The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В systemd 237 запланирована поддержка VPN WireGuard

18.01.2018 04:31

В следующем релизе systemd 237 запланирована интеграция с WireGuard, VPN-туннелем нового поколения. Ключевой характеристикой проекта является сочетание применения проверенных современных методов шифрования с предоставлением минималистичной реализации, лишённой усложнений, наблюдаемых в таких системах, как xfrm и OpenVPN. WireGuard поставляется в виде модуля ядра Linux, пока не принятого в основной состав, но нацеленного на плотную интеграцию с главными компонентами ядра.

На прошлой неделе в основную ветку systemd-networkd были включены изменения для поддержки WireGuard, находившиеся в стадии разработки с сентября 2016 года. С точки зрения systemd, изменения содержат новый сетевой интерфейс "wireguard", а также инструментарий для управления ключами шифрования. Что примечательно, изменения прошли через много этапов ревизии и итераций, в том числе из-за довольно скромной первоначальной серии патчей. Глубина интеграции systemd и WireGuard наращивалась по мере ревизии изменений в коде.

  1. Главная ссылка к новости (https://www.phoronix.com/scan....)
  2. OpenNews: Четвёртый тестовый выпуск ОС Subgraph
  3. OpenNews: В рамках проекта WireGuard подготовлена новая реализация VPN для Linux
  4. OpenNews: VPN-сервер SoftEther VPN открыт под лицензией GPLv2
  5. OpenNews: Релиз свободного безопасного цензуроустойчивого VPN-демона GoVPN 5.0
  6. OpenNews: Доступен релиз OpenVPN 2.4.0
Автор новости: rmrf-software
Тип: К сведению
Ключевые слова: wireguard, vpn, tunnet, systemd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (166) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.2, X4asd (ok), 08:44, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Глубина интеграции systemd и WireGuard наращивалась по мере ревизии изменений в коде.

    и такое бывает? :-0

     
     
  • 2.27, Аноним (-), 11:13, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +22 +/
    А ты ещё не заметил, что systemd норовят интегрировать со всем по самые гланды?
     
     
  • 3.102, Аноним (-), 07:11, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потом какая-то уязвимость в одной из частей и полетели к чертям все ваши данные.
     
     
  • 4.171, Аноним (-), 20:27, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Потом какая-то уязвимость в одной из частей и полетели к чертям все
    > ваши данные.

    Придется тебе тогда освоить make menuconfig в линуксном кернеле. И будет у тебя в ядре только то что ты хотел.

     
  • 2.241, rewwa (ok), 23:32, 29/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Глубина интеграции systemd и WireGuard наращивалась по мере ревизии изменений в коде.
    > и такое бывает? :-0

    По крайней мере, в этом случае да

     

  • 1.3, Ю.Т. (?), 08:49, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я так понял, systemd начнёт "понимать" (появится синтаксис для) особенности wireguard?
     
     
  • 2.7, Аноним (-), 09:13, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +27 +/
    Скоро systemd начнёт понимать человеческий язык и обзаведется интелектом.
     
     
  • 3.9, А (??), 09:47, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    А потом "не шмогла" начнем слышать.
     
  • 3.14, Аноним (-), 09:53, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А затем будет skynetd.
     
     
  • 4.58, Аноним (-), 16:56, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Кхм... https://github.com/skynetservices/skynetd-archive
     
  • 3.137, Адекват (ok), 11:51, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Скоро systemd начнёт понимать человеческий язык и обзаведется интелектом.

    Научиться бухать и болеть с похмелья.

     
     
  • 4.172, Аноним (-), 20:30, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Научиться бухать и болеть с похмелья.

    Ты к чему призываешь посетителей, такой-сякой?!

     
  • 2.41, Анониммм (?), 13:01, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я так понимаю будут вичи навроде:
    - настраивать все сети и интерфейсы на раннем этапе загрузки
    - Пущать весь трафик через впн с самого старта системы
    - звгрузка большей части системы откуда то еще через этот впн

    В иделае хотеть:
    - сферический обходчик нат с наличием внешнего имени для узла, чтобы к любому настроенному компу можно было подрубиться с интернета и залогиниться, в т ч войти в текущую сессию.

    По факту же будет нефункциональная хрень для энтузиастов, как и большинство фич сабжа.

     
     
  • 3.56, Аноним (-), 15:55, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    "подрубиться с интернета" (через VPN)  и "залогиниться, в т ч войти в текущую сессию" это как тёплое и мягкое. Последнее к VPN не имеет отношения.
     
     
  • 4.74, эноним (?), 21:04, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это как технология и инструмент. Первое без последннего нафиг не сдалось.
    Ну можно и не логиниться а какие-то ресурсы заюзать.
     

  • 1.4, Аноним (-), 08:50, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А systemd надо переписывать/доделовать для запуска каждой новой апплиухи?
     
     
  • 2.11, КО (?), 09:48, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +18 +/
    Нет. Просто разработчики systemd считают, что пользоваться его возможностями, как запускалки сервисов, для их использования, не удобно. Поэтому предпочитают, чтобы все рервисы были в него интегрированы, а запуск независимого от systemd сервиса - это для лохов. :)
     
  • 2.21, Аноним (-), 10:27, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +26 +/
    Нет. Каждую аппликуху надо переписывать, чтобы она не работала без systemd.
     
     
  • 3.67, Лёня Поттеринг (?), 18:25, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это в планах.
     
     
  • 4.110, Andrey Mitrofanov (?), 10:23, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Это в планах.

    Лёнчик, не надо лукавить.

    Ты своиим др-ст-релизеором поломал/заменил все системные библиотеки/механизмы.

    Приложения после такого сами "вскакивают" на уходящий поезд. "Чтобы работало."(TM)

    Ты их не патчишь и не планируешь. Врунишка.

