Wireguard включен в ядро Linux

Ну это совсем поехавшие провайдеры.

Провайдеры могут, кстати, ещё и шейпить. А резать могут отели, аэропорты, вокзалы, кафе и прочие массовые места.

А так, ставишь sslh и вешаешь openvpn на 443 порт, вместе с вебсервером - помогает почти всегда.

А резать могут отели, аэропорты, вокзалы, кафе и прочие массовые места.

DNS в таком случае по TCP работает или они UDP трафик на 53 порт не трогают/заворачивают к себе?

Выкинуть то, что работало годами ради новодела, разработчики которого не сегодня так завтра забросят своё поделие? Вся суть линукс.

Поддержка IPSec требует явно больше сил, чем Wireguard. Просто в силу количества кода. Не говоря о том, что настройка IPSec это дикий анал-карнавал, в юзерспейсе штук пять демонов, и у всего этого просто дикий attack surface.

Они пропускают UDP трафик на 53 порт, но при этом режут пакеты больше X байт, например.

О, наконец-то. Пользуюсь протоколом уже где-то год-полтора для связи со своим VPS и для VPN (Mullvad).

Полёт отличный, настраивается легко и кушает меньше чем OpenVPN и IPSec.
Работает на роутере с OpenWRT.

DNS в таком случае по TCP работает или они UDP трафик на 53 порт не трогают/заворачивают к себе?

В тех случаях что я видел, работал только внутренний DNS сервер, адрес которого выдавался по DHCP.

Отлично. Жаль только в стабильную ветку дебиана вряд ли притащут.

Ну так IOS - не сильно менее кривой самопал. JunOS, вроде, тоже не без ошибок и недоделок.

Не путай божий дар с яичницей, а?

С ряда госов требуют фильтрацию трафика, и все вот эти вот UDP/443 вообще не в кассу. А еще сотруднички любят иной раз поставить на закачку десяток-другой гигов торрентов без всяких лимитов по скорости потому что безлимитка же, и вот он шпарит на всю полосу, пока остальные не могут элементарно почту проверить. Так что я прекрасно понимаю одменов, блочащих весь UDP.

Поддержка IPSec требует явно больше сил, чем Wireguard. Просто в силу количества кода. Не говоря о том, что настройка IPSec это дикий анал-карнавал, в юзерспейсе штук пять демонов, и у всего этого просто дикий attack surface.

Как это отменяет факт использования ipsec большим кол-вом людей?

Что подошло васяну - подойдет всем!

DNS в таком случае по TCP работает или они UDP трафик на 53 порт не трогают/заворачивают к себе?

Про заворачивают или нет - не знаю, но ход мыслей понятен. Я бы на их месте резал всё, что идёт не к их DNS серверу. Но даже если нет, чтобы использовать 53 порт нужно его ещё иметь свободным на своём сервере, а это не всегда возможно.

Да пофиг. У тебя же вроде AMD проц? Ай нид хэлп Протестируйте, пожалуйста, скрипт на FreeBSD

Оно все ещё не умеет пушить маршруты?

Это же тупо шифрованный туннель.

Какие модели умеет? Site-to-Site умеет? На каком уровне умеет работать? Наличие отдельных интерфесов требует? А может? Где подробности-то? На стороне клиента какая ОСь допускается?

В тех случаях что я видел, работал только внутренний DNS сервер, адрес которого выдавался по DHCP.

Во, точняк. По-моему так и работает!

Ну что можно сказать, значит тупо :^)

Именно поэтому приходиться держать и сабж и openvpn. Вот если бы скрестили их двоих...

теперь и у нас свой DirectAccess

Какие модели умеет?

Не понял

Site-to-Site умеет?

Да

На каком уровне умеет работать?

Только Layer 3

Наличие отдельных интерфейсов требует? А может?

Создает отдельный интерфейс. Может и несколько интерфейсов, если настроить на прослушивание нескольких UDP-портов.

Где подробности-то? На стороне клиента какая ОСь допускается?

Windows, Linux (кроме ядерной, есть еще две альтернативных реализации), MacOS, Android, iOS.

Оно все ещё не умеет пушить маршруты?

руками пропиши, заскриптуй, не деревянный

Чем вам так ipsec не угодил? Ведь он лучше, и этот набор протоколов является промышленным стандартом, в неком смысле.

Вы думаете, что wireguard — серебряная пуля? Ох, если бы.

Лол, бета-тест какой-то. Я роутер в прошлом году купил, позапрошлогодний, получается, так там Wireguard уже был из коробки.

Сейчас больше, через пару дет хз.

IPSec большой, страшный, его можно настроить бесконечным количеством плохо совместимых друг с другом способов, при этом сам по себе он не позволяет client2site сетапы, для этого его нужно спаривать с еще одним монстром, l2tp. Зачем вся эта возня теперь нужна, когда можно просто пару ключиков а-ля SSH сделать, не очень понятно.

когда можно просто пару ключиков а-ля SSH сделать, не очень понятно.

с openvpn давно можно. т.е. wireguard для тех, кто не смог openvpn и/или ipsec? :-)

С каких пор выбор алгоритма - это недостаток?

в криптографии вообще-то так и есть. Там не то что сами алгоритмы - даже их параметры не меняют, и крайне не приветствуют самопальные реализации. Посмотри например, как устроена libsodium.

20-30 лет назад таких вещей еще не понимали и клепали всяких переусложненных монстров с кучей уязвимостей. Но это не значит, что тем же самым надо заниматься и сейчас.

Такими темпами и systemd в ядро включат!

А у нас сотовые провайдеры ipsec блочат, сволочи!

virtualbox бы в ядро добавили….

Долго и без проблем юзаю ipsec и проблем нет. Иногда юзаю OpenVPN тоже все просто и понятно.

Почитал про сабж, думаю нужно попробывать ее…. может взлетит. Но все промышленные серваки под RHEL7 кто пробывал сабж туда ? Стабильно пашет ?

P.S. Что нравится в ipsec как правило ничего не нужно доставлять ни на сервак ни на клиента (бывают исключения).

OpenVPN в разы медленнее и требует настройки PKI.

virtualbox бы в ядро добавили….

В процессе

https://www.phoronix.com/scan.php?page=news_item&px=Linux-5.4-rc7-Released

требует настройки PKI. Что значит настройки ? Сгенерить сертфикат/ключ и подсунуть ума особо не нужно.

А что разве сабж без сертификата/ключа ?

Сгенерить рутовый серт, поддерживать CRL в актуальном состоянии, генерить клиетские серты. И нужно не обосраться в настройках openssl, что удается не всем.

В wg генерация ключа не сложнее ssh-keygen.

ICMP-туннель например, или же замена ip источника во входящих пакетах (мой случай)

Какие-то у тебя странные представления о проблемах у провайдеров.

Потому что на то он и царёк, что не от кого.

Сам директор что ли? Ну не работай у него тогда.

А вдруг это… ДИРЕКТОР ВСЕГО?

Сгенерить рутовый серт

./easyrsa build-ca

генерить клиетские серты.

./easyrsa build-client-full client1

В wg генерация ключа не сложнее ssh-keygen.

Ну хз.

При всем при этом, код wireguard влезает в 8k строк, а код openvpn + openssl уходит за полмиллиона. Как бе, очевидно, что проще аудировать. Я понимаю, что существующий код существует, работает, задеплоен и прочее «блаблабла», но это сейчас. Через пять лет, когда все это можно будет повыкидываь, расклад будет абсолютно иной.

Если что я не топлю за openvpn и ipsec, мне бы интересно кто уже поюзал под нагрузкой сабж в CentOS7.

Что то я не понял, а где сабж под NM ?
https://www.wireguard.com/install/#installation

или оно внутри : wireguard-tools ?

Можно взять ядро из новых релизов, для centos7 есть репозиторий.

Можно взять ядро из новых релизов, для centos7 есть репозиторий. Зачем ядро ? По официальной доке у них dkms.

Я вот не понимаю где них модуль этого дела под NM :(

В NM 1.16. Добро пожаловать в мегафриз ::)

хм.

У меня NetworkManager-1.18.0-5.el7_7.1.x86_64 … что то не видно. Буду доку читать :(

Спасибо.

Может этот модуль не стали пакетировать, раз WG ещё не был в релизе? Хотя хз, в пакете вроде все есть. Ну как все, dbus xml и хидеры.

Начальник «IT отдела» состоящего из двух сотрудников, работающий за еду в учреждении, директору которого нет дела до подобных проблем, и познаний которого всё равно не хватило бы чтобы понять что айтишники что-то делают не так.

А зачем в такой дыре работать?

По идее этот рпм должны были те пересобрать кто делал wireguard-toolsrpm. Ну на крайняк пересоберу NM.src.rpm не впервой ;)