Обратите внимание, я нигде не утверждаю, что Linux в этом смысле хуже, скорее наоборот. И по ресурсам он дешевле и реализация в ядре всегда будет быстрее (при условии одинакового железа). Я даже подумываю портировать wireguard в ядро Windows, но работы многовато, а реальный эффект будет заметен только на гигабите.
При одном туннеле через цепочку прокси если точка входа и точка выхода в условно "контроллируемой" сети, то пропадает весь смысл промежуточных прокси. При цепочке туннелей такой угрозы нет.
Кроме того, обратите внимание, что wiresock может работать как NAT и как TCP/UDP прокси. И в случае цепочки серверов у второго режима есть пара преимуществ:
Прокси ack-ет TCP пакеты на каждом сервере в цепочке, что позитивно сказывается на "видимом" стеком RTT и "общее" TCP окно маршрута как бы растягивается. Проще говоря это несколько компенсирует деградацию TCP из-за возросшего latency.
Характеристики пакетов (размеры) могут измениться после прохождения прокси. В принципе, это можно даже сделать специально. Таким образом входящий туннель не бьётся напрямую с исходящим. Можно ещё пару пару первых звеньев смешать на втором и перебросить через третий.
Так что со всем уважением, но цепочка из прокси и цепочка из wireguard туннелей это совсем не одно и то же с точки зрения отслеживаемости.
Стандартный клиент будет коннектится на указанный в конфигурации адрес. С другой стороны можно поправить конфиг изменив в нем endpoint на промежуточный сервер, который в свою очередь будет пробрасывать пакеты на конечный сервер. В такой конфигурации промежуточный сервер будет работать только как форвардер пакетов.
Из плюсов, меньше нагрузки на промежуточный сервер, из минусов такой трафик гораздо проще отследить. Это уже не двойной VPN, а одинарный с PAT/NAT через промежуточный сервер. Который, кстати несложно зафлудить, так как он форвардит все подряд с определённого порта без всякой авторизации.
WireGuard официально не поддерживается в качестве сервера на Windows. Его можно настроить в этом качестве используя ICS, но там есть определённые ограничения и ICS имеет свойство отваливаться при отключении туннеля. Но эту проблему я решил, написав wiresock.
Вообще задача то только в том, чтобы упростить жизнь определённой категории пользователей. На Linux выйдет дешевле по деньгам/ресурсам, на Windows быстрее и проще для не специалиста...
Если не ошибаюсь, то socat это про TCP, значит просядем по скорости. Можно ещё ssh туннели прикрутить, как вариант. А вообще, правда считаете что это проще и быстрее? ;)
Основная масса почтового спама легко отсекается весовыми функциями по ряду характеристик, а сервисы относительно гарантированной доставки электронной почты тоже стоят денег. Посмотрите например SendGrid.
Ну вот, уже "утопили" в терминологии... От сайта SoftEther у меня сложилось ощущение, как будто собрали все что можно и свалили в одну кучу... Разобраться можно, но что-то не сильно хочется. Проще тогда уже сразу поставить OpenVpn... Впрочем, это дело вкуса.
WireGuard мне нравится своей простотой и скоростью. Но случается даже с готовыми скриптами на некоторых Linux VPS приходится повозиться, чтобы понять, почему пакеты не проходят как надо. Поэтому и интересно сделать простое решение для Windows.
Например, сегодня минут за пять собрал chained VPN из двух VPS c Windows. Сколько бы я провозился с SoftEther и какую скорость я бы получил на выходе на мобильном телефоне?
VPN - это не только способ скрыть свой IP адрес или обойти блокировки. Это ещё и способ получить безопасный доступ к корпоративной (или домашней) сети.
Настроить VPN под Linux конечно можно, но для среднего пользователя это "черная магия". А развертывание WireGuard на Windows при использования предложенного инструментария занимает пару минут...
Обратите внимание, я нигде не утверждаю, что Linux в этом смысле хуже, скорее наоборот. И по ресурсам он дешевле и реализация в ядре всегда будет быстрее (при условии одинакового железа). Я даже подумываю портировать wireguard в ядро Windows, но работы многовато, а реальный эффект будет заметен только на гигабите.
При одном туннеле через цепочку прокси если точка входа и точка выхода в условно "контроллируемой" сети, то пропадает весь смысл промежуточных прокси. При цепочке туннелей такой угрозы нет.
Кроме того, обратите внимание, что wiresock может работать как NAT и как TCP/UDP прокси. И в случае цепочки серверов у второго режима есть пара преимуществ:
Прокси ack-ет TCP пакеты на каждом сервере в цепочке, что позитивно сказывается на "видимом" стеком RTT и "общее" TCP окно маршрута как бы растягивается. Проще говоря это несколько компенсирует деградацию TCP из-за возросшего latency.
Характеристики пакетов (размеры) могут измениться после прохождения прокси. В принципе, это можно даже сделать специально. Таким образом входящий туннель не бьётся напрямую с исходящим. Можно ещё пару пару первых звеньев смешать на втором и перебросить через третий.
Так что со всем уважением, но цепочка из прокси и цепочка из wireguard туннелей это совсем не одно и то же с точки зрения отслеживаемости.
Стандартный клиент будет коннектится на указанный в конфигурации адрес. С другой стороны можно поправить конфиг изменив в нем endpoint на промежуточный сервер, который в свою очередь будет пробрасывать пакеты на конечный сервер. В такой конфигурации промежуточный сервер будет работать только как форвардер пакетов.
Из плюсов, меньше нагрузки на промежуточный сервер, из минусов такой трафик гораздо проще отследить. Это уже не двойной VPN, а одинарный с PAT/NAT через промежуточный сервер. Который, кстати несложно зафлудить, так как он форвардит все подряд с определённого порта без всякой авторизации.
В таком случае, почему бы вам не написать статью и не описать процесс и сделать сравнительнные тесты?
И ещё один вопрос, как к вашей схеме прикрутить смартфон в качестве клиента?
WireGuard официально не поддерживается в качестве сервера на Windows. Его можно настроить в этом качестве используя ICS, но там есть определённые ограничения и ICS имеет свойство отваливаться при отключении туннеля. Но эту проблему я решил, написав wiresock.
Вообще задача то только в том, чтобы упростить жизнь определённой категории пользователей. На Linux выйдет дешевле по деньгам/ресурсам, на Windows быстрее и проще для не специалиста...
Если не ошибаюсь, то socat это про TCP, значит просядем по скорости. Можно ещё ssh туннели прикрутить, как вариант. А вообще, правда считаете что это проще и быстрее? ;)
А вы пробовали развернуть double VPN на Linux? Не у всех получается, вот например:
https://qna.habr.com/q/912233
Возможно... С другой стороны наверное не только для администраторов Linux.
Благодарю :-)
Я не спорю, что на Linux выйдет дешевле по ресурсам... Но там и по готовому гайду настроить подобный конфиг сможет далеко не каждый.
Статья написана для тех, кому сложно или вовсе невозможно построить такое под Linux.
Хорошо, минималки:
Ubuntu core18: 256MB RAM, 256MB storage
Ubuntu core20: 384MB RAM
Windows Server Core 2019: 512MB RAM
128мб это минимум, чтобы lubuntu в принципе завелась... Как оно при таких ресурсах будет работать большой вопрос...
Как минимум само присутствие WireGuard на определённом порту обнаружить невозможно, в отличии от RDP.
Основная масса почтового спама легко отсекается весовыми функциями по ряду характеристик, а сервисы относительно гарантированной доставки электронной почты тоже стоят денег. Посмотрите например SendGrid.
Ну вот, уже "утопили" в терминологии... От сайта SoftEther у меня сложилось ощущение, как будто собрали все что можно и свалили в одну кучу... Разобраться можно, но что-то не сильно хочется. Проще тогда уже сразу поставить OpenVpn... Впрочем, это дело вкуса.
WireGuard мне нравится своей простотой и скоростью. Но случается даже с готовыми скриптами на некоторых Linux VPS приходится повозиться, чтобы понять, почему пакеты не проходят как надо. Поэтому и интересно сделать простое решение для Windows.
Например, сегодня минут за пять собрал chained VPN из двух VPS c Windows. Сколько бы я провозился с SoftEther и какую скорость я бы получил на выходе на мобильном телефоне?
С мобильными приложениями как-то непонятно, такое ощущение что их нет. Да и в целом навалили протоколов в одну кучу, разбираться надо...
VPN - это не только способ скрыть свой IP адрес или обойти блокировки. Это ещё и способ получить безопасный доступ к корпоративной (или домашней) сети.
Не все готовы настолько доверять провайдеру VDS...
Настроить VPN под Linux конечно можно, но для среднего пользователя это "черная магия". А развертывание WireGuard на Windows при использования предложенного инструментария занимает пару минут...