company_banner

Wireguard для MAC: win или fail?



    В этом посте мы продолжаем обсуждать плюсы и минусы использования Wireguard — новаторского подхода к технологиям VPN. Программа доступна не только на Linux, но и на других платформах и ОС.

    Понятное дело, что производительность и качество сборки будет наивысшим для Linux и Unix систем с открытым исходным кодом. Однако, как отметили в комментариях для Windows есть вполне приличный графический клиент. Есть таковой и у MacOS, а для Linux отдельного графического клиента нет, если не считать настройку Wireguard из Network Manager.

    Wireguard для macOS доступна в App Store и устанавливается стандартным образом. На данный момент последняя версия 1.0.12, средний рейтинг довольно высокий — 4.7 из 5. Ничто не предвещало того, что в рождественский день 25-го декабря 2020 г. автору Wireguard Jason A. Donenfeld-у оборвут телефон жалобами и яростными нападками на кошмарно некачественное и неработающее ПО для Mac.

    В предыдущий день такое же не рождественское настроение было у пользователя macOS по имени Rachel. Вместо того, чтобы отмечать праздник в кругу родных и близких людей, она написала гневный отчет в своем блоге о том, как неделю назад потратила уйму времени, но так и не смогла обновить Wireguard.

    После того, как вышла новая версия Wireguard и появилось соответствующее уведомление от macOS, Rachel запустила обновление текущей версии 1.0.10. Действие завершилось ошибкой в связи с тем, что Wireguard необходимо остановить прежде, чем запустить обновление. Однако особенность программы для macOS в том, что необходимо самостоятельно завершить защищенное соединение, так как программа не делает этого в автоматическом режиме.

    Помимо того, Wireguard будет пытаться установить защищенное соединение снова и снова, если в настройках выбран режим on-demand. Для окончательной остановки программы, необходимо сначала отключить этот режим в редакторе настроек.


    Рис. 1 Опция on-demand в настройках Wireguard для macOS

    Рейчел невысокого мнения о пользовательском интерфейсе Wireguard, она это сравнивает с шебуршанием в темном подвале шаловливыми и немытыми руками в огромных рукавицах.

    Just the way it failed told me something was up with the overall model here. It feels like the UI is poking at the «thing doing the actual work» with very long and wobbly sticks. It's doing this in a dimly-lit room with oversized gloves zip-tied to its hands, and its glasses are smeared with filth. In short, it's not in control of the situation, not really.

    Исчерпав попытки обновить программу штатными средствами, блогерша принудительно удалила её и установила свежую версия с Macports, провозившись немного c созданием ключей и конфигурации в ручном режиме. История повторилась 24-го декабря после приобретения новенького Big Sur, чем еще можно заняться на Рождество кроме крэш-теста Wireguard? В этот раз все пошло даже еще хуже.

    Обновление опять не сработало и снова программу пришлось останавливать вручную. Однако на этот раз попытка отключить режим on-demand ни к чему не привела, интерфейс Wireguard не подавал признаков жизни. Перейдя к плану Б, Рейчел собиралась и на этот раз установить программу с ресурса Macports. Для этого нужно было экспортировать конфиг в zip файл, однако это тоже не сработало.

    Последней каплей стала безуспешная попытка удалить программу, перетащив значок в Корзину из интерфейса Программы. Ведь для этого надо было остановить Wireguard, а он никак не останавливался. Пришлось старым дедовским способом убить процесс с помощью kill -9 PID. Тогда-то Рейчел написала свой отчет, который довольно скоро попал в топ-лист на HackerNews. В комментариях отметили, что пост больше похож на rant — ворчание, что видно хотя бы из отрывка:
    It later turned out that something or other happened upstream, and now they treated timeouts as failures, or something, I don't know exactly, and I don't really care.

    После этого в дискуссию включился сам автор Wireguard, написав обстоятельный ответ на пост Рейчел. Сразу же выяснилось, что столь странное поведение при обновлении свойственно не только Wireguard, но и другим VPN-клиентам на macOS. Все они при должны быть остановлены до запуска обновления, таковы особенности операционной системы от Apple.

    This is not unique to Wireguard. I’ve had this happen with the Lockdown app too. This is an Apple problem. Apple should notify you that the VPN app needs to close in order to upgrade then offer you a simple way of doing that.

    От AppStore не поступает сигналов о том, что приложение VPN должно быть завершено. Обходное решение состоит в том, чтобы отслеживать оповещения из UI, однако этот механизм ненадежен и частенько никаких оповещение не поступает. Приходится постоянно делать снэпшоты VM и ждать завершения циклов обновления на AppStore. Apple должна исправить ситуацию, но не торопится этого делать.

    В такой ситуации выбор небольшой. Проводя три четверти своего времени разработки Wireguard в поисках обходных решений различных багов macOS, начинаешь принимать это за данность. И несмотря на то, что программа бесплатна, Jason A. Donenfeld делает все возможное, чтобы качество ПО оставалось на должном уровне. Последнее было в ответ на следующую фразу Рейчел.

    What about the problems? Well, it's free. They owe me nothing.

    Вторым пунктом Jason A. Donenfeld признает, что в версию 1.0.10 закралась регрессия, которую впрочем оперативно исправили. Однако дальше пошла бюрократия проверки кода в AppStore. В программе была ссылка на страницу пожертвований. Автору предложили поделиться заработанным, или убрать ссылку. Затем они проверили не ту версию, затем что-то еще…

    Сама регрессия была результатом того, что новый разработчик по неопытности удалил обходное решение для бага ОС при добавлении пакета WireguardKit. Заурядный случай, если ведешь разработку для интегрированной среды Apple NetworkExtension. Как правило исправление дефекта происходит «в течении нескольких минут после получения отчета», но проверка кода в AppStore затягивается, а блогеры готовы дать подножку здесь и сейчас.

    По поводу странного поведения GUI в режиме on-demand автор Wireguard еще раз прошелся по NetworkExtension и трудностям разработки для macOS. Шаг влево, шаг вправо — в AppStore могут зафиксировать нарушения API и в итоге заблокировать учетную запись разработчика. Привязка же к NetworkExtension объясняется тем, что лишь такие приложения можно распространять через AppStore. Никак не помогает в отладке приложений тот факт, что Apple в отличие от Microsoft не предоставляет необходимых DebugSymbols.

    and after identifying the issue I'll often have several ideas for «clever» workarounds. Which of them are acceptable for the App Store? Usually none! C'est la vie.

    Тогда возникает естественный вопрос — а что же вы так мучаетесь на этом AppStore? Можно конечно выкатить отдельную сборку и самостоятельно распространять её, но тогда придется поддерживать две параллельные версии, потому что Jason A. Donenfeld не хочет оставить пользователей AppStore ни с чем. В итоге все-же приходится терпеть и приспосабливаться.
    Автор Wireguard призвал Рейчел не только критиковать, но и принять участие в разработке кода. В сообществе пользователей ПО с открытым исходным кодом это считается этической нормой — вместо того, чтобы предъявлять претензии присылайте патчи, или хотя бы пишите документацию. В дальнейших планах бесшовная интеграция с NetworkExtension и KeyChain, исправление дефектов и пользовательского интерфейса.

    Хотелось бы узнать мнение читателей, терпимо работает Wireguard на неродных платформах, или действительно полный швах?

    RUVDS.com
    VDS/VPS-хостинг. Скидка 10% по коду HABR

    Комментарии 9

      +8

      Стоит отметить, мне кажется, что


      • "пользователь macOS по имени Rachel" — это Rachel Kroll, a veteran sysadmin now at Facebook. Потому так много народу и отреагировало на её пост.
      • она (после ответа на её пост) задонатила какую-то сумму на Wireguard
      • чтоб указать, что суп невкусный, не надо ни быть поваром, ни знать рецепт приготовления супа.
        +1
        «пользователь macOS по имени Rachel» — это Rachel Kroll, a veteran sysadmin now at Facebook. Потому так много народу и отреагировало на её пост.
        да, это сильно меняет восприятие ситуации. А то читаешь про проблемы абстрактного «пользователя по имени Rachel», думаешь «блин, ну опенсорсные решения не славятся юзабилити для рядовых пользователей», и тут вдруг нарисовавшаяся в голове домохозяйка прибивает процесс kill'om и полностью рушит понимание произошедшего
          0
          Доказательство того, что в интернете любая домохозяйка на самом деле может оказаться сисадмином :)
          –2
          чтоб указать, что суп невкусный, не надо ни быть поваром, ни знать рецепт приготовления супа.

          Аналогия отличная, ведь суп в данном случае дают бесплатно. Несколько некрасиво выглядело бы, если б пенсионер или бомж на благотворительной раздаче еды начал громко высказывать своё мнение о её качестве и о поваре. Так и здесь, лучше действительно помочь патчами, документацией, ну или вежливо и корректно запостить багрепорт.

            +1

            Эка ловко вы пользователей опенсурс продуктов сравнили с бомжами.

              0

              Ну, бесплатный суп обычно раздают маргиналам, бедным и больным людям. Кроме того, я упомянул и пенсионеров. Речь не о них, а о том, что дарёному коню в зубы не смотрят.

          –3

          Суть статьи, что Рейчел блеснула умом и вместо снятия процесса через стандартный диспетчер задач в Мониторинге ввела команду kill в терминале?
          Вингвард отработал корректно не дав работать незащищенному интернету во время падения. Алгоритм обновления не идеален, но и не достоин такой волны хейта.

            +2
            У меня тоже была подобная ситуация в macOS при обновлении Wireguard, режим on-demand включен. Это действительно не совсем удобно в использовании. Например, если нужно на короткое время, да или насовсем отключить VPN, нужно заходить в приложение Wireguard, нажимать кнопку редактирования конфигурации, вводить пароль администратора (или отпечаток пальца), затем уже выключать режим on-demand. И потом все тоже самое для включения режима on-demand…
            Но в процессе использования этого VPN, я обратил внимание, если в приложении Wireguard включен режим on-demand, то в стандартных настройках сетевых соединений ОС, в интерфейсе Wireguard появляется галочка «Connect on demand», она имеет приоритет над режимом on-demand в приложении Wireguard. Когда мне нужно быстро отключить VPN (или обновить Wireguard), я просто снимаю эту галочку и там-же нажимаю на кнопку «Disconnect», трафик соответсвенно начнёт идти в обход VPN. Когда нужно вернуть VPN, достаточно просто поставить галочку напротив «Connect on demand», соединение само поднимется.
              0
              На Винде странновато, то скорость падает, то пинг высокий. Это обычное явление или только у меня так?

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое