The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Для включения в состав ядра Linux предложен VPN WireGuard

06.10.2018 14:22

Для включения в состав ветки net-next, на основе которой формируется начинка сетевой подсистемы для будущего выпуска ядра Linux, предложен седьмой вариант набора патчей с реализацией VPN-интерфейса от проекта WireGuard. Проект предлагает минималистичную реализацию VPN на основе современных методов шифрования, очень быструю, простую в использовании и лишённую усложнений. WireGuard развивается с 2015 года, прошёл аудит и формальную верификацию применяемых методов шифрования. VPN уже хорошо зарекомендовал себя в ряде крупных внедрений, обрабатывающих большие объёмы трафика. Поддержка WireGuard уже интегрирована в NetworkManager и systemd, VPN входит в базовый состав дистрибутивов Debian Unstable, Mageia, Alpine, Arch, Gentoo, OpenWrt, NixOS и Subgraph.

В WireGuard применяется концепция маршрутизации по ключам шифрования, которая подразумевает привязку к каждому сетевому интерфейсу закрытого ключа и применение для связывания открытых ключей. Обмен открытыми ключами для установки соединения производится по аналогии с SSH. Для согласования ключей и соединения без запуска отдельного демона в пространстве пользователя применяется механизм Noise_IK из Noise Protocol Framework, похожий на поддержание authorized_keys в SSH. Передача данных осуществляется через инкапсуляцию в пакеты UDP. Поддерживается смена IP-адреса VPN-сервера (руминг) без разрыва соединения и автоматической перенастройкой клиента.

Для шифрования используется потоковый шифр ChaCha20 и алгоритм аутентификации сообщений (MAC) Poly1305, разработанные Дэниелом Бернштейном (Daniel J. Bernstein), Таней Ланге (Tanja Lange) и Питером Швабе (Peter Schwabe). ChaCha20 и Poly1305 позиционируются как более быстрые и безопасные аналоги AES-256-CTR и HMAC, программная реализация которых позволяет добиться фиксированного времени выполнения без задействования специальной аппаратной поддержки. Для генерации совместного секретного ключа применяется протокол Диффи-Хеллмана на эллиптических кривых в реализации Curve25519, также предложенной Дэниелом Бернштейном. Для хэширования используются алгоритм BLAKE2s (RFC7693).

Кроме применения быстрых алгоритмов для повышения производительности было решено отказаться от использования предоставляемого ядром crypto API, который достаточно медленный из-за дополнительной буферизации. Собственные реализации примитивов ChaCha20, Poly1305, Blake2s и Curve25519 вынесены в отдельную библиотеку Zinc, которая может дополнить текущий crypto API и предоставить основу для будущей переработки.

При тестировании производительности WireGuard продемонстрировал в 3.9 раза более высокую пропускную способность и в 3.8 раз более высокую отзывчивость, по сравнению с OpenVPN (256-bit AES c HMAC-SHA2-256). По сравнению с IPsec (256-bit ChaCha20+Poly1305 и AES-256-GCM-128) в WireGuard наблюдается небольшое опережение по производительности (13-18%) и снижению задержек (21-23%).



  1. Главная ссылка к новости (https://lkml.org/lkml/2018/10/...)
  2. OpenNews: Разработчики VPN WireGuard представили новую криптографическую библиотеку Zinc
  3. OpenNews: Релиз OpenWrt 18.06
  4. OpenNews: В systemd 237 запланирована поддержка VPN WireGuard
  5. OpenNews: Релиз сетевого конфигуратора NetworkManager 1.14
  6. OpenNews: В рамках проекта WireGuard подготовлена новая реализация VPN для Linux
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: wireguard, vpn, tunnel
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (131) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, A.Stahl (ok), 14:37, 06/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –30 +/
    Что-то эта штука не выглядит как то, что должно быть в ядре. Они бы ещё туда аудиоплеер запихнули и парсер TeX.
     
     
  • 2.3, AnonPlus (?), 14:42, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Оно как раз и обгоняет OpenVPN за счёт того, что выполнено в виде модуля ядра. Теперь проект достиг зрелости (Линус, помню, восхищался тем, как минималистично и красиво написан код).
     
     
  • 3.5, A.Stahl (ok), 14:52, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Если аудиоплеер впихнуть в ядро, то он тоже будет обгонять юзерспейсные плееры. Но это не повод для впихивания.

     
     
  • 4.9, AnonPlus (?), 15:19, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Аудиоплееры не страдают от "тормознутости" и не нагружают заметно процессор. А вот WireGuard позволяет более полно утилизировать пропускную способность и хорош тем, что снижает нагрузку на всяких там роутерах, где процессоры не особо мощные.
     
     
  • 5.21, Crazy Alex (ok), 16:49, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • –8 +/
    А что он забыл на роутерах?
     
     
  • 6.26, НяшМяш (ok), 17:30, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Вломился вот и спрашивает "что там про меня Crazy Alex думает?"
     
  • 6.30, Fyjybv755 (?), 17:44, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +21 +/
    > А что он забыл на роутерах?

    Действительно, VPN на роутере. Что может быть глупее? Разве что фаервол на роутере.

     
     
  • 7.96, abi (?), 09:27, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    OpenVPN на роутере - это 10 mbps, потому что армовая дрянь, которая там стоит, не может в математику.
     
     
  • 8.132, имя (?), 00:05, 10/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не ARM, а MIPS OpenVPN такая дрянь, что даже на мощных x86 гигабит не тянет ... текст свёрнут, показать
     
  • 8.139, Аноним (-), 11:40, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Современные ARM таки и с openvpn могут довольно много Однако в целом openvpn да... текст свёрнут, показать
     
  • 6.59, AnonPlus (?), 23:42, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Подключать роутер в качестве клиента. Либо поднять на роутере сервер и подключаться к своему домашнему интернету из публичных мест.

    Это весьма распространённый сценарий.

     
  • 6.64, Аноним (64), 04:38, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А на самом деле, зачем?
    Обычно впн идет как приложение для виндового трея.
     
     
  • 7.130, Shwarma (?), 14:34, 09/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Обычно впн идет как приложение для виндового трея.

    Куда идёт?

     
  • 6.66, KonstantinB (ok), 05:20, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А куда еще засунуть vpn, чтобы на всех домашних устройствах не испытывать последствий от действий роскомнадзора?
     
  • 6.140, Аноним (-), 11:42, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А что он забыл на роутерах?

    Роутер как бы самое логичное место для того чтобы на нем vpn запустить. Он всегда активен, всегда раздает интернет другим. Его можно usp'ом подпереть хоть на неделю. Так что можно 1 раз настроить впн на 1 устройстве, которое собой прикроет остальных. И будет работать как батарейка энержайзер, не требуя особого внимания к себе.

     
  • 4.32, Fyjybv755 (?), 17:48, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Если аудиоплеер впихнуть в ядро, то он тоже будет обгонять юзерспейсные плееры. Но это не повод для впихивания.

    Ту часть плеера, которая критична по скорости, уже давно впихнули. Слышали про такую штуку — ALSA?

     
  • 4.69, shatsky (?), 11:01, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Будешь рассуждать про отсутствие поводов для впихивания, когда тебе придется объяснять начальству, почему после развертывания впн скорость передачи в разы меньше по сравнению с пропускной способностью арендованного канала. Впн не для обхода блокировок придумали, так-то. Ну и про ALSA тут уже написали.
     
  • 4.120, Аноним (120), 19:12, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вы передаёте в аудиоплеер гигасы данных в секунду? Зачем?
     
  • 4.157, marios (ok), 00:22, 14/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А то, что в ядре есть модули для CIFS и NFS — достаточно прикладных штук, не смущает?
    Никто же не заставляет компилирировать или подключать данный модуль.
     
  • 3.20, Andrey Mitrofanov (?), 16:39, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • –6 +/
    >(Линус, помню, восхищался тем,
    > как минималистично и красиво написан код).

    Пральна, т-щ Линус!, нужно втащить в ядро бОООльше минималистичного, а то оно кокраснело, разбухло и облотварилось!

     
  • 3.88, gpyra (ok), 18:19, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Линус, помню, восхищался тем, как минималистично и красиво написан код

    Ну не прям чтобы восхищался, он просто заметил что оно не такое дерьмо, как OpenVPn и подобные

     
  • 3.97, DmA (??), 09:28, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Линус, помню, восхищался тем, как минималистично и красиво написан код

    Таня же писала код :)

     
     
  • 4.98, DmA (??), 09:40, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну и Таня Ланге - профессор в нидердланском университете, на страничке опубликован  её открытый GPG ключ для переписки, пишет код сама, студетов обучает криптологии.
    Интересно, в России есть хоть один профессор с кафедры "защита информации" или "информационная безопасность", который на своей страничке свой открытый GPG ключ опубликовал, да ещё и код пишет и главное публикует под открытой лицензией?
     
     
  • 5.100, Аноним (-), 10:47, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > в России есть хоть один профессор

    Нет. Опровергните, тогда изменю мнение, основанное на обучении в бауманке.

     
     
  • 6.109, DmA (??), 12:50, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    да я тоже думаю, что нет таких.
     
  • 2.35, Майор (??), 18:36, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Полностью согласен с Вами, гражданин. Незачем вот это повсеместное шифрование, оно только все осложняет! Если вам нечего скрывать, то и шифроваться не надо.
     
     
  • 3.124, DmA (??), 09:11, 09/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А чего вы тогда свою переписку не выкладываете в Интернет, чтобы все могли её читать?
     
     
  • 4.135, товарищ майор (?), 09:54, 10/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А чего вы тогда свою переписку не выкладываете в Интернет, чтобы все
    > могли её читать?

    чтобы враги государственного строя и вражеские шпионы не могли ее прочитать, разумеется.
    и вредные провокаторы тоже (намек уяснил?)


     
  • 2.62, Аноним (62), 01:39, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Что-то эта штука не выглядит как то, что должно быть в ядре.
    > Они бы ещё туда аудиоплеер запихнули и парсер TeX.

    Ядро станет еще более монолитным.

     
  • 2.65, KonstantinB (ok), 05:18, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вот уж чего надо выкинуть из ядра, так это долбаный ipsec с его нагромождениями слоев на пустом месте.
    А wireguard прекрасен.
     
     
  • 3.99, нах (?), 10:42, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    да-да, ведь никуда кроме распоследней версии линукса гордому админу локалхоста подключаться не надо.

    И никого кроме гордых админов (а то начинаются, внезапно, особенности, что список доступного через vpn, ну надо же, не для всех пользователей должен быть один и тот же) он на свой локалхост тоже не пустит. Контроль траффика хотя бы в виде "приходил Петров с 11:02 до 12:23, ip=..." - причем, разумеется, на внешнем по отношению к тому, на что приходил, устройстве - тоже не нужен, джентльмены верят на слово.

     
     
  • 4.121, KonstantinB (??), 19:51, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Задачи внезапно разные. Мне, скажем, на перечисленные задачи по барабану, нерелевантны. А для построения туннеля между серверами в разных датацентрах wg подходит прекрасно, для задач разработки тоже.

    Насчет выкинуть, я, конечно, утрирую, но если уж в ядре есть ipsec, то wg тем более заслуживает в нем быть, и это не только мое мнение:

    https://lists.openwall.net/netdev/2018/08/02/124
    From:   Linus Torvalds
    Can I just once again state my love for it and hope it gets merged
    soon? Maybe the code isn't perfect, but I've skimmed it, and compared
    to the horrors that are OpenVPN and IPSec, it's a work of art.

     
     
  • 5.126, нах (?), 12:34, 09/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Задачи внезапно разные.

    внезапно, да. Поэтому я может и буду где-то в очень узкоспециальных (строго линyпс-с-линyпсом, ручные настройки ибо протокол под них заточен, зачем-то нужно шифрование а не, скажем, банальный gre) местах это использовать, но это вот - "может", а ipsec - точно буду.

    > Насчет выкинуть, я, конечно, утрирую, но если уж в ядре есть ipsec, то wg тем более
    > заслуживает в нем быть

    ну тут я согласен ,что белки-истерички, верещащие что добавлять никак нельзя, а то ж ведро лопнет, не выдержав увеличения на (сколько там - десятая процента кода наберется?) всполошились совершенно напрасно, но и чудес, покамест, не ожидается.

     
  • 4.125, Аноним (125), 10:53, 09/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Только вот беда, реально в ойписеке ничего кроме psk с предопределенными пирами толком не работает.
    И работать не может ибо спецификации протокола неполны и бестолковы.
     
     
  • 5.127, нах (?), 12:39, 09/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Только вот беда, реально в ойписеке ничего кроме psk с предопределенными пирами толком не
    > работает.

    мой корпоративный vpn с xauth с сертификатом и отдельно mschap2 поверх, доступный из любой точки на планете, до которой доходят esp пакеты - икнул, но, к счастью, не отвалился, читая эту фигню.

    ну да, с линукс-клиентом для него не очень. хотя отдельные успехи и бывали.

    но и в очередной раз туннелить "весь интернет" в udp - как-то не выглядит хорошим универсальным решением для всех и на все времена. Скорее, очередным более-менее удачным костыликом :-(

     

     ....нить свёрнута, показать (34)

  • 1.2, Аноним (2), 14:37, 06/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему с tinc'ом нет сравнений? Хотя, полагаю он будет где-то около openvpn, т.к. юзерспейсный. Но всё же ...
     
     
  • 2.60, tensor (?), 00:36, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    По производительности - да, Вы правы, не очень из-за юзер-пейса. По простоте настройки - wg даже проще, как мне кажется.
     

  • 1.4, mikevmk (??), 14:50, 06/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Производительность это хорошо, но не главное. Главное - это аудит самих алгоритмов шифрования/авторизации на предмет хорошо замаскированных закладок. А его, боюсь, никто не осилит
     
     
  • 2.19, evkogan (?), 16:35, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Судя по новости сделали.
    Хотя надо бы посмотреть отчет и кто делал.
     
  • 2.54, КО (?), 22:00, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да бог с ними - с алгоритмами.
    Вполне достаточно будет взбрыка на какой-нибудь особым образом битый пакет, после чего этот мегакомбайн начнет забирать 32Гб. Ну для тех систем, что не смогут отдать йадру 32 гига, просто свалятся до deny of service, а в тех что смогут, там удаленное выполнение кода с  ядренными привилегиями (да еще поди в обход огненной стены). :)
     
  • 2.67, KonstantinB (ok), 05:24, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.wireguard.com/formal-verification/
     
     
  • 3.83, Andrey Mitrofanov (?), 16:55, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > https://www.wireguard.com/formal-verification/

    ...[I]""has undergone all sorts of formal verification, covering aspects of ""[/I]...

    Надо просто немного _подождать_,
    https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wireguard
    https://security-tracker.debian.org/tracker/source-package/wireguard
    ...

     
     
  • 4.87, KonstantinB (??), 18:15, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    От этого никто не застрахован, конечно.
    Но что будет на порядки меньше, чем в ipsec, это очевидно хотя бы из объема и качества кода. :)
     

  • 1.11, Аноним (11), 15:47, 06/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > Передача данных осуществляется через инкапсуляцию в пакеты UDP.

    А если UDP заблокирован?

     
     
  • 2.12, Аноним (12), 15:52, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> Передача данных осуществляется через инкапсуляцию в пакеты UDP.
    > А если UDP заблокирован?

    Это поможет, привет из Китая

    https://github.com/wangyu-/udp2raw-tunnel
    https://github.com/wangyu-/UDPspeeder

     
  • 2.14, Аноним (14), 16:24, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    "а если интернет вообще отключили?"

    примерно так же.

     
  • 2.28, Fyjybv755 (?), 17:40, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > А если UDP заблокирован?

    В смысле, добрые админы выпускают наружу только через HTTP-прокси? Тогда живите с OpenVPN, он умеет под HTTPS косить. Но мееееедленный, как и положено юзерспейсу.

     
     
  • 3.136, недобрый админ (?), 09:59, 10/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В смысле, добрые админы выпускают наружу только через HTTP-прокси? Тогда живите с
    > OpenVPN, он умеет под HTTPS косить. Но мееееедленный, как и положено

    "this http method does not allowed". Будешь ты тут мне трудовую дисциплину нарушать!

     
     
  • 4.145, Аноним (145), 11:54, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > "this http method does not allowed".

    Для таких умников есть тунели которые в HTTP запросах TCP пропихивают, чо :). А на дисциалину клали все уж давно с своими стограм-телеграмами на мобильниках...

     

  • 1.13, Аноним (13), 15:54, 06/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    а где будет этот впн если оба или один из пиров за натом?
     
     
  • 2.16, Аноним (16), 16:31, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если только один пир за натом то никаких проблем не будет если на нем включить опцию persistent-keepalive.
     
  • 2.34, Shevchuk (ok), 18:23, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Для таких случаев есть ZeroTier: https://www.reddit.com/r/linux/comments/7c0zkw/zerotier_open_source_crossplatf
     
  • 2.39, Анонимная триада (?), 18:51, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    https://peervpn.net
     
     
  • 3.146, Аноним (146), 13:34, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > https://peervpn.net

    На фоне WireGuard он, мягко говоря, так себе.
    1) Примерно 300 кило кода, на все случаи жизни. Счастливого аудита! Хотя кто ж исходники читает то?
    2) Интересный код. Ну вот peermgt.c допустим. Код не влезает на экран по ширине. Я все понимаю, но экран 30". И этого мало для комфортного чтения сорца? В линух подобный код по счастью все же не берут.
    3) OpenSSL в зависимостях. Ну и все дыры в нем - ваши. Хотя, если повезет, то только половина из них.
    4) Все самые современные технологии - на месте. Вот вам тормозной как трактор RSA. По стойкости один фиг с 25519 эллиптикой, плюс-минус, зато по скорости...

     
  • 2.40, Анонимная триада (?), 18:54, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.freelan.org
     
     
  • 3.147, Аноним (146), 13:38, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > https://www.freelan.org

    А это вообще кошмар какой-то, плюсатый, с бустом, скунсом, и дюжиной огромных либ вываленых прямо в репу прожЕкта. Глядя на вот что-то такое и понимаешь что имел в виду Торвальдс говоря "work of art" про сабж. По сравнению с вот этим - он и правда work of art!!!

     

  • 1.23, Аноним_ка (?), 16:58, 06/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Было бы отлично, но ситуацию усугубляет то, что на впсках один хрен дистры предлагаются с ядром куда древнее.
     
     
  • 2.24, merifri (ok), 17:20, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну, если уж так сильно хочется - выбираем kvm/xen виртуализацию и собираем ядрышко ручками. Если хотим впсочку за 50 рублей... ну, упс.
     
     
  • 3.33, Аноним_ка (?), 17:52, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Хм... А хотя про репы я и не подумал, а в репах наверняка будет все...
     
  • 3.148, Аноним (146), 13:40, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Если хотим впсочку за 50 рублей... ну, упс.

    А в чем проблема найти full virt за сравнимые деньги, в пределах $1-2? Их есть. Так что уже вполне можно отправить openvz туда где ему место - на свалку истории.

     
  • 2.27, Fyjybv755 (?), 17:37, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >  Было бы отлично, но ситуацию усугубляет то, что на впсках один хрен дистры предлагаются с ядром куда древнее.

    VPS на базе OpenVZ? Да там пофиг, какое ядро, все равно без высочайшего позволения модули загружать не получится.

     
  • 2.36, Аноним (-), 18:39, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это проблема тех ВПСок, которыми ты пользуешься, не?
     
  • 2.46, Я русского поймал (?), 20:18, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На нормальных ВПСках тебе дают возможность творить с системой что хочешь, нужно ядро свежее поставишь, а вообще сейчас прекрасно dkms'ом модуль WireGuard собирается и работает.
     
     
  • 3.48, Аноним (48), 20:26, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Подтверждаю, нормальный VPSки FTW!
     
     
  • 4.149, Аноним (-), 13:46, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Подтверждаю, нормальный VPSки FTW!

    И главное они уже давно стоят вполне вменяемых денег. Многие хостеры с кривым ovz за это еще и дерут больше чем многие другие за full virt, если кто случайно не заметил. А на full virt вы можете вкатить хоть ядро которое вы из git самолично собрали, если вам так зачем-то надо.

     

  • 1.37, sec (?), 18:41, 06/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Производительность у WireGuard отличная, особенно в сравнении с OpenVPN, который как ни тюнингуй, все равно как будто упирается в потолок производительности одного ядра процессора.
    Хотелось бы все же и поддержку AES, чтобы получить выгоду ещё и от аппаратного ускорения шифрования.
     
     
  • 2.53, Гентушник (ok), 21:18, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да, я тоже уже хотел свой роутер выкидывать и брать новый, ибо OpenVPN плохо тянет.
    Перешёл на WireGuard - проц почти не грузит, скорость хорошая.
    Видимо роутер я пока менять не буду. :)
     
     
  • 3.129, Злой Админ (?), 13:14, 09/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    "скорость хорошая" это сколько, если не секрет? И на каком железе?
     
  • 3.150, Аноним (-), 13:47, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Перешёл на WireGuard - проц почти не грузит, скорость хорошая.

    Там и подборка алгоритмов нормальная и в ядре к тому же. Понятное дело что openvpn без шансов. Торвальдс зря словами типа "work of art" раскидываться не будет.

     
  • 2.103, PnDx (ok), 11:48, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Внезапно, WireGuard — тоже однопоточный. Не так давно обходил сей прескорбный факт сборкой tap+bond.
     

  • 1.41, Анонимная триада (?), 19:05, 06/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Когда завезут в микротик, джунипер, аарис и циску?
     
     
  • 2.57, mumu (ok), 22:32, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Когда они асилят нормальные ОСи, а не самописные костыли.
    В общем исходники-то открыты, всё дело за индусокодерами стало.
     
  • 2.61, Pofigist (?), 01:01, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А нафига он в кошках-то? Там своя реализация VPN отличная.
     
     
  • 3.73, Аноним (73), 12:21, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ох, как сказать отличная. Насколько понимаю в этом wireguard накосячить можно мало где. А вот с цисками... Если с другой стороны не подконтрольное оборудование и сидит человек который настройки делает, и не понимает что делает - велика вероятность многочасового пердоленья.
     
     
  • 4.84, Pofigist (?), 17:14, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Если с другой стороны не подконтрольное
    > оборудование и сидит человек который настройки делает, и не понимает что
    > делает - велика вероятность многочасового пердоленья.

    В таких случаях просто даем ему готовый конфиг. А вообще если настройкой любого професионального оборудования занимается человек, который не понимает что делает - результат немного предсказуем.
    Более того - простота настройки для человека, не понимающего что он делает, далеко не всегда хорошо - обычно это кончается неслабой дырой в безопасности... :) Что доставляет кучу лулзов, особенно в случае если это касается процессов, исполняемых в пространстве ядра...

     
     
  • 5.95, Аноним (73), 00:48, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Естественно ты всё говоришь как надо. Вот только жизнь иногда умеет шутить. И просто выдача готового конфига ничего не решает. По дебагам вылавливается что что-то не то люди делают с другой стороны. По словам то конфиг применил, да.
    Проблема не техническая в данном случае. А чисто организационная. Но там уже другие вещи играют роль во всем этом бардаке. И вот максимальное упрощение принесет только плюсы. А на безопасность другой стороны с прибором. Требуемую маленькую песочницу прокинули, и хватит.
     
  • 4.101, нах (?), 10:51, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    с цисками в минимальном варианте - около 15 строчек конфига около пяти если все... текст свёрнут, показать
     
     
  • 5.123, Аноним (123), 08:54, 09/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >у тебя rhel, у него бубунточка, сеточку настраивает за него интуитивно-приятный скрипт без документации

    Угу, или федорка, где в 100500 версии лёниного пoдeлия опять и снова все переделали, а документация - в модно-молодежных бложеках и ютупчегах.

     
  • 4.151, Аноним (-), 13:49, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > оборудование и сидит человек который настройки делает, и не понимает что
    > делает - велика вероятность многочасового пердоленья.

    Циска тебе априори не подконтрольна - сорцов у тебя нет, так что предлагается верить джентльменам на слово. И если вдруг NSA и прочим Equation карта как поперла, как поперла - ну вот так вот, да.

     
  • 2.138, А (??), 01:38, 11/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А что такой "аарис"?
     

  • 1.47, ABATAPA (ok), 20:20, 06/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Лично мне он понравился. Заводится "влёт", есть в OpenWRT / debian / Ubuntu / etc. Использую несколько месяцев, доволен.
     
  • 1.50, Ilya Indigo (ok), 20:35, 06/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Помогите разобраться в его настройке, скорее всего в правилах iptables.

    На сервере:
    [Interface]
    Address = 192.168.13.1/24
    ListenPort = 51820
    PostUp   = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o enp0s10 -j MASQUERADE
    PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o enp0s10 -j MASQUERADE
    PrivateKey =

    [Peer]
    PublicKey =
    AllowedIPs = 192.168.13.1/32

    [Peer]
    PublicKey =
    AllowedIPs = 192.168.13.2/32


    На клиенте:
    [Interface]
    Address = 192.168.13.2/24
    PrivateKey =

    [Peer]
    PublicKey =
    Endpoint = ilya.pp.ua:51820
    AllowedIPs = 192.168.13.1/24
    PersistentKeepalive = 25

    Сервер имеет реальный IP - клиент нет, и с помощью этого конфига я могу подключаться с сервера к клиенту по ssh 192.168.13.2, что мне и требовалось.

    В данный момент, как мне сейчас и нужно, через vpn идут запросы только для сети 192.168.13.0/24.

    Вопрос, а как изменить конфиг так, чтобы через vpn с клиента шёл весь трафик через сервер, а не только 192.168.13.0/24 ?

     
     
  • 2.51, Аноним (51), 20:53, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    -AllowedIPs = 192.168.13.1/24
    +AllowedIPs = 0.0.0.0/0
     
     
  • 3.70, Ilya Indigo (ok), 11:49, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если я так делаю. то интернет на клиенте вообще перестаёт работать и у меня не пингуется ни одна сеть кроме 192.168.13.0/24 и DNS-ников.
     
     
  • 4.77, Fyjybv755 (?), 13:14, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Если я так делаю. то интернет на клиенте вообще перестаёт работать и
    > у меня не пингуется ни одна сеть кроме 192.168.13.0/24 и DNS-ников.

    Покажите iptables-save и ip ro sh на сервере.

     
     
  • 5.80, Ilya Indigo (ok), 15:59, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > ip ro sh

    default via 192.168.0.1 dev enp0s10 proto dhcp src 192.168.0.2 metric 10
    192.168.0.0/24 dev enp0s10 proto kernel scope link src 192.168.0.2
    192.168.0.1 dev enp0s10 proto dhcp scope link src 192.168.0.2 metric 10
    192.168.13.0/24 dev wg0server proto kernel scope link src 192.168.13.1

    > sudo iptables-save

    https://ilya.pp.ua/iptables-save.log

     
     
  • 6.102, нах (?), 11:01, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    делай раз - apt purge ufw - все равно ты им пользоваться не обучен. Или что у тебя там стоит такое, понасоздававшее автоматический нечитаемый мусор?

    делай два - в расчищенном от интуитивно-приятного мусора фильтре
    iptables -L FORWARD
    (я почистил за тебя)
    -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    -A FORWARD -i lo -j ACCEPT
    -A FORWARD -m conntrack --ctstate INVALID -j DROP
    -A FORWARD -j REJECT --reject-with icmp-host-prohibited
    #а до этих строчек управление уже никогда не дойдет
    -A FORWARD -i wg0server -j ACCEPT
    -A FORWARD -o wg0server -j ACCEPT


    ping, кстати, у тебя при этом должен работать - это единственное, что разрешено (причем - неправильно) в твоем интуитивно-приятном файрволе.

     
     
  • 7.112, Ilya Indigo (ok), 16:47, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > -A FORWARD -j REJECT --reject-with icmp-host-prohibited
    > #а до этих строчек управление уже никогда не дойдет
    > -A FORWARD -i wg0server -j ACCEPT
    > -A FORWARD -o wg0server -j ACCEPT

    Благодарю!
    Среди этого мусора я и впрямь это не разглядел.

    > apt purge ufw ...

    У меня не Ubuntu с ufw.
    У меня openSUSE с firewalld.

     
     
  • 8.114, нах (?), 17:17, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да я в их сортах не того как вижу проделки интуитивно-приятных, так и удаляю ... текст свёрнут, показать
     
     
  • 9.115, Andrey Mitrofanov (?), 17:36, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В инторнетах объявлен год Linux как в windows Новости в 11 ... текст свёрнут, показать
     
     
  • 10.128, нах (?), 12:45, 09/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В инторнетах объявлен год Linux как в windows ГООООД Are you serious about... текст свёрнут, показать
     
     
  • 11.134, Andrey Mitrofanov (?), 08:50, 10/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вот именно Теперь пора смеяться над теми, кто Вот сам пару раз попользовал... текст свёрнут, показать
     
  • 9.116, Ilya Indigo (ok), 17:57, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Проконсультируйте меня по iptables, пожалуйста Нужна ли вообще эта строчка в ко... текст свёрнут, показать
     
     
  • 10.122, пох (?), 19:59, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    нет, потому что это неправильная строчка Правильная выглядит как-то так -A FOR... текст свёрнут, показать
     
  • 8.152, Аноним (-), 13:55, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И что характерно - оба этих дружественных креатива годны только под деинсталл ... текст свёрнут, показать
     
     
  • 9.154, Andrey Mitrofanov (?), 14:19, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И тут мы понимаем, какой дизигн-фичур был _решающим_ в успехе system-d I I ... текст свёрнут, показать
     
  • 2.55, Аноним (55), 22:20, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    То-есть на клиенте разрешен только маскарад без выхода в сеть?
     
     
  • 3.71, Ilya Indigo (ok), 11:53, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если сделать то, что указано выше, разрешить клиенту полностью ходить через vpn, то интернета всё равно нет не нём.
    Как и нет вменяемой инструкции по настройке на офф сайте, к сожалению.
     
     
  • 4.79, Аноним (79), 14:54, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    https://technofaq.org/posts/2017/10/how-to-setup-wireguard-vpn-on-your-debian-

    https://linode.com/docs/networking/vpn/set-up-wireguard-vpn-on-ubuntu/#next-st

    пользуйся одним или другим мануалом. SaveConfig опцию не используй из-за нее вечные траблы с AllowedIPs. Лучше вручную.

     
     
  • 5.85, Ilya Indigo (ok), 17:27, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Благодарю за ссылки.
    Первая похожая на арчевиковскую, по которой я настраивал,
    https://wiki.archlinux.org/index.php/WireGuard#Setup_a_VPN_server
    только там немного другие команды iptables для ipv6.

    Попробовал прописать
    net.ipv6.conf.all.forwarding = 1
    в добавок к
    net.ipv4.ip_forward = 1
    в /etc/sysctl.conf
    Изменил PostUp/PostDown на эти, даже вместо %i принудительно прописал wg0server, (SaveConfig НЕ использовал) но результат тот же, при AllowedIPs = 0.0.0.0/0 пропадает интернет на клиенте и прингуются только DNS-ники и 192.168.13.0/24.
    Видимо что-то с маскарадингом на сервере не так, но что именно не могу определить. :-(

     
  • 3.75, Ilya Indigo (ok), 12:34, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > То-есть на клиенте разрешен только маскарад без выхода в сеть?

    Клиент подключен к интернету, только не имеет выделенного реального IP.

     
  • 2.72, KonstantinB (ok), 11:54, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    sysctl net.ipv4.ip_forward=1
     
     
  • 3.74, Ilya Indigo (ok), 12:23, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это у меня прописано и на сервере и на клиенте.
     
     
  • 4.81, KonstantinB (ok), 16:17, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    На клиенте не надо.
    Вроде выглядит правильно (за исключением уже упомянутого 0/0 на клиенте).
    А UDP точно по дороге не режется?
     
     
  • 5.82, Ilya Indigo (ok), 16:27, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А UDP точно по дороге не режется?

    Если я могу зайти по ssh на 192.168.13.1 (с клиента на сервер) и наоборот, то предполагаю что не режется, хотя не знаю как это проверить.

    Мне кажется что-то с iptables не в порядке и проброс интернета на vpn-сервер не происходит.

     
     
  • 6.86, KonstantinB (??), 18:11, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А wg что выдает? Туннель-то установлен?

    Если нет, то попробуйте настроить безо всяких wg-quick и прочих systemd, ручками - прямо как на официальном сайте в демонстрационном видеоролике, пока туннель сам по себе не заработает. А уж дальше можно разбираться с форвардингом, в настройке iptables для wireguard нет ничего особенного.

    А, еще проверьте таблицы маршрутизации, у меня как-то раз networkmanager выпердривался и лез куда его не просили.

     
     
  • 7.89, Ilya Indigo (ok), 18:36, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    sudo wg interface wg0 public key private key hidden listening port 5... текст свёрнут, показать
     
     
  • 8.90, Я русского поймал (?), 20:50, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В последних релизах wg-quick стал творить странное и прописывать в тэйбл 0xca6c ... текст свёрнут, показать
     
     
  • 9.119, Ilya Indigo (ok), 18:37, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Благодарю Вас за желание мне помочь - Вроде разобрался, проблема была в firew... текст свёрнут, показать
     
  • 8.91, ABATAPA (ok), 20:55, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На сервере сделайте так etc wireguard wg0 conf Interface PrivateKey xxxxxx... текст свёрнут, показать
     
     
  • 9.113, Ilya Indigo (ok), 17:10, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Большая благодарность Заработало - 3 -ne 3 case 3 in iptabl... текст свёрнут, показать
     
  • 9.117, Ilya Indigo (ok), 18:22, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А чем отличаются Ваши правила iptables -t nat -I POSTROUTING -s 192 168 13 0 24 ... текст свёрнут, показать
     
     
  • 10.118, Andrey Mitrofanov (?), 18:24, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше применять те, которые понимаешь I ... текст свёрнут, показать
     
  • 6.93, Аноним (93), 22:59, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> А UDP точно по дороге не режется?
    > Если я могу зайти по ssh на 192.168.13.1 (с клиента на сервер) и наоборот, то предполагаю что не режется, хотя не знаю как это проверить.

    ssh работает поверх TCP. Используй iperf или netcat.

     

     ....нить свёрнута, показать (32)

  • 1.52, Аноним (52), 20:59, 06/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    В новости не расскрывается как этот впн позволяет обходить двойной нат и прочее, или не позволяет?
     
     
  • 2.56, Озорной Гусь (?), 22:23, 06/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Имеется ввиду одна сторона? Никаких проблем нет с прохождением, обычный UDP трафик, только нужно будет опцию PersistentKeepalive указать для поддержания соединения в коннтраке, т.к. сам по себе wg никакого трафика не шлет.
    Если обе стороны за nat, то нужно просто прокинуть порт с одной из сторон.
     
  • 2.94, Аноним (93), 23:04, 07/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    По идее, надо STUN/TURN прикручивать.
     
     
  • 3.137, Pilat (ok), 00:13, 11/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    То есть сделать tinc. Уже сделали, работает.
     
     
  • 4.155, Аноним (-), 03:12, 13/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > То есть сделать tinc. Уже сделали, работает.

    А в нем крипто нормальное сделали все-таки в итоге? Ну то-есть 25519 и прочие ChaCha? А то уповать на AES не очень хочется, он довольно тормозной если криптоакселератора нет, а что там криптоакселератор внутрях делает хрен бы его знает. RSA так и вообще слоупок.

     
     
  • 5.156, Pilat (ok), 03:15, 13/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> То есть сделать tinc. Уже сделали, работает.
    > А в нем крипто нормальное сделали все-таки в итоге? Ну то-есть 25519
    > и прочие ChaCha? А то уповать на AES не очень хочется,
    > он довольно тормозной если криптоакселератора нет, а что там криптоакселератор внутрях
    > делает хрен бы его знает. RSA так и вообще слоупок.

      You can further change the configuration as needed either by manually editing the configuration files, or by using tinc(8).
         The tinc init command will have generated both RSA and Ed25519 public/private keypairs.  The private keys should be stored
         in files named rsa_key.priv and ed25519_key.priv in the directory /etc/tinc/NETNAME/ The public keys should be stored in
         the host configuration file /etc/tinc/NETNAME/hosts/NAME.  The RSA keys are used for backwards compatibility with tinc ver‐
         sion 1.0.  If you are upgrading from version 1.0 to 1.1, you can keep the old configuration files, but you will need to
         create Ed25519 keys using the following command:

               tinc -n NETNAME generate-ed25519-keys

     
     
  • 6.160, Аноним (160), 02:38, 14/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Мне не надо BOTH Весь пойнт DJBшной крипты - в том что критичный криптокод небо... текст свёрнут, показать
     

  • 1.58, Аноним (58), 23:25, 06/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Штука нужная хорошая. Но какие же гавнистые и агресивные там разработчики это просто что-то.

    Кстати всякими великими китайскими файерволами эта штука блочится на ура. Заголовок пакета не шифрованный. Прямо сейчас можно использовать реализацию от tunsafe отредактировать config.h для полностью шифрованных пакетов.

     
     
  • 2.159, Аноним (160), 02:29, 14/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Но какие же гавнистые и агресивные там разработчики это просто что-то.

    А нельзя ли пруфца на это дело? В чем их агрессия проявляется?

    > не шифрованный. Прямо сейчас можно использовать реализацию от tunsafe отредактировать
    > config.h для полностью шифрованных пакетов.

    Глядя на реализацию tunsafe - не надо ее использовать. По сравнению с оригиналом это уж никак не work of art. Какой-то хаотично наваленый код на плюсах вперемешку с наваленым черти как асмом, какие-то stdafx.h (лучше сразу #include <facepalm.jpg>) и прочие характерные прелести. Виндоразработчики могут сделать МАЗДАЙ и подобие OPENVPNного монстра даже из wireguard'а...

     

  • 1.107, Ващенаглухо (ok), 12:36, 08/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Новость, конечно отличная, но когда же будет клиент для винды?
     
     
  • 2.131, KonstantinB (ok), 17:09, 09/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Когда кто-нибудь его напишет. Сам Джейсон точно этого делать не будет, я догадываюсь, на чем он вертел эту вашу винду.
     
  • 2.153, Аноним (153), 14:01, 12/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Новость, конечно отличная, но когда же будет клиент для винды?

    Не понимаю смысла в нормальном впн под систему с встроенным кейлоггером. А для тех кому секурити для галочки - в винде пара каких-то клиентов встроена (pptp, l2tp). А то что они не work of art - так там вся ОС такая, впн-клиент не сделает это сито безопасным, защищенным, приватным и все такое.

     

  • 1.110, Аноним (110), 13:03, 08/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >формальную верификацию

    Значение знают? А также какой это ППЦ даже для hello world?

     
     
  • 2.111, Andrey Mitrofanov (?), 13:52, 08/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>формальную верификацию
    > Значение знают? А также какой это ППЦ даже для hello world?

    Значение значительное, значит[ся]!

    Вон чуть выше,
       http://www.opennet.ru/openforum/vsluhforumID3/115501.html#87
    коллега зуб [но не свой] даёт, что на круг, когда-нибудь потом может-быть будет точно-точно не хуже, чем у Ghostscript. Да[I]![/I]

    И hello-world не главное, главное - внушительный раздел "Публикешонз" домашней странички.  Акаде-е-емики -- участвуют[I]!

     

  • 1.133, Pilat (ok), 00:08, 10/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Большой недостаток WireGuard - для сети узлов A,B,C он не свяжет узлы A и C, если нет прямого соединения между A и C, но есть соединение AB и BC.

    А вот tinc сможет это сделать.

     
     
  • 2.158, marios (ok), 00:24, 14/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это уже вопрос поиска баланса между количеством фич и простотой.
     

  • 1.161, Аноним (161), 23:36, 29/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Из однопоточного юзерспейсного tinc на практике не удается выжать больше 600Mbps, а на мелких пакетах - 300.
    Что умеет это вот?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру