В RouterOS 7 добавили поддержку WireGuard

    На официальном форуме MikroTik в разделе "RouterOS v7 BETA" появилось сообщение с изменениями в последнем билде 7.1beta2.


    Среди изменений связанных с оптимизациями и исправлением ошибок оказался неожиданный и, пожалуй, для многих радостный пункт: поддержка WireGuard.



    Wireguard — свободная реализация point-to-point VPN с открытым исходным кодом.
    Работая как модуль ядра Linux, он нацелен на улучшение производительности и энергосбережения по сравнению с IPsec и OpenVPN.

    Ранее в версии 7.0beta7 ядро Linux, на котором основана ОС было обновлено до версии 5.6.3, а начиная с ветки 5.6 WireGuard был включён в состав ядра. Но учитывая то как в предыдущие годы обстояли дела, например, с поддержкой OpenVPN такого развития событий ожидать было достаточно сложно.

    Only registered users can participate in poll. Log in, please.

    Вы ждали добавления WireGuard?

    • 33.2%Ждали и верили, что добавят!85
    • 21.5%Ждали, но не верили, что добавят.55
    • 23.8%Не ждали.61
    • 21.5%Что такое WireGuard?55

    Вам нравится развитие RouterOS в новой версии?

    • 90.5%Да134
    • 9.5%Нет14
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 38

      +1

      Сходил по ссылке, прочитал что такое WireGuard. Думаю стоило хотя бы один абзац, про WireGuard добавить в саму статью.

        +3
        Постил в профильных хабах — думал, что это название не будет особой новостью для кого-то.
        Посмотрю, где можно взять коротенький бриф про WireGuard.
          0

          Спасибо! Думаю будет полезно :) можно просто под dropdown спрятать коротенькую справку

            0
            Я сделал очень коротких бриф в виде цитаты чтобы не пришлось делать кат у новости — туда банально нечего прятать.
            Хотя, конечно, пришлось немного отредактировать текст чтобы влезть в тысячу символов.
        +2
        Если WireGuard на тике будет работать как на обычном ПК, то будет круто, ну а если это будет в духе поддержки OpenVPN-а микротиком, то лучше не надо.
          0

          На форуме микротика были графики от сотрудника с загрузкой в предел канала на hAP ac2.

            +3
            Тут речь, скорее, не о графиках шла, а о том, что OpenVPN в микротиках не умел работать по UDP и имел проблемы со сжатием, что автоматически отрезало его от большинства современных серверов.

            Кстати, если есть ссылочка на бенчмарки — было бы интересно посмотреть.
              0
              Кстати, если есть ссылочка на бенчмарки — было бы интересно посмотреть.

              Ссылочка
              Возможно нужна регистрация, картинку копировать не стал.


              не умел работать по UDP

              Wireguard не умеет в TCP by-design, плюс в ROS7 используется linux 5.6, соответственно реализация WG ядерная, а не самопал, как в случае c OpenVPN

                0
                Wireguard не умеет в TCP by-design

                Это не является такой проблемой как было в случае с OpenVPN. У OpenVPN UDP — это один из вариантов конфигурации, являющийся очень популярным. MikroTik не поддерживая его становится неспособным работать с многими серверами.

                «Один клиент не умеет» и «Протокол не предусматривает» — это совсем разные вещи.

                Ссылочка
                Возможно нужна регистрация, картинку копировать не стал.

                Благодарю. Регистрация нужна, но это не страшно. Давайте я вытащу под спойлер.

                Скриншот
                image
                  0

                  Примерно столько же они выжимают и из IPsec.

                    0
                    Это на каком шифровании?
                      0
                      Если мне не изменяет память, в WireGuard одно единственное поточное шифрование — ChaCha20.
                        0
                        Просто для информации.
                        IPsec канал в реальности, AES256-CTR
                        100-100 каналы, разные провайдеры.
                        Заголовок спойлера

              0
              Ну, WireGuard изначально проще, чем тот же OpenVPN. При этом, если я не ошибаюсь, одна из сложностей с OpenVPN была в том, что сам OpenVPN худо-бедно развивался, а вот его реализация в RouterOS стояла на месте годами.
              Плюс ещё их проблемы со сжатием.

              В этом плане у WireGuard, по идее, должна быть меньше вариативность конфигураций, а следовательно, меньше поле для косяков со стороны MikroTik. Плюс эта реализация должна базироваться по большему счёту на API ядра, что тоже должно сказаться на консистентности в положительном ключе.
                +1

                А там все было просто: в тике реализация ovpn основана на коде ветки 2.2 (сейчас уже 2.4 у всех, сами понимаете), так что многие фишечки и опции просто мимо кассы, а сил, видимо, впиливать новый вариант просто нет. А может, и желания впилить, а потом поддерживать.


                Это же в реализации wg волнует: сейчс поддержку сделали, а будут ли сопровождать? Хотя бы ради дыр в безопасности и полировки стабильности.


                А мне еще любопытно: многие модели тика последнее время идут с аппаратной поддержкой крипто, но только для определенных задач/сценариев. IPSec — да, ovpn — ой, нет (ну это и не мудрено, чип просто не умеет такой протокол). Судя по скорости wg на графике — либо умудрились wg ускорить аппаратно, либо проца он кушает как бы не меньше, чем на роутинге и нате (во что не верю).

                  0
                  Я бы поставил на то, что в данный момент это просто полностью софтварная реализация ChaCha20. Хотя если они решились чудеса творить — может быть ещё и ускорение сразу сделали.
              –1
              Я читал что у тех кто имеет 4ю уровень лицензии не смогут обновиться на 7ю версию. В большинстве домашних роутеров как раз 4й уровень лицензии. Я не знаю возможно что-то поменяли, и когда выйдет стабильная 7я версия с могу обновиться на неё.
              Уровни лицензии (смотрите строку: Upgradable to)
              image
                0
                У меня в обновлении доступна бета 7 версии. Я даже один раз обновлялся до 7.0beta4, кажется, но у меня тогда точка доступа отвалилась от CAPsMAN и я откатился обратно.
                Но само обновление прошло и базово роутер работал.

                А вообще — надо уточнять. Если нельзя обновиться до 7 версии — это очень печально.

                UPD: Я обновлял 4011. Там уровень 5 из коробки.
                  +2

                  У меня 4я лицензия и в дев есть обновление до 7.1beta2 (не ставил). Надеюсь что будет обновление, hAP ac2 не такой уж и старый.


                  PS: тут пишут что есть обновление до 7.

                    +1
                    Не вводите людей в заблуждение.

                    Ни на одном из оф. ресурсов ( https://wiki.mikrotik.com/wiki/Manual:License, https://help.mikrotik.com/docs/display/ROS/RouterOS+license+keys и т.п.) такой информации нет, более того, на них явно указано «offer unlimited software upgrades»
                      0
                      Такое ограничение было раньше. Но его убрали уже достаточно давно.
                        0
                        Что бы то ни было «раньше» (а изменению политики обновления, если мне не изменяет память, уже более 6ти лет), на сегодняшний день оно не актуально и является некорректным.
                    +1
                    Лучше бы IPsec VTI добавили
                      0
                      Это да. Но и так работает, просто настройка заморочнее.
                      –1

                      Добавили бы softether было бы тоже за здорово.

                        +2
                        Не меньше внимания заслуживает и вот эта строчка
                        !) added Layer3 hardware offloading support for CRS309-1G-8S+IN, CRS312-4C+8XG-RM, CRS326-24S+2Q+RM and CRS354-48G-4S+2Q+RM;
                          0
                          Да, полезно. Но всяческие аппаратные ускорения они регулярно вводят где-либо. А вот с VPN всё как-то совсем грустно было.
                          А в седьмой версии вот ВНЕЗАПНО разродились UDP для OpenVPN и даже WireGuard.
                            0
                            Они лет 5 обещали это, как и MBIM режим в 7й версии. Так на форуме все и смеялись «в 7-ке будет». Ну вот это время настало. :)
                              0
                              L3 свитчи у них появляются не часто )
                            0
                            Поставил, не нашел клиента похоже они только сервер реализовали.
                              0
                              Хм. Интересно.
                              Если это так — надеюсь, это временно.
                              Держите в курсе если узнаете подробности.
                                0
                                Интересно, как это, с учетом того, что пиры в Wireguard практически симметричны.
                                  0

                                  Пиры это и есть клиенты, но подружить вин 10 клиент и mikrotik hex через wireguard у меня не получилось. Не проходят хендшейки

                                    0
                                    Настроил клиента, всё хорошо работает.
                                    Единственный момент — порт можно задать только через cli, winbox не позволяет.
                                    Ну и ещё из нужных мне вещей bgp сломали, пришлось заново настраивать после обновления с 6 версии (тоже через cli, в винбоксе раздел bgp пропал).
                                    Впрочем, я не в претензии, бета всё-таки. Да и в итоге всё нужное заработало.
                                      0
                                      Про поломанный роутинг мне ещё про первые альфы 7.0 говорили. Надеюсь, к релизу допилят.
                                        0

                                        Через мобильное приложение в бета2 можно порт задать

                                      0
                                      Недоделавши _нормально_ одно (OpenVPN), берёмся за другое (Wireguard). Кружок «очумелые руки». Сорри, сугубо личное мнение.
                                        0

                                        Вот те раз. А я вчера, как раз из-за него, прошил в свой микрооик openwrt.

                                        Only users with full accounts can post comments. Log in, please.