The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Разработчики VPN WireGuard представили новую криптографическую библиотеку Zinc

02.08.2018 14:11

Для включения в основной состав ядра Linux предложены патчи с реализацией VPN-интерфейса от проекта WireGuard, который развивается последние три года, прошёл аудит применяемых методов шифрования и хорошо зарекомендовал себя в ряде крупных внедрений, обрабатывающих большие объёмы трафика. До сих пор WireGuard поставлялся в виде отдельного модуля к ядру, но сейчас разработчики считают, что проект достиг готовности для включения в основное ядро. WireGuard сочетает применение проверенных современных методов шифрования с предоставлением минималистичной реализации, очень быстрой, простой в использовании и лишенной усложнений. Подробнее о проекте можно прочитать в первом анонсе.

Обновлённая реализация WireGuard примечательна созданием новой криптографической библиотеки Zinc, в которую вынесены все применяемые проектом криптоалгоритмы. Отмечается, что при разработке создатели Zinc попытались избежать усложнений и на основе написанных для WireGuard криптографических примитивов подготовили решение, которое было бы меньше библиотеки, но больше просто набора файлов с кодом.

Zinc предлагает криптографический API, более минималистичный и низкоуровневый, чем текущее crypto API ядра. Zinc может дополнить текущий crypto API, предоставить основу для его реализации и со временем вытеснить его. Zinc предоставляет готовый к применению, протестированный и верифицированный набор криптографических примитивов, код которых собран в одном месте и представлен как lib/zinc/ (без выноса ассемблерного кода в arch/). Код оптимизирован для достижения высокой производительности и автоматически задействует инструкции SIMD для ускорения вычислений.

Из основных принципов построения нового API отмечается желание избежать лишних высокоуровневых абстракций, которые становятся источником проблем при некорректном использовании разработчиками. В Zinc предоставляется только простой набор готовых функций, которые можно применять только по прямому назначению без неоднозначных трактовок.

В текущем виде предлагаются следующие криптографические примитивы:

  • Потоковые шифры ChaCha20 и HChaCha20 (реализованы оптимизации для x86_64 SSSE3, x86_64 AVX-2, x86_64 AVX-512F, x86_64 AVX-512VL, ARM NEON, ARM64 NEON, MIPS);
  • Алгоритм аутентификации сообщений (MAC) Poly1305 (оптимизации x86_64, x86_64 AVX, x86_64 AVX-2, x86_64 AVX-512F, ARM NEON, ARM64 NEON, MIPS, MIPS64);
  • Протокол Диффи-Хеллмана на эллиптических кривых в реализации Curve25519, используемый для генерации совместного секретного ключа (оптимизации x86_64 BMI2, x86_64 ADX, ARM NEON);
  • Алгоритм хэширования BLAKE2s (RFC7693) (оптимизации x86_64 AVX, x86_64 AVX-512VL);
  • Механизмы аутентифицированного шифрования ChaCha20-Poly1305 и XChaCha20-Poly1305.


  1. Главная ссылка к новости (https://lkml.org/lkml/2018/8/1...)
  2. OpenNews: В systemd 237 запланирована поддержка VPN WireGuard
  3. OpenNews: Четвёртый тестовый выпуск ОС Subgraph
  4. OpenNews: В рамках проекта WireGuard подготовлена новая реализация VPN для Linux
  5. OpenNews: Выпуск криптографической библиотеки Sodium 1.0.16
  6. OpenNews: Разработчики OpenBSD представили криптографическую библиотеку libcsi
Лицензия: CC-BY
Тип: Программы
Ключевые слова: wireguard, zinc, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (109) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 15:54, 02/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Дааа,больше новых криптографических библиотек богу библиотек!!!
    Особенно в ядре...
     
     
  • 2.5, нах (?), 16:39, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну, в принципе, если не считать модного увлечения никем не верифицированными алгоритмами имени djb и тани-шланге, без каких либо альтернатив - выглядит оно всяко лучше того, что сейчас понапихано в ведро.

    Как и сам этот vpn. И настройка, и внутренние механизмы вполне разумные.

    альтернатива - уродливый ipsec с бесконечными проблемами

     
     
  • 3.40, Аноним (-), 19:39, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Никогда не слышал про IPsec VPN и не видел чтобы такой продавали... Где он вообще используется?
     
     
  • 4.86, SubGun (ok), 09:22, 04/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    checkpoint. Попробуйте настроить vpn с ним из Linux, познаете боль.
     
  • 3.45, Аноним (45), 20:29, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > ну, в принципе, если не считать модного увлечения никем не верифицированными алгоритмами

    То ли дело верифицированный Dual_EC_DRBG …

     
  • 2.19, Аноним (-), 18:06, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я правильно понимаю - в Linux появится встроенный VPN? Останется только выбрать провайдера WireGuard и заплатить за тариф (а все ПО уже встроено в ядро и настроено)?
     
     
  • 3.26, sage (??), 18:23, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В Linux и так есть встроенный VPN — IPsec.
     
     
  • 4.38, Аноним (38), 19:17, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    IPSec — это не vpn. Это боль, сажа и страдания. Он переусложнён там, где это совершенно не нужно и не гибок там, где должен быть. Сделать универсальный конфиг сервера, так чтобы он работал на всех известных клиентах без патчей, правки реестра/конфигов системы и при этом был устойчив к взлому на калькуляторе — просто нельзя. Стабильность как опенсорцных так и проприетарных клиентов никакая. Тоннель рушится даже на стабильном линке.
     
     
  • 5.42, Аноним (42), 19:41, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Если он такое дерьмо, зачем он нужен в линуксовом ядре? Это легаси шняга?
     
     
  • 6.51, Аноним (51), 21:27, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да
     
  • 6.66, F (?), 10:22, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Так само ядро во многом как раз "легаси шняга". Путем винды, "работать на всем", да.

    Правда, минимальным дистрибутивом Линукса считают уже образ в 1 Гб ("ну а чё, меньше флешки же?"), и редко какая свежая сборка (хоть RHEL-линейки, хоть производная от Debian) вообще станет прилично работать на то старое железо, поддержка которого нежно хранится в каждом ядре.

    Да, это те люди, которые ругают винду за попытку угнаться за всеми зайцами.

     
  • 5.105, нах (?), 12:45, 06/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    расскажите же мне, почему туннель между двумя цисками у меня за пять лет ложился десяток раз - и почему-то каждый раз вместе с каналом оператора? Что я делаю не так?
    почему туннель между циской и тем же чекпоинтом тоже никуда не девается, пока вообще доступны друг для друга его эндпоинты?
    Наконец, почему клятая винда умеет в пару кликов пошифровать весь траффик в локальной сети, и тоже - не ложится?
    А у опенотсосеров почему-то с этим неодолимые проблемы, и да, во всех их клиентах полный history записей вида "а мы в этой версии rekeying починили. Опять!"

    спасибо хоть openvpn (тоже в общем-то "мы читали-читали описание ipsec, поняли с пятого на десятое, и решили забить, сделаем свое отдаленно похожее, но ни с чем несовместимое") есть везде.

     
     
  • 6.112, Страдивариус (?), 16:27, 06/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Неплохо жить с IPSec, когда коннектишь два шлюза с публичными IP. Хуже дело, когда есть NAT.
     
     
  • 7.114, нах (?), 17:43, 06/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ну опять же - смотря чей ipsec В фребеэсде десять лет чинили-чинили, непочинили... текст свёрнут, показать
     
  • 3.27, AnonPlus (?), 18:40, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В ядро + утилиты в юзерспейсе для настройки.
     
     
  • 4.31, ананим.orig (?), 18:49, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    При чём штатными утилитами:
    # ip link add dev wg0 type wireguard
     
     
  • 5.115, нах (?), 17:45, 06/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    потом же все равно wg set чтонибудь... уж могли бы и add делать автоматически, тоже мне, достижение...

     
  • 3.56, Аноним (56), 23:11, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >и заплатить штраф за использование несертифицырованных ФСБ критпографических средств без лицензии и без передачи ключей в соответствии с законом Яровой

    пофиксил, не благодари

     
     
  • 4.87, Аноним (-), 12:25, 04/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    попробуйте потоньше - штрафы ложатся на предоставляющих услуги (впн сервис или хост впс, если впн кастомный), а не пользователей. Ну и неуловимый джо, да
     

  • 1.2, Аноним (2), 16:09, 02/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зачем еще одна крипто либа, если все необходимое уже есть в ядре?
     
     
  • 2.3, Aknor (?), 16:25, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Больше бекдоров богу бекдоров. Даже если там ничего нет, то проверяльшики будут разделены на большее кол-во кода , и меньше вероятность, что заметят
     
     
  • 3.57, Аноним (56), 23:12, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Именно так.
     

  • 1.4, Аноним (-), 16:33, 02/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    кто нибудь пользовался сабжем? Чем оно лучше/хуже опенвпн?
     
     
  • 2.7, Anonimus (??), 16:41, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    быстрее, латенси меньше, оверхед меньше, возможностей из коробки тоже меньше.
     
  • 2.8, нах (?), 16:57, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    оно неентерпрайсное. Что с одной стороны, делает настройку банальных схем - банальной, и легко проверяемой/расширяемой, настраивать по сути нечего, ошибаться негде.

    с другой, как только тебе нужен минимальный энтерпрайз (ну вот тупо чтобы ты выдал сертификат клиенту-однодневке, и не бегал за ним, тыщи их, а через положенный месяц тот сам автоматом превратился в тыкву, [зачеркнуто: и вместе с клиентом и его лавочкой] ) - ну его нафиг, ставим openvpn, если не хватило денег на циску, даже если там и там линукс и технически было возможно.

     
     
  • 3.48, Аноним (48), 21:01, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    TIL: энтерпрайз-решения на OpenVPN. Я даже не знаю, смеяться мне или плакать.
     
     
  • 4.53, Crazy Alex (ok), 21:44, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Оно более-менее живое, как ни странно
     
  • 4.61, ананим.orig (?), 03:40, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Перечислите весь список, пжалуста.
     
  • 3.78, Чолхан (ok), 21:06, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    буишь смеяться, а я вот приделал на базе классических сертификатов от openssl обмен динамически генерируемыми ключами wireguard всякий раз когда требуется, можно сертификат, разумеется, отозвать.
     
     
  • 4.81, Аноним (81), 21:24, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так опубликуй уже решение.
     
  • 2.10, Аноним (10), 16:59, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Использую и для удобства доступа к серверам, и для обхода цензуры в российском сегменте интернета.
    Меньше latency, чем у OpenVPN, гораздо проще настройка, чем у OpenVPN
     
     
  • 3.12, Аноним (-), 17:27, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что за провайдер? Сколько стоит?
     
     
  • 4.22, ibel (?), 18:09, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    я использую, AzireVPN. Пока полет нормальный
     
     
  • 5.28, AnonPlus (?), 18:43, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Скрин с Azire, кстати. Мой 100-мегабитный канал. Сервер в Швеции. Ограничений по объёму трафика нет. Торренты разрешены. 3.75 евро в месяц, если брать сразу на несколько месяцев вперёд.

    https://cs5-2.4pda.to/13480481.png

     
  • 3.15, Аноним (-), 17:43, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >гораздо проще настройка, чем у OpenVPN

    такие вещи принято подкреплять ссылками

     
     
  • 4.18, Аноним (10), 18:02, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А ссылку тебе в посте дали. На официальный сайт.
    https://www.wireguard.com/quickstart/
    Вон там тебе даже с видео, раз ты читать не можешь
     
  • 4.65, ryoken (ok), 08:48, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Потычьтесь в вики хотя бы на Openwrt. Для обоих вариантов есть, под wg - чуть не в 2 тычка делается.
     
  • 3.50, Анонтоним (?), 21:23, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    За NAT-ом использовать получается или нужен реальный или даже статический IP?
     
     
  • 4.59, Гентушник (ok), 02:16, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Получается. А в чём проблема? Тут настройка фаервола аналогична настройке его с OpenVPN, тут тоже весь трафик ходит по UDP на один порт.
     
  • 2.60, tensor (?), 02:33, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    OpenVPN работает в юзерспейсе, и каждый коннект жрёт ровно один поток ядра. Это значит, что на mips-овом роутере он выдаст от силы 25-35 Мбит/с, а на x86 прокачивает гигабит только без шифрования и с тюнинговой магией.
    Wireguard работает в ядре и спокойно прожёвывает 10Gbps, при этом обладает достаточной безопасностью и низкими задержками.

    С другой стороны, WG подходит пока что скорее для быстрого деплоя приватной mesh-сети поверх существующей. Тогда как OpenVPN позволяет развернуть шлюз удалённого доступа с PKI, генерацией, раздачей и отзывом ключей, имеет клиенты под разные ОС, позволяет pre- и post-up скрипты и push-ить их клиентам, может работать через udp/tcp/http, имеет L2-режим, а значит, бриджится.

     
     
  • 3.70, J.L. (?), 15:24, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > С другой стороны, WG подходит пока что скорее для быстрого деплоя приватной
    > mesh-сети поверх существующей. Тогда как OpenVPN позволяет развернуть шлюз удалённого
    > доступа с PKI, генерацией, раздачей и отзывом ключей, имеет клиенты под
    > разные ОС, позволяет pre- и post-up скрипты и push-ить их клиентам,
    > может работать через udp/tcp/http, имеет L2-режим, а значит, бриджится.

    а уже есть вариант "в OpenVPN использовать механизм WG в качестве протокольного уровня" ? или это в принципе невозможно?

     
     
  • 4.102, tensor (?), 11:35, 06/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Насколько я знаю, OpenVPN реализует туннель+криптографию на пользовательском уровне - тогда как в ядре используется tuntap драйвер, плюс сетевой стек, разумеется.
    При попытке скрестить его с WG может оказаться, что OpenVPN тупо не нужен. Без протокола с кучей фич он станет просто юзерспейс прослойкой. То есть такое можно сделать, но смысла, как мне кажется, нет.
     
     
  • 5.110, J.L. (?), 15:47, 06/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Насколько я знаю, OpenVPN реализует туннель+криптографию на пользовательском уровне -
    > тогда как в ядре используется tuntap драйвер, плюс сетевой стек, разумеется.
    > При попытке скрестить его с WG может оказаться, что OpenVPN тупо не
    > нужен. Без протокола с кучей фич он станет просто юзерспейс прослойкой.
    > То есть такое можно сделать, но смысла, как мне кажется, нет.

    но вот это же весьма удобно и полезно?
    > Тогда как OpenVPN позволяет развернуть шлюз удалённого доступа с PKI, генерацией, раздачей и отзывом ключей, ... позволяет pre- и post-up скрипты и push-ить их клиентам

     
  • 3.79, Чолхан (ok), 21:09, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    я сделал раздачу и отзыв ключей, в планах добавить чуть ынтерпрайзы для работы с большим количеством клиентов
     
  • 3.95, Аноним (10), 15:30, 04/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >  позволяет pre- и post-up скрипты

    Да-да, а WireGuard их не умеет. А в конфиге у меня какие-то несуществующие сущности

    PostUp =
    PostDown =

    Точно, они там просто так :-D

     
     
  • 4.103, tensor (?), 11:41, 06/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Раз уж на то пошло, то и на уровне "демона" в дистрах есть ifup/ifdown-скрипты ;)
    Другое дело, что в OVPN можно одной строчкой в конфе сервера добавить новый маршрут всем клиентам.
     

  • 1.6, Anonimus (??), 16:40, 02/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    если посмотреть ветку сообщений дальше, то майнтейнеры просят изменить свой кодестайл. очень много строк длиннее 100 символов, что усложняет читаемость, но перед этим в целях пиара малое количество строк  подавалось как 1 из аргументов. Допускаю что текущее количество строк вырастет раза в 4 перед принятием в ядро.
     
     
  • 2.9, нах (?), 16:59, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    это математика, дружище. От того что ты нарежешь форумулу ломтиками, она понимаемей ни разу не станет, скорее наоборот.
     
     
  • 3.32, Anonimus (??), 18:49, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    замечания были для конструкций вида:
    static int walk_by_peer(struct allowedips_node __rcu *top, u8 bits, struct allowedips_cursor *cursor, struct wireguard_peer *peer, int (*func)(void *ctx, const u8 *ip, u8 cidr, int family), void *ctx, struct mutex *lock)

    структуры удобно разделяются на несколько строк и становятся реально более читабельными
    Также есть такая штука как code-style проекта, которого должны придерживаться все комитеры. Иначе проект превратится в непойми что.

     
     
  • 4.34, Anonimus (??), 18:55, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    *структуры и типы переменных/параметров
     
  • 4.92, KonstantinB (ok), 12:59, 04/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Мне вот это больше понравилось:

    for (; cursor->len > 0 && (node = cursor->stack[cursor->len - 1]); --cursor->len, push(cursor->stack, node->bit[0], cursor->len), push(cursor->stack, node->bit[1], cursor->len)) {

    Вот зачем так? Кулхацкеры, блин.
    Через while намного читаемее будет.

     
     
  • 5.106, Аноним (106), 12:45, 06/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    да уж, выпендрились
     
     
  • 6.116, пох (?), 20:10, 06/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    я бы вот посмотрел в .S, в том числе и на то, что там внутри цикла.
    иногда так удивительно выглядят оптимизации под модные-современные процессоры.

     
  • 2.23, Crazy Alex (ok), 18:15, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не мне хаять разрабов ядра, но, IMHO, сейчас, да на C, да в большом проекте 100 символов - это не криминал. Иначе начинается сокращение имён или запись в несколько строк, что читабельности тоже не в плюс
     
     
  • 3.33, Anonimus (??), 18:51, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Выше приложил пример - данная конструкция легко разделяется на несколько строк и читабельность реально становится лучше.
     
     
  • 4.54, Crazy Alex (ok), 22:46, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вот как раз тот случай, когда если ситуация позволяет (здесь позволяет) - надо рефакторить, когда нет - оставлять как есть. Тут читабельность не ночевала в любом случае, с такой тучей параметров. Здесь либо знать API, и тогда эта декларация - только для компилятора, или копаться и путаться.

    А убери здесь, как положено, теп функции в typedef - и резко уменьшится длина и читабельнее будет. А может вообще всё или большую часть в структуру совать - но это уже надо исходники глядеть.

     
  • 3.46, ананим.orig (?), 20:47, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В чужой монастырь со своим уставом не ходят.
    К тому же, а не допкскаете что из сырцов может генерится дока, книги, pdf всякие?
    И тут бац, вторая смена и прощай...
     

  • 1.11, Сантехник Петя (?), 17:23, 02/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Расскажите про WireGuard подробнее!

    1. Чем он лучше OpenVPN в техническом плане?

    2. Может ли он противостоять блокировкам и DPI?

    3. Спасет ли он Россию, если Роскомпозор начнет массово блочить OpenVPN?

    4. Будут ли популярные VPN-провайдеры предоставлять доступ по WireGuard? А может кто-то уже предоставляет?

     
     
  • 2.16, Аноним (-), 17:53, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    1. Парой веток выше расписано
    2. Как и любой впн - пока товарищ майор не побанит сервера с впн
    3. Массово блочить опенвпн никто не будет ибо ынтырпрайз. А от блокировок популярнейших провайдеров спасет мелкий впс.
    4. В википедии написано, кто предоставляет и кто интересуется.

    Совсем обленились уже, Товарищ Майор

     
     
  • 3.37, Нанобот (ok), 19:02, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > 3. Массово блочить опенвпн никто не будет ибо ынтырпрайз

    в китае вроде блочат...а ынтырпрайз обращается в органы для внесения своих серверов в белый список

     
     
  • 4.39, Аноним (-), 19:26, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ынтерпрайз в Китае тоже под колпаком.
     
     
  • 5.58, Аноним (56), 23:14, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    розовая мечта российского государства
     
  • 2.29, AnonPlus (?), 18:46, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если нужна защите от "будут его блочить", то ни OVPN, ни WG не помогут. Тут уже нужен shadowsocks+obfs4 или SoftEther, который умеет мимикрировать под обычный SSL.
     
     
  • 3.30, AnonPlus (?), 18:48, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А, ну и ещё надо озаботиться тем, чтобы сервер отвечал чем-то правдоподобным при попытке цензора установить SSL-соединение на порт, который использует ваш замаскированный VPN. Иначе, пойдёт как в Китае: там файерволл при обнаружении SSL делает probe на адрес:порт, а не найдя там легитимного делает вывод, что тут замаскированный VPN и дропает нахрен.
     
     
  • 4.44, Аноним (10), 19:50, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Для OpenVPN делаем так: Ok, google. sslh
     
  • 3.35, Аноним (-), 18:57, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Значит пора запасаться знаниями как настроить shadowsocks и SoftEther...
     
  • 3.68, Аноним (68), 11:01, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ovpn можно заставить работать без хендшейков, для dpi это будет как рандомный мусор
     
     
  • 4.69, оператор зонда (?), 14:29, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > для dpi это будет как рандомный мусор

    и мы его дропнем вместе с прочим рандомным мусором.

    почему-то я уверен, что никто не прибежит жаловаться. Некоторые еще и поблагодарят (нет, товарищ майор, я не вас имел в виду)

     
  • 4.71, AnonPlus (?), 16:18, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мусор подозрителен тоже. Это как огромный файл с мусором на ПК. Заставляет задуматься, а не зашифрованный ли это контейнер.

    Нужна именно маскировка. Мол, тут вполне обычный сервис, который ничего неугодного не делает.

    Как стеганография: вот фото Млечного Пути, а внутри фото что-то спрятано, но вы этого не узнаете.

     
  • 3.72, Аноним (72), 16:41, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Трафик Wireguard в wireshark выглядит как рандомный набор шифрованного мусора, и он UDP не TCP. Каким образом они его будут блокировать если он всегда рандомный не ясно.
     
     
  • 4.73, Аноним (81), 17:22, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Трафик надо не в wireshark а в DPI загонять.
     
     
  • 5.74, Аноним (74), 20:34, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ладно если вам так будет "приятнее" прочтите слово трафик как "ethernet фреймы в wireshark".
     
     
  • 6.82, Аноним (81), 21:29, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну если будет приятней то я говорил про глубокое изучение трафика специальным ПО. А никак не ваершарком. Обфускация трафика опенвпн не помогла - вместо ссл сессии засветился подозрительный трафик удаленного доступа к сети.
     
     
  • 7.99, пох (?), 07:15, 06/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    обновляйте сигнатуры - должен быть четкий детект именно "openssl vpn" - как минимум pa умеет отличить его и от "ssl сессии", если нескрытый, и от другого мусора, если obfuscated, значит и dpi тоже смогут.

    P.S. обычная беда лучше-всех-прячущихся авторов гуано-обфускаторов - у них нет $100000 на самую дешевую из продаваемых в розницу коробок с угадавом траффика. Друзей, знакомых готовых сотрудничать, похоже, тоже не бывает. Поэтому они что-то изобретают, высасывая из пальца свое предположение о том, как оно угадывает, а через день после жалобы - индус выкатывает апдейт сигнатуры, и оно угадывается со 100% вероятностью.
    (или, хуже того, угадывается без апдейта, потому что метод угадава был вовсе не так банален, как им думалось)

     
     
  • 8.113, Аноним (81), 17:42, 06/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да тут такое дело Оно для тестов было Денег на покупку нет Так то я с радость... текст свёрнут, показать
     
  • 2.36, Нанобот (ok), 18:59, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >1. Чем он лучше OpenVPN в техническом плане?

    работает в режиме ядра, соответственно, не требует переключений контекста юзерспейс/ядро на каждый пакет -- даёт экономию ресурсов процессора (впрочем, как и ipsec). подозреваю, что на значениях ~100kpps экономия будет где-то между "в несколько раз" и "в несколько десятков раз"

     
  • 2.67, Аноним (68), 10:58, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ovpn кроссплатформеный, а сабж нет
     
     
  • 3.85, Аноним (10), 07:57, 04/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Говорят, что если врать, то вырастет нос, как у Пиноккио.
    https://www.wireguard.com/install/
    И там тебе и GNU/Linux-дистрибутивы, и Android Linux, и OS X, и FreeBSD, и OpenBSD, и Non-GNU/Linux Alpine, и даже Nix on Darwin, извините за выражение.
     
     
  • 4.96, Аноним (96), 20:28, 04/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >A Windows client is coming soon.

    ясно-понятно

     
     
  • 5.97, Аноним (10), 21:26, 04/08/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И что? Проблемы маргиналов волнуют только маргиналов. Виндовс — среда для запуска игр, а кто ее использует для чего-то отличного — сам себе злобный баклан.
     
  • 5.98, KonstantinB (ok), 07:38, 05/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для винды есть tunsafe. Он, конечно, не OSS, но на винде вам не привыкать.
     
  • 2.80, Чолхан (ok), 21:11, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    не спасет, у меня заблочили сервера с wireguard на оушене
     
     
  • 3.88, Аноним (-), 12:27, 04/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    оушен под веерными блокировками телеги - Ваша персона нафиг никому не сдалась
     

  • 1.14, Аноним (81), 17:33, 02/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А чем закончилось дело с портированием на другие ОС?
     
     
  • 2.21, Аноним (21), 18:07, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вроде под виндос где-то билд валялся, на оффсайте видел.
     
     
  • 3.43, Аноним (10), 19:49, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Под винду есть билд от какого-то из коммерческих провайдеров ВПНа. В теме о выходе этого билда на реддите первое же сообщение от автора WG со словами «Я, как автор WG, не рекомендую использовать, так как код закрытый и фиг знает что оно делает»
     
     
  • 4.76, Аноним (74), 20:55, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так и есть это tunsafe У них есть даже публичный VPN построенный на деньги дона... текст свёрнут, показать
     
     
  • 5.77, Аноним (74), 21:04, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати да, то что автор просит автора tunsafe показать код выглядит смешно на фоне того что они пилят wireguard-ios приложение для размежения его в AppStore, удачи им сабмитить приложение с открытым кодом https://git.zx2c4.com/wireguard-ios/ или же в Apple будет сабмититься код из "приватного" репозитория? Тогда какого он закрывает код странно... ведь в его iOS GUI клиенте возможны трояны и вирусы.
     
  • 5.84, Аноним (10), 23:08, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >  но в силу понятных причин не может выложить исходный код

    В силу непонятных причин. А так все ок. Ну то есть понятных. Выкладывание кода может повлечь за собой сборку третьими лицами без встроенных майнеров, а это не выгодно автору кода.

     
  • 5.90, nondo (?), 12:41, 04/08/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Пилит он их потому что авторы wireguard это ЭПИЧЕСКИЕ тормозилы с немного "специфическим" мировоззрением. Клиенты под винду от них есть их два они на rust и go и ни один из них не готов для использования по сей день.

    автор wireguard в первую очередь занимается основной реализацией - под linux, и правильно делает. Сделает кто-то со стороны клиенты под винду/mac/etc - отлично, не сделает - тоже хорошо. Главное - это стабильный, продуманный, лёгкий в настройке и понимании(ssh-like) протокол, который будет в ядре, и вот именно этим автор цп и занят.
    А вот поверх стабильного wg уже после аудита можно будет пилить решения для mesh, pki и прочего энтерпрайза, хотя некоторые плюшки уже сейчас есть.

     
     
  • 6.91, nondo (?), 12:42, 04/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    s/цп/wg
     
  • 6.93, Аноним (10), 14:01, 04/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Дык под OS X вполне себе официальный у него же на сайте есть, это только вантузятники страдают. И жуют кактус с закрытым кодом.
     
  • 6.104, нах (?), 12:30, 06/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > автор wireguard в первую очередь занимается основной реализацией - под linux, и правильно делает

    правильно было бы при этом не мешать другим, и не заниматься fud-пропагандой (на это у него, как видите, время нашлось)

     
     
  • 7.109, Аноним (10), 13:49, 06/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А он не мешает другим. Он предупреждает людей, что пользоваться сомнительным клиентом с закрытыми исходниками не стоит, ведь если туда авторы засунут троян, то валить потом все будут на него, так как WireGuard им создан.
     
     
  • 8.111, нах (?), 15:57, 06/08/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    угу, конечно, конечно, все шишки на бедного разработчика, никому ведь и в голову... текст свёрнут, показать
     

  • 1.24, Аноним (-), 18:15, 02/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А бесплатный WG бывает? :)
     
     
  • 2.47, Аноним (48), 20:59, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно. Я за свой не плачу ни копейки.
     
  • 2.49, Аноним (49), 21:04, 02/08/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Да, WG World of Tanks
     

  • 1.41, Ivan_83 (ok), 19:40, 02/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    RSA нет а эллиптика под сомнением.
    Учитывая что видимо оно там на гвозди прибито то поделка так себе.
     
     
  • 2.75, Аноним (74), 20:38, 03/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    На сколько я знаю соединение устанавливается путем отправки с клиента на "сервер" шифрованного сообщения ключами которые ты указал заранее на обоих концах, при чем если ключ клиента не верный то ответа не будет. Вообще там есть PSK.

    (вообще wireguard это point to point, а "VPN" из него получился сам собой путем заворачивания трафика на другом конце)

     

  • 1.55, Daemon (??), 23:05, 02/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    В ядре и так дыр хватает. Еще решили добавить?
     
     
  • 2.89, nondo (?), 12:34, 04/08/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ты за своими дырами лучше смотри, хсперд.
     
  • 2.94, Аноним (10), 14:02, 04/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Давай, расскажи нам о дырах в ядре. Жду пример удаленных уязвимостей в ядре Linux за последние 10 лет и внимательно тебя слушаю.
     
  • 2.101, Andrey Mitrofanov (?), 11:03, 06/08/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > В ядре и так дыр хватает. Еще решили добавить?

    Это Леннарт ч-з другую калитку в кернел.орг щемится.

     

  • 1.100, Аноним (100), 09:08, 06/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вот этот проект посмотрите
    https://www.softether.org/

    ну и для openvpn скрипт:
    https://github.com/Angristan/OpenVPN-install

    Почитайте три ссылки github там по тексту

     
     
  • 2.108, Аноним (10), 13:46, 06/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    SoftEther интересен тем, что умеет косить под честный https, да тем, что умеет работать over icmp и прикидываться ДНСом. Но у него совершенно невозможный для человека cli, написанный инсектоидами для рептилоидов и гуевая управлялка только под винду.
     
     
  • 3.117, Аноним (117), 02:15, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > совершенно невозможный для человека cli, написанный инсектоидами

    Японцами. Из более упopотых систем команд я пожалуй вcпомню только MegaCli.

     
     
  • 4.118, Аноним (10), 11:23, 07/08/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я и сказал инсектоидами для рептилоиодов :-D
     

  • 1.107, Аноним (107), 13:34, 06/08/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    FYI: эллиптические кривые уже тихо признаны плохой практикой компетентными службами. Для себя они их не используют.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру