The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Во FreeBSD добавлена поддержка VPN WireGuard

01.12.2020 19:46

В ядро и пользовательское окружение FreeBSD принят код с реализацией драйвера и инструментария VPN WireGuard. Реализация основана на коде, ранее разработанном для OpenBSD. Патч для FreeBSD подготовил Мэттью Мэйси (Matthew Macy) по заказу компании Netgate, развивающей pfSense.

Для организации работы VPN предложен работающий на уровне ядра драйвер "if_wg" с реализацией протокола WireGuard и специфичного сетевого интерфейса, а также модифицированный вариант утилиты ifconfig для настройки туннеля. В драйвере используется библиотека zinc с собственной реализацией алгоритмов blake2s, poly1305, chacha20 и curve25519. Реализация совместима со всеми официальными клиентами WireGuard для Linux, Windows, macOS, *BSD, iOS и Android.

Напомним, что VPN WireGuard реализован на основе современных методов шифрования, обеспечивает очень высокую производительность, прост в использовании, лишён усложнений и хорошо зарекомендовал себя в ряде крупных внедрений, обрабатывающих большие объёмы трафика. Проект развивается с 2015 года, прошёл аудит и формальную верификацию применяемых методов шифрования. В WireGuard применяется концепция маршрутизации по ключам шифрования, которая подразумевает привязку к каждому сетевому интерфейсу закрытого ключа и применение для связывания открытых ключей.

Обмен открытыми ключами для установки соединения производится по аналогии с SSH. Для согласования ключей и соединения без запуска отдельного демона в пространстве пользователя применяется механизм Noise_IK из Noise Protocol Framework, похожий на поддержание authorized_keys в SSH. Передача данных осуществляется через инкапсуляцию в пакеты UDP. Поддерживается смена IP-адреса VPN-сервера (роуминг) без разрыва соединения с автоматической перенастройкой клиента.

Для шифрования используется потоковый шифр ChaCha20 и алгоритм аутентификации сообщений (MAC) Poly1305, разработанные Дэниелом Бернштейном (Daniel J. Bernstein), Таней Ланге (Tanja Lange) и Питером Швабе (Peter Schwabe). ChaCha20 и Poly1305 позиционируются как более быстрые и безопасные аналоги AES-256-CTR и HMAC, программная реализация которых позволяет добиться фиксированного времени выполнения без задействования специальной аппаратной поддержки. Для генерации совместного секретного ключа применяется протокол Диффи-Хеллмана на эллиптических кривых в реализации Curve25519, также предложенной Дэниелом Бернштейном. Для хеширования используются алгоритм BLAKE2s (RFC7693).

  1. Главная ссылка к новости (https://www.reddit.com/r/freeb...)
  2. OpenNews: В ядро платформы Android перенесена поддержка VPN WireGuard
  3. OpenNews: В ядро NetBSD добавлена поддержка VPN WireGuard
  4. OpenNews: VPN WireGuard принят в основной состав OpenBSD
  5. OpenNews: Доступен VPN WireGuard 1.0.0
  6. OpenNews: В ядро Linux 5.6 принят код с поддержкой VPN WireGuard и расширения MPTCP (MultiPath TCP)
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/54178-wireguard
Ключевые слова: wireguard, freebsd, vpn
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (122) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, leibniz (ok), 19:52, 01/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Matt Dunwoodie просто молоток.
     
     
  • 2.4, Аноним (4), 19:57, 01/12/2020 Скрыто модератором
  • –6 +/
     
     
  • 3.18, Аноним (18), 20:40, 01/12/2020 Скрыто модератором
  • +6 +/
     
  • 3.23, bergentroll (ok), 21:00, 01/12/2020 Скрыто модератором
  • +5 +/
     
  • 2.21, YetAnotherOnanym (ok), 20:44, 01/12/2020 Скрыто модератором
  • +2 +/
     
  • 2.55, КО (?), 05:12, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Потому что задолбал?
     
  • 2.79, лютый жабби__ (?), 15:34, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >Matt Dunwoodie просто молоток.

    Да, а фряха уже настолько неживая, что даже такое родные разрабы не осиливают. Печаль...

     
     
  • 3.80, Аноним (-), 15:59, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Author: mmacy
    >> Date: Sun Nov 29 19:38:03 2020 UTC (2 days, 13 hours ago)
    >> Import kernel WireGuard support
    >> Data path largely shared with the OpenBSD implementation by

    Matt Dunwoodie <ncon@nconroy.net>
    >> Reviewed by: grehan@freebsd.org
    > Да, а фряха уже настолько неживая, что даже такое родные разрабы не
    > осиливают. Печаль...

    Зато опеннетные читатели пятой точкой живы и стабилны. Ура!

     
  • 2.82, swine (ok), 17:00, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ждём от Matthew Dillon.
     

  • 1.2, anonymous (??), 19:53, 01/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > Поддерживается смена IP-адреса VPN-сервера (роуминг) без разрыва соединения

    Может всё же VPN-клиента? Если сменится адрес сервера разрыв таки произойдёт.

     
     
  • 2.12, Аноним (-), 20:14, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    соединение сохраняется при смене низлежащей сети (двусторонний p2p роуминг с обновлением конфигурации по новой информации об айпи).
     
  • 2.47, макаронофикус (?), 23:19, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Этим летом один московский жирно-гос внезапно дал доступ по WireGuard.
    Работал в гостинице с поездками в офис.
    Ноут суспендишь, приезжаешь в офис за 10 км, ноут открываешь - ssh соединение не отвалилось.


     
  • 2.90, Аноним (-), 09:56, 03/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Может всё же VPN-клиента?

    Там деление довольно условное.

    > Если сменится адрес сервера разрыв таки произойдёт.

    В udp то? При том что это предусмотрено? Да ну бросьте.

     

  • 1.3, Аноним (4), 19:54, 01/12/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –21 +/
     
     
  • 2.8, Аноним (8), 20:06, 01/12/2020 Скрыто модератором
  • +14 +/
     
     
  • 3.13, Аноним (13), 20:15, 01/12/2020 Скрыто модератором
  • –8 +/
     
     
  • 4.30, Аноним (30), 21:30, 01/12/2020 Скрыто модератором
  • +8 +/
     
  • 3.32, Аноним (32), 21:34, 01/12/2020 Скрыто модератором
  • –3 +/
     
  • 2.15, анонн (ok), 20:23, 01/12/2020 Скрыто модератором
  • +3 +/
     

     ....ответы скрыты модератором (5)

  • 1.5, Аноним (5), 19:58, 01/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    В wireguard уже завезли пушинг маршрутов клиенту, или это всё ещё унылое ничего неумеющее гуано, но зато всего 4000 строчек кода? ;))))
     
     
  • 2.7, Аноним (7), 20:01, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Москва не сразу строилась.
     
  • 2.22, YetAnotherOnanym (ok), 20:59, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А этим должен заниматься модуль ядра, реализующий функционал VPN? Имхо, для таких целей правильнее просто дёргать сторонее ПО.
     
  • 2.88, хватит всем (?), 21:24, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Пока только завезли низкий оверхед и высокую пропускную способность. Маршрутизация, к счастью, решённая проблема, можно не писать ненужный код.
     
  • 2.91, Аноним (-), 09:59, 03/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В wireguard уже завезли пушинг маршрутов клиенту, или это всё ещё унылое
    > ничего неумеющее гуано, но зато всего 4000 строчек кода? ;))))

    Для любителей 400 000 строчек кода есть openvpn и прочие ipsec, с количеством дыр и просто глюков под стать. А как вся эта гадость переживает роуминг айпишника даже и говорить неудобно.

     

  • 1.6, Пепердыщ (?), 19:58, 01/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Носятся со своим уайргардом как с писанной торбой
     
  • 1.9, фывфывфыв (?), 20:07, 01/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    а чё такой хайп вокруг этого вирегурда?
     
     
  • 2.14, mikhailnov (ok), 20:16, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Для настройки OpenVPN нужно прочитать километр запутанных мануалов со 100500 командами, а в WireGuard все проще.
     
     
  • 3.16, Аноним (7), 20:28, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Softether даст тебе в одном флаконе OpenVPN, l2tp-ipsec, SSTP. На выбор или сразу все. Также под капотом собственный виртуальный NAT и DHCP. Раздача маршрутов клиентам, если не ошибаюсь присутствует. Настраивается через CLI или GUI на выбор, есть мастер первоначальной настройки для начинающих. Из дополнительных плюшек - может прокладывать туннели через сервера softether, MS Azure (актуально для Китая), а также использовать для передачи данных icmp и dns-запросы (скорость как у модема на 1200 бод, так что опция, интересная скорее чисто теоретически)
    В общем, тоже несложно. Видимо, у WG есть что-то еще, помимо простоты.
     
     
  • 4.25, Аноним (25), 21:15, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Любитель комбайнов? Ничего, это пройдёт.
     
     
  • 5.35, Аноним (7), 21:43, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну не используй комбайн, никто не запрещает взять из SE один протокол, настроить NAT в системе и поднять dnsmasq или другой dhcp... это, кстати, вариант, дающий лучшую производительность.
     
     
  • 6.73, Аноним (25), 11:57, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Осталось только выкинуть SE и заменить его на WG, чтобы получить ещё лучшую производительность.
     
     
  • 7.78, Аноним (7), 12:43, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кто-то против? Заменяй.

    Анонимы не читают. Анонимы не думают. Они сразу отвечают - "в интернете кто-то неправ!"

     
     
  • 8.84, Аноним (25), 17:54, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я не могу заменить то, чего у меня никогда не было Жаль, что и ты такой же ... текст свёрнут, показать
     
     
  • 9.86, Аноним (7), 19:13, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и я не могу выкинуть то, чем не пользуюсь Рекурсия... текст свёрнут, показать
     
  • 4.28, Анонов Антон Анонович (?), 21:20, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нормальное полное (читай почти единственное) управление этим "добром" (Softether-ом) все так же только с Виндоус клиента? Полнофункционального кли все так же не подвезли? Или хотя бы веб-морды хоть какой-нибудь?...
     
     
  • 5.31, Аноним (30), 21:32, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Линупceныши должны страдать
     
     
  • 6.39, Аноним (32), 22:16, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Зачем? Может они не хотят страдать. И кстати да, софтезер нормально через CLI настраивается.
    Хотя... А как там дела с графическим клиентом под FreeBSD? Всё работает, как я понимаю?
     
     
  • 7.43, Аноним (7), 22:28, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А как там дела с графическим клиентом под FreeBSD? Всё работает, как я понимаю?

    Вот про клиентов SE - хоть для Win, хоть для bsd/linux - вообще ничего не знаю... не пользовался.


     
  • 7.46, Аноним (46), 23:16, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >А как там дела с графическим клиентом под FreeBSD?

    Надо патчить.

     
  • 6.109, Аноним (-), 02:48, 04/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Линупceныши должны страдать

    Видел я юзеров этой штуки - ой, блин, меня не пускают в фриноду с того айпи. Сейчас, комп перезагружу, чтобы перезапустить впн. Вот это типичный юзер винды. Линуксоид же вбацает команду и сделает то же самое за 10% времени. Чем-то таким технари от секретуток и отличаются.

     
  • 5.34, Аноним (7), 21:41, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    cli не осилил, что ли?
     
  • 5.69, пох. (?), 11:00, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Нормальное полное (читай почти единственное) управление этим "добром" (Softether-ом)
    > все так же только с Виндоус клиента?

    Да, все правильно сделали - если тебе "нормально" "как в винде" - вот и нехрен все вокруг переделывать под винду, ставь настояющую и не выделывайся.

    А если тебе нормально cli и текстовый конфиг, как в юниксах испокон веку принято - так это там тоже есть и было всегда.

     
  • 4.29, Ананимус (?), 21:21, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > В общем, тоже несложно. Видимо, у WG есть что-то еще, помимо простоты.

    У WG есть простота реализации, roaming и он не жрет батарейку не в себя как OpenVPN. И ещё аудит может провести один чувак за пару недель.

     
  • 4.33, Marten (?), 21:38, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У WG performance & latency пока лучшие в отрасли.
    Во многих проектах это очень важно.
     
  • 4.48, Аноним (46), 23:19, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Softether даст тебе в одном флаконе OpenVPN, l2tp-ipsec, SSTP.

    На код взгляни. Его же вантузы писали, видно невооруженным глазом. Как таким пейсателям доверять безопасность коммуникаций?

     
     
  • 5.59, Lex (??), 06:50, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В не_вантузном ПО не бывает дыр в безопасности ?)
     
     
  • 6.118, Аноним (-), 05:49, 05/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > В не_вантузном ПО не бывает дыр в безопасности ?)

    Просто когда тебе вывалили с десяток мег абы как написаных сорцов в стиле энтерпрайзных индусов, дыры почему-то не заставят себя ждать. Как только кто-то любопытный посмотрит внутрь, найдется много интересного.

     
  • 5.60, Аноним (7), 07:46, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну расскажи мне, что ты там увидел в коде. Только без "вантузов" и "пейсателей", а с конкретикой и примерами - вот здесь потенциальная утечка памяти, вот тут дыра в безопасности... Исправить можно вот так или вот так.
    Это будет конструктивно.
     
     
  • 6.71, Аноним (71), 11:55, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Все переводы строк с символом 0xOD.
     
     
  • 7.72, Аноним (71), 11:56, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Поэтому дальше смотреть и анализировать смысла нет.
     
     
  • 8.75, Аноним (7), 12:31, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Потому что для анализа кода нужны знания А твои закончились на 0xOD ... текст свёрнут, показать
     
  • 6.74, Аноним (25), 12:06, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    exe-шники в гите, например.
     
     
  • 7.76, Аноним (7), 12:33, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да шо вы говорите, экзешники в гите... Ай-яй-яй...

    Других замечаний к коду ждать, видимо, смысла нет?

     
     
  • 8.85, Аноним (25), 17:56, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ещё хочешь Комментариев почти нет А разгребать вантузный код без комментариев ... текст свёрнут, показать
     
     
  • 9.87, Аноним (7), 19:20, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Понятно Если бы были комментарии, то сразу перешли бы к пунктам Ой, все и... текст свёрнут, показать
     
  • 4.56, КО (?), 05:13, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Есть конечно - чемоданы с баблом.
     
  • 4.61, ryoken (ok), 08:24, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Оно уже с нормальной лицензией? Управлялку сделали не только под вантуз? И что там про открытие кода, а то давно на глаза не попадалось, не в курсе.
     
     
  • 5.63, Аноним (7), 09:20, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Управлялку сделали не только под вантуз?

    CLI в наличии. Читай мануалы.

    > Оно уже с нормальной лицензией?
    > И что там про открытие кода, а то давно на глаза не попадалось, не в курсе.

    Ох уж этот gpl головного мозга... отягощенный опенсорс-синдромом... и в сочетании с куриной слепотой среднестатистического безграмотного школьника-линуксоида...

    https://www.softether.org/5-download/src
    https://github.com/SoftEtherVPN/SoftEtherVPN/

     
     
  • 6.64, ryoken (ok), 09:35, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > https://www.softether.org/5-download/src
    > https://github.com/SoftEtherVPN/SoftEtherVPN/

    Ну я ж говорю, давно на глаза не попадалось, чо вы сразу фекалиями забрасываете..? :D

     
  • 4.92, Аноним (-), 10:03, 03/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Softether даст тебе в одном флаконе OpenVPN, l2tp-ipsec, SSTP. На выбор или
    > сразу все. Также под капотом собственный виртуальный NAT и DHCP.

    А также пара дюжин мегабайтов кода, с глюками, багами и уязвимостями под стать. Сетевой спрут живущий своей жизнью, еще энтерпрайзнее опенвпн-а. К нему еще пару ребят в саппорт сразу надо брать, из фирмы-разработчика.

     
     
  • 5.101, Аноним (7), 12:29, 03/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А также пара дюжин мегабайтов кода, с глюками, багами и уязвимостями под стать.

    Еще один эксперт по коду нарисовался?

    > К нему еще пару ребят в саппорт сразу надо брать, из фирмы-разработчика.

    А, нет, просто неосилятор.

     
     
  • 6.110, Аноним (-), 02:56, 04/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Еще один эксперт по коду нарисовался?

    угораздило разок качнуть сорц и охренеть.

    > А, нет, просто неосилятор.

    кмк впном лучше пользоваться а не осиливать, нафиг специальную олимпиаду...

     
     
  • 7.113, Аноним (7), 07:08, 04/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > угораздило разок качнуть сорц и охренеть.

    Спрашивать тебя о том, что _конкретно_ заставило тебя охренеть, полагаю, столь же бесполезно, как и двух предыдущих "икспердов"?

    > кмк впном лучше пользоваться а не осиливать,

    Мощно задвинул. Внушает. Ну иди, пользуйся.

     
     
  • 8.119, Аноним (-), 05:57, 05/12/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Объем и качество кодовой базы Поддержка несекурных протоколов типа l2tp pptp С... большой текст свёрнут, показать
     
     
  • 9.124, Аноним (7), 11:26, 05/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Читаем - Многабукоф, ниасилил Опять никаких конкретных примеров плохого к... текст свёрнут, показать
     
  • 2.52, оуоу (?), 03:40, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    обкатка новой технологии внедрения импланто-эксплоитов с мегауспешным результатом.
     

  • 1.11, Аноним (11), 20:10, 01/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    а давайте вслед за VPN еще и V8 в ядро затянем, чтобы js еще быстрее работал!!!
     
  • 1.19, Аноним (19), 20:43, 01/12/2020 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –3 +/
     
     
  • 2.26, Аноним (25), 21:16, 01/12/2020 Скрыто модератором
  • –1 +/
     

  • 1.20, Аноним (20), 20:43, 01/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    > Патч для FreeBSD подготовил Мэтт Данвуди (Matt Dunwoodie), автор варианта WireGuard для OpenBSD.

    Это как надо было прочитать оригинальный коммит, чтобы получилось из «сделан на основе реализации для OpenBSD от Matt Dunwoodie” до Matt Dunwoodie подготовил патч?

     
  • 1.24, Аноним (24), 21:02, 01/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    подскажите простейший впн для соединения нескольких компьютеров в одну виртуальную сеть, можно даже без шифрования, но желательно с роумингом (чтобы коннект сохранялся при смене динамического IP).

    задача: подключаться со смартфона (мобильная сеть) к компьютеру (проводная сеть) и ноутбуку (вайфай макдональдса).

    SSH не подходит, т.к. на некоторых компьютерах стоит винда. IPSec слишком сложен в настройке. OpenVPN слишком медленен и сильно жрёт батарею смартфона.

    на данный момент с задачей справляется только Wireguard.
    или я плохо гуглил?

     
     
  • 2.27, Аноним (25), 21:18, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну так и бери wg, за чем дело стало?
     
     
  • 3.58, Аноним (58), 05:38, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    так я и использую wg, уже довольно давно и вполне успешно.
    но онанимы с опеннета говорят "он нам и вовсе не нужен, ваергуард ваш!", вот я и засомневался.
     
     
  • 4.77, Аноним (25), 12:36, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Нашёл кого слушать.
     
     
  • 5.115, Андркй (?), 16:59, 04/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ZeroTier можно тоже
     
  • 2.37, OpenEcho (?), 21:47, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    tinc
     
     
  • 3.57, Аноним (58), 05:35, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    о, похоже на то, что нужно. спасибо!
     
  • 2.41, Амоним (?), 22:22, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    pptp вероятно подойдет. но я его уже много лет не использовал, могу ошибаться.
     
     
  • 3.93, Аноним (-), 10:05, 03/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > pptp вероятно подойдет. но я его уже много лет не использовал, могу ошибаться.

    На половине провайдеров застрянет, да и чтобы не отпал при смене айпишника, вот этот? Да ладно? У него так вообще бывает?

     
  • 2.42, Аноним (42), 22:26, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В OpenVPN недавно завезли ChaCha-Poly, должно работать быстро и не жрать батарею
     
     
  • 3.49, Аноним (46), 23:24, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Всё равно, реализация в ядре будет и бпроизводительнее, и менее жрать электричества.
     
  • 3.94, Аноним (-), 10:06, 03/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > В OpenVPN недавно завезли ChaCha-Poly, должно работать быстро и не жрать батарею

    Кому теперь этот энтерпрайз-монстр с кучей зависимостей и постоянно дырявым libssl надо.

     
  • 2.50, Сейд (ok), 00:15, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    cjdns
     
  • 2.62, Аноним (62), 08:45, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >SSH не подходит, т.к. на некоторых компьютерах стоит винда

    почему не подходит? SSH в винде есть из коробки, и клиент и сервер

     
  • 2.66, Аноним (66), 10:28, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ipsec не сложнее сабжа, даже проще.
     
     
  • 3.67, Аноним (66), 10:32, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://libreswan.org/wiki/VPN_server_for_remote_clients_using_IKEv1_XAUTH_wit

    https://libreswan.org/wiki/Configuration_examples
    нисколько не сложнее сабжа

     
     
  • 4.68, пох. (?), 10:57, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    пользователи линyпса и либретрэша должны страдать.

    Для всех остальных у freebsd есть совершенно тривиальный встроенный ipsec и чуть менее тривиальный юзерспейс демон (в принципе, вообще необязательный к использованию, если с той стороны что-то поуправляеемее венды-поганой)

     
     
  • 5.96, Аноним (-), 10:09, 03/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > пользователи линyпса и либретрэша должны страдать.

    У них вайргад уж давно есть. Чего им страдать? Теперь вот и пользователи фри смогут наконец затестить что нам так нравится в нем. Интересно, сколько после этого останется желающих возиться с ipsec...

     
  • 3.95, Аноним (-), 10:08, 03/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > ipsec не сложнее сабжа, даже проще.

    Настройку этого ужаса придумывали какие-то инопланетяне. Авторы wireguard - гении: просто и со вкусом. Да еще быстро работает. Гении x 2!

     
     
  • 4.117, СеменСеменыч777 (?), 20:18, 04/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Настройку этого ужаса придумывали какие-то инопланетяне.

    хуже. говорят, АНБ поучаствовало в дизайне.

     
     
  • 5.120, Аноним (-), 06:05, 05/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > хуже. говорят, АНБ поучаствовало в дизайне.

    У этих опыт есть, они еще SELinux писали. Тоже очень характерно получилось - долботни с настройкой во, а вырубается потом одним патчем который есть во всех уважающих себя эксплойтах.

     
     
  • 6.126, СеменСеменыч777 (?), 21:05, 05/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > вырубается потом одним патчем который
    > есть во всех уважающих себя эксплойтах.

    1) круто. где можно об этом почитать ?

    2) что насчет AppArmor ?

     
  • 2.116, СеменСеменыч777 (?), 20:16, 04/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > SSH не подходит, т.к. на некоторых компьютерах стоит винда.

    cygwin, msys2, bitvise - выбор есть всегда.

     

  • 1.38, Аноним (38), 21:52, 01/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В 12.3 появится, или ждать 13.0?
     
     
  • 2.40, анонн (ok), 22:19, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > В 12.3 появится, или ждать 13.0?

    А пройти к оригиналу, по первой ссылке первого предложения и прочитать
    > Reviewed by: grehan@freebsd.org
    > MFC after: 1 month

    никак?

     
  • 2.44, Календарь (?), 22:33, 01/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > MFC after: 1 month

    Судя по этой строчке должно появиться в stable/12 через месяц, а значит должно быть и в 12.3.
    Но если что, 13.0 планируется 23 марта 2021: https://www.freebsd.org/releases/13.0R/schedule.html
    Планы же на 12.3 пока ещё не анонсированы.

     

  • 1.51, Аноним (51), 03:21, 02/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Перепишите, кто-нибудь, на расте? А то пользоваться невозможно.
     
     
  • 2.53, Аноним (53), 04:34, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Уже: https://git.zx2c4.com/wireguard-rs/about/
     
     
  • 3.54, Аноним (53), 04:38, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Дважды: https://github.com/cloudflare/boringtun
     
  • 2.97, Аноним (-), 10:10, 03/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Перепишите, кто-нибудь, на расте? А то пользоваться невозможно.

    И весь фрибсд попутно?

     
     
  • 3.111, anonymous (??), 03:49, 04/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    хорошая идея, может перестанут тратить время на патчи для дырок в ядре
     
     
  • 4.121, Аноним (-), 06:06, 05/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > хорошая идея, может перестанут тратить время на патчи для дырок в ядре

    Заодно заткнуться годиков на 20.

     

  • 1.65, Ivan_83 (ok), 09:36, 02/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Этот ваергард на мутной прибитой гвоздями крипте расходится как рак везде.
     
     
  • 2.70, Ананимус (?), 11:34, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что встроенный роаминг и отсутствие необходимости в постоянном коннекте это пушка.
     
     
  • 3.99, Ivan_83 (ok), 11:53, 03/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это не извиняет плохого дизайна в криптографической части, выраженного жёстко заданными криптоалгоритмами.
     
     
  • 4.102, Ананимус (?), 12:53, 03/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это отличный дизайн, который не позволяет обосраться при настройке шифрования (привет, gosuslugi.ru).
     
     
  • 5.105, Ivan_83 (ok), 20:23, 03/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Расскажите это RADIUS протоколу, там md5 без вариантов, расскажите этот POP3 где APOP это тоже md5  расскажите это git где sha1 и тп.
     
     
  • 6.106, Ананимус (?), 23:03, 03/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Расскажите это RADIUS протоколу, там md5 без вариантов, расскажите этот POP3 где
    > APOP это тоже md5  расскажите это git где sha1 и
    > тп.

    И чо? Когда найдут дыру в их протоколах чуваки просто переедут на новую версию.

     
     
  • 7.107, Ivan_83 (ok), 02:10, 04/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что то переезда гита на сша2 не видно.
     
     
  • 8.108, Ананимус (?), 02:47, 04/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так перестань в глаза долбиться я увидишь Не говоря уже о том, что это друго... текст свёрнут, показать
     
  • 2.83, Аноним (-), 17:33, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    так понимаю сверхсекретная мутность, навроде црушного битка, ибо цифровые следы неприметны на выпученное око.
     
     
  • 3.89, Аноним (-), 23:11, 02/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    молодец, на верхней полке слева возьми пироженко.
     
  • 2.98, Аноним (-), 10:13, 03/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Этот ваергард на мутной прибитой гвоздями крипте расходится как рак везде.

    Гораздо лучше когда как в libssl, md5 с rc4 и des'ом погоняет. Шикарный выбор алгоритмов на все вкусы, с известными уязвимостями. Всегда можно прострелить себе ложыдку с заподвыподвертом! Или без - на все вкусы библиотека.

     
     
  • 3.100, Ivan_83 (ok), 12:09, 03/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лучше для кого!?
    А вы думаете chacha + 25519 идеальны!?
    Думаете привильно было их прибить гвоздями к протоколу, а потом это протащить во все ядра?

    Лично я за то, чтобы можно было выбрать как минимум один алгоритм для каждого применения в протокле, всмысле для шифрования чтобы можно было любой алгоритм из тех что есть, для ключей один алгоритм из всех что есть и тп. Так как это сделано в ssh сейчас, и примерно так же как в tls.
    А в идеале хотелось бы иметь возможность чтобы вот таких наборов можно было выбрать несколько и они последовательно применялись, те трафик чтобы шифровался 1-n алгоритмами на выбор одновременно, и ключей было бы столько же.
    Тогда какие то уязвимости и закладки было бы сильно сложнее эксплуатировать, даже если брать банальные 3des+rc4 последовательно - их взлом уже будет очень не тривиален, а какие то aes256+gost89 будет ещё сложнее разбирать, особенно если ключи на RSA и длинные делать.

    Технически тут ничего сложного нет, но все протоколы всегда делают так что там в лучшем случае только один набор алгоритмов на выбор, а в худьшем как тут - выбора нет, жри то что дали.


    Как пользователь, я считаю что ваиргард это хорошо, из за его распространённости и в целом адекватности, на фоне мотров прошлого PPtP, L2TP. Но чего то важного я бы туда не сувал, для пиограть по сетки сойдёт, для рогов и копыт соединить два офиса тоже, но на этом всё.

     
     
  • 4.103, Аноним (-), 18:36, 03/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > особенно если ключи на RSA и длинные делать.

    генерировать/применять/хранить математически несвязно надо, каскадное шифрование, интересно.

     
     
  • 5.104, Аноним (104), 19:00, 03/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://en.wikipedia.org/wiki/Multiple_encryption
    Galaxy S9 Tactical Edition, SecureView ..
     
  • 4.112, Аноним (-), 04:10, 04/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Небольшой код реально изучить, в отличие от мегов с диким числом комбо Есть над... большой текст свёрнут, показать
     
     
  • 5.114, Ivan_83 (ok), 07:08, 04/12/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    При грамотном проектировании кода там будет немногим больше Те кто затевал тему... большой текст свёрнут, показать
     
     
  • 6.122, Аноним (-), 06:47, 05/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Code or GTFO DJB алгоритмы давно сделал, до all долго доходило А пиар владельц... большой текст свёрнут, показать
     
     
  • 7.125, СеменСеменыч777 (?), 20:57, 05/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > можно в разы больше хендшейков

    а) я никуда не тороплюсь. таких как я много. почему ?

    б) потому что: кто понял жизнь, тот не спешит.

    > с той же безпасностью

    это нужно доказывать. с доказательствами у вас не очень хорошо.
    спекулятивные (буллшитные) доказательства контрятся
    историей криптоанализа и казусом Сноудена.

     
  • 7.127, Ivan_83 (ok), 21:12, 05/12/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > У 25519 ключ 256 битов обеспечивает стойкость порядка RSA-2048.

    Ха-ха, вот и нет!
    126 бит.
    Поэтому я и пишу про странный маркетинг от DJB.

    > А des/gost/aes и прочие s-box уязвимы к тайминг атакам.

    Есть разные реализации.
    И лично меня это никогда не волновало.

    > А что поделать если подборка хорошая, даже на микроконтроллерах запустить можно где rsa жирдяй без шансов.

    Мнение дилетанта.

     

  • 1.81, Вопль_в_пустыне (?), 16:42, 02/12/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну молодцы, развитие идёт, баги исправляют. Хорошая ос приятная во всем.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру