Комментарии 40
Проблема в том, что настройка IPSec — занятие весьма нетривиальное. С WG достаточно сгенерировать ключи, прописать их в конфиг, указать IP-адреса и… всё.
Утверждение про сложность настройки ipsec — тяжелое наследство, тянущееся со времен IKEv1, где действительно было достаточно не совсем очевидных граблей.
IKEv2 очень сильно отличается в этом плане, отлично работает за натом там, где IKEv1 даже со включенным NAT Traversal не хотел заводиться, есть поддержка MOBIKE (фича, аналогичная описанной в Wireguard, с клиентами, меняющими свой айпи и неразрывной сессией), а настройка очень проста. С EAP-mschapv2 аутентификацией вообще заводится с пол-пинка, лишь бы клиент поддерживал (привет, Mikrotik!).
IKEv2 очень сильно отличается в этом плане, отлично работает за натом там, где IKEv1 даже со включенным NAT Traversal не хотел заводиться, есть поддержка MOBIKE (фича, аналогичная описанной в Wireguard, с клиентами, меняющими свой айпи и неразрывной сессией), а настройка очень проста. С EAP-mschapv2 аутентификацией вообще заводится с пол-пинка, лишь бы клиент поддерживал (привет, Mikrotik!).
Сложность настройки сервера — еще половина беды. В конце-концов, настраивается он один раз. А вот сложность настройки клиентов — это настоящая проблема. То же ipsec подключение поднять на свежеустановленной убунте — то еще приключение. И даже когда/если получится, оно все равно напоминает вигвам из костылей, а не законченное надежное решение.
Не очень понял, этот VPN может ходить только через сервера этой компании? Или всё можно сделать частным образом? Сервер, клиент — и получить кучу годноты?
т.е. даже безотносительно к тому, что там написано и нарисовано по внешним ссылкам, вы считаете, что Линус назвал бы произведением искусства решение, насквозь пронизанное vendor lock-in'ом, и оно (решение) имело бы хоть какие-то шансы на попадание в апстрим?
> Линус назвал произведением искусства
Не совсем так, Линус сказал, что код не идеален, но по сравнению с ужасами IPsec и OpenVPN — произведение искусства.
Не совсем так, Линус сказал, что код не идеален, но по сравнению с ужасами IPsec и OpenVPN — произведение искусства.
Случайно стал пользователем WireGurad благодаря github.com/trailofbits/algo. Впечатления очень положительные, приложение под Android удобное, замеры скорости (в хорошие для сервера дни) с туннелем и без туннеля практически не отличаются. При смене сети танки требовательные к сети бизнес-приложения также тупят до рестарта как и без туннеля.
PKSC умеет?
Микротик включил бы у себя этот формат VPN — сразу бы в массы пошло.
Может петицию для микротика сочиним?
Может петицию для микротика сочиним?
На форуме уже посчитали что openvpn делали 3 года после feature request и ждут в 2020 :)
forum.mikrotik.com/viewtopic.php?t=134093
forum.mikrotik.com/viewtopic.php?t=134093
ЕМНИП, Mikrotik OpenVPN клиента до ума у себя так и не довели — ни UDP, ни авторизации без логина/пароля не завезли до сих пор
ага. ну зато есть Metarouter, правда его тоже не на все устройства завезли))
Хожу с тика на линуксовый овпн без пароля, по сертификату. Логин просто должен быть, какой — без разницы.
Ты обратно попробуй сходить.
У TonyLorencio речь шла про клиента.
Да и смысла не вижу овпн сервер на тике поднимать. Обычно те локации, где нет серверов подключаются к тем локациям, где сервера есть, а не наоборот. А если есть сервер, то и виртуальный шлюз/овпн сервер поднять не сложно.
Плюс, если не путаю, на soho роутерах (кроме ac^2) мощи нехватает для овпн из-за низкой производительности и отсутствия аппаратного шифрования.
Да и смысла не вижу овпн сервер на тике поднимать. Обычно те локации, где нет серверов подключаются к тем локациям, где сервера есть, а не наоборот. А если есть сервер, то и виртуальный шлюз/овпн сервер поднять не сложно.
Плюс, если не путаю, на soho роутерах (кроме ac^2) мощи нехватает для овпн из-за низкой производительности и отсутствия аппаратного шифрования.
Некоторые хотят именно так, ибо на выделенный сервер деньгов жалко, а удаленным клиентам надо.
Может оказаться, что в физической локальной сети, логической частью которой хочешь стать удалённо, только роутер как-то похож на сервер, в частности всегда включён. Самый простой пример — домашняя сеть.
Кто-нибудь сравнивал по производительности WireGurad и SoftEther VPN без софтовой сети?
Несмотря на то что WireGuard изначально заточен под Linux-ядро, разработчики позаботились и о портативной версии инструмента для Android-устройств
Некорректная фраза, т.к. Android использует ядро Linux, и «несмотря на» тут неуместно.
Интересно почему не сделали клиента под iOS, помогло бы для популяризации, вон outline на shadow socks сделали же
Есть еще и презентация почему не crypto API www.youtube.com/watch?v=bFhdln8aJ_U
TL;DR: crypto API старый, местами не очень быстрый, безопасней.
TL;DR: crypto API старый, местами не очень быстрый, безопасней.
шустрая
Ну, такое
P.S. Да тут целая толпа перлов. Ну ёжкин же кот, ну. it_man…
"man" от слова "manager", а не "человек"?
Ну, как же так, ну?
Несмотря на то что WireGuard изначально заточен под Linux-ядро, разработчики позаботились и о портативной версии инструмента для Android-устройств.
Что, правда? А ничего страшного что Android как раз и использует Linux-ядро?
Да, у него другая libc, и вообще весь обвес ОС, но вот именно ядро-то там как раз самое что ни на есть Linux. Не без вендорских патчей, порою, правда...
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
WireGuard «придет» в ядро Linux — почему?