     
  • 2.48, h31 (ok), 13:52, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Во-первых, networkd, а не systemd.
    Во-вторых, да, если хочется интеграции с networkd, то нужно добавлять в него поддержку нового типа интерфейса. Захотят добавить поддержку OpenVPN - могут и для него конфигурялку прикрутить. Не нужна интеграция - пользуйся wg-quick, который прекрасно работает как обычный сервис.
     

  • 1.5, X4asd (ok), 08:51, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    а что там с ipv6?
     
     
  • 2.18, Аноним (-), 10:04, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    systemd- ipv6d?
     
     
  • 3.119, Аноним (-), 10:39, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > systemd- ipv6d?

    Увы, его опередили:
    [code]
    root       150     2  0     0     0   3 Jan12 ?        00:00:00   [ipv6_addrconf]
    [/code]
    Если кто не понял, это ядерный тред. Поляна занята, срите в кустах.

     
  • 2.76, h31 (ok), 21:22, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Всё хорошо с IPv6.
     

  • 1.6, Аноним (-), 09:03, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    systemd-wireguardd
     
     
  • 2.12, Аноним (-), 09:50, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    compgen -c | sed "s/.*/systemd-&d/"
     
     
  • 3.42, НяшМяш (ok), 13:15, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > systemd-lsd
    > systemd-c++d
    > systemd-ping6d
    > systemd-LICENSE.txtd

    это шедеврально

     
     
  • 4.121, Аноним (-), 10:45, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > systemd-lsd

    По-моему это у Лёни давно уже есть, но он не делится.

     
     
  • 5.236, Аноним (-), 15:51, 22/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    "По-моему это у Лёни давно уже есть, но он не делится."

    Как это не делится? Всем заливает без-воз-мезд-но! Одни пользователи Amazon AMI Linux Upstart-ом как лохи забрасываются. :)

     
     
  • 6.238, theoneandonly Lennart (?), 16:30, 22/01/2018 [^] [^^] [^^^] [ответить]  
  • +/

    > Как это не делится? Всем заливает без-воз-мезд-но! Одни пользователи Amazon AMI Linux
    > Upstart-ом как лохи забрасываются. :)

    Лох ведь есть является Loch?
    О да, мы с Красный Шляпа будем скоро Loch ваш часто, регулярно и с удовольствием иметь! О да, это будет быть фантастиш!

     

  • 1.8, RobotsCantPoop (?), 09:22, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Телеметрию когда собирать начнёт?
     
     
  • 2.16, Анонимус2 (?), 09:56, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Чуть ли не с первого релиза
     
     
  • 3.108, h31 (ok), 09:15, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Wat?
     
  • 2.24, Аноним (-), 11:06, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Когда в качестве хранилища для systemd-journald укажешь какой-нибудь rsyslogd с включённым сетевым журналированием: сам journald поддерживает только локальное.
     
  • 2.158, Annoynymous (ok), 17:58, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А рекламу показывать?
     

  • 1.10, A.Stahl (ok), 09:47, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вот и чудненько.
     
  • 1.13, Slot (ok), 09:52, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мндяяяя. Видимо что б навернулось если так всё и сразу? Слава богу есть CentOS с 10ти летней поддержкой!
     
     
  • 2.107, Аноним (-), 08:45, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    если ты не используешь виртаулизацию то ты используешь ILOподобные, а если нет то что ты делаешь с продакшене?
     

  • 1.20, Аноним (-), 10:09, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А когда systemd-machinelearningd ?
     
     
  • 2.22, нежданчик (?), 10:38, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А когда systemd-machinelearningd ?

    сразу после "systemd-warD" && "systemd-KillAllHomesD",
    а перед этим стадия "systemd-programmingD"

     
     
  • 3.28, Аноним (-), 11:28, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> "systemd-KillAllHomesD"

    KillAllHomiesD тогда

     
     
  • 4.45, Ю.Т. (?), 13:38, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>> "systemd-KillAllHomesD"
    > KillAllHomiesD тогда

    Нет, KillAllHomosD

     
  • 3.50, Аноним (-), 14:15, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> А когда systemd-machinelearningd ?
    >
    > сразу после "systemd-warD" && "systemd-KillAllHomesD",
    > а перед этим стадия "systemd-programmingD"

    Надеюсь обучать они это будут на основе systemd-tic-tac-toeD

     
  • 2.86, Аноним (-), 01:43, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Реквестирую systemd-machinegund, для интерфейса к хейтерам, ибо задолбали.
     
     
  • 3.111, Andrey Mitrofanov (?), 10:26, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Реквестирую systemd-machinegund, для интерфейса к хейтерам, ибо задолбали.

    Поплачь. У зеркала. Не поймёшь, так полегчает хоть.

     

  • 1.23, Аноним (-), 10:58, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >WireGuard поставляется в виде модуля ядра Linux

    А можно вкратце, что он в ядре забыл и чем не угодил TUN/TAP?

     
     
  • 2.25, Аноним (-), 11:09, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > что он в ядре забыл

    Производительность же.

     
     
  • 3.63, Аноним (-), 17:35, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ну что ты как маленький, в самом деле! У существующих решений есть Фатальный Недостаток.
     
     
  • 4.72, sage (??), 19:47, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это не шутка, если вы хотели пошутить. Коммерческий OpenVPN поставляется с собственным модулем ядра, т.к. TUN/TAP в текущем виде слишком медленный. Даже на i7 последнего поколения TUN/TAP в чистом виде, без какого-либо шифрования, выдает максимум 2 ГБ/с на локальной петле (не в OpenVPN, а вообще TUN/TAP), в то время как какой-нибудь IPsec с шифрованием(!) — за 30.

