Comments 40
UFO just landed and posted this here
UFO just landed and posted this here
Проблема в том, что настройка IPSec — занятие весьма нетривиальное. С WG достаточно сгенерировать ключи, прописать их в конфиг, указать IP-адреса и… всё.
Утверждение про сложность настройки ipsec — тяжелое наследство, тянущееся со времен IKEv1, где действительно было достаточно не совсем очевидных граблей.
IKEv2 очень сильно отличается в этом плане, отлично работает за натом там, где IKEv1 даже со включенным NAT Traversal не хотел заводиться, есть поддержка MOBIKE (фича, аналогичная описанной в Wireguard, с клиентами, меняющими свой айпи и неразрывной сессией), а настройка очень проста. С EAP-mschapv2 аутентификацией вообще заводится с пол-пинка, лишь бы клиент поддерживал (привет, Mikrotik!).
IKEv2 очень сильно отличается в этом плане, отлично работает за натом там, где IKEv1 даже со включенным NAT Traversal не хотел заводиться, есть поддержка MOBIKE (фича, аналогичная описанной в Wireguard, с клиентами, меняющими свой айпи и неразрывной сессией), а настройка очень проста. С EAP-mschapv2 аутентификацией вообще заводится с пол-пинка, лишь бы клиент поддерживал (привет, Mikrotik!).
Сложность настройки сервера — еще половина беды. В конце-концов, настраивается он один раз. А вот сложность настройки клиентов — это настоящая проблема. То же ipsec подключение поднять на свежеустановленной убунте — то еще приключение. И даже когда/если получится, оно все равно напоминает вигвам из костылей, а не законченное надежное решение.
Не очень понял, этот VPN может ходить только через сервера этой компании? Или всё можно сделать частным образом? Сервер, клиент — и получить кучу годноты?
UFO just landed and posted this here
> Линус назвал произведением искусства
Не совсем так, Линус сказал, что код не идеален, но по сравнению с ужасами IPsec и OpenVPN — произведение искусства.
Не совсем так, Линус сказал, что код не идеален, но по сравнению с ужасами IPsec и OpenVPN — произведение искусства.
Случайно стал пользователем WireGurad благодаря github.com/trailofbits/algo. Впечатления очень положительные, приложение под Android удобное, замеры скорости (в хорошие для сервера дни) с туннелем и без туннеля практически не отличаются. При смене сети танки требовательные к сети бизнес-приложения также тупят до рестарта как и без туннеля.
PKSC умеет?
Микротик включил бы у себя этот формат VPN — сразу бы в массы пошло.
Может петицию для микротика сочиним?
Может петицию для микротика сочиним?
На форуме уже посчитали что openvpn делали 3 года после feature request и ждут в 2020 :)
forum.mikrotik.com/viewtopic.php?t=134093
forum.mikrotik.com/viewtopic.php?t=134093
ЕМНИП, Mikrotik OpenVPN клиента до ума у себя так и не довели — ни UDP, ни авторизации без логина/пароля не завезли до сих пор
ага. ну зато есть Metarouter, правда его тоже не на все устройства завезли))
Хожу с тика на линуксовый овпн без пароля, по сертификату. Логин просто должен быть, какой — без разницы.
Ты обратно попробуй сходить.
У TonyLorencio речь шла про клиента.
Да и смысла не вижу овпн сервер на тике поднимать. Обычно те локации, где нет серверов подключаются к тем локациям, где сервера есть, а не наоборот. А если есть сервер, то и виртуальный шлюз/овпн сервер поднять не сложно.
Плюс, если не путаю, на soho роутерах (кроме ac^2) мощи нехватает для овпн из-за низкой производительности и отсутствия аппаратного шифрования.
Да и смысла не вижу овпн сервер на тике поднимать. Обычно те локации, где нет серверов подключаются к тем локациям, где сервера есть, а не наоборот. А если есть сервер, то и виртуальный шлюз/овпн сервер поднять не сложно.
Плюс, если не путаю, на soho роутерах (кроме ac^2) мощи нехватает для овпн из-за низкой производительности и отсутствия аппаратного шифрования.
Некоторые хотят именно так, ибо на выделенный сервер деньгов жалко, а удаленным клиентам надо.
Может оказаться, что в физической локальной сети, логической частью которой хочешь стать удалённо, только роутер как-то похож на сервер, в частности всегда включён. Самый простой пример — домашняя сеть.
Кто-нибудь сравнивал по производительности WireGurad и SoftEther VPN без софтовой сети?
Несмотря на то что WireGuard изначально заточен под Linux-ядро, разработчики позаботились и о портативной версии инструмента для Android-устройств
Некорректная фраза, т.к. Android использует ядро Linux, и «несмотря на» тут неуместно.
Интересно почему не сделали клиента под iOS, помогло бы для популяризации, вон outline на shadow socks сделали же
UFO just landed and posted this here
Есть еще и презентация почему не crypto API www.youtube.com/watch?v=bFhdln8aJ_U
TL;DR: crypto API старый, местами не очень быстрый, безопасней.
TL;DR: crypto API старый, местами не очень быстрый, безопасней.
шустрая
Ну, такое
P.S. Да тут целая толпа перлов. Ну ёжкин же кот, ну. it_man…
"man" от слова "manager", а не "человек"?
Ну, как же так, ну?
Несмотря на то что WireGuard изначально заточен под Linux-ядро, разработчики позаботились и о портативной версии инструмента для Android-устройств.
Что, правда? А ничего страшного что Android как раз и использует Linux-ядро?
Да, у него другая libc, и вообще весь обвес ОС, но вот именно ядро-то там как раз самое что ни на есть Linux. Не без вендорских патчей, порою, правда...
Sign up to leave a comment.
WireGuard «придет» в ядро Linux — почему?