LINUX.ORG.RU

WireGuard — новая реализация VPN для Linux

 ,


2

2

В рассылке для разработчиков ядра Linux представлена новая реализация интерфейсов для шифрованных и аутентифицированных каналов. WireGuard — новый вариант реализации VPN, сочетающий простоту реализации (около 4 тысяч строк) с полным функционалом проверенных криптографических алгоритмов. По мнению автора Джейсона Доненфилда (Jason A. Donenfeld), главы компании Edge Security и ее специалиста по безопасности, его реализация лишена усложнений, присущих таким проектам, как xfrm и OpenVPN.

Проект WireGuard развивается несколько лет и уже прошел стадию рецензирования криптографии, что позволяет говорить о его внедрении в ядро и публичном тестировании. После прохождения тестирования в ядре Linux предполагается портировать наработки в другие ОС. Код распространяется под лицензией GNU GPLv2.

Тесты показали, что WireGuard имеет в 4 раза лучшую пропускную способность и в 3.8 раза более отзывчив по сравнению с OpenVPN (256-bit AES c HMAC-SHA2–256). WireGuard также опережает по производительности IPsec (256-bit ChaCha20+Poly1305 и AES-256-GCM-128), но существенный выигрыш для IPsec заметен в основном в области снижения задержек.

>>> Подробности



Проверено: Aceler ()
Последнее исправление: Aceler (всего исправлений: 4)

Ответ на: комментарий от Deleted

потестил на своем барахле. у меня выходит, что openvpn медленнее раза в 3-4. но что не менее важно, проц грузится на все 100% в случае с опенвпн, когда wg не грузит даже на 50%.

vvviperrr ★★★★★
()
Ответ на: комментарий от vvviperrr

здраствуйте, пожалуйста покажите пошаговое создание сервер конфига и клиент конфига и удачный коннект например к удалённому шеллу. спасибо вам за ваши старания.

d4vid
()
Ответ на: комментарий от d4vid

так на офф сайте же и описано пошагово. а конфиг клиента от сервера отличается только тем, что у клиента мы явно задаем endpoint сервера, когда сервер узнает клиентский только при первом хендшейке.

vvviperrr ★★★★★
()
Ответ на: комментарий от Lavos

Если бы еще понимать что эти команды делают и как эти сертификаты работают...

Пять звезд... Не стыдно?
И да например когда «мы» выполняем теже команды для генерации сертификатов/ключей в ipsec то это понятно, а в openvpn уже не понятно, так что ли получается?

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Не, не стыдно. Звезды за флуд даются, а не за понимание принципов работы сертификатов.
А ipsec я никогда не юзал.

Lavos ★★★★★
()
Ответ на: комментарий от vvviperrr

потестил на своем барахле. у меня выходит, что openvpn медленнее раза в 3-4

Похоже действительно барахло. ovpn от базовой скорости канала настолько не проседает.

но что не менее важно, проц грузится на все 100% в случае с опенвпн, когда wg не грузит даже на 50%.

Все-таки не правильное сравнение userspace с kernel. Интереснее результаты ipsec vs subj

anc ★★★★★
()
Ответ на: комментарий от Lavos

А почитать документацию (которой овертьма) я так понимаю мама религия не позволяет?

anc ★★★★★
()
Ответ на: комментарий от anc

ovpn от базовой скорости канала настолько не проседает

проц просто не справляется, говорю же, на 100% загружен. к тому же мои тесты подтверждают тесты автора, wg примерно в 4 раза быстрее ovpn

Все-таки не правильное сравнение userspace с kernel

для меня правильное, ибо до этого пользовался именно openvpn

Интереснее результаты ipsec vs subj

так выложи)

vvviperrr ★★★★★
()
Ответ на: комментарий от anc

и мне) я айписеком никогда не пользовался, сложность настройки сыграла свою роль в какой то степени. у автора на сайте проекта есть тесты, айписек не сильно уступает.

vvviperrr ★★★★★
()
Ответ на: комментарий от DrLivesey

Ключи нужно будет отправлять майору по e-mail вместе с конфигурацией.

umka
() автор топика
Ответ на: комментарий от vvviperrr

Логично, если мне нужен будет личный VPN, я пожалуй тоже попробую. Но в гетерогенной среде, где нужно мультиплатформенное и проверенное временем решение, его пока использовать рано.

lucentcode ★★★★★
()
Ответ на: комментарий от lucentcode

я вовсю уже юзаю, меня радует.

Но в гетерогенной среде, где нужно мультиплатформенное и проверенное временем решение, его пока использовать рано

это так. поэтому рядом держу openvpn.

vvviperrr ★★★★★
()
Ответ на: комментарий от anonymous_sama

Надеюсь что оно будет в следующем релизе openwrt или форка последнего.

даже если и будет, никуда ты этот openwrt не поставишь. много железок видел с ядром от 4.1? поддерживать более старые ядра автор пока не планирует.

vvviperrr ★★★★★
()
Ответ на: комментарий от vvviperrr

and ditch the backwards-compatibility #ifdefs. Importantly, though, WireGuard doesn't require any modifications in other parts of the kernel, making it nicely standalone. And most of all, the codebase is pretty short

Не вижу проблем.

anonymous_sama ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.