https://www.solaris.opennet.ru/openforum/vsluhforumID3/114972.html Для включения в основной состав ядра Linux предложены (https://lkml.org/lkml/2018/7/31/790) патчи с реализацией VPN-интерфейса от проекта WireGuard (https://www.wireguard.io/), который развивается последние три года, прошёл аудит применяемых методов шифрования и хорошо зарекомендовал себя в ряде крупных внедрений, обрабатывающих большие объёмы трафика. До сих пор WireGuard поставлялся в виде отдельного модуля к ядру, но сейчас разработчики считают, что проект достиг готовности для включения в основное ядро. WireGuard сочетает применение проверенных современных методов шифрования с предоставлением минималистичной реализации, очень быстрой, простой в использовании и лишенной усложнений. Подробнее о проекте можно прочитать в первом анонсе (https://www.opennet.ru/opennews/art.shtml?num=44695).<br><br><br>Обновлённая реализация WireGuard примечательна созданием (https://lkml.org/lkml/2018/8/1/136) новой криптографической библиотеки Zinc (https://git.kernel.org/pub/scm/linux/kernel/git/zx2c4/linux.git/commit/?h=zinc), https://www.solaris.opennet.ru/openforum/vsluhforumID3/114972.html#118 Tue, 07 Aug 2018 08:23:05 GMT Я и сказал инсектоидами для рептилоиодов :-D<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/114972.html#117 Mon, 06 Aug 2018 23:15:46 GMT &gt; совершенно невозможный для человека cli, написанный инсектоидами<br><br>Японцами. Из более упopотых систем команд я пожалуй вcпомню только MegaCli.<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/114972.html#116 Mon, 06 Aug 2018 17:10:39 GMT я бы вот посмотрел в .S, в том числе и на то, что там внутри цикла.<br>иногда так удивительно выглядят оптимизации под модные-современные процессоры.<br><br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/114972.html#115 Mon, 06 Aug 2018 14:45:41 GMT потом же все равно wg set чтонибудь... уж могли бы и add делать автоматически, тоже мне, достижение...<br><br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/114972.html#114 Mon, 06 Aug 2018 14:43:42 GMT ну опять же - смотря чей ipsec. В фребеэсде десять лет чинили-чинили, непочинили (то нужен патч, то патч не прикладывается и непонятно, как поменять, то прикладывается но не работает, то глючит), переписали половину кода заново в 11 - вроде заработало. Что-то другое поломалось, но это мелочи.<br><br>У циски вроде за последние десять лет - ни единого разрыва (если клиент не линукс с vpnc, где "мы починили...опять!"). У чекпоинта бывало всякое, но в целом - работает, у меня двойной нат - как-то выживает. Про джунипер не в курсе, но вроде страданий от пользующих не слышно, наверное тоже работает. У PA просто-работает, если посчастливилось выхватить версию без RU в серийнике.<br><br>В линуксе... ну все как всегда - строго определенная версия strongswan, скачанная на перекрестке трех дорог в новолуние с конкретной версией ядра, релизнутой в период стояния марса...<br><br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/114972.html#113 Mon, 06 Aug 2018 14:42:50 GMT Да тут такое дело. Оно для тестов было. Денег на покупку нет. Так то я с радостью обновил бы всё по подписке и дальше смеялся над "не определяемым мусорным трафиком".<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/114972.html#112 Mon, 06 Aug 2018 13:27:20 GMT Неплохо жить с IPSec, когда коннектишь два шлюза с публичными IP. Хуже дело, когда есть NAT.<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/114972.html#111 Mon, 06 Aug 2018 12:57:34 GMT угу, конечно, конечно, все шишки на бедного разработчика, никому ведь и в голову не придет обращаться туда, откуда скачал. Все пострадавшие от трояна - где-то в десятого уровня вложенности ридмишке раскопают его домашний адрес и телефон, и побегут выдавать незаслуженного леща!<br><br>ну и как обычно - "сомнительным клиентом с закрытыми исходниками" (если что - это и называется FUD) - не стоит, а вот скачать из неведомого ppa неведомую сpань которая еще и 400 мегабайт девтулзов тянет, выполняющих неведомые скрипты (а это у них такая охрененная "бинарная сборка". Под конкретную, заметим, версию, конкретного линукса) - это пожалуйста, вы ж все их глазками лично на предмет закладок просмотрите, за ближайшие два миллиона лет, аффтор одобряэ.<br><br>И, главное, претензии предъявлять действительно будет некому- в отличие от коммерческой лавки, имеющей имя и репутацию - "ой, у нас в репе все норм, это кто-то ломанул ppa/obs/тыщиих". Ну или "ой, ключи от гитхаба проэтосамили, ну чо, бывает, это ж не мы, это ж все они!"<br><br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/114972.html#110 Mon, 06 Aug 2018 12:47:51 GMT &gt; Насколько я знаю, OpenVPN реализует туннель+криптографию на пользовательском уровне - <br>&gt; тогда как в ядре используется tuntap драйвер, плюс сетевой стек, разумеется. <br>&gt; При попытке скрестить его с WG может оказаться, что OpenVPN тупо не <br>&gt; нужен. Без протокола с кучей фич он станет просто юзерспейс прослойкой. <br>&gt; То есть такое можно сделать, но смысла, как мне кажется, нет. <br><br>но вот это же весьма удобно и полезно?<br>&gt; Тогда как OpenVPN позволяет развернуть шлюз удалённого доступа с PKI, генерацией, раздачей и отзывом ключей, ... позволяет pre- и post-up скрипты и push-ить их клиентам