    IPsec как протокол переусложнен, просто так «взять и настроить VPN», обычно, не выходит, нужно сидеть и разбираться, настраивать с учетом особенностей и ошибок отдельно взятого оборудования.

    Wireguard, если сделают клиенты для других платформ (без модуля ядра), вполне себе имеет право на жизнь, и, вероятно, будет конкурировать с OpenVPN.

     
     
  • 5.83, angra (ok), 00:35, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > выдает максимум 2 ГБ/с на локальной петле

    Этого мало?

     
     
  • 6.87, Аноним (-), 01:46, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Этого мало?

    Да. Потому что на серверах он крепко грузит проц, на мелких устройствах он просто тормозит, а секурно его настроить - целый отдельный гемор. Дефолтная конфигурация openvpn сертификат не проверяет нормально. И толку от навороченного TLS-а оказывается ноль целых, фиг десятых: в дефолтном виде любой клиент может закатить MITM. Особо прошареные клиенты конечно могут это заткнуть, но даже это не гарантирует что очередной heartbleed в openssl все не испортит...

     
     
  • 7.113, Andrey Mitrofanov (?), 10:29, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >но
    > даже это не гарантирует что очередной heartbleed в openssl все не
    > испортит...

    Слава Гейцу, теперь у нас есть Ленарт и вирехуард.  Гарантии!

     
     
  • 8.237, Аноним (-), 15:55, 22/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Олл Хайль Леннарт ... текст свёрнут, показать
     
  • 6.122, Аноним (-), 10:48, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> выдает максимум 2 ГБ/с на локальной петле
    > Этого мало?

    Если тебе много, то с kpti ещё меньше будет.

     
  • 5.105, Джон Ленин (?), 08:10, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    OpenVPN медленный из-за методов шифрования, которые не опираются на аппаратные криптографические инструкции. — Из-за этого он и проц грузит, и батарею садит, и работает медленно.
     
     
  • 6.112, Аноним (-), 10:28, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Он медленный еще и потому что между кернелом и юзером все время телепается, гоняя пакеты из ядра в юзермод и обратно. WireGuard так не телепается, потому что в ядре.
     
  • 6.124, Аноним (-), 10:50, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > OpenVPN медленный из-за методов шифрования, которые не опираются на аппаратные криптографические
    > инструкции. — Из-за этого он и проц грузит, и батарею садит,
    > и работает медленно.

    Сказки малых народов СССР? Он использует openssl, в котором всё аппаратное давно уже есть.

     
     
  • 7.132, Аноним (-), 11:02, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Сказки малых народов СССР? Он использует openssl, в котором

    В котором кривая лицензия, куча дыр и если хочется хардварное ускорение, эти умники напрямую завернули вывод аппаратного "рандом" генератора проца в приложения, не парясь мелочами "а что если АНБ засунуло в этот генератор рандома бэкдор?". Нате вам то что отгружает мутная интелская хня напрямую. Чтобы если уж поимели то наверняка.

    И вообще, в openssl много чего есть. Включая доисторические методы шифрования и нетривиальную логику проверки сертификатов, так что шансы все это секурно настроить у большинства людей в районе плинтуса.

     
  • 7.136, Джон Ленин (?), 11:21, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Сказки малых народов СССР? Он использует openssl, в котором всё аппаратное давно
    > уже есть.

    Запусти OpenVPN на телефоне, yмник. Потом отчитаешься, насколько оно у тебя аппаратно "есть".
    Есть на Штеуде и АМД, но нет на всяких MIPSах и ARMах. И даже если оно "есть" то работает очень уп0рото.

     
     
  • 8.138, EHLO (?), 11:51, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Как оно в сравнении WireGuard на телефоне ... текст свёрнут, показать
     
     
  • 9.150, Онанимус (?), 15:02, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Как на телефоне - не знаю, а вот на роутере рвет, как тузик грелку И по скорост... текст свёрнут, показать
     
  • 9.166, Джон Ленин (?), 20:16, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    IPsec работает лучше во много раз А про вайергвард я вообще ничего не говорил ... текст свёрнут, показать
     
     
  • 10.185, EHLO (?), 21:27, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    с телефона-то IPSec Особенно через сотовых операторов и НАТы с фаерволами хорош... текст свёрнут, показать
     
     
  • 11.243, zanswer CCNA RS and S (?), 08:04, 30/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если оператор не ставит перед собой цели заблокировать IPSec специально, то особ... текст свёрнут, показать
     
  • 2.29, Andrey Mitrofanov (?), 11:28, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>WireGuard поставляется в виде модуля ядра Linux
    > А можно вкратце, что он в ядре забыл и чем не угодил
    > TUN/TAP?

    Поттеринг prod-ит ядро. Новая попытка.

     
  • 2.55, Аноним (-), 15:49, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >что он в ядре забыл и чем не угодил TUN/TAP?

    https://www.opennet.ru/opennews/art.shtml?num=44695

     
  • 2.88, Аноним (-), 01:47, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А можно вкратце, что он в ядре забыл и чем не угодил TUN/TAP?

    Переключениями контекста, разумеется. Как угодно но частое телепание между ядром и юзермодом тормозит даже в монолите и в вещах типа vpn это сильно вылезает.

     

     ....нить свёрнута, показать (21)

  • 1.26, Аноним (-), 11:12, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Openvpn проходил аудит, это не гарантия полной безопасности но все же, а что с WireGuard?
     
     
  • 2.30, Andrey Mitrofanov (?), 11:29, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Openvpn проходил аудит, это не гарантия полной безопасности но все же, а
    > что с WireGuard?

    Леннарта же прошёл.

     
     
  • 3.35, freehck (ok), 12:15, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Леннарт уже прошёл.

    fixed

    PS: все мы знаем результаты аудита Леннарта... ;)

     
  • 3.36, Csh (?), 12:30, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А что Ленартушка прошел? Обследование в дурке? Что-то непохоже....
     
     
  • 4.62, Andrey Mitrofanov (?), 17:33, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    #>>> Openvpn проходил аудит
    #>>>а что с WireGuard?
    #>> [WireGuard] Леннарта же прошёл[, это молодёжнее и радужнее любого аудита.]

    > А что Ленартушка прошел? Обследование в дурке? Что-то непохоже....

    </зачтомне></откудавывсе></трудновпадежи>

     

  • 1.31, Аноним (-), 11:32, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Когда WireGuard примут в ядро?
     
     
  • 2.54, Аноним (-), 15:36, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Трудно сказать. Это как палец ляжет.
     
  • 2.89, Аноним (-), 01:48, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Когда WireGuard примут в ядро?

    Когда дойдет до кондиции, тогда и примут. Так с всеми фичами в линукс.

     
     
  • 3.91, Аноним (-), 02:13, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Сколько % до кондиции осталось?
     
     
  • 4.92, EHLO (?), 02:15, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Сколько % до кондиции осталось?

    146

     
  • 4.115, Аноним (-), 10:30, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Сколько % до кондиции осталось?

    Спроси в рассылке, чо.

     
     
  • 5.144, Andrey Mitrofanov (?), 12:33, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Сколько % до кондиции осталось?
    > Спроси в рассылке, чо.

    --Шеф, клиент дошёл до кондиции!
    [,,,]
    --А теперь - песня про зайцев[I]!
    https://www.youtube.com/results?search_query=%D0%BF%D0%B5&

     
  • 3.109, h31 (ok), 09:33, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Дело не столько в кондиции, сколько в том, что автор хочет убедиться в качестве протокола. Когда модуль попадет в ядро, менять протокол уже будет поздно.

    Сама реализация уже давно работает отлично. Пользуюсь год, такой же простой в настройке и отладке VPN-системы я не видел. Что OpenVPN, что IKEv2, приходилось морочиться с конфигами. А тут как с SSH - сгенерировал ключик одной командой, скинул публичную часть на сервер, и оно всё сразу заработало. В репозиториях большинства дистрибутивов уже всё опакечено, нужно только ядро 3.10+.

     
     
  • 4.114, Аноним (-), 10:30, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > приходилось морочиться с конфигами. А тут как с SSH - сгенерировал
    > ключик одной командой, скинул публичную часть на сервер, и оно всё
    > сразу заработало.

    Как-то так оно и должно работать. А IKE и TLS/SSL пожелаем скорейшей кончины. Переусложненные дефективные протоколы с кучей ненужностей, которые вечно вызывают проблемы и дыры. Сконфигурять OpenVPN секурно - почти рокетсайнс.

     
  • 4.169, Укпшд (?), 20:24, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > такой же простой в настройке и отладке VPN-системы я не видел.

    Простой это peervpn, а WireGuard создан рептилоидоми для силиконовых разумных пауков.

     

  • 1.32, svsd_val (ok), 11:50, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А когда будет systemd-desktop-kde ? systemd-kernel ? А то это уже ни в какие ворота не лезет... Нужно больше SYSTEMD и отдельную ось SYSTEMD, зачем нам этот GNU/Linux !? Да зачем нам вообще Linux ядро, у нас же всё SYSTEMD будет уметь :D:D:D:D:D:D
     
  • 1.33, freehck (ok), 12:12, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Ключевой характеристикой проекта является сочетание применения проверенных современных методов шифрования с предоставлением минималистичной реализации, лишённой усложнений, наблюдаемых в таких системах, как xfrm и OpenVPN.

    Ага, и вместо того, чтобы сделать упрощающую обвязочку над openvpn, они делают новую реализацию. Какой хороший Поттеринг человек, так активно продвигает вело-спорт и здоровый образ жизни.

    > WireGuard поставляется в виде модуля ядра Linux, пока не принятого в основной состав, но нацеленного на плотную интеграцию с главными компонентами ядра.

    А, пардон, поторопился. Похоже, суть инновации в том, что Лёня опять в ядро хочет залезть. Интересно, насколько терпения Линуса хватит в этот раз.

     
     
  • 2.38, Akteon (?), 12:44, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну смотрите, к одному дебиановскому разработчику уже выезжал карательный отряд НКВД, так что думаю Линусу отправят Большой Грузовик Истребления  ...
     
     
  • 3.104, exSun (ok), 08:05, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    systemd-nkvd же!
     
  • 2.39, Аноним (-), 12:52, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Этож не Лёня
     
  • 2.44, Аноним (-), 13:38, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Причём тут "упрощающая обвязочка"? Обвязочка — это дополнительный код, дополнительное поле для ошибок. Суть WireGuard — минималистичная реализация VPN, где места для ошибок и закладок предельно мало. И Лёня тут просто примазаться решил, это вовсе не его проект.
     
     
  • 3.49, Борщдрайвен бигдата (?), 14:15, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Адекватный аноним, два чая тебе.
     
  • 2.47, h31 (ok), 13:48, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Ага, и вместо того, чтобы сделать упрощающую обвязочку над openvpn, они делают новую реализацию. Какой хороший Поттеринг человек, так активно продвигает вело-спорт и здоровый образ жизни.

    Полистайте слайды про WireGuard. Его разрабатывает один из основных разработчиков ядра, который знает, что делает. OpenVPN архитектурно переусложнен. WireGuard решает те же задачи, но содержит в 20 раз меньше строк кода и работает в 10 раз быстрее (это факт).
    Поттеринг тут ни при чем, он просто добавил к networkd (даже не к самому systemd) удобую конфигурялку.

     
     
  • 3.57, Anon_two (?), 16:41, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Зачем оно нужно когда нормальные админы юзают openVPN уже очень давно и успешно?
    По-видимому они специально добавляют дополнительные возможности для бекдоров...
     
     
  • 4.65, Аноним (-), 17:37, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Железная логика. Если работает, то зачем менять? Может потому что он в ряде задач справляется лучше? https://www.opennet.ru/opennews/art.shtml?num=44695
     
  • 4.93, Тророро (?), 02:24, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Меньше код - меньше вероятность ошибки и , как следствие, какой-нибуть дыры.
    Пройтись бритвой Оккама по сущиствующим решениям - хорошее начинание.

     
  • 3.81, freehck (ok), 00:06, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Поттеринг тут ни при чем, он просто добавил к networkd (даже не к самому systemd) удобую конфигурялку.

    О, тогда звучит неплохо.

    Ну так, проформы ради, дабы уточнить: стало быть новость о том, что Леннарт добавил к networkd конфигурялку, и всё? Весело.

     
     
  • 4.98, Аноним (-), 02:39, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    До поттеринга дошло примерно то же что и до разработчиков openwrt. У них нечто похожее тоже есть, при том не только для впнов, они из своей конфигурационной системы даже более прозаичные программы настривают. Типа того же трансмишна. Парсят свой "цискообразный" конфигурационный блок ("UCI") и на основе этого генерят (!!!) трансмишну конфиг. И такая фигня много с чем еще.
     
     
  • 5.117, Andrey Mitrofanov (?), 10:34, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > До поттеринга дошло

    Не. Может? Быть! Вывсёврёти.

    > примерно то же что и до
    >генерят (!!!) трансмишну конфиг. И такая фигня много с чем еще.

     
     
  • 6.125, Аноним (-), 10:51, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Не. Может? Быть! Вывсёврёти.

    Да там на самом деле довольно кондовый обмен идеями. Хоть у каждого и в своей перепевке.

    А чтобы ты не расслаблялся, сообщу что openvpn с системдой дружит не хуже. Для него в демьяне и деривативах запилили коронную фишку системды - сервисы с инстансами. И поэтому системд может одной левой пустить пяток инстансов опенвпн-а с разными конфигами. Что довольно удобно. А в sysv init и это тоже без геморроя не получалось. Но, конечно же, что за система такая, если с ней трахаться не надо и настраивается любым ламером за 5 минут в навороченную конфигурацию...

     
     
  • 7.140, Адекват (ok), 12:03, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > и настраивается любым ламером за 5 минут в навороченную конфигурацию...

    Сказал человек, который ниразу не ловил галюнов на ровном месте с SystemD, там порой такие приключения бываю, что с ума начинаешь сходить.

     
     
  • 8.170, Аноним (-), 20:25, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не, ну почему Один раз попался баг с очень медленной инициализацией рандома в с... текст свёрнут, показать
     
  • 2.90, Аноним (-), 01:52, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    WireGuard вообще делают другие люди Поттеринг лишь поддержал настройку их фигов... текст свёрнут, показать
     
     
  • 3.118, Andrey Mitrofanov (?), 10:38, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Ага, и вместо того, чтобы сделать упрощающую обвязочку над openvpn, они делают
    >> новую реализацию.
    > WireGuard вообще делают другие люди. Поттеринг лишь поддержал настройку их фиговины.

    Это и надо было написать в заголовке новости. #мопеднемой

    > А знаешь, тормоза опенвпн от переключения контекста упрощающей обвязкой не лечатся.

    А вот это Правильно! Наконец-то хоть кто-то делает всё по науке!!

    Молоццы разрабы w-g, что выкинули эти поганые переключения контекстов из своего модуля ядра.  Хоть и не ленарты, а молоццы же! >/<

     
     
  • 4.126, Аноним (-), 10:52, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Это и надо было написать в заголовке новости. #мопеднемой

    А может не надо? Иногда полезно видеть истинные цвета. Рефлексия павловских собачек доставила.

    > Молоццы разрабы w-g, что выкинули эти поганые переключения контекстов из своего модуля ядра.  
    > Хоть и не ленарты, а молоццы же! >/<

    Они не первые.

     
  • 4.127, Аноним (-), 10:54, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Ага, и вместо того, чтобы сделать упрощающую обвязочку над openvpn, они делают
    >>> новую реализацию.
    >> WireGuard вообще делают другие люди. Поттеринг лишь поддержал настройку их фиговины.
    > Это и надо было написать в заголовке новости. #мопеднемой

    Нет! Одепты должны твёрдо верить, что всё, что есть лучшего в системе, написано Поттерингом!

     

  • 1.34, EHLO (?), 12:14, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Серьёзный вопрос!

    По ссылке написано:

    >Why I want to include support for WireGuard into systemd-networkd:
    >WireGuard implements a new interface type called "wireguard".
    >WireGuard itself ships a command line util called wg for key management,
    >but lacks of support to configure ip addresses and routes on the interface.
    >My pull request intend to close this gap by implementing key management as
    >well as the new interface type in systemd-networkd.

    ИМХО звучит как "потому что гладиолус"

    Вопрос: только я не вижу абсолютно никакой логики в этом объяснении?
    Или таки у них (смстемдэшников) действительно расстройство мышления?

     
     
  • 2.37, Аноним (-), 12:43, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    потому что не осилил пофиксить wg утилитку.
     
  • 2.40, Michael Shigorin сбоку (?), 12:52, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Или таки у них (смстемдэшников) действительно расстройство мышления?

    По-моему, это было очевидно райт фром зи старт.

