарий от pekmop1024

Вот это мне понравилось «фанаты микротыков»)). Запишу в блокнотик. Реально, лучше их не назовёшь. «У нас микротик. Вы умеете настраивать микротики?» - фейспалм вызывают такие вопросы. Отвечаю железным голосом робота «да», но «роутеры я настраиваю в том числе» не говорю. Не поймут. Для них «микротик» - это не роутер, это целый микромир … космос!)) Чем-то напоминают маководов эти фанаты микротыков).

Desmond_Hume ★★★★★ ()
Ответ на: комментарий от jtad

похоже обязательным условием является наличие iptables.

Iptables нужен для маскарадинга. Если тебе не нужно маскарадить, не нужно настраивать iptables.

Это в любом VPN так.

Ostegard ()
Ответ на: комментарий от jtad

сейчас глянул настройку wireguard, похоже обязательным условием является наличие iptables.

Если кто-то так сказал на каком-то васянском сайте, это не означает что так оно и есть. У меня на VPSке запущен WireGuard, а для маскарадинга и прочего я использую nftables (iptables вообще не установлен).

chain forward {
                type filter hook forward priority 0; policy drop;
                iifname wg0 oifname ens3 accept
}

table ip nat {
        chain prerouting {
                type nat hook prerouting priority 0;
        }
        chain postrouting {
                type nat hook postrouting priority 100;
                oifname wg0 ip saddr 172.16.0.0/24 masquerade
        }
}
Meyer ★★★★ ()
Последнее исправление: Meyer (всего исправлений: 1)
Ответ на: комментарий от Axon

Это всё потому что, когда ты первый раз коснулся OpenVPN, ты ещё был молодым арчешкольником. Своё время не ценил и вообще…

А сейчас уже постарел, опердунел - по другому смотришь на одни и те же вещи.

anonymous ()
Ответ на: комментарий от anonymous

Брюзга мод он

Да вообще, понаделали хипстерских сервисов, джинсовороты сраные. В документации описывают только happy case, чуть вправо-влево, никакой документации, ничего нет, трахайся сам или сноси и ставь заново. Вот они и сносят и ставят, вейп им в жопу.

Это не только Wireguard касается, это в принципе.

Брюзга мод офф.

Ostegard ()
Ответ на: комментарий от Meyer

спасибо, буду копать дальше. Обращуть если возникнут вопросы, так-то тема не столько интересная сколько важная

jtad ()
Ответ на: комментарий от arsik

Ничего у него нет. Просто установка туннеля между двумя компутерами. Все остальное сам.

bhfq ★★★★★ ()
Ответ на: комментарий от anonymous

Скорее всего имелось в виду что он просто был сторонним модулем за который не хотели брать под ответственность основной ветки, теперь это не так, а так то оно наверное как было модулем к ядру так и останется, в монолите нет смысла.

abcq ()
Ответ на: комментарий от Axon

Это проблема openwrt, а не wireguard %) Они выдумали свой формат конфигов, а документировать его поленились. Тоже страдал из-за этого, но только в openwrt.

derlafff ★★★★★ ()
Последнее исправление: derlafff (всего исправлений: 1)
Ответ на: комментарий от derlafff

Это проблема openwrt, а не wireguard %) Они выдумали свой формат конфигов, а документировать его поленились.

В моём случае проблема была не в формате конфигов, а в значениях опций.

Axon ★★★★★ ()
Ответ на: комментарий от kirk_johnson

P.S. В арчевики даже разжевана твоя проблема, по ссылке выше.

Где?

Axon ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.