Открыть список
Как стать автором
Обновить

Комментарии 40

НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Утверждение про сложность настройки ipsec — тяжелое наследство, тянущееся со времен IKEv1, где действительно было достаточно не совсем очевидных граблей.

IKEv2 очень сильно отличается в этом плане, отлично работает за натом там, где IKEv1 даже со включенным NAT Traversal не хотел заводиться, есть поддержка MOBIKE (фича, аналогичная описанной в Wireguard, с клиентами, меняющими свой айпи и неразрывной сессией), а настройка очень проста. С EAP-mschapv2 аутентификацией вообще заводится с пол-пинка, лишь бы клиент поддерживал (привет, Mikrotik!).
Сложность настройки сервера — еще половина беды. В конце-концов, настраивается он один раз. А вот сложность настройки клиентов — это настоящая проблема. То же ipsec подключение поднять на свежеустановленной убунте — то еще приключение. И даже когда/если получится, оно все равно напоминает вигвам из костылей, а не законченное надежное решение.
В первом абзаце моего комментария, на который вы отвечали, отсутствует указание на то, что речь идет сугубо о сервере. И это произошло совсем не случайно ;)
Поискал howto-шки на это дело — несколько страниц текста и огромные конфиги. Можете дать ссылку на действительно простую настройку?
Настройка проста для тех, кто это что-то настраивал. Даже настройка OpenVPN, по сравнению с WireGuard, выглядит чудовищно сложной. Настройка WireGuard, как по мне, выглядит как установка openssh-server.

O IPSec там и говорить нечего…
Не очень понял, этот VPN может ходить только через сервера этой компании? Или всё можно сделать частным образом? Сервер, клиент — и получить кучу годноты?
НЛО прилетело и опубликовало эту надпись здесь
Я бы даже сказал, что это просто фантастика.
Думаю, все будут благодарны за подробный гайд но поднятию сервера и настройке клиентов, пишите! :)
т.е. даже безотносительно к тому, что там написано и нарисовано по внешним ссылкам, вы считаете, что Линус назвал бы произведением искусства решение, насквозь пронизанное vendor lock-in'ом, и оно (решение) имело бы хоть какие-то шансы на попадание в апстрим?
Мне кажется, сейчас незаслуженно предан забвению vtun. Я им пользуюсь много лет и ни разу не встречал проблем… Вот уж это решение точно суперминималистично и сверхпросто, хотя и в духе linux — то есть является кирпичиком для построения системы…
Поддержу, друг!
У меня более восьми тысяч инсталляций на различных устройствах с 2003 года.
Единственное решение, тупое как пробка (в хорошем смысле слова ибо ничего лишнего), с достаточным функционалом и безотказно работающее на любом железе.
> Линус назвал произведением искусства
Не совсем так, Линус сказал, что код не идеален, но по сравнению с ужасами IPsec и OpenVPN — произведение искусства.
Случайно стал пользователем WireGurad благодаря github.com/trailofbits/algo. Впечатления очень положительные, приложение под Android удобное, замеры скорости (в хорошие для сервера дни) с туннелем и без туннеля практически не отличаются. При смене сети танки требовательные к сети бизнес-приложения также тупят до рестарта как и без туннеля.
Ну я бы не сказал, что OpenVPN сильно прям режет скорость. Я думаю, что тесты, где WireGuard всех рвёт — это скорее на очень высоких скоростях и ограниченных ресурсах CPU/Памяти.
Микротик включил бы у себя этот формат VPN — сразу бы в массы пошло.
Может петицию для микротика сочиним?

ЕМНИП, Mikrotik OpenVPN клиента до ума у себя так и не довели — ни UDP, ни авторизации без логина/пароля не завезли до сих пор

ага. ну зато есть Metarouter, правда его тоже не на все устройства завезли))
Хожу с тика на линуксовый овпн без пароля, по сертификату. Логин просто должен быть, какой — без разницы.
Ты обратно попробуй сходить.
У TonyLorencio речь шла про клиента.

Да и смысла не вижу овпн сервер на тике поднимать. Обычно те локации, где нет серверов подключаются к тем локациям, где сервера есть, а не наоборот. А если есть сервер, то и виртуальный шлюз/овпн сервер поднять не сложно.

Плюс, если не путаю, на soho роутерах (кроме ac^2) мощи нехватает для овпн из-за низкой производительности и отсутствия аппаратного шифрования.
Некоторые хотят именно так, ибо на выделенный сервер деньгов жалко, а удаленным клиентам надо.
Надо что? Сервера то нету. Зачем тогда объединение сетей?

Ну ок, пусть это какой-то вырожденный случай и бессерверному офису нужен доступ скажем к ip камере или очень тупому nas-у. Но случай редкий. И можно либо небрезговать паролем, либо использовать кошерный (с точки зрения mikrotik) ipsec.
Одноранговые сети много где живут в soho. Каждый с каждым работает, файлики там пошарить или принтер.
Может оказаться, что в физической локальной сети, логической частью которой хочешь стать удалённо, только роутер как-то похож на сервер, в частности всегда включён. Самый простой пример — домашняя сеть.
Кто-нибудь сравнивал по производительности WireGurad и SoftEther VPN без софтовой сети?
Ещё бы и с tuncvpn сравнить. Он тоже весьма годный и не сильно ресурсоемкий.
WireGuard работает полностью в режиме ядра. Как работает этот SoftEther я не знаю, но подозреваю что так же как и OpenVPN — через tun/tap.

Так что по скорости их вряд-ли имеет смысл сравнивать.
Несмотря на то что WireGuard изначально заточен под Linux-ядро, разработчики позаботились и о портативной версии инструмента для Android-устройств


Некорректная фраза, т.к. Android использует ядро Linux, и «несмотря на» тут неуместно.

Интересно почему не сделали клиента под iOS, помогло бы для популяризации, вон outline на shadow socks сделали же

Ну это скорее вопрос времени, не все же сразу. Для Андроида например даже сейчас версия не стабильная.
НЛО прилетело и опубликовало эту надпись здесь
шустрая

Ну, такое


P.S. Да тут целая толпа перлов. Ну ёжкин же кот, ну. it_man
"man" от слова "manager", а не "человек"?


Ну, как же так, ну?


Несмотря на то что WireGuard изначально заточен под Linux-ядро, разработчики позаботились и о портативной версии инструмента для Android-устройств.

Что, правда? А ничего страшного что Android как раз и использует Linux-ядро?
Да, у него другая libc, и вообще весь обвес ОС, но вот именно ядро-то там как раз самое что ни на есть Linux. Не без вендорских патчей, порою, правда...

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информация

Дата основания
Местоположение
Россия
Сайт
www.it-grad.ru
Численность
201–500 человек
Дата регистрации

Блог на Хабре