     
     
  • 3.215, kuku (ok), 22:51, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Оно, мышление, у них есть. Но оно, помоему, детское или однобокое,
    явно не в рамках UNIX. Я так понимаю, в UNIX всё пытаются
    разбить на части в разумных пределах. И каждая часть "грамотно"
    выполняет свою, может и маленькую, работу. А у них, явно,
    диаметрально противоположный подход.
    Им трудно понять бритву Оккама. Альберт Эйнштейн пересказал её:
       "Всё необходимо упрощать до тех пор, пока это возможно.
        Но не более того."
    Они, видимо, упрощают в "другую" сторону.
     
  • 3.222, kuku (ok), 23:04, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Чем сложнее архитектура и организация объекта,
    тем больше у него заходов. В UNIX сложность явно
    не приветствуется. Она вызывает осложнения. :)
     
  • 2.61, Аноним123 (?), 17:25, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >but lacks of support to configure ip addresses and routes on the interface.

    ФАТАЛЬНЫЙ НЕДОСТАТОК!!!11

     
     
  • 3.64, Andrey Mitrofanov (?), 17:36, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>but lacks of support to configure ip addresses and routes on the interface.
    > ФАТАЛЬНЫЙ НЕДОСТАТОК!!!11

    И так будет с каждым, кто решит [,что может] обойтись без bash-а [I]!11

     
     
  • 4.94, Аноним (-), 02:26, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И так будет с каждым, кто решит [,что может] обойтись без bash-а [I]!11

    Спасибо, башевики-затейники уже сконфигуряли ремотный рут-доступ по DHCP. Добавки что-то не хочется.

     
     
  • 5.99, EHLO (?), 02:47, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> И так будет с каждым, кто решит [,что может] обойтись без bash-а [I]!11
    > Спасибо, башевики-затейники уже сконфигуряли ремотный рут-доступ по DHCP. Добавки что-то
    > не хочется.

    А что так? Слишком сложно и сразу закрыли?
    По учетке 0day получить рут конечно и проще и как-то колоритнее.

     
     
  • 6.116, Аноним (-), 10:34, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А что так? Слишком сложно и сразу закрыли?

    Сразу после того как нашли. А сколько оно до этого всех позволяло поиметь и сколько систем которые не патченые и до сих пор можно поиметь - вопрос открытый.

    > По учетке 0day получить рут конечно и проще и как-то колоритнее.

    Какой еще учетке? В конкретно этом случае я могу как максимум представить remote kernel, что забористее, но ядерщики прошареные и с ними такой номер провернуть не так то просто. Легенды гласят что так вроде было в стародавние времена, но реально ping of death и проч мало кто помнит.

     
     
  • 7.141, EHLO (?), 12:03, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> По учетке 0day получить рут конечно и проще и как-то колоритнее.
    > Какой еще учетке? В конкретно этом случае я могу как максимум представить
    > remote kernel, что забористее, но ядерщики прошареные и с ними такой
    > номер провернуть не так то просто. Легенды гласят что так вроде
    > было в стародавние времена, но реально ping of death и проч
    > мало кто помнит.

    Как можно пропустить такое событие?! https://www.cvedetails.com/cve/CVE-2017-1000082/
    Свою десяточку Леннарт достойно заработал, можно очередную звезду лепить фюзеляж. Хотя некуда уже.

     
     
  • 8.173, Аноним (-), 20:37, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Негров, говорите, линчуют Какой этот поттеринг нехороший Но ремотного рута по ... текст свёрнут, показать
     
     
  • 9.187, EHLO (?), 21:43, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Поттеринг тоже говорит, что в баше все стремное, а он по определению все правиль... текст свёрнут, показать
     

  • 1.43, DmA (??), 13:24, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Здорово было бы, если бы там обмен был ключами по принципу доверительной сети, тогда можно было бы построить приватную глобальную сеть с полным шифрованием .Время бы некоторые ушло на обмен ключами, но потихоньку бы сеть выстроилась как надо.
    Хотя бы на Линукс компьютерах, а там глядишь и винда подтянулась
     
     
  • 2.46, Аноним (-), 13:41, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это можно сделать поверх. WG спроектирован в духе UNIX-way, как кубик для лего. Конечно, от s-d при этом следует держаться подальше.
     

  • 1.66, Аноним (-), 18:04, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хмм, это уже не было?
    http://sites.inka.de/~W1011/devel/cipe.html
     
     
  • 2.106, Аноним (-), 08:25, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Хмм, это уже не было?
    > http://sites.inka.de/~W1011/devel/cipe.html

    Надо же, об этом новость была в 2001 году https://www.opennet.ru/opennews/art.shtml?num=439

     

  • 1.68, Madox (?), 18:41, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    ИМЕЮТСЯ ВОПРОСЫ:

    1. WireGuard сможет на***ть DPI? На днях узнал, что мой пров установил DPI и теперь анализирует пакетики даже через VPN... Я так понял что OpenVPN здесь уже не поможет. А что WireGuard?

    2. WireGuard мало просто иметь в ядре же, так? Это просто поддержка протоколов? Все-равно нужно покупать VPN и доверять какому-то VPN-провайдеру?

    3. Какая текущая версия systemd в Kubuntu 16.04 lts?

     
     
  • 2.69, Madox (?), 18:42, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И да, появится ли встроенный WireGuard в Kubuntu 18.04 или еще нет?
     
  • 2.71, Борщдрайвен бигдата (?), 19:15, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > анализирует пакетики даже через VPN

    Дяденька, вы дурак?

     
     
  • 3.73, sage (??), 19:51, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Современные DPI умеют классифицировать трафик внутри VPN, используя размер пакета, характерные особенности протоколов и задержки между передачами данных в качестве входных данных.
     
     
  • 4.75, Борщдрайвен бигдата (?), 21:19, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    «Умеют» — зыбкое утверждение.
    Да, в случае изкоробочного OpenVPN можно с какой-то достоверностью сказать, мол, «вот это торренты, а вот это — веб, наверное». Есть такое, но и не более.

    Тут же сказали так, словно DPI умеет чуть ли не в реальном времени смотреть внутрь этих пакетов.

     
     
  • 5.82, пох (?), 00:35, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Да, в случае изкоробочного OpenVPN можно с какой-то достоверностью сказать

    практически со 100%
    даже конкретные сайты, на которые ты ходишь, угадываются по характерным паттернам.

    > Тут же сказали так, словно DPI умеет чуть ли не в реальном времени
    > смотреть внутрь этих пакетов.

    естественно, в реальном, кому б он иначе был нужен. Ну и избирательно дропать-шейпить, разумеется.
    А хрен ли вы думали, от товарища майора спрятались?


     
     
  • 6.85, Борщдрайвен бигдата (?), 00:52, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это уже перебор по толстоте.
     
  • 6.97, Аноним (-), 02:36, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > даже конкретные сайты, на которые ты ходишь, угадываются по характерным паттернам.

    Тебя послушать так ты корову из котлет восстанавливать умеешь. Живую.

    > естественно, в реальном, кому б он иначе был нужен. Ну и избирательно
    > дропать-шейпить, разумеется.
    > А хрен ли вы думали, от товарища майора спрятались?

    Придется показать товарищ майорам немного системной магии и чудес абстракций. За пределами их понимания.

     
     
  • 7.100, EHLO (?), 03:06, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> даже конкретные сайты, на которые ты ходишь, угадываются по характерным паттернам.
    > Тебя послушать так ты корову из котлет восстанавливать умеешь. Живую.
    >> естественно, в реальном, кому б он иначе был нужен. Ну и избирательно
    >> дропать-шейпить, разумеется.
    >> А хрен ли вы думали, от товарища майора спрятались?
    > Придется показать товарищ майорам немного системной магии и чудес абстракций. За пределами
    > их понимания.

    Не майор, а в лучшем случае синьор (пиар менеджер) поработал над гражданином из 3-х букв.

     
     
  • 8.128, Аноним (-), 10:54, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Синьор-помидор судя по его надутости Но на каждого синьора-помидора как известн... текст свёрнут, показать
     
  • 6.151, Аноним (-), 15:26, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я хренею.. А в чем суть шифрования трафика?
    Ключи зачем?
     
  • 5.130, Аноним (-), 10:56, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > «Умеют» — зыбкое утверждение.
    > Да, в случае изкоробочного OpenVPN можно с какой-то достоверностью сказать, мол, «вот
    > это торренты, а вот это — веб, наверное».

    А если вперемежку идут пакеты нескольких соединений?

     
     
  • 6.133, Аноним (-), 11:05, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А если вперемежку идут пакеты нескольких соединений?

    Псст, хочешь подсказку? Если немного заPADD'ить и немного фонового траффика накинуть... ну ты уже наверное начинаешь догадываться, да?

     
  • 6.153, Аноним (-), 15:29, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Цензор включает ручной режим
    и как Золушка все перебирает руками!
     
  • 4.142, Адекват (ok), 12:08, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Современные DPI умеют классифицировать трафик внутри VPN, используя размер пакета, характерные
    > особенности протоколов и задержки между передачами данных в качестве входных данных.

    КАК ???
    Тот же openvpn все в UDP инкапсулирует, весь трафик на один тот же порт шлет, я не в курсе насчет размеров пакетов, но не думаю что по ним можно содержание определить.
    Бред вообщем.

     
     
  • 5.154, Аноним (-), 15:31, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А вот так )))
    Да может, если ВПН от F-S-B
     
  • 5.174, Аноним (-), 20:42, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Тот же openvpn все в UDP инкапсулирует, весь трафик на один тот
    > же порт шлет, я не в курсе насчет размеров пакетов, но
    > не думаю что по ним можно содержание определить.

    Расскажи это GFW, который вложенные SSL/TLS сессии так определяет. Это лечится, но при наивном лобовом подходе великий китайский фаер таки засекает новый, неизвестный сервер, может быть с впн, и если он соответствует ожиданиям (например, отвечает китайскому зонду по предполагаемому протоколу) - добро пожаловать в баню.

     
  • 3.162, Аноним (-), 19:47, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Дяденька, вы дурак?

    Нельзя так говорить. Нало говорить "альтернативно... ну, в общем, что-то там альтернативно", инче оно сначала перестанет учить уроки, а потом - с 20-го этажа спрыгнет.

     
  • 2.79, Аноним (-), 22:30, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Клиентская и Серверная часть целиком в ядре!

    Я бы не сказал что OpenVPN и WireGuard это одно и тоже, WireGuard можешь сравнивать с маршрутизатором по типу BGP/VPN.

     
  • 2.80, freehck (ok), 00:01, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > а днях узнал, что мой пров установил DPI и теперь анализирует пакетики даже через VPN

    Если VPN через шифрованный канал, то DPI прову не особо помогает. Там остаётся весьма узкий набор атак, от которых результат почти нулевой. Тайминги там всякие, размер пакетов и т.п.

     
     
  • 3.96, Аноним (-), 02:32, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Если VPN через шифрованный канал, то DPI прову не особо помогает. Там
    > остаётся весьма узкий набор атак, от которых результат почти нулевой. Тайминги
    > там всякие, размер пакетов и т.п.

    Как ни странно, GFW именно так и определяет HTTPS/TLS сессии вложенные в шифрованный тунель. Он не знает что это шифрованный туннель и что в нем. Но если ты откроешь https:// сайт, при лобовой реализации впна в туннеле после некоторой неактивности полетит довольно характерное сочетание размеров пакетов. GFW этим не ограничивается, конечно, но это первый шаг палива.

     
     
  • 4.139, freehck (ok), 11:57, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Палево, да не палево За открытие сайта к уголовной ответственности не привлекаю... текст свёрнут, показать
     
     
  • 5.175, Аноним (-), 20:49, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Таким манером сложно получить доказательства чего либо, много глюков будет Но G... текст свёрнут, показать
     
  • 3.103, DmA (??), 07:13, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    паяльник спецслужбы не отучились ещё применять! Так что ждите в гости их.
     
     
  • 4.143, freehck (ok), 12:09, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > паяльник спецслужбы не отучились ещё применять! Так что ждите в гости их.

    Не, ну правильно. DPI лишь даёт наводку на то, что ты вероятно посещаешь что-то очень-очень нехорошее. А вот чтобы получить доказательство, нужно прийти к тебе домой и изъять диск.

     
     
  • 5.157, Аноним (-), 15:42, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А если речь идет о защите корпоративной инфы от продажных ментов, спецслужб, конкурентов, мошенников, ОПГ???
    Или мозг повернут только в сторону ментов и противоправного контента?
     
     
  • 6.160, freehck (ok), 19:44, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А если речь идет о защите корпоративной инфы от продажных ментов, спецслужб,
    > конкурентов, мошенников, ОПГ???

    Если в твоей стране менты, спецслужбы и суды продажные, то DPI никому не нужен, ибо есть более простые способы поставить тебя раком.

    > Или мозг повернут только в сторону ментов и противоправного контента?

    Да, именно.

     
     
  • 7.221, freehck (ok), 23:02, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Короче, всем жертвам "модераторского произвола":
    Я мненью вашему вращенье придавал, и осью был мой детородный орган.
     
     
  • 8.234, Аноним (-), 03:04, 21/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Характерный уровень культуры опеннета И эти люди смеют что-то вякать про обрабо... текст свёрнут, показать
     
     
  • 9.235, freehck (ok), 13:10, 22/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мда, надо, наверное, пояснить, если кто сюда случайно зайдёт почитать Тут какой... текст свёрнут, показать
     
     
  • 10.239, Аноним (-), 13:44, 25/01/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    На опеннете и модераторы не гнушаются провокации и разжигания флейма, если уж на... текст свёрнут, показать
     
     
  • 11.240, freehck (ok), 17:31, 25/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нас тут несколько человек модераторов, и мы не разделяем этого мнения довольно-т... текст свёрнут, показать
     
  • 2.84, пох (?), 00:39, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > 1. WireGuard сможет на***ть DPI? На днях узнал, что мой пров установил

    нет
    > DPI и теперь анализирует пакетики даже через VPN... Я так понял
    > что OpenVPN здесь уже не поможет. А что WireGuard?

    ну, можно осторожно надеяться, что пока индусов не озадачили наляпать паттернов и для его распознавания. То что это "какой-то vpn", разумеется, провайдер увидит. То что ты качаешь именно cp - нет.

    > 2. WireGuard мало просто иметь в ядре же, так? Это просто поддержка
    > протоколов? Все-равно нужно покупать VPN и доверять какому-то VPN-провайдеру?

    если ничего больше не умеешь - да. Правда, провайдеры такого пока не предоставляют, и не будут ;-)

     
     
  • 3.152, Онанимус (?), 15:27, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > если ничего больше не умеешь - да. Правда, провайдеры такого пока не
    > предоставляют, и не будут ;-)

    Я уже где-то видел. В смысле, у какого-то VPN провайдера.

     

     ....нить свёрнута, показать (33)

  • 1.95, Тророро (?), 02:27, 19/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Приятно, что системд развивается успешно.
     
     
  • 2.231, Нанобот (ok), 11:53, 20/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да, все эти нытики ему не помеха
     

  • 1.101, key (??), 03:38, 19/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Выглядит как !@#$%^& архитектурное решение.
    Но на то я и диванный аналитик. Надеюсь они знают что делают.
     
     
  • 2.123, Andrey Mitrofanov (?), 10:49, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Выглядит как !@#$%^& архитектурное решение.
    > Но на то я и диванный аналитик. Надеюсь они знают что делают.

    ifupdown, initscripts, etcnet, иприпр  --  без bash-а[I]!![/I]

    Любо дорого -- на паркнсона, конвульсии.

     

  • 1.135, Gannet (ok), 11:15, 19/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Объясните мне, плиз, чайнику, что означает параметр:
    AllowedIPs =
    И в нём нужно указывать подсеть, IP или можно как то, так и другое?
     
     
  • 2.155, Онанимус (?), 15:40, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Объясните мне, плиз, чайнику, что означает параметр:
    > AllowedIPs =
    > И в нём нужно указывать подсеть, IP или можно как то, так
    > и другое?

    В нем указываются подсети локальных адресов, которые можно пропускать через туннель с той стороны (т.е. со стороны пира). Задаются, как я помню, именно подсети, но одиночный IP можно задать в CIDR /32:

    AllowedIPs = 10.192.122.3/32, 10.192.124.1/24

     
     
  • 3.232, Gannet (ok), 14:08, 20/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо за ответ. Уже стало несколько яснее.
     

  • 1.147, Адекватный Аноним (?), 12:42, 19/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    хорошо, что есть runit, который просто_работает
     
     
  • 2.148, Аноним (-), 12:50, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    BSD-style init system тоже хороша.
     
  • 2.149, Andrey Mitrofanov (?), 13:01, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > хорошо, что есть runit, который просто_работает

    Плюсую!

    [I]" На el6 использовал, на el7 сервисы в нём же перенёс -- рад как слон, всё запустилось _без_ изменений "внутри". "[/I] -- http://www.opennet.ru/openforum/vsluhforumID3/108006.html#88

     

  • 1.244, Аноним (244), 21:59, 04/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    задолбал этот systemd. Верните only голые скрипты в /etc/init
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру