LINUX.ORG.RU

Wireguard включен в ядро Linux

 ,


4

5

Wireguard – это простой и безопасный VPN-протокол, основным разработчиком которого является Jason A. Donenfeld. Долгое время модуль ядра, реализующий этот протокол, не принимали в основную ветку ядра Linux, так как использовалась своя реализация криптографических примитивов (Zinc) вместо стандартного crypto API. Недавно это препятствие было устранено, в том числе за счет доработок, принятых в crypto API.

Сейчас wireguard принят в основную ветку ядра Linux и будет доступен в релизе 5.6.

Wireguard выгодно отличается от других протоколов VPN отсутствием необходимости согласовывать используемые криптографические алгоритмы, радикальным упрощением процесса обмена ключами, и, как следствие, малым размером кодовой базы.

>>> Подробности

Ответ на: комментарий от Ostegard

В документации описывают только happy case, чуть вправо-влево, никакой документации, ничего нет, трахайся сам или сноси и ставь заново.

++

intelfx ★★★★★ ()
Ответ на: комментарий от Axon

Notice that the Address have mask «/24» and the clients on AllowedIPs «/32». The client only use their IP and the server only send back their respective address.

kirk_johnson ★☆ ()
Ответ на: комментарий от kirk_johnson

Лол, эту строчку туда добавили через три недели после того, как я создал свою тему.

Axon ★★★★★ ()

Так оно же не умеет в TCP! Или уже умеет? Как без TCP?

sena ()
Ответ на: комментарий от sena

Так оно же не умеет в TCP! Или уже умеет? Как без TCP?

В UDP инкапсулируется.

Meyer ★★★★ ()

В ProtonVPN как раз идет бета-тест WireGuard, и идет очень даже хорошо. WireGuard это пушка!

anonymous ()
Ответ на: комментарий от arsik

В конфиге на клиенте

AllowedIPs = 198.252.160.0/24

И только заданная сеть у тебя пойдет через wg, а остальное как было, сети или адреса указываются через запятую.

То есть ты можешь на сервере разрешить все, а на клиенте только нужные тебе, например, можешь тем же параметром на сервере ограничить только нужными тебе и скопировать его на клиент.

anonymous ()

Что у него с обнаружением со стороны провайдера и маскировкой под «легитимный» траффик?

LittleKawaiiNeko ★★ ()
Ответ на: комментарий от pekmop1024

а у первых нет никаких оправданий.

Оправданий в чём?

AS ★★★★★ ()
Ответ на: комментарий от AS

Оправданий в чём?

Пользоваться кривым самопалом вместо открытых и/или промышленных решений

pekmop1024 ★★★★★ ()
Ответ на: комментарий от Desmond_Hume

но «роутеры я настраиваю в том числе» не говорю

А как отвечаешь на вопрос «Вы умеете настраивать Циску?» ? Или там Жунипер? :-)

AS ★★★★★ ()
Ответ на: комментарий от LittleKawaiiNeko

маскировкой под «легитимный» траффик?

Чем «нелегитимный» шифрованный траффик отличается от «легитимного»?

Axon ★★★★★ ()
Последнее исправление: Axon (всего исправлений: 1)
Ответ на: комментарий от ne-vlezay

и как пользователям routeros обходить проблемы у провайдера?

А что, есть роутер «с обходом проблем у провайдеров»? :-))

PS: ой, ne-vlezay же...

AS ★★★★★ ()
Ответ на: комментарий от LittleKawaiiNeko

Что у него с обнаружением со стороны провайдера и маскировкой под «легитимный» траффик?

А когда у нас запретили шифрование трафика?

AS ★★★★★ ()
Ответ на: комментарий от LittleKawaiiNeko

В самом протоколе ничего, его делали как vpn для легальных юзкейсов, типа site2site или подключений удаленных сотрудников.

kirk_johnson ★☆ ()
Ответ на: комментарий от pekmop1024

Пользоваться кривым самопалом вместо открытых и/или промышленных решений

Ну так IOS - не сильно менее кривой самопал. JunOS, вроде, тоже не без ошибок и недоделок.

AS ★★★★★ ()
Ответ на: комментарий от LittleKawaiiNeko

Это печально.

Печально - это когда люди думают, что легитимность трафика определяется особенностями протокола, а не последствиями от использования.

AS ★★★★★ ()
Ответ на: комментарий от Meyer

В UDP инкапсулируется.

TCP/443 + 80 открыто везде, а вот UDP режут

sena ()
Ответ на: комментарий от AS

Дяднька. Вот смотрите. Тот же SoftEther после своего появления требовал специальных телодвижений для обнаружения и пресечения, поскольку делал вид, что он честный ни в чём таком не подозрительный HTTPS-траффик. Пропалить это сугубо нетехническими средствами «а куда это непонятно куда столько течёт?» было как бы не слишком сложно, но это уже специальные телодвижения.

LittleKawaiiNeko ★★ ()
Ответ на: комментарий от LittleKawaiiNeko

Тот же SoftEther после своего появления требовал специальных телодвижений для обнаружения и пресечения

Зачем обнаруживать и пресекать? Или для баловства во всяких даркнетах? Так вот, Wireguard для работы, а не для баловства в даркнетах мамкиных хацкеров.

AS ★★★★★ ()
Ответ на: комментарий от LittleKawaiiNeko

Вот смотрите. Тот же SoftEther после своего появления требовал специальных телодвижений для обнаружения и пресечения, поскольку делал вид, что он честный ни в чём таком не подозрительный HTTPS-траффик.

Ещё раз: как вы будете без специальных телодвижений отличать траффик wireguard от, скажем, потокового видео c DRM?

Axon ★★★★★ ()
Ответ на: комментарий от kirk_johnson

DPI?

Оно умеет разбирать шифрованный траффик?

Axon ★★★★★ ()
Ответ на: комментарий от anonymous

учитывая, что ядро хотят запихивать так, чтобы пользователь не мог его самостоятельно поменять, то да, хорошо

SR_team ★★★★ ()
Ответ на: комментарий от anonymous

В ProtonVPN как раз идет бета-тест WireGuard, и идет очень даже хорошо.

Это можно прочитать разве что только у ЛОРовских фантазёров

fornlr ★★★★★ ()
Ответ на: комментарий от Axon

Оно умеет разбирать шифрованный траффик?

Не весь трафик шифруется одинаково, e.g по размеру сообщений некоторых протоколов можно понять, что это протокол X, а не Y, потому не применяется рандомизация размера зашифрованных пакетов и тому подобное.

kirk_johnson ★☆ ()
Ответ на: комментарий от LittleKawaiiNeko

Что у него с обнаружением со стороны провайдера и маскировкой под «легитимный» траффик?

Wireshark вроде определял как какой-то UDP мусор.

Meyer ★★★★ ()
Ответ на: комментарий от Desmond_Hume

Мокротык тупое уг. И шо, самое интересное, характерно - в каждой первой вакансии тычут. Щас что, нет другого толкового железа, кроме этих поделий?

dv76 ★★★ ()
Ответ на: комментарий от sena

UDP режут

Ну это совсем поехавшие провайдеры.

Meyer ★★★★ ()
Ответ на: комментарий от Meyer

Ну это совсем поехавшие провайдеры.

Провайдеров таких я не встречал, а вот местечковых «сетевых царьков» в учреждениях - вполне.

Axon ★★★★★ ()
Ответ на: комментарий от dv76

Щас что, нет другого толкового железа, кроме этих поделий?

На столько дешёвого при имеющемся функционале нет. Увы. А некоторые позиции вообще демпинг какой-то, но работают.

AS ★★★★★ ()
Ответ на: комментарий от Axon

а вот местечковых «сетевых царьков» в учреждениях - вполне.

Ну так у них, очевидно, внутренние инструкции? Причём тут «царёк»?

AS ★★★★★ ()

Всё в ядро!!11 Системд, вяйланд, всё в ядро.

IPR ★★★★★ ()
Ответ на: комментарий от AS

Ну так у них, очевидно, внутренние инструкции?

Не очевидно. В как минимум одном случае я даже уверен в обратном.

Axon ★★★★★ ()

принят в основную ветку ядра

Через десяток лет весь этот ваш GNU\Linux будет состоять из двух здоровых блотваре-бинарей - ведра и сустемд.

Wireguard выгодно отличается от других протоколов VPN отсутствием необходимости согласовывать используемые криптографические алгоритмы, радикальным упрощением процесса обмена ключами

А, ну да, это же каждые 15 минут руками делать надо, конечно надо было выкинуть. Возможность покрутить параметры для секьюрности или быстродействия, зачем это все?!

Круто, конечно, что что-то новое появляется и входит в мейнстрим. Грубо говоря, кроме openvpn сейчас и нет ничего вменяемого. Может это будет еще лучше, надо попробовать.

anonymous ()
Ответ на: комментарий от IPR

Скорее из ядра. Если оставить только wireguard и выкинуть к чертям IPSec, то ядро вообще неплохо похудеет.

kirk_johnson ★☆ ()
Ответ на: комментарий от anonymous

А, ну да, это же каждые 15 минут руками делать надо, конечно надо было выкинуть. Возможность покрутить параметры для секьюрности или быстродействия, зачем это все?!

Потому что Wireguard новый протокол и нет необходимости совать туда огромный набор cipher’ов, часть из которых стара как мир и дает возможность обосраться на пустом месте не давая никаких преимуществ.

kirk_johnson ★☆ ()
Ответ на: комментарий от Axon

Не очевидно. В как минимум одном случае я даже уверен в обратном.

А тогда почему он ещё по ушам сверху не получил?

AS ★★★★★ ()
Ответ на: комментарий от AS

А что, есть роутер «с обходом проблем у провайдеров»? :-))

ICMP-туннель например, или же замена ip источника во входящих пакетах (мой случай)

ne-vlezay ★★★★★ ()
Последнее исправление: ne-vlezay (всего исправлений: 1)
Ответ на: комментарий от AS

А тогда почему он ещё по ушам сверху не получил?

Потому что на то он и царёк, что не от кого.

Axon ★★★★★ ()

выгодно отличается … отсутствием необходимости согласовывать используемые криптографические алгоритмы

GNOME-way? С каких пор выбор алгоритма - это недостаток?

jekader ★★★★★ ()
Ответ на: комментарий от kirk_johnson

Скорее из ядра. Если оставить только wireguard и выкинуть к чертям IPSec, то ядро вообще неплохо похудеет.

Выкинуть то, что работало годами ради новодела, разработчики которого не сегодня так завтра забросят своё поделие? Вся суть линукс.

IPR ★★★★★ ()
Ответ на: комментарий от AS

Эти неосиляторы до сих пор VTI не могут сделать. А тут такое! Можно и не надеяться.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.