История изменений
Исправление Jameson, (текущая версия) :
отговори меня от использования wg
Отговариваю. Wireguard всем хорош, быстро соединяется, не грузит камень, позволяет качать во весь физический канал, но есть у него один лично для меня важный недостаток. Создатели wireguard считают что экономка должна быть экономкой их софт не должен быть перегружен «излишним» функционалом, поэтому в wireguard нет никаких средств обфускации самого соединения. Вот что они сами об этом пишут:
Deep Packet Inspection
WireGuard does not focus on obfuscation. Obfuscation, rather, should happen at a layer above WireGuard, with WireGuard focused on providing solid crypto with a simple implementation. It is quite possible to plug in various forms of obfuscation, however.
На практике это означает, что сессия wireguard опознаётся в трафике простейшими средствами, например wireshark её прекрасно видит, и провайдер может твой тоннель невозбранно зашейпить или вообще пресечь использование wireguard. У меня с некоторыми региональными провайдерами такое было, в приступе административного восторга они рубили или шейпили туннели. Звонок в саппорт, ругань и требование предъявить официальный запрет на использование VPN приводил их в чувство, но не навсегда. В итоге мне пришлось своих клиентов с «проблемными» провайдерами обратно на openvpn перевести с маскировкой под https трафик. Так что в суровых реалиях нашего времени openvpn с развитыми встроенными средствами маскировки и обфускации более «вездеходен» чем wireguard.
Конечно можно и wireguard обфусцировать через obfs4proxy например, но для этого нужно иметь контроль над клиентом и сервером, помимо того что это +один внешний слой костылей. Коммерческие же провайдеры VPN обычно сразу предоставляют несколько десятков вариантов openvpn соединений, так что находится вариант на любую попытку ограничить, но для wireguard у них обычно всего два варианта — по стандартному или альтернативному порту без обфускации.
А так я сам wireguard предпочитаю, но лучше сразу понимать что от DPI он не защищён никак изначально by design, и это не баг, а фича. Ну, разработчики так считают. К сожалению они далеки от наших реалий, их не беспокоит что сам факт выявления использования VPN в некоторых ситуациях может зажечь «лампочку» на пульте ТСПУ.
Исправление Jameson, :
отговори меня от использования wg
Отговариваю. Wireguard всем хорош, быстро соединяется, не грузит камень, позволяет качать во весь физический канал, но есть у него один лично для меня важный недостаток. Создатели wireguard считают что экономка должна быть экономкой протокол не должен быть перегружен «излишним» функционалом, поэтому в wireguard нет никаких средств обфускации самого соединения. Вот что они сами об этом пишут:
Deep Packet Inspection
WireGuard does not focus on obfuscation. Obfuscation, rather, should happen at a layer above WireGuard, with WireGuard focused on providing solid crypto with a simple implementation. It is quite possible to plug in various forms of obfuscation, however.
На практике это означает, что сессия wireguard опознаётся в трафике простейшими средствами, например wireshark её прекрасно видит, и провайдер может твой тоннель невозбранно зашейпить или вообще пресечь использование wireguard. У меня с некоторыми региональными провайдерами такое было, в приступе административного восторга они рубили или шейпили туннели. Звонок в саппорт, ругань и требование предъявить официальный запрет на использование VPN приводил их в чувство, но не навсегда. В итоге мне пришлось своих клиентов с «проблемными» провайдерами обратно на openvpn перевести с маскировкой под https трафик. Так что в суровых реалиях нашего времени openvpn с развитыми встроенными средствами маскировки и обфускации более «вездеходен» чем wireguard.
Конечно можно и wireguard обфусцировать через obfs4proxy например, но для этого нужно иметь контроль над клиентом и сервером, помимо того что это +один внешний слой костылей. Коммерческие же провайдеры VPN обычно сразу предоставляют несколько десятков вариантов openvpn соединений, так что находится вариант на любую попытку ограничить, но для wireguard у них обычно всего два варианта — по стандартному или альтернативному порту без обфускации.
А так я сам wireguard предпочитаю, но лучше сразу понимать что от DPI он не защищён никак изначально by design, и это не баг, а фича. Ну, разработчики так считают. К сожалению они далеки от наших реалий, их не беспокоит что сам факт выявления использования VPN в некоторых ситуациях может зажечь «лампочку» на пульте ТСПУ.
Исправление Jameson, :
отговори меня от использования wg
Отговариваю. Wireguard всем хорош, быстро соединяется, не грузит камень, позволяет качать во весь физический канал, но есть у него один лично для меня важный недостаток. Создатели wireguard считают что экономка должна быть экономкой протокол не должен быть перегружен «излишним» функционалом, поэтому в wireguard нет никаких средств обфускации самого соединения. Вот что они сами об этом пишут:
Deep Packet Inspection
WireGuard does not focus on obfuscation. Obfuscation, rather, should happen at a layer above WireGuard, with WireGuard focused on providing solid crypto with a simple implementation. It is quite possible to plug in various forms of obfuscation, however.
На практике это означает, что сессия wireguard опознаётся в трафике простейшими средствами, например wireshark её прекрасно видит, и провайдер может твой тоннель невозбранно зашейпить или вообще пресечь использование wireguard. У меня с некоторыми региональными провайдерами такое было, в приступе административного восторга они рубили или шейпили туннели. Звонок в саппорт, ругань и требование предъявить официальный запрет на использование VPN приводил их в чувство, но не навсегда. В итоге мне пришлось своих клиентов с «проблемными» провайдерами обратно на openvpn перевести с маскировкой под https трафик. Так что в суровых реалиях нашего времени openvpn с развитыми встроенными средствами маскировки и обфускации более «вездеходен» чем wireguard.
Конечно можно и wireguard обфусцировать через obfs4proxy например, но для этого нужно иметь контроль над клиентом и сервером, помимо того что это +один внешний слой костылей. Коммерческие же провайдеры VPN обычно сразу предоставляют несколько десятков вариантов openvpn соединений, так что находится вариант на любую попытку ограничить, но для wireguard у них обычно всего два варианта — по стандартному или альтернативному порту, без обфускации.
А так я сам wireguard предпочитаю, но лучше сразу понимать что от DPI он не защищён никак изначально by design, и это не баг, а фича. Ну, разработчики так считают. К сожалению они далеки от наших реалий, их не беспокоит что сам факт выявления использования VPN в некоторых ситуациях может зажечь «лампочку» на пульте ТСПУ.
Исправление Jameson, :
отговори меня от использования wg
Отговариваю. Wireguard всем хорош, быстро соединяется, не грузит камень, позволяет качать во весь физический канал, но есть у него один лично для меня важный недостаток. Создатели wireguard считают что экономка должна быть экономкой протокол не должен быть перегружен «излишним» функционалом, поэтому в wireguard нет никаких средств обфускации самого соединения. Вот что они сами об этом пишут:
Deep Packet Inspection
WireGuard does not focus on obfuscation. Obfuscation, rather, should happen at a layer above WireGuard, with WireGuard focused on providing solid crypto with a simple implementation. It is quite possible to plug in various forms of obfuscation, however.
На практике это означает, что сессия wireguard опознаётся в трафике простейшими средствами, например wireshark её прекрасно видит, и провайдер может твой тоннель невозбранно зашейпить или вообще пресечь использование wireguard. У меня с некоторыми региональными провайдерами такое было, в приступе административного восторга они рубили или шейпили туннели. Звонок в саппорт, ругань и требование предъявить официальный запрет на использование VPN приводил их в чувство, но не навсегда. В итоге мне пришлось своих клиентов с «проблемными» провайдерами обратно на openvpn перевести с маскировкой под https трафик. Так что в суровых реалиях нашего времени openvpn с развитыми встроенными средствами маскировки и обфускации более «вездеходен» чем wireguard.
Конечно можно и wireguard обфусцировать через obfs4proxy например, но для этого нужно иметь контроль над клиентом и сервером, помимо того что это +один внешний слой костылей. Коммерческие же провайдеры VPN обычно сразу предоставляют несколько десятков вариантов openvpn соединений, так что находится вариант на любую попытку ограничить, но для wireguard обычно всего два варианта — по стандартному или альтернативному порту, без обфускации.
А так я сам wireguard предпочитаю, но лучше сразу понимать что от DPI он не защищён никак изначально by design, и это не баг, а фича. Ну, разработчики так считают. К сожалению они далеки от наших реалий, их не беспокоит что сам факт выявления использования VPN в некоторых ситуациях может зажечь «лампочку» на пульте ТСПУ.
Исправление Jameson, :
отговори меня от использования wg
Отговариваю. Wireguard всем хорош, быстро соединяется, не грузит камень, позволяет качать во весь физический канал, но есть у него один лично для меня важный недостаток. Создатели wireguard считают что экономка должна быть экономкой протокол не должен быть перегружен «излишним» функционалом, поэтому в wireguard нет никаких средств обфускации самого соединения. Вот что они сами об этом пишут:
Deep Packet Inspection
WireGuard does not focus on obfuscation. Obfuscation, rather, should happen at a layer above WireGuard, with WireGuard focused on providing solid crypto with a simple implementation. It is quite possible to plug in various forms of obfuscation, however.
На практике это означает, что сессия wireguard опознаётся в трафике простейшими средствами, например wireshark её прекрасно видит, и провайдер может твой тоннель невозбранно зашейпить или вообще пресечь использование wireguard. У меня с некоторыми региональными провайдерами такое было, в приступе административного восторга они рубили или шейпили туннели. Звонок в саппорт, ругань и требование предъявить официальный запрет на использование VPN приводил их в чувство, но не навсегда. В итоге мне пришлось своих клиентов с «проблемными» провайдерами обратно на openvpn перевести с маскировкой под https трафик. Так что в суровых реалиях нашего времени openvpn с развитыми встроенными средствами маскировки и обфускации более «вездеходен» чем wireguard.
Конечно можно и wireguard обфусцировать через obfs4proxy например, но для этого нужно иметь контроль над клиентом и сервером, помимо того что это +один внешний слой костылей. Коммерческие же провайдеры VPN обычно предоставляют несколько десятков вариантов openvpn соединений, так что находится вариант на любую попытку ограничить, но для wireguard обычно всего два варианта — по стандартному или альтернативному порту, без обфускации.
А так я сам wireguard предпочитаю, но лучше сразу понимать что от DPI он не защищён никак изначально by design, и это не баг, а фича. Ну, разработчики так считают. К сожалению они далеки от наших реалий, их не беспокоит что сам факт выявления использования VPN в некоторых ситуациях может зажечь «лампочку» на пульте ТСПУ.
Исправление Jameson, :
отговори меня от использования wg
Отговариваю. Wireguard всем хорош, быстро соединяется, не грузит камень, позволяет качать во весь физический канал, но есть у него один лично для меня важный недостаток. Создатели wireguard считают что экономка должна быть экономкой протокол не должен быть перегружен «излишним» функционалом, поэтому в wireguard нет никаких средств обфускации самого соединения. Вот что они сами об этом пишут:
Deep Packet Inspection
WireGuard does not focus on obfuscation. Obfuscation, rather, should happen at a layer above WireGuard, with WireGuard focused on providing solid crypto with a simple implementation. It is quite possible to plug in various forms of obfuscation, however.
На практике это означает, что сессия wireguard опознаётся в трафике простейшими средствами, например wireshark её прекрасно видит, и провайдер может твой тоннель невозбранно зашейпить или вообще пресечь использование wireguard. У меня с некоторыми региональными провайдерами такое было, в приступе административного восторга они рубили или шейпили туннели. Звонок в саппорт, ругань и требование предъявить официальный запрет на использование VPN приводил их в чувство, но не навсегда. В итоге мне пришлось своих клиентов с «проблемными» провайдерами обратно на openvpn перевести с маскировкой под https трафик. Так что в суровых реалиях нашего времени openvpn с развитыми встроенными средствами маскировки и обфускации более «вездеходен» чем wireguard.
Конечно можно и wireguard обфусцировать через obfs4proxy например, но для этого нужно иметь контроль над клиентом и сервером, помимо того что это ещё +один слой костылей рядом с wireguard. Коммерческие же провайдеры VPN обычно предоставляют несколько десятков вариантов openvpn соединений, так что находится вариант на любую попытку ограничить, но для wireguard обычно всего два варианта — по стандартному или альтернативному порту, без обфускации.
А так я сам wireguard предпочитаю, но лучше сразу понимать что от DPI он не защищён никак изначально by design, и это не баг, а фича. Ну, разработчики так считают. К сожалению они далеки от наших реалий, их не беспокоит что сам факт выявления использования VPN в некоторых ситуациях может зажечь «лампочку» на пульте ТСПУ.
Исправление Jameson, :
отговори меня от использования wg
Отговариваю. Wireguard всем хорош, быстро соединяется, не грузит камень, позволяет качать во весь физический канал, но есть у него один лично для меня важный недостаток. Создатели wireguard считают что экономка должна быть экономкой протокол не должен быть перегружен «излишним» функционалом, поэтому в wireguard нет никаких средств обфускации самого соединения. Вот что они сами об этом пишут:
Deep Packet Inspection
WireGuard does not focus on obfuscation. Obfuscation, rather, should happen at a layer above WireGuard, with WireGuard focused on providing solid crypto with a simple implementation. It is quite possible to plug in various forms of obfuscation, however.
На практике это означает, что сессия wireguard опознаётся в трафике простейшими средствами, например wireshark её прекрасно видит, и провайдер может твой тоннель невозбранно зашейпить или вообще пресечь использование wireguard. У меня с некоторыми региональными провайдерами такое было, в приступе административного восторга они рубили или шейпили туннели. Звонок в саппорт, ругань и требование предъявить официальный запрет на использование VPN приводил их в чувство, но не навсегда. В итоге мне пришлось своих клиентов с «проблемными» провайдерами обратно на openvpn перевести с маскировкой под https трафик. Так что в суровых реалиях нашего времени openvpn с развитыми встроенными средствами маскировки и обфускации более «вездеходен» чем wireguard.
Конечно можно и wireguard обфусцировать через obfs4proxy например, но для этого нужно иметь контроль над клиентом и сервером, помимо того что это ещё один слой костылей. Коммерческие же провайдеры VPN обычно предоставляют несколько десятков вариантов openvpn соединений, так что находится вариант на любую попытку ограничить, но для wireguard обычно всего два варианта — по стандартному или альтернативному порту, без обфускации.
А так я сам wireguard предпочитаю, но лучше сразу понимать что от DPI он не защищён никак изначально by design, и это не баг, а фича. Ну, разработчики так считают. К сожалению они далеки от наших реалий, их не беспокоит что сам факт выявления использования VPN в некоторых ситуациях может зажечь «лампочку» на пульте ТСПУ.
Исправление Jameson, :
отговори меня от использования wg
Отговариваю. Wireguard всем хорош, быстро соединяется, не грузит камень, позволяет качать во весь физический канал, но есть у него один лично для меня важный недостаток. Создатели wireguard считают что экономка должна быть экономкой протокол не должен быть перегружен «излишним» функционалом, поэтому в wireguard нет никаких средств обфускации самого соединения. Вот что они сами об этом пишут:
Deep Packet Inspection
WireGuard does not focus on obfuscation. Obfuscation, rather, should happen at a layer above WireGuard, with WireGuard focused on providing solid crypto with a simple implementation. It is quite possible to plug in various forms of obfuscation, however.
На практике это означает, что сессия wireguard опознаётся в трафике простейшими средствами, например wireshark её прекрасно видит, и провайдер может твой тоннель невозбранно зашейпить или вообще пресечь использование wireguard. У меня с некоторыми региональными провайдерами такое было, в приступе административного восторга они рубили или шейпили туннели. Звонок в саппорт, ругань и требование предъявить официальный запрет на использование VPN приводил их в чувство, но не навсегда. В итоге мне пришлось своих клиентов с «проблемными» провайдерами обратно на openvpn перевести с маскировкой под https трафик. Так что в суровых реалиях нашего времени openvpn с развитыми встроенными средствами маскировки и обфускации более «вездеходен» чем wireguard.
Конечно можно и wireguard обфусцировать через obfs4proxy например, но для этого нужно иметь контроль над клиентом и сервером. Коммерческие же провайдеры VPN обычно предоставляют несколько десятков вариантов openvpn соединений, так что находится вариант на любую попытку ограничить, но для wireguard обычно всего два варианта — по стандартному или альтернативному порту, без обфускации.
А так я сам wireguard предпочитаю, но лучше сразу понимать что от DPI он не защищён никак изначально by design, и это не баг, а фича. Ну, разработчики так считают. К сожалению они далеки от наших реалий, их не беспокоит что сам факт выявления использования VPN в некоторых ситуациях может зажечь «лампочку» на пульте ТСПУ.
Исправление Jameson, :
отговори меня от использования wg
Отговариваю. Wireguard всем хорош, быстро соединяется, не грузит камень, позволяет качать во весь физический канал, но есть у него один лично для меня важный недостаток. Создатели wireguard считают что экономка должна быть экономкой протокол не должен быть перегружен «излишним» функционалом, поэтому в wireguard нет никаких средств обфускации самого соединения. Вот что они сами об этом пишут:
Deep Packet Inspection
WireGuard does not focus on obfuscation. Obfuscation, rather, should happen at a layer above WireGuard, with WireGuard focused on providing solid crypto with a simple implementation. It is quite possible to plug in various forms of obfuscation, however.
На практике это означает, что сессия wireguard опознаётся в трафике простейшими средствами, например wireshark её прекрасно видит, и провайдер может твой тоннель невозбранно зашейпить или вообще пресечь использование wireguard. У меня с некоторыми региональными провайдерами такое было, в приступе административного восторга они рубили или шейпили туннели. Звонок в саппорт, ругань и требование предъявить официальный запрет на использование VPN приводил их в чувство, но не навсегда. В итоге мне пришлось своих клиентов с «проблемными» провайдерами обратно на openvpn перевести с маскировкой под https трафик. Так что в суровых реалиях нашего времени openvpn с развитыми встроенными средствами маскировки и обфускации более «вездеходен» чем wireguard.
Конечно можно и wireguard обфусцировать через obfs4proxy например, но для этого нужно иметь контроль над клиентом и сервером. Коммерческие же провайдеры VPN обычно предоставляют несколько десятков вариантов openvpn соединений, так что находится вариант на любую попытку ограничить, но для wireguard обычно всего два варианта — по стандартному или альтернативному порту, без обфускации.
А так я сам wireguard предпочитаю, но лучше сразу понимать что от DPI он не защищён никак изначально by design, и это не баг, а фича. Ну, разработчики так считают. К сожалению они далеки от наших реалий, их не беспокоит что у нас сам факт выявления использования VPN в некоторых ситуациях может зажечь «лампочку» на пульте ТСПУ.
Исправление Jameson, :
отговори меня от использования wg
Отговариваю. Wireguard всем хорош, быстро соединяется, не грузит камень, позволяет качать во весь физический канал, но есть у него один лично для меня важный недостаток. Создатели wireguard считают что экономка должна быть экономкой протокол не должен быть перегружен «излишним» функционалом, поэтому в wireguard нет никаких средств обфускации самого соединения. Вот что они сами об этом пишут:
Deep Packet Inspection
WireGuard does not focus on obfuscation. Obfuscation, rather, should happen at a layer above WireGuard, with WireGuard focused on providing solid crypto with a simple implementation. It is quite possible to plug in various forms of obfuscation, however.
На практике это означает, что сессия wireguard опознаётся в трафике простейшими средствами, например wireshark её прекрасно видит, и провайдер может твой тоннель невозбранно зашейпить или вообще пресечь использование wireguard. У меня с некоторыми региональными провайдерами такое было, в приступе административного восторга они рубили или шейпили туннели. Звонок в саппорт, ругань и требование предъявить официальный запрет на использование VPN приводил их в чувство, но не навсегда. В итоге мне пришлось своих клиентов с «проблемными» провайдерами обратно на openvpn перевести с маскировкой под https трафик. Так что в суровых реалиях нашего времени openvpn с развитыми встроенными средствами маскировки и обфускации более «вездеходен» чем wireguard.
Конечно можно и wireguard обфусцировать через obfs4proxy например, но для этого нужно иметь контроль над клиентом и сервером. Коммерческие же провайдеры VPN обычно предоставляют несколько десятков вариантов openvpn соединений, так что находится вариант на любую попытку ограничить, но для wireguard обычно всего два варианта — по стандартному или альтернативному порту, без обфускации.
А так я сам wireguard предпочитаю, но лучше сразу понимать что от DPI он не защищён никак изначально by design, и это не баг, а фича. Ну, разработчики так считают. К сожалению они далеки от наших реалий и не всегда понимают что у нас сам факт выявления использования VPN в некоторых ситуациях может зажечь «лампочку» на пульте ТСПУ.
Исправление Jameson, :
отговори меня от использования wg
Отговариваю. Wireguard всем хорош, быстро соединяется, не грузит камень, позволяет качать во весь физический канал, но есть у него один лично для меня важный недостаток. Создатели wireguard считают что экономка должна быть экономкой протокол не должен быть перегружен «излишним» функционалом, поэтому в wireguard нет никаких средств обфускации самого соединения. Вот что они сами об этом пишут:
Deep Packet Inspection
WireGuard does not focus on obfuscation. Obfuscation, rather, should happen at a layer above WireGuard, with WireGuard focused on providing solid crypto with a simple implementation. It is quite possible to plug in various forms of obfuscation, however.
На практике это означает, что сессия wireguard опознаётся в трафике простейшими средствами, например wireshark её прекрасно видит, и провайдер может твой тоннель невозбранно зашейпить или вообще пресечь использование wireguard. У меня с некоторыми региональными провайдерами такое было, в приступе административного восторга они рубили или шейпили туннели. Звонок в саппорт, ругань и требование предъявить официальный запрет на использование VPN приводил их в чувство, но не навсегда. В итоге мне пришлось своих клиентов с «проблемными» провайдерами обратно на openvpn перевести с маскировкой под https трафик. Так что в суровых реалиях нашего времени openvpn с развитыми встроенными средствами маскировки и обфускации более «вездеходен» чем wireguard.
Конечно можно и wireguard обфусцировать через obfs4proxy например, но для этого нужно иметь контроль над клиентом и сервером. Коммерческие же провайдеры VPN обычно предоставляют несколько десятков вариантов openvpn соединений, так что находится вариант на любую попытку ограничить, но для wireguard обычно всего два варианта — по стандартному или альтернативному порту, без обфускации.
А так я сам wireguard предпочитаю, но лучше сразу понимать что от DPI он не защищён никак изначально by design, и это не баг, а фича. Ну, разработчики так считают. К сожалению они далеки от наших реалий и не всегда понимают что у нас сам факт выявления использования VPN в некоторых ситуациях может зажечь «лампочку» на ТСПУ.
Исправление Jameson, :
отговори меня от использования wg
Отговариваю. Wireguard всем хорош, быстро соединяется, не грузит камень, позволяет качать во весь физический канал, но есть у него один лично для меня важный недостаток. Создатели wireguard считают что экономка должна быть экономкой протокол не должен быть перегружен «излишним» функционалом, поэтому в wireguard нет никаких средств обфускации самого соединения. Вот что они сами об этом пишут:
Deep Packet Inspection
WireGuard does not focus on obfuscation. Obfuscation, rather, should happen at a layer above WireGuard, with WireGuard focused on providing solid crypto with a simple implementation. It is quite possible to plug in various forms of obfuscation, however.
На практике это означает, что сессия wireguard опознаётся в трафике простейшими средствами, например wireshark её прекрасно видит, и провайдер может твой тоннель невозбранно зашейпить или вообще пресечь использование wireguard. У меня с некоторыми региональными провайдерами такое было, в приступе административного восторга они рубили или шейпили туннели. Звонок в саппорт, ругань и требование предъявить официальный запрет на использование VPN приводил их в чувство, но не навсегда. В итоге мне пришлось своих клиентов с «проблемными» провайдерами обратно на openvpn перевести с маскировкой под https трафик. Так что в суровых реалиях нашего времени openvpn с развитыми встроенными средствами маскировки и обфускации более «вездеходен» чем wireguard.
Конечно можно и wireguard обфусцировать через obfs4proxy например, но для этого нужно иметь контроль над клиентом и сервером. Коммерческие же провайдеры VPN обычно предоставляют несколько десятков вариантов openvpn соединений, так что находится вариант на любую попытку ограничить, но для wireguard обычно всего два варианта — по стандартному или альтернативному порту, без обфускации.
А так я сам wireguard предпочитаю, но лучше сразу понимать что от DPI он не защищён никак изначально by design, и это не баг, а фича. Ну, разработчики так считают.
Исправление Jameson, :
отговори меня от использования wg
Отговариваю. Wireguard всем хорош, быстро соединяется, не грузит камень, позволяет качать во весь физический канал, но есть у него один лично для меня важный недостаток. Создатели wireguard считают что экономка должна быть экономкой протокол не должен быть перегружен «излишним» функционалом, поэтому в wireguard нет никаких средств обфускации самого соединения. Вот что они сами об этом пишут:
Deep Packet Inspection
WireGuard does not focus on obfuscation. Obfuscation, rather, should happen at a layer above WireGuard, with WireGuard focused on providing solid crypto with a simple implementation. It is quite possible to plug in various forms of obfuscation, however.
На практике это означает, что сессия wireguard опознаётся в трафике простейшими средствами, например wireshark её прекрасно видит, и провайдер может твой тоннель невозбранно зашейпить или вообще пресечь использование wireguard. У меня с некоторыми региональными провайдерами такое было, в приступе административного восторга они рубили или шейпили туннели. Звонок в саппорт, ругань и требование предъявить официальный запрет на использование VPN приводил их в чувство, но не навсегда. В итоге мне пришлось своих клиентов с «проблемными» провайдерами обратно на openvpn перевести с маскировкой под https трафик. Так что в суровых реалиях нашего времени openvpn с развитыми встроенными средствами маскировки и обфускации более «вездеходен» чем wireguard.
Конечно можно и wireguard обфусцировать через obfs4proxy например, но для этого нужно иметь контроль над клиентом и сервером. Коммерческие же провайдеры VPN обычно предоставляют несколько десятков вариантов openvpn соединений, так что находится вариант на любую попытку ограничить, но для wireguard обычно всего два варианта — по стандартному или альтернативному порту, без обфускации.
Исходная версия Jameson, :
отговори меня от использования wg
Отговариваю. Wireguard всем хорош, быстро соединяется, не грузит камень, позволяет качать во весь физический канал, но есть у него один лично для меня важный недостаток. Создатели wireguard считают что экономка должна быть экономкой протокол не должен быть перегружен «излишним» функционалом, поэтому в wireguard нет никаких средств обфускации самого соединения. Вот что они сами об этом пишут:
Deep Packet Inspection
WireGuard does not focus on obfuscation. Obfuscation, rather, should happen at a layer above WireGuard, with WireGuard focused on providing solid crypto with a simple implementation. It is quite possible to plug in various forms of obfuscation, however.
На практике это означает, что сессия wireguard опознаётся в трафике простейшими средствами, например wireshark её прекрасно видит, и провайдер может твой тоннель невозбранно зашейпить или вообще пресечь использование wireguard. У меня с некоторыми региональными провайдерами такое было, в приступе административного восторга они рубили или шейпили туннели wireguard. Звонок в саппорт, ругань и требование предъявить официальный запрет на использование VPN приводил их в чувство, но не навсегда. В итоге мне пришлось своих клиентов с «проблемными» провайдерами обратно на openvpn перевести с маскировкой под https трафик. Так что в суровых реалиях нашего времени openvpn с развитыми встроенными средствами маскировки и обфускации более «вездеходен» чем wireguard.
Конечно можно и wireguard обфусцировать через obfs4proxy например, но для этого нужно иметь контроль над клиентом и сервером. Коммерческие же провайдеры VPN обычно предоставляют несколько десятков вариантов openvpn соединений, так что находится вариант на любую попытку ограничить, но для wireguard обычно всего два варианта — по стандартному или альтернативному порту, без обфускации.