LINUX.ORG.RU

Wireguard включен в ядро Linux

 ,


4

5

Wireguard – это простой и безопасный VPN-протокол, основным разработчиком которого является Jason A. Donenfeld. Долгое время модуль ядра, реализующий этот протокол, не принимали в основную ветку ядра Linux, так как использовалась своя реализация криптографических примитивов (Zinc) вместо стандартного crypto API. Недавно это препятствие было устранено, в том числе за счет доработок, принятых в crypto API.

Сейчас wireguard принят в основную ветку ядра Linux и будет доступен в релизе 5.6.

Wireguard выгодно отличается от других протоколов VPN отсутствием необходимости согласовывать используемые криптографические алгоритмы, радикальным упрощением процесса обмена ключами, и, как следствие, малым размером кодовой базы.

>>> Подробности

Ответ на: комментарий от Meyer

Ну это совсем поехавшие провайдеры.

Провайдеры могут, кстати, ещё и шейпить. А резать могут отели, аэропорты, вокзалы, кафе и прочие массовые места.

А так, ставишь sslh и вешаешь openvpn на 443 порт, вместе с вебсервером - помогает почти всегда.

sena ()
Ответ на: комментарий от sena

А резать могут отели, аэропорты, вокзалы, кафе и прочие массовые места.

DNS в таком случае по TCP работает или они UDP трафик на 53 порт не трогают/заворачивают к себе?

Meyer ★★★★ ()
Ответ на: комментарий от IPR

Выкинуть то, что работало годами ради новодела, разработчики которого не сегодня так завтра забросят своё поделие? Вся суть линукс.

Поддержка IPSec требует явно больше сил, чем Wireguard. Просто в силу количества кода. Не говоря о том, что настройка IPSec это дикий анал-карнавал, в юзерспейсе штук пять демонов, и у всего этого просто дикий attack surface.

kirk_johnson ★☆ ()
Ответ на: комментарий от Meyer

Они пропускают UDP трафик на 53 порт, но при этом режут пакеты больше X байт, например.

kirk_johnson ★☆ ()

О, наконец-то. Пользуюсь протоколом уже где-то год-полтора для связи со своим VPS и для VPN (Mullvad).

Полёт отличный, настраивается легко и кушает меньше чем OpenVPN и IPSec.
Работает на роутере с OpenWRT.

Nao ★★★★★ ()
Последнее исправление: Nao (всего исправлений: 1)
Ответ на: комментарий от Meyer

DNS в таком случае по TCP работает или они UDP трафик на 53 порт не трогают/заворачивают к себе?

В тех случаях что я видел, работал только внутренний DNS сервер, адрес которого выдавался по DHCP.

Axon ★★★★★ ()
Последнее исправление: Axon (всего исправлений: 1)

Отлично. Жаль только в стабильную ветку дебиана вряд ли притащут.

sunnandt ()
Ответ на: комментарий от AS

Ну так IOS - не сильно менее кривой самопал. JunOS, вроде, тоже не без ошибок и недоделок.

Не путай божий дар с яичницей, а?

pekmop1024 ★★★★★ ()
Ответ на: комментарий от Axon

С ряда госов требуют фильтрацию трафика, и все вот эти вот UDP/443 вообще не в кассу. А еще сотруднички любят иной раз поставить на закачку десяток-другой гигов торрентов без всяких лимитов по скорости потому что безлимитка же, и вот он шпарит на всю полосу, пока остальные не могут элементарно почту проверить. Так что я прекрасно понимаю одменов, блочащих весь UDP.

araks ()
Ответ на: комментарий от kirk_johnson

Поддержка IPSec требует явно больше сил, чем Wireguard. Просто в силу количества кода. Не говоря о том, что настройка IPSec это дикий анал-карнавал, в юзерспейсе штук пять демонов, и у всего этого просто дикий attack surface.

Как это отменяет факт использования ipsec большим кол-вом людей?

IPR ★★★★★ ()
Ответ на: комментарий от Meyer

DNS в таком случае по TCP работает или они UDP трафик на 53 порт не трогают/заворачивают к себе?

Про заворачивают или нет - не знаю, но ход мыслей понятен. Я бы на их месте резал всё, что идёт не к их DNS серверу. Но даже если нет, чтобы использовать 53 порт нужно его ещё иметь свободным на своём сервере, а это не всегда возможно.

sena ()
Последнее исправление: sena (всего исправлений: 3)

Оно все ещё не умеет пушить маршруты?

Gary ★★★★★ ()

Какие модели умеет? Site-to-Site умеет? На каком уровне умеет работать? Наличие отдельных интерфесов требует? А может? Где подробности-то? На стороне клиента какая ОСь допускается?

targitaj ★★★★★ ()
Последнее исправление: targitaj (всего исправлений: 1)
Ответ на: комментарий от Axon

В тех случаях что я видел, работал только внутренний DNS сервер, адрес которого выдавался по DHCP.

Во, точняк. По-моему так и работает!

sena ()
Последнее исправление: sena (всего исправлений: 1)
Ответ на: комментарий от Meyer

Именно поэтому приходиться держать и сабж и openvpn. Вот если бы скрестили их двоих...

as_lan ★★ ()

теперь и у нас свой DirectAccess

anonymous ()
Ответ на: комментарий от targitaj

Какие модели умеет?

Не понял

Site-to-Site умеет?

Да

На каком уровне умеет работать?

Только Layer 3

Наличие отдельных интерфейсов требует? А может?

Создает отдельный интерфейс. Может и несколько интерфейсов, если настроить на прослушивание нескольких UDP-портов.

Где подробности-то? На стороне клиента какая ОСь допускается?

Windows, Linux (кроме ядерной, есть еще две альтернативных реализации), MacOS, Android, iOS.

AEP ★★★★★ ()
Ответ на: комментарий от Gary

Оно все ещё не умеет пушить маршруты?

руками пропиши, заскриптуй, не деревянный

anonymous ()
Ответ на: комментарий от kirk_johnson

Чем вам так ipsec не угодил? Ведь он лучше, и этот набор протоколов является промышленным стандартом, в неком смысле.

Вы думаете, что wireguard — серебряная пуля? Ох, если бы.

int13h ★★★★★ ()
Ответ на: комментарий от anonymous

Лол, бета-тест какой-то. Я роутер в прошлом году купил, позапрошлогодний, получается, так там Wireguard уже был из коробки.

t184256 ★★★★★ ()
Ответ на: комментарий от int13h

IPSec большой, страшный, его можно настроить бесконечным количеством плохо совместимых друг с другом способов, при этом сам по себе он не позволяет client2site сетапы, для этого его нужно спаривать с еще одним монстром, l2tp. Зачем вся эта возня теперь нужна, когда можно просто пару ключиков а-ля SSH сделать, не очень понятно.

kirk_johnson ★☆ ()
Последнее исправление: kirk_johnson (всего исправлений: 1)
Ответ на: комментарий от kirk_johnson

когда можно просто пару ключиков а-ля SSH сделать, не очень понятно.

с openvpn давно можно. т.е. wireguard для тех, кто не смог openvpn и/или ipsec? :-)

anonymous ()
Ответ на: комментарий от jekader

С каких пор выбор алгоритма - это недостаток?

в криптографии вообще-то так и есть. Там не то что сами алгоритмы - даже их параметры не меняют, и крайне не приветствуют самопальные реализации. Посмотри например, как устроена libsodium.

20-30 лет назад таких вещей еще не понимали и клепали всяких переусложненных монстров с кучей уязвимостей. Но это не значит, что тем же самым надо заниматься и сейчас.

anonymous ()

Такими темпами и systemd в ядро включат!

А у нас сотовые провайдеры ipsec блочат, сволочи!

menangen ★★★★★ ()

virtualbox бы в ядро добавили….

buratino ★★★★★ ()

Долго и без проблем юзаю ipsec и проблем нет. Иногда юзаю OpenVPN тоже все просто и понятно.

Почитал про сабж, думаю нужно попробывать ее…. может взлетит. Но все промышленные серваки под RHEL7 кто пробывал сабж туда ? Стабильно пашет ?

P.S. Что нравится в ipsec как правило ничего не нужно доставлять ни на сервак ни на клиента (бывают исключения).

mx__ ★★★★★ ()
Последнее исправление: mx__ (всего исправлений: 1)
Ответ на: комментарий от kirk_johnson

требует настройки PKI. Что значит настройки ? Сгенерить сертфикат/ключ и подсунуть ума особо не нужно.

А что разве сабж без сертификата/ключа ?

mx__ ★★★★★ ()
Ответ на: комментарий от mx__

Сгенерить рутовый серт, поддерживать CRL в актуальном состоянии, генерить клиетские серты. И нужно не обосраться в настройках openssl, что удается не всем.

В wg генерация ключа не сложнее ssh-keygen.

kirk_johnson ★☆ ()
Последнее исправление: kirk_johnson (всего исправлений: 2)
Ответ на: комментарий от ne-vlezay

ICMP-туннель например, или же замена ip источника во входящих пакетах (мой случай)

Какие-то у тебя странные представления о проблемах у провайдеров.

AS ★★★★★ ()
Ответ на: комментарий от Axon

Потому что на то он и царёк, что не от кого.

Сам директор что ли? Ну не работай у него тогда.

AS ★★★★★ ()
Ответ на: комментарий от kirk_johnson

Сгенерить рутовый серт

./easyrsa build-ca

генерить клиетские серты.

./easyrsa build-client-full client1

В wg генерация ключа не сложнее ssh-keygen.

Ну хз.

mx__ ★★★★★ ()
Ответ на: комментарий от mx__

При всем при этом, код wireguard влезает в 8k строк, а код openvpn + openssl уходит за полмиллиона. Как бе, очевидно, что проще аудировать. Я понимаю, что существующий код существует, работает, задеплоен и прочее «блаблабла», но это сейчас. Через пять лет, когда все это можно будет повыкидываь, расклад будет абсолютно иной.

kirk_johnson ★☆ ()
Последнее исправление: kirk_johnson (всего исправлений: 1)
Ответ на: комментарий от kirk_johnson

Если что я не топлю за openvpn и ipsec, мне бы интересно кто уже поюзал под нагрузкой сабж в CentOS7.

mx__ ★★★★★ ()
Ответ на: комментарий от mx__

Можно взять ядро из новых релизов, для centos7 есть репозиторий.

kirk_johnson ★☆ ()
Ответ на: комментарий от kirk_johnson

Можно взять ядро из новых релизов, для centos7 есть репозиторий. Зачем ядро ? По официальной доке у них dkms.

Я вот не понимаю где них модуль этого дела под NM :(

mx__ ★★★★★ ()
Ответ на: комментарий от kirk_johnson

хм.

У меня NetworkManager-1.18.0-5.el7_7.1.x86_64 … что то не видно. Буду доку читать :(

Спасибо.

mx__ ★★★★★ ()
Ответ на: комментарий от mx__

Может этот модуль не стали пакетировать, раз WG ещё не был в релизе? Хотя хз, в пакете вроде все есть. Ну как все, dbus xml и хидеры.

kirk_johnson ★☆ ()
Последнее исправление: kirk_johnson (всего исправлений: 1)
Ответ на: комментарий от AS

Начальник «IT отдела» состоящего из двух сотрудников, работающий за еду в учреждении, директору которого нет дела до подобных проблем, и познаний которого всё равно не хватило бы чтобы понять что айтишники что-то делают не так.

Axon ★★★★★ ()
Последнее исправление: Axon (всего исправлений: 1)
Ответ на: комментарий от kirk_johnson

По идее этот рпм должны были те пересобрать кто делал wireguard-toolsrpm. Ну на крайняк пересоберу NM.src.rpm не впервой ;)

mx__ ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.