Ang WireGuard nakakuha og daghang atensyon karong bag-o, sa tinuud kini ang bag-ong bituon sa mga VPN. Apan maayo ba siya sa iyang hitsura? Gusto nakong hisgutan ang pipila ka mga obserbasyon ug ribyuha ang pagpatuman sa WireGuard aron ipatin-aw kung nganong dili kini solusyon sa pag-ilis sa IPsec o OpenVPN.
Niini nga artikulo, gusto nakong isalikway ang pipila ka mga mito [sa palibot sa WireGuard]. Oo, magkinahanglan kini og taas nga panahon sa pagbasa, mao nga kung wala ka makahimo sa imong kaugalingon og usa ka tasa sa tsa o kape, nan panahon na sa pagbuhat niini. Gusto ko usab nga magpasalamat kang Peter sa pagtul-id sa akong gubot nga mga hunahuna.
Wala nako ibutang ang akong kaugalingon sa tumong sa pagdaot sa mga developers sa WireGuard, pagpaubos sa ilang mga paningkamot o ideya. Ang ilang produkto nagtrabaho, apan sa personal sa akong hunahuna kini gipresentar nga hingpit nga lahi sa kung unsa gyud kini - gipresentar kini ingon usa ka kapuli sa IPsec ug OpenVPN, nga sa tinuud wala na karon.
Ingon usa ka nota, gusto nakong idugang nga ang responsibilidad alang sa ingon nga posisyon sa WireGuard naa sa media nga naghisgot bahin niini, ug dili ang proyekto mismo o ang mga tiglalang niini.
Walaβy daghang maayong balita bahin sa Linux kernel karong bag-o. Mao nga, gisultihan kami bahin sa grabe nga mga kahuyangan sa processor, nga gi-level sa software, ug si Linus Torvalds naghisgot bahin niini nga dili maayo ug makalaay, sa utilitarian nga sinultian sa developer. Ang usa ka scheduler o usa ka zero-level nga networking stack dili usab klaro nga mga hilisgutan alang sa sinaw nga mga magasin. Ug ania ang WireGuard.
Sa papel, nindot ang tanan: usa ka makapahinam nga bag-ong teknolohiya.
Apan ato kining tan-awon og maayo.
WireGuard puti nga papel
Kini nga artikulo gibase sa gisulat ni Jason Donenfeld. Didto iyang gipatin-aw ang konsepto, katuyoan ug teknikal nga pagpatuman sa [WireGuard] sa Linux kernel.
Ang unang sentence mabasa:
Ang WireGuard [...] nagtumong sa pag-ilis sa IPsec sa kadaghanan nga mga kaso sa paggamit ug uban pang sikat nga wanang sa tiggamit ug/o mga solusyon nga nakabase sa TLS sama sa OpenVPN samtang mas luwas, performant ug dali gamiton [tool].
Siyempre, ang nag-unang bentaha sa tanan nga mga bag-ong teknolohiya mao ang ilang kayano [itandi sa mga nag-una]. Apan ang usa ka VPN kinahanglan usab epektibo ug luwas.
Busa, unsa ang sunod?
Kung giingon nimo nga dili kini ang imong kinahanglan [gikan sa usa ka VPN], mahimo nimong tapuson ang pagbasa dinhi. Bisan pa, akong matikdan nga ang ingon nga mga buluhaton gitakda alang sa bisan unsang ubang teknolohiya sa tunneling.
Ang labing makaiikag sa ibabaw nga kinutlo anaa sa mga pulong "sa kadaghanan sa mga kaso", nga, siyempre, wala panumbalinga sa press. Ug busa, ania kami kung diin kami natapos tungod sa kagubot nga nahimo sa kini nga pagpabaya - sa kini nga artikulo.
Ilisan ba sa WireGuard ang akong [IPsec] site-to-site VPN?
Dili. Walaβy higayon nga ang mga dagkong vendor sama sa Cisco, Juniper ug uban pa mopalit sa WireGuard alang sa ilang mga produkto. Dili sila "molukso sa mga tren" sa paglihok gawas kung adunay daghang kinahanglan nga buhaton kini. Sa ulahi, akong hisgotan ang pipila ka mga hinungdan ngano nga dili nila makuha ang ilang mga produkto sa WireGuard bisan kung gusto nila.
Dad-on ba sa WireGuard ang akong RoadWarrior gikan sa akong laptop ngadto sa data center?
Dili. Sa pagkakaron, ang WireGuard wala'y daghang mga importanteng bahin nga gipatuman aron kini makahimo sa usa ka butang nga sama niini. Pananglitan, dili kini makagamit sa mga dinamikong IP address sa tunnel server nga bahin, ug kini lamang ang nagbungkag sa tibuok nga senaryo sa maong paggamit sa produkto.
Ang IPFire sagad gigamit alang sa barato nga mga link sa Internet, sama sa DSL o mga koneksyon sa cable. Makataronganon kini alang sa gagmay o medium nga mga negosyo nga wala magkinahanglan og paspas nga fiber. [Timan-i gikan sa maghuhubad: ayaw kalimti nga sa mga termino sa komunikasyon, ang Russia ug pipila ka mga nasud sa CIS nag-una sa Europe ug Estados Unidos, tungod kay nagsugod kami sa pagtukod sa among mga network sa ulahi ug sa pag-abut sa Ethernet ug fiber optic network ingon usa ka standard, mas sayon ββalang kanamo ang pagtukod pag-usab. Sa parehas nga mga nasud sa EU o USA, ang xDSL broadband nga pag-access sa katulin nga 3-5 Mbps mao gihapon ang kinatibuk-ang pamatasan, ug ang usa ka koneksyon sa fiber optic nagkantidad ug dili realistiko nga salapi sa among mga sumbanan. Busa, ang tagsulat sa artikulo naghisgot sa DSL o koneksyon sa cable ingon nga naandan, ug dili sa karaang mga panahon.] Bisan pa, ang DSL, cable, LTE (ug uban pang mga pamaagi sa pag-access sa wireless) adunay dinamikong mga adres sa IP. Siyempre, usahay dili sila kanunay nga mag-usab, apan kini magbag-o.
Adunay usa ka subproyekto nga gitawag , nga nagdugang usa ka userspace daemon aron mabuntog kini nga kakulangan. Usa ka dako nga problema sa senaryo sa user nga gihulagway sa ibabaw mao ang pagsamot sa dinamikong IPv6 addressing.
Gikan sa punto sa panglantaw sa distributor, kining tanan dili usab maayo nga tan-awon. Usa sa mga tumong sa disenyo mao ang paghimo sa protocol nga yano ug limpyo.
Ikasubo, kining tanan nahimo nga yano ra kaayo ug karaan, mao nga kinahanglan namon nga mogamit dugang nga software aron kini nga tibuuk nga disenyo mahimong mabuhi sa tinuud nga paggamit.
Ang WireGuard ba dali ra gamiton?
Dili pa. Wala ako nag-ingon nga ang WireGuard dili gayud mahimong usa ka maayong alternatibo alang sa tunneling tali sa duha ka mga punto, apan sa pagkakaron kini usa lamang ka alpha nga bersyon sa produkto nga kini mao unta.
Apan unsa man gyud ang iyang gibuhat? Ang IPsec ba labi ka lisud nga mapadayon?
Dayag nga dili. Gihunahuna kini sa tigbaligya sa IPsec ug gipadala ang ilang produkto kauban ang usa ka interface, sama sa IPFire.
Aron ma-set up ang usa ka VPN tunnel sa IPsec, kinahanglan nimo ang lima ka set sa data nga kinahanglan nimong isulod sa configuration: ang imong kaugalingon nga public IP address, ang public IP address sa nakadawat nga partido, ang mga subnet nga gusto nimong ipahibalo sa publiko. kini nga koneksyon sa VPN ug pre-shared nga yawe. Sa ingon, ang VPN gipahimutang sa sulod sa mga minuto ug nahiuyon sa bisan unsang vendor.
Ikasubo, adunay pipila ka mga eksepsiyon niini nga istorya. Bisan kinsa nga misulay sa tunnel sa IPsec sa usa ka OpenBSD nga makina nahibal-an kung unsa ang akong gihisgutan. Adunay usa ka magtiayon nga mas sakit nga mga pananglitan, apan sa tinuud, adunay daghan, daghan pa nga maayong mga gawi sa paggamit sa IPsec.
Mahitungod sa pagkakomplikado sa protocol
Ang katapusan nga tiggamit dili kinahanglan mabalaka bahin sa pagkakomplikado sa protocol.
Kung nagpuyo kita sa usa ka kalibutan diin kini usa ka tinuod nga kabalaka sa tiggamit, nan dugay na unta natong gitangtang ang SIP, H.323, FTP ug uban pang mga protocol nga gihimo labaw pa sa napulo ka tuig ang milabay nga dili maayo sa NAT.
Adunay mga hinungdan ngano nga ang IPsec labi ka komplikado kaysa WireGuard: daghan pa kini nga mga butang. Pananglitan, ang pag-authenticate sa gumagamit gamit ang usa ka login / password o usa ka SIM card nga adunay EAP. Kini adunay taas nga abilidad sa pagdugang bag-o .
Ug wala kana ang WireGuard.
Ug kini nagpasabot nga ang WireGuard maguba sa usa ka punto, tungod kay ang usa sa mga cryptographic primitives maluya o hingpit nga makompromiso. Ang tagsulat sa teknikal nga dokumentasyon nag-ingon niini:
Angay nga matikdan nga ang WireGuard kay cryptographically opinionated. Kini tinuyo nga kulang sa pagka-flexible sa mga cipher ug mga protocol. Kung makit-an ang mga seryoso nga mga lungag sa nagpahiping mga primitive, ang tanan nga mga endpoint kinahanglan nga i-update. Sama sa imong makita gikan sa nagpadayon nga pag-agay sa mga kahuyangan sa SLL/TLS, ang pagka-flexible sa pag-encrypt karon miuswag pag-ayo.
Ang kataposang sentence sakto gayod.
Ang pagkab-ot sa consensus sa unsa nga encryption ang gamiton naghimo sa mga protocol sama sa IKE ug TLS labaw pa komplikado. Komplikado kaayo? Oo, ang mga kahuyangan kasagaran sa TLS/SSL, ug walay alternatibo niini.
Sa pagbaliwala sa tinuod nga mga problema
Hunahunaa nga ikaw adunay usa ka VPN server nga adunay 200 nga mga kliyente sa kombat sa usa ka lugar sa tibuuk kalibutan. Kini usa ka medyo standard nga kaso sa paggamit. Kung kinahanglan nimo nga usbon ang encryption, kinahanglan nimo nga ipadala ang update sa tanan nga mga kopya sa WireGuard sa kini nga mga laptop, smartphone, ug uban pa. Dungan paghatod. Kini sa literal imposible. Ang mga administrador nga naningkamot sa pagbuhat niini mokabat ug mga bulan aron ma-deploy ang gikinahanglan nga mga pag-configure, ug kini literal nga magkinahanglan usa ka medium-sized nga mga tuig sa kompanya aron makuha ang ingon nga panghitabo.
Ang IPsec ug OpenVPN nagtanyag usa ka bahin sa negosasyon sa cipher. Busa, sa pipila ka panahon pagkahuman nimo gi-on ang bag-ong encryption, ang daan magamit usab. Kini magtugot sa kasamtangan nga mga kustomer sa pag-upgrade sa bag-ong bersyon. Pagkahuman sa pag-update nga gilukot, gipalong ra nimo ang huyang nga pag-encrypt. Ug mao na! Andam na! gwapa ka! Ang mga kliyente dili gani makamatikod niini.
Kini sa tinuud usa ka kasagaran nga kaso alang sa daghang mga pag-deploy, ug bisan ang OpenVPN adunay pipila nga kalisud niini. Importante ang backward compatibility, ug bisan kung mogamit ka og mas huyang nga encryption, alang sa kadaghanan, dili kini rason sa pagsira sa usa ka negosyo. Kay maparalisa ang trabaho sa gatosan ka kustomer tungod sa kakuwang sa pagbuhat sa ilang trabaho.
Ang WireGuard team naghimo sa ilang protocol nga mas simple, apan hingpit nga dili magamit alang sa mga tawo nga walay kanunay nga kontrol sa duha ka mga kaedad sa ilang tunel. Sa akong kasinatian, kini ang labing kasagaran nga senaryo.
Cryptography!
Apan unsa kining makapaikag nga bag-ong encryption nga gigamit sa WireGuard?
Gigamit sa WireGuard ang Curve25519 para sa key exchange, ChaCha20 para sa encryption ug Poly1305 para sa data authentication. Naglihok usab kini sa SipHash alang sa mga yawe sa hash ug BLAKE2 alang sa pag-hash.
Ang ChaCha20-Poly1305 gi-estandard para sa IPsec ug OpenVPN (sa TLS).
Dayag nga ang pag-uswag ni Daniel Bernstein kanunay nga gigamit. Ang BLAKE2 mao ang mipuli sa BLAKE, usa ka SHA-3 finalist nga wala makadaog tungod sa pagkaparehas niini sa SHA-2. Kung mabungkag ang SHA-2, dako ang posibilidad nga makompromiso usab ang BLAKE.
Ang IPsec ug OpenVPN wala magkinahanglan og SipHash tungod sa ilang disenyo. Mao nga ang bugtong butang nga dili magamit karon sa kanila mao ang BLAKE2, ug kana hangtod nga kini ma-standardize. Dili kini usa ka dako nga disbentaha, tungod kay gigamit sa mga VPN ang HMAC aron makamugna ang integridad, nga giisip nga usa ka lig-on nga solusyon bisan kauban ang MD5.
Mao nga nakahinapos ako nga hapit parehas nga hugpong sa mga himan sa cryptographic ang gigamit sa tanan nga mga VPN. Busa, ang WireGuard dili labaw o dili kaayo luwas kay sa bisan unsang uban pang produkto karon kung bahin sa pag-encrypt o integridad sa gipasa nga datos.
Apan bisan kini dili ang labing hinungdanon nga butang, nga angay nga hatagan pagtagad sumala sa opisyal nga dokumentasyon sa proyekto. Human sa tanan, ang nag-unang butang mao ang speed.
Mas paspas ba ang WireGuard kaysa ubang mga solusyon sa VPN?
Sa laktud: dili, dili mas paspas.
Ang ChaCha20 usa ka stream cipher nga dali nga ipatuman sa software. Nag-encrypt kini usa ka gamay sa usa ka higayon. I-block ang mga protocol sama sa AES nga nag-encrypt sa usa ka block nga 128 bits matag higayon. Daghan pa nga mga transistor ang gikinahanglan aron ipatuman ang suporta sa hardware, mao nga ang dagkong mga processor nag-uban sa AES-NI, usa ka extension sa instruksiyon nga naghimo sa pipila ka mga buluhaton sa proseso sa pag-encrypt aron mapadali kini.
Gidahom nga ang AES-NI dili na makasulod sa mga smartphone [apan nahitabo kini - gibanabana. matag.]. Alang niini, ang ChaCha20 naugmad isip usa ka gaan, makadaginot sa baterya nga alternatibo. Busa, kini mahimong moabut ingon nga balita kanimo nga ang matag smartphone nga imong mapalit karon adunay usa ka matang sa AES acceleration ug modagan nga mas paspas ug uban sa ubos nga konsumo sa kuryente uban niini nga encryption kay sa ChaCha20.
Dayag nga, halos matag desktop/server processor nga gipalit sa miaging duha ka tuig adunay AES-NI.
Busa, akong gipaabot nga ang AES molabaw sa ChaCha20 sa matag senaryo. Ang opisyal nga dokumentasyon sa WireGuard naghisgot nga sa AVX512, ang ChaCha20-Poly1305 molabaw sa AES-NI, apan kini nga instruksiyon set extension magamit ra sa mas dagkong mga CPU, nga dili na usab makatabang sa mas gamay ug mas mobile hardware, nga kanunay nga mas paspas sa AES - N.I.
Dili ako sigurado kung kini mahimo nga nakita sa panahon sa pag-uswag sa WireGuard, apan karon ang kamatuoran nga kini gilansang sa pag-encrypt nga nag-inusara usa na ka disbentaha nga dili makaapekto sa operasyon niini.
Gitugotan ka sa IPsec nga gawasnon nga makapili kung unsang pag-encrypt ang labing kaayo alang sa imong kaso. Ug siyempre, gikinahanglan kini kung, pananglitan, gusto nimo nga ibalhin ang 10 o labaw pa nga gigabytes nga datos pinaagi sa koneksyon sa VPN.
Mga isyu sa panagsama sa Linux
Bisan kung gipili sa WireGuard ang usa ka moderno nga protocol sa pag-encrypt, nagpahinabo na kini og daghang mga problema. Ug busa, imbis nga gamiton kung unsa ang gisuportahan sa kernel gikan sa kahon, ang panagsama sa WireGuard nalangan sa daghang mga tuig tungod sa kakulang sa kini nga mga primitibo sa Linux.
Dili ako hingpit nga sigurado kung unsa ang kahimtang sa ubang mga operating system, apan tingali dili kini lahi sa Linux.
Unsa ang hitsura sa reyalidad?
Ikasubo, sa matag higayon nga ang usa ka kliyente mangutana kanako sa pag-set up sa usa ka VPN nga koneksyon alang kanila, ako modagan ngadto sa isyu nga sila sa paggamit sa outdated nga mga kredensyal ug encryption. Ang 3DES inubanan sa MD5 komon gihapon nga praktis, sama sa AES-256 ug SHA1. Ug bisan kung ang ulahi labi ka maayo, dili kini usa ka butang nga kinahanglan gamiton sa 2020.
Para sa key exchange kanunay Gigamit ang RSA - usa ka hinay apan medyo luwas nga himan.
Ang akong mga kliyente nakig-uban sa mga awtoridad sa kostumbre ug uban pang mga organisasyon ug institusyon sa gobyerno, ingon man sa dagkong mga korporasyon kansang mga ngalan nailhan sa tibuuk kalibutan. Silang tanan naggamit sa usa ka porma sa hangyo nga gihimo mga dekada na ang milabay, ug ang abilidad sa paggamit sa SHA-512 wala gayud idugang. Dili ko makaingon nga kini klaro nga nakaapekto sa pag-uswag sa teknolohiya, apan klaro nga gipahinay niini ang proseso sa korporasyon.
Nasakitan ako nga makita kini, tungod kay gisuportahan sa IPsec ang mga elliptic curves gikan sa tuig 2005. Ang Curve25519 mas bag-o ug magamit alang sa paggamit. Adunay usab mga alternatibo sa AES sama sa Camellia ug ChaCha20, apan klaro nga dili tanan niini gisuportahan sa mga dagkong vendor sama sa Cisco ug uban pa.
Ug ang mga tawo nagpahimulos niini. Adunay daghang mga Cisco kit, adunay daghang mga kit nga gidisenyo aron magtrabaho kauban ang Cisco. Sila ang mga lider sa merkado niini nga bahin ug dili kaayo interesado sa bisan unsang matang sa kabag-ohan.
Oo, ang sitwasyon [sa bahin sa korporasyon] makalilisang, apan wala kami makakita og bisan unsang mga pagbag-o tungod sa WireGuard. Ang mga vendor lagmit dili makakita sa bisan unsang mga isyu sa performance sa tooling ug encryption nga ilang gigamit na, dili makakita og bisan unsang problema sa IKEv2, ug busa wala sila mangita og mga alternatibo.
Sa kinatibuk-an, nakahunahuna ka na ba bahin sa pagbiya sa Cisco?
Mga sukaranan
Ug karon magpadayon kita sa mga benchmark gikan sa dokumentasyon sa WireGuard. Bisan tuod kini nga [dokumentasyon] dili usa ka siyentipikong artikulo, nagdahom gihapon ko nga ang mga developers mohimo ug mas siyentipikong paagi, o mogamit ug siyentipikong paagi ingong usa ka pakisayran. Ang bisan unsang benchmark walaβy kapuslanan kung dili kini ma-reproduce, ug labi pa nga walaβy kapuslanan kung makuha kini sa laboratoryo.
Sa Linux nga pagtukod sa WireGuard, kini nagpahimulos sa paggamit sa GSO - Generic Segmentation Offloading. Salamat kaniya, ang kliyente nagmugna usa ka dako nga pakete nga 64 kilobytes ug gi-encrypt / gi-decrypt kini sa usa ka lakaw. Sa ingon, ang gasto sa pagsangpit ug pag-implementar sa mga operasyon sa cryptographic gikunhoran. Kung gusto nimo nga mapadako ang throughput sa imong koneksyon sa VPN, kini usa ka maayong ideya.
Apan, sama sa naandan, ang reyalidad dili kaayo yano. Ang pagpadala sa ingon ka dako nga pakete sa usa ka adapter sa network nanginahanglan nga putlon kini sa daghang gagmay nga mga pakete. Ang normal nga gidak-on sa pagpadala mao ang 1500 bytes. Sa ato pa, ang atong higante nga 64 kilobytes bahinon sa 45 ka pakete (1240 bytes sa impormasyon ug 20 bytes sa IP header). Unya, sa makadiyot, bug-os nilang babagan ang trabaho sa adapter sa network, tungod kay kinahanglan silang ipadala nga magkauban ug dayon. Ingon usa ka sangputanan, kini modala sa usa ka prayoridad nga paglukso, ug ang mga pakete sama sa VoIP, pananglitan, ipila.
Busa, ang taas nga throughput nga maisugon nga giangkon sa WireGuard nakab-ot sa gasto sa pagpahinay sa networking sa ubang mga aplikasyon. Ug ang WireGuard team na mao ni akong conclusion.
Pero padayon ta.
Sumala sa mga benchmark sa teknikal nga dokumentasyon, ang koneksyon nagpakita sa usa ka throughput nga 1011 Mbps.
Impressive.
Kini labi ka impresibo tungod sa kamatuoran nga ang maximum theoretical throughput sa usa ka koneksyon sa Gigabit Ethernet mao ang 966 Mbps nga adunay gidak-on nga pakete nga 1500 bytes minus 20 bytes alang sa IP header, 8 bytes alang sa UDP header ug 16 bytes alang sa header sa ang WireGuard mismo. Adunay usa pa ka IP header sa encapsulated packet ug usa pa sa TCP alang sa 20 bytes. Busa diin gikan kining sobra nga bandwidth?
Uban sa dagkong mga frame ug mga benepisyo sa GSO nga atong gihisgutan sa ibabaw, ang theoretical maximum alang sa frame size nga 9000 bytes mahimong 1014 Mbps. Kasagaran ang ingon nga throughput dili makab-ot sa tinuud, tungod kay kini adunay kalabotan sa daghang mga kalisud. Sa ingon, mahimo ra nako nga hunahunaon nga ang pagsulay gihimo gamit ang labi ka labi ka labi nga kadako nga mga bayanan nga 64 kilobytes nga adunay labing taas nga teoretikal nga 1023 Mbps, nga gisuportahan lamang sa pipila nga mga adapter sa network. Apan kini hingpit nga dili magamit sa tinuod nga mga kondisyon, o magamit lamang tali sa duha ka direktang konektado nga mga estasyon, nga eksklusibo sulod sa test bench.
Apan tungod kay ang VPN tunnel gipasa taliwala sa duha ka mga host gamit ang usa ka koneksyon sa Internet nga wala gyud nagsuporta sa mga jumbo frame, ang resulta nga nakab-ot sa bangko dili mahimo nga usa ka benchmark. Kini usa lamang ka dili realistiko nga kalampusan sa laboratoryo nga imposible ug dili magamit sa tinuod nga mga kondisyon sa kombat.
Bisan naglingkod sa data center, dili nako mabalhin ang mga frame nga mas dako pa sa 9000 bytes.
Ang sukdanan sa pagkaaplikar sa tinuod nga kinabuhi hingpit nga gilapas ug, ingon sa akong hunahuna, ang tagsulat sa "pagsukod" nga gihimo seryoso nga nagdaot sa iyang kaugalingon tungod sa klaro nga mga hinungdan.
Katapusan nga silaw sa paglaom
Ang website sa WireGuard daghan ang naghisgot bahin sa mga sudlanan ug nahimong tin-aw kung unsa gyud ang katuyoan niini.
Usa ka yano ug paspas nga VPN nga wala magkinahanglan og pag-configure ug mahimong i-deploy ug ma-configure gamit ang daghang mga gamit sa orkestra sama sa Amazon sa ilang panganod. Sa piho, gigamit sa Amazon ang pinakabag-o nga mga bahin sa hardware nga akong gihisgutan sa sayo pa, sama sa AVX512. Gihimo kini aron mapadali ang trabaho ug dili mahigot sa x86 o bisan unsang arkitektura.
Gi-optimize nila ang throughput ug mga packet nga mas dako pa sa 9000 bytes - kini mahimong dako nga encapsulated frames alang sa mga sudlanan nga makigkomunikar sa usag usa, o alang sa backup nga mga operasyon, paghimo og mga snapshot o pag-deploy niining sama nga mga sudlanan. Bisan ang dinamikong mga adres sa IP dili makaapekto sa operasyon sa WireGuard sa bisan unsang paagi sa kaso sa senaryo nga akong gihulagway.
Maayo nga gidula. Maayo nga pagpatuman ug nipis kaayo, halos reference protocol.
Apan dili kini angay sa usa ka kalibutan sa gawas sa usa ka sentro sa datos nga hingpit nimong gikontrol. Kung magkuha ka sa peligro ug magsugod sa paggamit sa WireGuard, kinahanglan nimo nga maghimo kanunay nga pagkompromiso sa disenyo ug pagpatuman sa protocol sa pag-encrypt.
konklusyon
Sayon ra alang kanako ang paghinapos nga ang WireGuard dili pa andam.
Gipanamkon kini isip usa ka gaan ug dali nga solusyon sa daghang mga problema sa kasamtangan nga mga solusyon. Ikasubo, alang sa kini nga mga solusyon, gisakripisyo niya ang daghang mga bahin nga adunay kalabotan sa kadaghanan sa mga tiggamit. Mao nga dili kini makapuli sa IPsec o OpenVPN.
Aron mahimong kompetisyon ang WireGuard, kinahanglan nga magdugang labing menos usa ka setting sa IP address ug usa ka pag-routing ug pag-configure sa DNS. Dayag, kini ang para sa mga naka-encrypt nga mga channel.
Ang seguridad mao ang akong nag-una nga prayoridad, ug karon wala akoy rason nga motuo nga ang IKE o TLS sa usa ka paagi nakompromiso o naguba. Ang modernong encryption gisuportahan sa duha niini, ug kini napamatud-an sa mga dekada nga operasyon. Tungod kay ang usa ka butang mas bag-o wala magpasabot nga kini mas maayo.
Ang interoperability hinungdanon kaayo kung makigkomunikar ka sa mga ikatulo nga partido kansang mga istasyon dili nimo kontrolado. Ang IPsec mao ang de facto nga sumbanan ug gisuportahan halos bisan asa. Ug nagtrabaho siya. Ug bisan unsa pa ang hitsura niini, sa teorya, ang WireGuard sa umaabot mahimong dili magkatugma bisan sa lainlaing mga bersyon sa iyang kaugalingon.
Ang bisan unsang cryptographic nga proteksyon maguba sa madugay o sa madali ug, sumala niana, kinahanglang pulihan o i-update.
Ang paglimud sa tanan niini nga mga kamatuoran ug buta nga gusto nga gamiton ang WireGuard aron makonektar ang imong iPhone sa imong workstation sa balay usa lamang ka master nga klase sa pagpapilit sa imong ulo sa balas.
Source: www.habr.com