Блог компании ИТ-ГРАД
Анализ и проектирование систем
Настройка Linux
Разработка под Linux
Системное администрирование
Комментарии 36
0
При смене сети: Wi-Fi, LTE или Ethernet нужно каждый раз переподключаться к VPN-серверу. Серверы WireGuard же не разрывают соединение, даже если пользователь получил новый IP-адрес.

Старый добрый IPSEC IKEv2 тоже так умеет.
+1
Утверждение про сложность настройки ipsec — тяжелое наследство, тянущееся со времен IKEv1, где действительно было достаточно не совсем очевидных граблей.

IKEv2 очень сильно отличается в этом плане, отлично работает за натом там, где IKEv1 даже со включенным NAT Traversal не хотел заводиться, есть поддержка MOBIKE (фича, аналогичная описанной в Wireguard, с клиентами, меняющими свой айпи и неразрывной сессией), а настройка очень проста. С EAP-mschapv2 аутентификацией вообще заводится с пол-пинка, лишь бы клиент поддерживал (привет, Mikrotik!).
+1
Сложность настройки сервера — еще половина беды. В конце-концов, настраивается он один раз. А вот сложность настройки клиентов — это настоящая проблема. То же ipsec подключение поднять на свежеустановленной убунте — то еще приключение. И даже когда/если получится, оно все равно напоминает вигвам из костылей, а не законченное надежное решение.
+1
В первом абзаце моего комментария, на который вы отвечали, отсутствует указание на то, что речь идет сугубо о сервере. И это произошло совсем не случайно ;)
0
Поискал howto-шки на это дело — несколько страниц текста и огромные конфиги. Можете дать ссылку на действительно простую настройку?
0
Настройка проста для тех, кто это что-то настраивал. Даже настройка OpenVPN, по сравнению с WireGuard, выглядит чудовищно сложной. Настройка WireGuard, как по мне, выглядит как установка openssh-server.

O IPSec там и говорить нечего…
+1
Не очень понял, этот VPN может ходить только через сервера этой компании? Или всё можно сделать частным образом? Сервер, клиент — и получить кучу годноты?
+3
Можно самому. У меня на моём VPS поднят сервер.
Как по мне наибольшая годнота от применения его на мобилах. У меня кастомное ядро с поддержкой wireguard, туннель постоянно поднят, а дополнительная нагрузка на батарею копеечная. И никаких забот о том что где что-то заблокировано или в каких публичных вафлях хотят тебе рекламу вставить.
+1
т.е. даже безотносительно к тому, что там написано и нарисовано по внешним ссылкам, вы считаете, что Линус назвал бы произведением искусства решение, насквозь пронизанное vendor lock-in'ом, и оно (решение) имело бы хоть какие-то шансы на попадание в апстрим?
+1
Мне кажется, сейчас незаслуженно предан забвению vtun. Я им пользуюсь много лет и ни разу не встречал проблем… Вот уж это решение точно суперминималистично и сверхпросто, хотя и в духе linux — то есть является кирпичиком для построения системы…
+1
Поддержу, друг!
У меня более восьми тысяч инсталляций на различных устройствах с 2003 года.
Единственное решение, тупое как пробка (в хорошем смысле слова ибо ничего лишнего), с достаточным функционалом и безотказно работающее на любом железе.
+19
> Линус назвал произведением искусства
Не совсем так, Линус сказал, что код не идеален, но по сравнению с ужасами IPsec и OpenVPN — произведение искусства.
0
Случайно стал пользователем WireGurad благодаря github.com/trailofbits/algo. Впечатления очень положительные, приложение под Android удобное, замеры скорости (в хорошие для сервера дни) с туннелем и без туннеля практически не отличаются. При смене сети танки требовательные к сети бизнес-приложения также тупят до рестарта как и без туннеля.
+1
Микротик включил бы у себя этот формат VPN — сразу бы в массы пошло.
Может петицию для микротика сочиним?
+1

ЕМНИП, Mikrotik OpenVPN клиента до ума у себя так и не довели — ни UDP, ни авторизации без логина/пароля не завезли до сих пор

0
ага. ну зато есть Metarouter, правда его тоже не на все устройства завезли))
0
Хожу с тика на линуксовый овпн без пароля, по сертификату. Логин просто должен быть, какой — без разницы.
0
У TonyLorencio речь шла про клиента.

Да и смысла не вижу овпн сервер на тике поднимать. Обычно те локации, где нет серверов подключаются к тем локациям, где сервера есть, а не наоборот. А если есть сервер, то и виртуальный шлюз/овпн сервер поднять не сложно.

Плюс, если не путаю, на soho роутерах (кроме ac^2) мощи нехватает для овпн из-за низкой производительности и отсутствия аппаратного шифрования.
0
Некоторые хотят именно так, ибо на выделенный сервер деньгов жалко, а удаленным клиентам надо.
0
Надо что? Сервера то нету. Зачем тогда объединение сетей?

Ну ок, пусть это какой-то вырожденный случай и бессерверному офису нужен доступ скажем к ip камере или очень тупому nas-у. Но случай редкий. И можно либо небрезговать паролем, либо использовать кошерный (с точки зрения mikrotik) ipsec.
0
Одноранговые сети много где живут в soho. Каждый с каждым работает, файлики там пошарить или принтер.
0
Может оказаться, что в физической локальной сети, логической частью которой хочешь стать удалённо, только роутер как-то похож на сервер, в частности всегда включён. Самый простой пример — домашняя сеть.
0
Кто-нибудь сравнивал по производительности WireGurad и SoftEther VPN без софтовой сети?
0
Ещё бы и с tuncvpn сравнить. Он тоже весьма годный и не сильно ресурсоемкий.
0
WireGuard работает полностью в режиме ядра. Как работает этот SoftEther я не знаю, но подозреваю что так же как и OpenVPN — через tun/tap.

Так что по скорости их вряд-ли имеет смысл сравнивать.
+2
Несмотря на то что WireGuard изначально заточен под Linux-ядро, разработчики позаботились и о портативной версии инструмента для Android-устройств


Некорректная фраза, т.к. Android использует ядро Linux, и «несмотря на» тут неуместно.
0

Интересно почему не сделали клиента под iOS, помогло бы для популяризации, вон outline на shadow socks сделали же

0
Ну это скорее вопрос времени, не все же сразу. Для Андроида например даже сейчас версия не стабильная.
+1
Мне не нравится, что они используют собственные реализации шифрования вместо crypto API, даже под предлогом высокой скорости работы. Может, стоило бы улучшить crypto API и перевести проект на crypto API, прежде чем принимать в mainstream?
0
шустрая

Ну, такое


P.S. Да тут целая толпа перлов. Ну ёжкин же кот, ну. it_man
"man" от слова "manager", а не "человек"?


Ну, как же так, ну?


Несмотря на то что WireGuard изначально заточен под Linux-ядро, разработчики позаботились и о портативной версии инструмента для Android-устройств.

Что, правда? А ничего страшного что Android как раз и использует Linux-ядро?
Да, у него другая libc, и вообще весь обвес ОС, но вот именно ядро-то там как раз самое что ни на есть Linux. Не без вендорских патчей, порою, правда...

Только полноправные пользователи могут оставлять комментарии. , пожалуйста.