Спасибо за информацию, которая всем известна. Проблем нет никаких. Но зачем ты это написал?
Речь вообще не об этом идёт. Речь о том, что персонаж выше использовал слово "монолит" совсем не к месту. Ядро Linux - не монолит.

Монолит на то и монолит, что он не предполагает модульность (иначе он перестанет быть монолитом). Любая монолитность противоречит самой сущности ядра linux, которое самое по себе имеет модульную структуру. Так что все эти патчи с реализациями VPN-интерфейсов в ядре - полный бред имхо.

Для физлица васяна хороший VPN это тот, который будет работать везде, в любой кафешке, первом попавшемся открытом wifi или через модем. А не тот, у которого скорость 100500 мегабит. Здесь openvpn царёк.

А для юрлиц хороший VPN это скорость. ipsec уже есть. у wireguard тут шансы есть.

А сразу на два стула не сядешь...

так его поддержка - туда же - давно интегрирована...
(через кривой плагин, кстати, разные версии совместимы с разными версиями nm)

Там где все это требуется, есть и пяток админов морально готовых к занятию со всем этим непотребствами, без вазелина. А потом вся эта айписятина застрянет в первой же кафушке у выездного сотрудника.

Ну вообще для site2site wireguard как раз наиболее просто и приятен. Это с road warrior конфигурацией много проблем (ну, пока мы все на IPv6 не перешли).

Это повод считать радующихся не очень умными людьми. Хорошо если 1% радующихся используют WG по назначению для которого он был создан, для остальных это просто мода, незнание истории и области VPN-технологий.

А что касается простоты - у меня первый раз OpenVPN быстрее удалось поднять, чем первый раз WG.

> Ну так у большинства одна задача — смотреть нетфликс.

Азаза.

ругань в их адрес - где-то вокруг самого сайта wireguard, разумеется.
Аффтар очень красочно расписывал, почему это кг/ам, и что он один только весь в белом.
Я, естественно, не слишком проникся, поскольку меня в общем и оригинальный креатиф не особо впечатлил, поэтому и не стал запоминать детали.

> Зачем ты постоянно врешь?

я просто не занимаюсь дро4евом на ваш впопенсофт - один раз глянул - линуксонли, на альтернативную реализацию других людей, которые как раз захотели поддержать идею - вылит ушат дерьма, и больше, за ненадобностью, к вопросу не возвращаюсь.

А вы, видимо, не вылезаете с wireguard.com?  Извиняйте, у меня других дел есть.

всем пох..й.

Кому страсть как хотелось вайргада в десятке - давным-давно пользовался неофициальным, а не ждал джва года.

Именно. Такой себе дежурный тунель когда надо траф пробросить от A до B без каких-то сильно крутых/специальных требований, но без того чтобы первый же роутер или хакер в кафушке с бесплатной вафлей его нахаляву расхакали. И уж конечно без камасутры как ipsec.

А я то думал что он сперва должен пакеты из tun или tap прочитать, понять что с ними сделать, зашифровать, и вот тогда ... он сможет отдать это ядру. Роутит, конечно, ядро, но толку с этого при таком раскладе довольно немного.

Хотел бы посмотреть как ты за пару минут пересоберешь за нескольких десятках машинах с разными архитектурами процессоров разные линуксовые дистрибутивы с разным набором пакетов. А потом еще и заплатишь со своего кармана за протраченное время машинами CPU на компиляцию этих самых пакетов.

тредстартер страдал по штабильному дебиану. Сборка для которого делается за несколько минут. Причем тут - ракопроблемы? У них рач головного мозга, им простительно.

повторяю для непонявших: проблемы с openvpn начинаются там, где кончается ваш роутер-одноплатник, и начинаются взрослые системы - где хаб одновременно обслуживает сотни подключений.
И да, на тысячи я не делал, а с сотнями- вполне справляется, упираясь в полосу пропускания линка.

А "роутер" в этих местах - "здоровенный шумный агрегат". Юнитов шесть в стойке занимает, в отличие от лезвия на котором умещается весь впн-хаб.

> производительность openvpn - "не очень". Если кто не вдуплил, wireguard просто
> нарасхват у юзеров openwrt, его там вкостылили вперед батек из майнлайна,

ну так они и должны страдать. Судя по "пятибаксовым виртуалкам" это все тот же контингент что торопользователи и прочие борцуны с режимом, им не для работы же ж.

А так - на первой rpi клиенты опять же упирались в канал (понятен, там где приходится костылить подобную хрень, канал ни разу не гигабитный и еще и с потерями). Без всякого aes-gcm.

ну а там где? По сути все те же асимметричные ключи, только в обертке для альтернативно-одаренных.
> openvpn в этом вопросе зачем-то дырявы.

э... а можно конкретнее? Или это опять сказки для самых маленьких об ужасных нисисюрных-нисисюрных алгоритмах шифрования?

Тогда не надо. Это скучно и глупо.  К тому же авторы openssl о вас уже так позаботились, что от их заботы и дышать сложно стало.