forum.opennet.ru

"Для включения в состав ядра Linux предложен VPN WireGuard"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Для включения в состав ядра Linux предложен VPN WireGuard"	+2 +/–
Сообщение от ABATAPA (ok), 07-Окт-18, 20:55
На сервере сделайте так: /etc/wireguard/wg0.conf: Interface] PrivateKey = xxxxxxxxxxxxxx ListenPort = PortNo Table = off PostUp = /etc/wireguard/wg_firewall.sh %i start PostDown = /etc/wireguard/wg_firewall.sh %i stop /etc/wireguard/wg_firewall.sh: #!/bin/bash exec >> /tmp/wg_firewall.sh.log 2>&1 set -x if [ $# -ne 2 ]; then echo "No interface given. Usage: $0 <int> [start\|stop]" >&2 exit 1 fi case "$2" in start) iptables -t nat -I POSTROUTING -s 192.168.13.0/24 ! -d 192.168.13.0/24 -j MASQUERADE iptables -I FORWARD -i $1 -o eth0 -j ACCEPT iptables -I FORWARD -o $1 -i eth0 -j ACCEPT iptables -I FORWARD -i $1 -o $1 -j ACCEPT ;; stop) iptables -t nat -D POSTROUTING -s 192.168.13.0/24 ! -d 192.168.13.0/24 -j MASQUERADE iptables -D FORWARD -i $1 -o eth0 -j ACCEPT iptables -D FORWARD -o $1 -i eth0 -j ACCEPT iptables -D FORWARD -i $1 -o $1 -j ACCEPT ;; esac Названия интерфейсов поправьте, если нужно. Разумеетсся, нужно включить forwarding (у Вас включен). На клиенте заворачиваете или всё через ip route replace default, или выборочно через ipset + iptables + ip rule.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Для включения в состав ядра Linux предложен VPN WireGuard, opennews, 06-Окт-18, 14:37 [смотреть все]

Что-то эта штука не выглядит как то, что должно быть в ядре Они бы ещё туда ауд, A.Stahl, 06-Окт-18, 14:37 (1) //
- Оно как раз и обгоняет OpenVPN за счёт того, что выполнено в виде модуля ядра Т, AnonPlus, 06-Окт-18, 14:42 (3) //
  - Если аудиоплеер впихнуть в ядро, то он тоже будет обгонять юзерспейсные плееры , A.Stahl, 06-Окт-18, 14:52 (5) //
    - Аудиоплееры не страдают от тормознутости и не нагружают заметно процессор А в, AnonPlus, 06-Окт-18, 15:19 (9)
      - А что он забыл на роутерах , Crazy Alex, 06-Окт-18, 16:49 (21)
        
        Вломился вот и спрашивает что там про меня Crazy Alex думает , НяшМяш, 06-Окт-18, 17:30 (26)
        Действительно, VPN на роутере Что может быть глупее Разве что фаервол на роуте, Fyjybv755, 06-Окт-18, 17:44 (30)
        
        OpenVPN на роутере - это 10 mbps, потому что армовая дрянь, которая там стоит, н, abi, 08-Окт-18, 09:27 (96)
        
        Не ARM, а MIPS OpenVPN такая дрянь, что даже на мощных x86 гигабит не тянет , имя, 10-Окт-18, 00:05 (132)
        Современные ARM таки и с openvpn могут довольно много Однако в целом openvpn да, Аноним, 12-Окт-18, 11:40 (139)
        
        Подключать роутер в качестве клиента Либо поднять на роутере сервер и подключат, AnonPlus, 06-Окт-18, 23:42 (59)
        А на самом деле, зачем Обычно впн идет как приложение для виндового трея , Аноним, 07-Окт-18, 04:38 (64)
        
        Куда идёт , Shwarma, 09-Окт-18, 14:34 (130)
        
        А куда еще засунуть vpn, чтобы на всех домашних устройствах не испытывать послед, KonstantinB, 07-Окт-18, 05:20 (66)
        Роутер как бы самое логичное место для того чтобы на нем vpn запустить Он всегд, Аноним, 12-Окт-18, 11:42 (140)
    - Ту часть плеера, которая критична по скорости, уже давно впихнули Слышали про т, Fyjybv755, 06-Окт-18, 17:48 (32)
    - Будешь рассуждать про отсутствие поводов для впихивания, когда тебе придется объ, shatsky, 07-Окт-18, 11:01 (69)
    - Вы передаёте в аудиоплеер гигасы данных в секунду Зачем , Аноним, 08-Окт-18, 19:12 (120)
    - А то, что в ядре есть модули для CIFS и NFS 8212 достаточно прикладных штук, , marios, 14-Окт-18, 00:22 (157)
  - Пральна, т-щ Линус , нужно втащить в ядро бОООльше минималистичного, а то оно ко, Andrey Mitrofanov, 06-Окт-18, 16:39 (20)
  - Ну не прям чтобы восхищался, он просто заметил что оно не такое дерьмо, как Open, gpyra, 07-Окт-18, 18:19 (88)
  - Таня же писала код , DmA, 08-Окт-18, 09:28 (97) //
    - Ну и Таня Ланге - профессор в нидердланском университете, на страничке опубликов, DmA, 08-Окт-18, 09:40 (98)
      - Нет Опровергните, тогда изменю мнение, основанное на обучении в бауманке , Аноним, 08-Окт-18, 10:47 (100)
        
        да я тоже думаю, что нет таких , DmA, 08-Окт-18, 12:50 (109)
- Полностью согласен с Вами, гражданин Незачем вот это повсеместное шифрование, о, Майор, 06-Окт-18, 18:36 (35) //
  - А чего вы тогда свою переписку не выкладываете в Интернет, чтобы все могли её чи, DmA, 09-Окт-18, 09:11 (124) //
    - чтобы враги государственного строя и вражеские шпионы не могли ее прочитать, раз, товарищ майор, 10-Окт-18, 09:54 (135)
- Ядро станет еще более монолитным , Аноним, 07-Окт-18, 01:39 (62)
- Вот уж чего надо выкинуть из ядра, так это долбаный ipsec с его нагромождениями , KonstantinB, 07-Окт-18, 05:18 (65) //
  - да-да, ведь никуда кроме распоследней версии линукса гордому админу локалхоста п, нах, 08-Окт-18, 10:42 (99) //
    - Задачи внезапно разные Мне, скажем, на перечисленные задачи по барабану, нереле, KonstantinB, 08-Окт-18, 19:51 (121)
      - внезапно, да Поэтому я может и буду где-то в очень узкоспециальных строго линy, нах, 09-Окт-18, 12:34 (126)
    - Только вот беда, реально в ойписеке ничего кроме psk с предопределенными пирами , Аноним, 09-Окт-18, 10:53 (125)
      - мой корпоративный vpn с xauth с сертификатом и отдельно mschap2 поверх, доступны, нах, 09-Окт-18, 12:39 (127)
Почему с tinc ом нет сравнений Хотя, полагаю он будет где-то около openvpn, т к, Аноним, 06-Окт-18, 14:37 (2) //
- По производительности - да, Вы правы, не очень из-за юзер-пейса По простоте нас, tensor, 07-Окт-18, 00:36 (60)
Производительность это хорошо, но не главное Главное - это аудит самих алгоритм, mikevmk, 06-Окт-18, 14:50 (4) //
- Судя по новости сделали Хотя надо бы посмотреть отчет и кто делал , evkogan, 06-Окт-18, 16:35 (19)
- Да бог с ними - с алгоритмами Вполне достаточно будет взбрыка на какой-нибудь ос, КО, 06-Окт-18, 22:00 (54)
- https www wireguard com formal-verification , KonstantinB, 07-Окт-18, 05:24 (67) //
  - I has undergone all sorts of formal verification, covering aspects of , Andrey Mitrofanov, 07-Окт-18, 16:55 (83) //
    - От этого никто не застрахован, конечно Но что будет на порядки меньше, чем в ips, KonstantinB, 07-Окт-18, 18:15 (87)
А если UDP заблокирован , Аноним, 06-Окт-18, 15:47 (11) //
- Это поможет, привет из Китаяhttps github com wangyu- udp2raw-tunnelhttps git, Аноним, 06-Окт-18, 15:52 (12)
- а если интернет вообще отключили примерно так же , Аноним, 06-Окт-18, 16:24 (14)
- В смысле, добрые админы выпускают наружу только через HTTP-прокси Тогда живите , Fyjybv755, 06-Окт-18, 17:40 (28) //
  - this http method does not allowed Будешь ты тут мне трудовую дисциплину наруш, недобрый админ, 10-Окт-18, 09:59 (136) //
    - Для таких умников есть тунели которые в HTTP запросах TCP пропихивают, чо А , Аноним, 12-Окт-18, 11:54 (145)
а где будет этот впн если оба или один из пиров за натом , Аноним, 06-Окт-18, 15:54 (13) //
- Если только один пир за натом то никаких проблем не будет если на нем включить о, Аноним, 06-Окт-18, 16:31 (16)
- Для таких случаев есть ZeroTier https www reddit com r linux comments 7c0zkw , Shevchuk, 06-Окт-18, 18:23 (34)
- https peervpn net, Анонимная триада, 06-Окт-18, 18:51 (39) //
  - На фоне WireGuard он, мягко говоря, так себе 1 Примерно 300 кило кода, на все с, Аноним, 12-Окт-18, 13:34 (146)
- https www freelan org, Анонимная триада, 06-Окт-18, 18:54 (40) //
  - А это вообще кошмар какой-то, плюсатый, с бустом, скунсом, и дюжиной огромных ли, Аноним, 12-Окт-18, 13:38 (147)
Было бы отлично, но ситуацию усугубляет то, что на впсках один хрен дистры предл, Аноним_ка, 06-Окт-18, 16:58 (23) //
- Ну, если уж так сильно хочется - выбираем kvm xen виртуализацию и собираем ядрыш, merifri, 06-Окт-18, 17:20 (24) //
  - Хм А хотя про репы я и не подумал, а в репах наверняка будет все , Аноним_ка, 06-Окт-18, 17:52 (33)
  - А в чем проблема найти full virt за сравнимые деньги, в пределах 1-2 Их есть , Аноним, 12-Окт-18, 13:40 (148)
- VPS на базе OpenVZ Да там пофиг, какое ядро, все равно без высочайшего позволен, Fyjybv755, 06-Окт-18, 17:37 (27)
- Это проблема тех ВПСок, которыми ты пользуешься, не , Аноним, 06-Окт-18, 18:39 (36)
- На нормальных ВПСках тебе дают возможность творить с системой что хочешь, нужно , Я русского поймал, 06-Окт-18, 20:18 (46) //
  - Подтверждаю, нормальный VPSки FTW , Аноним, 06-Окт-18, 20:26 (48) //
    - И главное они уже давно стоят вполне вменяемых денег Многие хостеры с кривым ov, Аноним, 12-Окт-18, 13:46 (149)
Производительность у WireGuard отличная, особенно в сравнении с OpenVPN, который, sec, 06-Окт-18, 18:41 (37) //
- Да, я тоже уже хотел свой роутер выкидывать и брать новый, ибо OpenVPN плохо тян, Гентушник, 06-Окт-18, 21:18 (53) //
  - скорость хорошая это сколько, если не секрет И на каком железе , Злой Админ, 09-Окт-18, 13:14 (129)
  - Там и подборка алгоритмов нормальная и в ядре к тому же Понятное дело что openv, Аноним, 12-Окт-18, 13:47 (150)
- Внезапно, WireGuard 8212 тоже однопоточный Не так давно обходил сей прескорб, PnDx, 08-Окт-18, 11:48 (103)
Когда завезут в микротик, джунипер, аарис и циску , Анонимная триада, 06-Окт-18, 19:05 (41) //
- Когда они асилят нормальные ОСи, а не самописные костыли В общем исходники-то от, mumu, 06-Окт-18, 22:32 (57)
- А нафига он в кошках-то Там своя реализация VPN отличная , Pofigist, 07-Окт-18, 01:01 (61) //
  - Ох, как сказать отличная Насколько понимаю в этом wireguard накосячить можно ма, Аноним, 07-Окт-18, 12:21 (73) //
    - В таких случаях просто даем ему готовый конфиг А вообще если настройкой любого , Pofigist, 07-Окт-18, 17:14 (84)
      - Естественно ты всё говоришь как надо Вот только жизнь иногда умеет шутить И пр, Аноним, 08-Окт-18, 00:48 (95)
    - с цисками в минимальном варианте - около 15 строчек конфига около пяти если все, нах, 08-Окт-18, 10:51 (101)
      - Угу, или федорка, где в 100500 версии лёниного пoдeлия опять и снова все передел, Аноним, 09-Окт-18, 08:54 (123)
    - Циска тебе априори не подконтрольна - сорцов у тебя нет, так что предлагается ве, Аноним, 12-Окт-18, 13:49 (151)
- А что такой аарис , А, 11-Окт-18, 01:38 (138)
Лично мне он понравился Заводится влёт , есть в OpenWRT debian Ubuntu et, ABATAPA, 06-Окт-18, 20:20 (47)
Помогите разобраться в его настройке, скорее всего в правилах iptables На сервер, Ilya Indigo, 06-Окт-18, 20:35 (50) //
- -AllowedIPs 192 168 13 1 24 AllowedIPs 0 0 0 0 0, Аноним, 06-Окт-18, 20:53 (51) //
  - Если я так делаю то интернет на клиенте вообще перестаёт работать и у меня не п, Ilya Indigo, 07-Окт-18, 11:49 (70) //
    - Покажите iptables-save и ip ro sh на сервере , Fyjybv755, 07-Окт-18, 13:14 (77)
      - default via 192 168 0 1 dev enp0s10 proto dhcp src 192 168 0 2 metric 10192 168 , Ilya Indigo, 07-Окт-18, 15:59 (80)
        
        делай раз - apt purge ufw - все равно ты им пользоваться не обучен Или что у те, нах, 08-Окт-18, 11:01 (102)
        
        Благодарю Среди этого мусора я и впрямь это не разглядел У меня не Ubuntu с ufw , Ilya Indigo, 08-Окт-18, 16:47 (112)
        
        да я в их сортах не того как вижу проделки интуитивно-приятных, так и удаляю , нах, 08-Окт-18, 17:17 (114)
        
        В инторнетах объявлен год Linux как в windows Новости в 11 , Andrey Mitrofanov, 08-Окт-18, 17:36 (115)
        
        В инторнетах объявлен год Linux как в windows ГООООД Are you serious about , нах, 09-Окт-18, 12:45 (128)
        
        Вот именно Теперь пора смеяться над теми, кто Вот сам пару раз попользовал, Andrey Mitrofanov, 10-Окт-18, 08:50 (134)
        
        Проконсультируйте меня по iptables, пожалуйста Нужна ли вообще эта строчка в кон, Ilya Indigo, 08-Окт-18, 17:57 (116)
        
        нет, потому что это неправильная строчка Правильная выглядит как-то так -A FORW, пох, 08-Окт-18, 19:59 (122)
        
        И что характерно - оба этих дружественных креатива годны только под деинсталл , Аноним, 12-Окт-18, 13:55 (152)
        
        И тут мы понимаем, какой дизигн-фичур был _решающим_ в успехе system-d I I , Andrey Mitrofanov, 12-Окт-18, 14:19 (154)
- То-есть на клиенте разрешен только маскарад без выхода в сеть , Аноним, 06-Окт-18, 22:20 (55) //
  - Если сделать то, что указано выше, разрешить клиенту полностью ходить через vpn,, Ilya Indigo, 07-Окт-18, 11:53 (71) //
    - https technofaq org posts 2017 10 how-to-setup-wireguard-vpn-on-your-debian-gn, Аноним, 07-Окт-18, 14:54 (79)
      - Благодарю за ссылки Первая похожая на арчевиковскую, по которой я настраивал,htt, Ilya Indigo, 07-Окт-18, 17:27 (85)
  - Клиент подключен к интернету, только не имеет выделенного реального IP , Ilya Indigo, 07-Окт-18, 12:34 (75)
- sysctl net ipv4 ip_forward 1, KonstantinB, 07-Окт-18, 11:54 (72) //
  - Это у меня прописано и на сервере и на клиенте , Ilya Indigo, 07-Окт-18, 12:23 (74) //
    - На клиенте не надо Вроде выглядит правильно за исключением уже упомянутого 0 0 , KonstantinB, 07-Окт-18, 16:17 (81)
      - Если я могу зайти по ssh на 192 168 13 1 с клиента на сервер и наоборот, то пр, Ilya Indigo, 07-Окт-18, 16:27 (82)
        
        А wg что выдает Туннель-то установлен Если нет, то попробуйте настроить безо вс, KonstantinB, 07-Окт-18, 18:11 (86)
        
        sudo wginterface wg0 public key private key hidden listening port 54589, Ilya Indigo, 07-Окт-18, 18:36 (89)
        
        В последних релизах wg-quick стал творить странное и прописывать в тэйбл 0xca6c , Я русского поймал, 07-Окт-18, 20:50 (90)
        
        Благодарю Вас за желание мне помочь - Вроде разобрался, проблема была в firewa, Ilya Indigo, 08-Окт-18, 18:37 (119)
        
        На сервере сделайте так etc wireguard wg0 conf Interface PrivateKey xxxxxxxxx , ABATAPA, 07-Окт-18, 20:55 (91)
        
        Большая благодарность Заработало - 3 -ne 3 case 3 in iptables -, Ilya Indigo, 08-Окт-18, 17:10 (113)
        А чем отличаются Ваши правилаiptables -t nat -I POSTROUTING -s 192 168 13 0 24 , Ilya Indigo, 08-Окт-18, 18:22 (117)
        
        Лучше применять те, которые понимаешь I , Andrey Mitrofanov, 08-Окт-18, 18:24 (118)
        
        ssh работает поверх TCP Используй iperf или netcat , Аноним, 07-Окт-18, 22:59 (93)
В новости не расскрывается как этот впн позволяет обходить двойной нат и прочее,, Аноним, 06-Окт-18, 20:59 (52) //
- Имеется ввиду одна сторона Никаких проблем нет с прохождением, обычный UDP траф, Озорной Гусь, 06-Окт-18, 22:23 (56)
- По идее, надо STUN TURN прикручивать , Аноним, 07-Окт-18, 23:04 (94) //
  - То есть сделать tinc Уже сделали, работает , Pilat, 11-Окт-18, 00:13 (137) //
    - А в нем крипто нормальное сделали все-таки в итоге Ну то-есть 25519 и прочие Ch, Аноним, 13-Окт-18, 03:12 (155)
      - You can further change the configuration as needed either by manually editing , Pilat, 13-Окт-18, 03:15 (156)
        
        Мне не надо BOTH Весь пойнт DJBшной крипты - в том что критичный криптокод небо, Аноним, 14-Окт-18, 02:38 (160)
Штука нужная хорошая Но какие же гавнистые и агресивные там разработчики это пр, Аноним, 06-Окт-18, 23:25 (58) //
- А нельзя ли пруфца на это дело В чем их агрессия проявляется Глядя на реализаци, Аноним, 14-Окт-18, 02:29 (159)
Новость, конечно отличная, но когда же будет клиент для винды , Ващенаглухо, 08-Окт-18, 12:36 (107) //
- Когда кто-нибудь его напишет Сам Джейсон точно этого делать не будет, я догадыв, KonstantinB, 09-Окт-18, 17:09 (131)
- Не понимаю смысла в нормальном впн под систему с встроенным кейлоггером А для т, Аноним, 12-Окт-18, 14:01 (153)
Значение знают А также какой это ППЦ даже для hello world , Аноним, 08-Окт-18, 13:03 (110) //
- Значение значительное, значит ся Вон чуть выше, http www opennet ru openfor, Andrey Mitrofanov, 08-Окт-18, 13:52 (111)
Большой недостаток WireGuard - для сети узлов A,B,C он не свяжет узлы A и C, есл, Pilat, 10-Окт-18, 00:08 (133) //
- Ну это уже вопрос поиска баланса между количеством фич и простотой , marios, 14-Окт-18, 00:24 (158)
Из однопоточного юзерспейсного tinc на практике не удается выжать больше 600Mbps, Аноним, 29-Окт-18, 23:36 (161)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру