Tha WireGuard air a bhith a’ faighinn mòran aire o chionn ghoirid, gu dearbh is e an rionnag ùr am measg VPNn. Ach a bheil e cho math sa tha e coltach? Bu mhath leam cuid de bheachdan a dheasbad agus ath-sgrùdadh a dhèanamh air buileachadh WireGuard gus mìneachadh carson nach e fuasgladh a th’ ann an àite IPsec no OpenVPN.
San artaigil seo, bu mhath leam cuid de na h-uirsgeulan [timcheall air WireGuard] a thoirt air falbh. Tha, bheir e ùine mhòr airson leughadh, mar sin mura h-eil thu air cupa tì no cofaidh a dhèanamh dhut fhèin, tha an t-àm ann a dhèanamh. Bu mhath leam cuideachd taing a thoirt do Pheadar airson mo smuaintean chaotic a cheartachadh.
Chan eil mi a’ suidheachadh amas dhomh fhìn a bhith a’ dèanamh dìmeas air luchd-leasachaidh WireGuard, a’ cur luach air na h-oidhirpean no na beachdan aca. Tha an toradh aca ag obair, ach gu pearsanta tha mi a’ smaoineachadh gu bheil e air a thaisbeanadh gu tur eadar-dhealaichte bho na tha e dha-rìribh - tha e air a thaisbeanadh an àite IPsec agus OpenVPN, a tha gu dearbh dìreach nach eil ann a-nis.
Mar nota, bu mhath leam a chuir ris gu bheil an uallach airson a leithid de shuidheachadh WireGuard an urra ris na meadhanan a bhruidhinn mu dheidhinn, agus chan e am pròiseact fhèin no an luchd-cruthachaidh.
Chan eil mòran naidheachd mhath air a bhith ann mun kernel Linux o chionn ghoirid. Mar sin, chaidh innse dhuinn mu cho cugallach ‘s a bha am pròiseasar, a chaidh a lughdachadh le bathar-bog, agus bhruidhinn Linus Torvalds mu dheidhinn ro mhì-mhodhail agus dòrainneach, ann an cànan utilitarian an leasaiche. Chan eil clàr-ama no stac lìonraidh aig ìre neoni cuideachd nan cuspairean fìor shoilleir airson irisean gleansach. Agus an seo thig WireGuard.
Air pàipear, tha e fìor mhath: teicneòlas ùr inntinneach.
Ach leig dhuinn sùil a thoirt air beagan nas mionaidiche.
Pàipear geal WireGuard
Tha an artaigil seo stèidhichte air air a sgrìobhadh le Jason Donenfeld. An sin tha e a’ mìneachadh bun-bheachd, adhbhar agus buileachadh teignigeach [WireGuard] anns an kernel Linux.
Tha a’ chiad abairt ag ràdh:
WireGuard […]
Gu dearbh, is e am prìomh bhuannachd a tha aig gach teicneòlas ùr iad sìmplidh [an taca ris an fheadhainn a thàinig roimhe]. Ach bu chòir VPN a bhith ann cuideachd èifeachdach agus sàbhailte.
Mar sin, dè an ath rud?
Ma chanas tu nach e seo a tha a dhìth ort [bho VPN], faodaidh tu crìoch a chuir air an leughadh an seo. Ach, bheir mi fa-near gu bheil gnìomhan mar seo air an suidheachadh airson teicneòlas tunail sam bith eile.
Tha an rud as inntinniche den aithris gu h-àrd na laighe anns na faclan "sa mhòr-chuid de chùisean", a tha, gu dearbh, air an leigeil seachad leis na meadhanan. Agus mar sin, tha sinn far an do chrìochnaich sinn air sgàth an ùpraid a chruthaich an dearmad seo - san artaigil seo.
An cuir WireGuard an àite an VPN làrach-gu-làrach agam [IPsec]?
Chan eil. Gu sìmplidh chan eil cothrom ann gun ceannaich luchd-reic mòra leithid Cisco, Juniper agus feadhainn eile WireGuard airson am bathar. Cha bhith iad “a’ leum air trèanaichean a’ dol seachad” air an gluasad mura h-eil feum mòr air sin a dhèanamh. Nas fhaide air adhart, thèid mi thairis air cuid de na h-adhbharan airson gur dòcha nach bi e comasach dhaibh na toraidhean WireGuard aca fhaighinn air bòrd eadhon ged a bhiodh iad ag iarraidh.
An toir WireGuard mo RoadWarrior bhon laptop agam chun ionad dàta?
Chan eil. An-dràsta, chan eil àireamh mhòr de fheartan cudromach aig WireGuard air an cur an gnìomh gus am bi e comasach dha rudeigin mar seo a dhèanamh. Mar eisimpleir, chan urrainn dha seòlaidhean IP fiùghantach a chleachdadh air taobh frithealaiche tunail, agus tha seo leis fhèin a’ briseadh an t-suidheachaidh gu lèir de chleachdadh mar sin den toradh.
Bidh IPFire gu tric air a chleachdadh airson ceanglaichean eadar-lìn saor, leithid DSL no ceanglaichean càball. Tha seo a’ dèanamh ciall do ghnìomhachasan beaga no meadhanach aig nach eil feum air freumhag luath. [Nòta bhon eadar-theangair: na dìochuimhnich gu bheil an Ruis agus cuid de dhùthchannan CIS fada air thoiseach air an Roinn Eòrpa agus na Stàitean Aonaichte a thaobh conaltradh, oir thòisich sinn a’ togail ar lìonraidhean fada nas fhaide air adhart agus le teachd Ethernet agus lìonraidhean fibre optic mar a àbhaisteach, bha e na b’ fhasa dhuinn ath-thogail. Anns na h-aon dhùthchannan den EU no na SA, tha ruigsinneachd bann-leathann xDSL aig astar 3-5 Mbps fhathast mar an àbhaist, agus tha ceangal fibre optic a’ cosg beagan airgid neo-phractaigeach a rèir ar n-inbhean. Mar sin, tha ùghdar an artaigil a’ bruidhinn air DSL no ceangal càball mar an àbhaist, agus chan ann o shean.] Ach, tha seòlaidhean IP fiùghantach aig DSL, càball, LTE (agus dòighean ruigsinneachd gun uèir eile). Gu dearbh, uaireannan chan eil iad ag atharrachadh gu tric, ach bidh iad ag atharrachadh.
Tha fo-phròiseact ann ris an canar , a chuireas daemon userspace ris gus faighinn seachad air a’ ghainnead seo. Is e duilgheadas mòr leis an t-suidheachadh cleachdaiche a tha air a mhìneachadh gu h-àrd a bhith ag àrdachadh seòladh IPv6 fiùghantach.
Bho thaobh an neach-sgaoilidh, chan eil seo uile a ’coimhead glè mhath an dàrna cuid. B’ e aon de na h-amasan dealbhaidh am protocol a chumail sìmplidh agus glan.
Gu mì-fhortanach, tha seo uile air fàs ro shìmplidh agus prìomhadail, gus am feum sinn bathar-bog a bharrachd a chleachdadh gus am bi an dealbhadh slàn seo comasach ann an cleachdadh fìor.
A bheil WireGuard cho furasta a chleachdadh?
Chan ann fhathast. Chan eil mi ag ràdh nach bi WireGuard gu bràth na dheagh roghainn eile airson tunail eadar dà phuing, ach airson a-nis chan eil ann ach dreach alpha den toradh a tha còir a bhith.
Ach an uairsin dè a nì e dha-rìribh? A bheil IPsec dha-rìribh tòrr nas duilghe a chumail suas?
Gu follaiseach chan eil. Tha an neach-reic IPsec air smaoineachadh air seo agus a’ cur an cuid toraidh còmhla ri eadar-aghaidh, leithid le IPFire.
Gus tunail VPN a stèidheachadh thairis air IPsec, bidh feum agad air còig seataichean de dhàta a dh’ fheumas tu a chuir a-steach don rèiteachadh: an seòladh IP poblach agad fhèin, seòladh IP poblach a’ phàrtaidh a tha a’ faighinn, na subnets a tha thu airson a dhèanamh poblach troimhe an ceangal VPN seo agus an iuchair ro-roinnte. Mar sin, tha an VPN air a stèidheachadh taobh a-staigh mionaidean agus tha e co-chòrdail ri reiceadair sam bith.
Gu mì-fhortanach, tha beagan eisgeachdan san sgeulachd seo. Tha fios aig duine sam bith a tha air feuchainn ri tunail thairis air IPsec gu inneal OpenBSD cò mu dheidhinn a tha mi a’ bruidhinn. Tha eisimpleirean no dhà eile ann, ach gu dearbh, tha mòran, mòran a bharrachd de chleachdaidhean math ann airson IPsec a chleachdadh.
Mu iom-fhillteachd protocol
Chan fheum an neach-cleachdaidh deireannach dragh a ghabhail mu iom-fhillteachd a 'phròtacail.
Nam biodh sinn a’ fuireach ann an saoghal far an robh seo na fhìor dhragh don neach-cleachdaidh, bhiodh sinn o chionn fhada air faighinn cuidhteas SIP, H.323, FTP agus protocolaidhean eile a chaidh a chruthachadh o chionn còrr is deich bliadhna nach eil ag obair gu math le NAT.
Tha adhbharan ann gu bheil IPsec nas iom-fhillte na WireGuard: bidh e a’ dèanamh tòrr a bharrachd rudan. Mar eisimpleir, dearbhadh neach-cleachdaidh a’ cleachdadh logadh a-steach / facal-faire no cairt SIM le EAP. Tha comas leudaichte aige ùr a chur ris .
Agus chan eil sin aig WireGuard.
Agus tha seo a 'ciallachadh gum bi WireGuard a' briseadh aig àm air choreigin, oir bidh aon de na prìomhairean criptografach a 'lagachadh no air a chuir an sàs gu tur. Tha ùghdar nan sgrìobhainnean teicnigeach ag ràdh seo:
Is fhiach a bhith mothachail gu bheil WireGuard le beachd criptografach. Tha e a dh’aona ghnothach a’ dìth sùbailteachd ciphers agus protocal. Ma lorgar fìor thuill ann am prìomh-amasan bunaiteach, feumar na puingean crìochnachaidh uile ùrachadh. Mar a chì thu bhon t-sruth leantainneach de chugallachd SLL / TLS, tha sùbailteachd crioptachaidh a-nis air a dhol suas gu mòr.
Tha an abairt mu dheireadh gu tur ceart.
Le bhith a’ tighinn gu co-aontachd air dè an crioptachadh a bu chòir a chleachdadh, bidh protocolaidhean mar IKE agus TLS более iom-fhillte. Ro iom-fhillte? Tha, tha so-leòntachd gu math cumanta ann an TLS/SSL, agus chan eil roghainn eile ann dhaibh.
Le bhith a 'seachnadh fìor dhuilgheadasan
Smaoinich gu bheil frithealaiche VPN agad le teachdaichean sabaid 200 an àiteigin air feadh an t-saoghail. Is e cùis cleachdaidh gu math àbhaisteach a tha seo. Ma dh’ fheumas tu an crioptachadh atharrachadh, feumaidh tu an ùrachadh a lìbhrigeadh gu gach leth-bhreac de WireGuard air na coimpiutairean-glùine, fònaichean sgairteil is mar sin air adhart. Aig an aon àm lìbhrigeadh. Tha e gu litireil do-dhèanta. Bheir luchd-rianachd a tha a’ feuchainn ri seo a dhèanamh mìosan gus na rèiteachaidhean a tha a dhìth a chuir an sàs, agus gu litireil bheir e bliadhnaichean companaidh meadhanach mòr airson tachartas mar seo a thoirt air falbh.
Tha IPsec agus OpenVPN a’ tabhann feart co-rèiteachaidh cipher. Mar sin, airson ùine às deidh sin tionndaidhidh tu air an crioptachadh ùr, obraichidh an seann fhear cuideachd. Leigidh seo le luchd-ceannach gnàthach ùrachadh chun dreach ùr. Às deidh an ùrachadh a bhith air a sgaoileadh a-mach, cha leig thu leas ach an crioptachadh so-leònte a chuir dheth. Agus sin agad e! Deiseil! tha thu àlainn! Cha bhith luchd-ceannach eadhon mothachail air.
Tha seo dha-rìribh na chùis gu math cumanta airson cleachdadh mòr, agus tha beagan duilgheadas aig eadhon OpenVPN le seo. Tha co-fhreagarrachd air ais cudromach, agus eadhon ged a chleachdas tu crioptachadh nas laige, dha mòran, chan e adhbhar a tha seo airson gnìomhachas a dhùnadh. Leis gun toir e pairilis air obair nan ceudan de luchd-ceannach air sgàth neo-chomas an obair a dhèanamh.
Tha sgioba WireGuard air am protocol aca a dhèanamh nas sìmplidhe, ach gu tur do-dhèanta dha daoine aig nach eil smachd cunbhalach air an dà cho-aoisean san tunail aca. Anns an eòlas agam, is e seo an suidheachadh as cumanta.
Crioptaireachd!
Ach dè an crioptachadh ùr inntinneach seo a bhios WireGuard a’ cleachdadh?
Bidh WireGuard a’ cleachdadh Curve25519 airson prìomh iomlaid, ChaCha20 airson crioptachadh agus Poly1305 airson dearbhadh dàta. Bidh e cuideachd ag obair le SipHash airson iuchraichean hash agus BLAKE2 airson hashing.
Tha ChaCha20-Poly1305 àbhaisteach airson IPsec agus OpenVPN (thairis air TLS).
Tha e follaiseach gu bheil leasachadh Daniel Bernstein air a chleachdadh gu math tric. Tha BLAKE2 a’ tighinn às deidh BLAKE, neach-crìochnachaidh SHA-3 nach do bhuannaich leis gu bheil e coltach ri SHA-2. Nam biodh SHA-2 gu bhith air a bhriseadh, bha deagh chothrom ann gum biodh BLAKE ann an cunnart cuideachd.
Chan fheum IPsec agus OpenVPN SipHash air sgàth an dealbhadh. Mar sin is e an aon rud nach gabh a chleachdadh leotha an-dràsta BLAKE2, agus sin dìreach gus am bi e àbhaisteach. Chan e ana-cothrom mòr a tha seo, oir bidh VPNn a’ cleachdadh HMAC gus ionracas a chruthachadh, a tha air a mheas mar fhuasgladh làidir eadhon ann an co-bhonn ri MD5.
Mar sin thàinig mi chun cho-dhùnadh gu bheil cha mhòr an aon sheata de dh ’innealan criptografach air a chleachdadh anns a h-uile VPN. Mar sin, chan eil WireGuard nas tèarainte no nas lugha na toradh gnàthach sam bith eile a thaobh crioptachadh no ionracas dàta a chaidh a ghluasad.
Ach eadhon chan e seo an rud as cudromaiche, is fhiach aire a thoirt dha a rèir sgrìobhainnean oifigeil a 'phròiseict. Às deidh na h-uile, is e astar am prìomh rud.
A bheil WireGuard nas luaithe na fuasglaidhean VPN eile?
Ann an ùine ghoirid: chan eil, chan ann nas luaithe.
Tha ChaCha20 na chipher sruth a tha nas fhasa a bhuileachadh ann am bathar-bog. Bidh e a’ crioptachadh aon phìos aig aon àm. Bidh protocolaidhean bloc mar AES a’ crioptachadh bloc 128 pìosan aig an aon àm. Tha feum air tòrr a bharrachd transistors gus taic bathar-cruaidh a chuir an gnìomh, agus mar sin thig pròiseasairean nas motha le AES-NI, leudachadh seata stiùiridh a choileanas cuid de ghnìomhan a’ phròiseas crioptachaidh gus a luathachadh.
Bha dùil nach fhaigheadh AES-NI a-steach gu fònaichean sgairteil gu bràth [ach rinn e - timcheall air. gach.]. Airson seo, chaidh an ChaCha20 a leasachadh mar roghainn aotrom, sàbhalaidh bataraidh. Mar sin, is dòcha gum bi e na naidheachd dhut gu bheil luathachadh AES de sheòrsa air choreigin aig a h-uile fòn cliste as urrainn dhut a cheannach an-diugh agus a’ ruith nas luaithe agus le caitheamh cumhachd nas ìsle leis a’ chrioptachadh seo na le ChaCha20.
Gu dearbh, tha AES-NI aig cha mhòr a h-uile pròiseasar deasg / frithealaiche a chaidh a cheannach anns an dà bhliadhna a dh ’fhalbh.
Mar sin, tha mi an dùil gun dèan AES nas fheàrr na ChaCha20 anns a h-uile suidheachadh. Tha sgrìobhainnean oifigeil WireGuard a’ toirt iomradh gum bi le AVX512, ChaCha20-Poly1305 nas fheàrr na AES-NI, ach cha bhi an leudachadh seata stiùiridh seo ri fhaighinn ach air CPUan nas motha, nach cuidich a-rithist le bathar-cruaidh nas lugha agus nas gluasadach, a bhios an-còmhnaidh nas luaithe le AES - N.I.
Chan eil mi cinnteach an gabhadh seo a bhith air fhaicinn rè leasachadh WireGuard, ach an-diugh tha an fhìrinn gu bheil e ceangailte ri crioptachadh leis fhèin mar ana-cothrom mar-thà is dòcha nach toir e buaidh fìor mhath air an obair aige.
Leigidh IPsec leat taghadh gu saor dè an crioptachadh as fheàrr airson do chùis. Agus gu dearbh, tha seo riatanach ma tha thu, mar eisimpleir, airson 10 gigabytes no barrachd de dhàta a ghluasad tro cheangal VPN.
Cùisean amalachaidh ann an Linux
Ged a tha WireGuard air protocol crioptachaidh ùr-nodha a thaghadh, tha seo mar-thà ag adhbhrachadh tòrr dhuilgheadasan. Agus mar sin, an àite a bhith a’ cleachdadh na tha a’ faighinn taic bhon kernel a-mach às a’ bhogsa, tha dàil air a bhith ann an amalachadh WireGuard airson bhliadhnaichean air sgàth dìth nam prìomhadaichean sin ann an Linux.
Chan eil mi buileach cinnteach dè an suidheachadh a th’ ann air siostaman-obrachaidh eile, ach ’s dòcha nach eil e mòran eadar-dhealaichte seach air Linux.
Cò ris a tha fìrinn coltach?
Gu mì-fhortanach, a h-uile uair a dh'iarras neach-dèiligidh orm ceangal VPN a stèidheachadh dhaibh, bidh mi a 'ruith a-steach don chùis gu bheil iad a' cleachdadh seann teisteanasan agus crioptachadh. Tha 3DES ann an co-bhonn ri MD5 fhathast na chleachdadh cumanta, mar a tha AES-256 agus SHA1. Agus ged a tha an tè mu dheireadh beagan nas fheàrr, chan e seo rudeigin a bu chòir a chleachdadh ann an 2020.
Airson prìomh iomlaid an-còmhnaidh Tha RSA air a chleachdadh - inneal slaodach ach meadhanach sàbhailte.
Tha an luchd-dèiligidh agam co-cheangailte ri ùghdarrasan cleachdaidhean agus buidhnean agus ionadan riaghaltais eile, a bharrachd air corporaidean mòra aig a bheil ainmean air feadh an t-saoghail. Bidh iad uile a’ cleachdadh foirm iarrtais a chaidh a chruthachadh o chionn deicheadan, agus cha deach an comas SHA-512 a chleachdadh a-riamh a chuir ris. Chan urrainn dhomh a ràdh gu bheil e gu soilleir a’ toirt buaidh air adhartas teicneòlach, ach gu follaiseach tha e a’ slaodadh sìos a’ phròiseas corporra.
Tha e na phian dhomh seo fhaicinn oir tha IPsec air a bhith a’ toirt taic do chromagan elliptic offhand bho 2005. Tha Curve25519 cuideachd nas ùire agus ri fhaighinn airson a chleachdadh. Tha roghainnean eile ann cuideachd an àite AES mar Camellia agus ChaCha20, ach gu follaiseach chan eil iad uile a’ faighinn taic bho phrìomh luchd-reic mar Cisco agus feadhainn eile.
Agus bidh daoine a’ gabhail brath air. Tha mòran innealan Cisco ann, tha mòran de chitichean air an dealbhadh gus obrachadh le Cisco. Tha iad nan stiùirichean margaidh san roinn seo agus chan eil mòran ùidh aca ann an ùr-ghnàthachadh de sheòrsa sam bith.
Tha, tha an suidheachadh [anns an roinn chorporra] uamhasach, ach chan fhaic sinn atharrachaidhean sam bith air sgàth WireGuard. Is dòcha nach fhaic luchd-reic gu bràth cùisean coileanaidh sam bith leis an inneal agus an crioptachadh a tha iad a’ cleachdadh mu thràth, chan fhaic iad duilgheadas sam bith le IKEv2, agus mar sin chan eil iad a’ coimhead airson roghainnean eile.
San fharsaingeachd, na smaoinich thu a-riamh mu bhith a’ trèigsinn Cisco?
Comharran-tomhais
Agus a-nis gluaisidh sinn air adhart gu na slatan-tomhais bho sgrìobhainnean WireGuard. Ged nach e artaigil saidheansail a tha san [sgrìobhainn] seo, bha mi fhathast an dùil gun gabhadh an luchd-leasachaidh dòigh-obrach nas saidheansail, no gun cleachdadh iad dòigh-obrach saidheansail mar iomradh. Tha slatan-tomhais sam bith gun fheum mura h-urrainnear an ath-riochdachadh, agus eadhon nas fheumaile nuair a gheibhear iad san obair-lann.
Ann an togail Linux de WireGuard, bidh e a’ gabhail brath air a bhith a’ cleachdadh GSO - Generic Segmentation Offloading. Taing dha, bidh an neach-dèiligidh a ’cruthachadh pasgan mòr de 64 kilobytes agus ga chrioptachadh / dì-chrioptachadh ann an aon turas. Mar sin, tha cosgais ionnsaigh agus buileachadh gnìomhachd criptografach air a lughdachadh. Ma tha thu airson an ìre as àirde de do cheangal VPN a mheudachadh, is e deagh bheachd a tha seo.
Ach, mar as àbhaist, chan eil an fhìrinn cho sìmplidh. Le bhith a’ cur pacaid cho mòr gu inneal-atharrachaidh lìonra feumar a ghearradh ann am mòran phasganan nas lugha. Is e am meud cuir àbhaisteach 1500 bytes. Is e sin, bidh am fuamhaire againn de 64 kilobytes air a roinn ann am pacaidean 45 (1240 bytes fiosrachaidh agus 20 bytes de cheann an IP). An uairsin, airson greiseag, cuiridh iad bacadh gu tur air obair an adapter lìonra, oir feumaidh iad a bhith air an cur còmhla agus aig an aon àm. Mar thoradh air an sin, leanaidh seo gu leum prìomhachais, agus bidh pacaidean leithid VoIP, mar eisimpleir, air an ciudha.
Mar sin, tha an toradh àrd a tha WireGuard ag agairt cho dàna air a choileanadh aig cosgais a bhith a’ slaodadh sìos lìonrachadh thagraidhean eile. Agus tha an sgioba WireGuard mu thràth seo mo cho-dhùnadh.
Ach gluaisidh sinn air adhart.
A rèir slatan-tomhais anns na sgrìobhainnean teignigeach, tha an ceangal a’ sealltainn trochur de 1011 Mbps.
drùidhteach.
Tha seo gu sònraichte drùidhteach leis gur e 966 Mbps an gluasad teòiridheach as àirde de aon cheangal Gigabit Ethernet le meud pacaid de 1500 bytes às aonais 20 bytes airson bann-cinn an IP, 8 bytes airson bann-cinn an UDP agus 16 bytes airson bann-cinn an IP. an WireGuard fhèin. Tha aon bann-cinn IP eile anns a’ phacaid dùinte agus fear eile ann an TCP airson 20 bytes. Mar sin cò às a thàinig an leud-bann a bharrachd seo?
Le frèaman mòra agus buannachdan GSO air an do bhruidhinn sinn gu h-àrd, b’ e 9000 Mbps an ìre as àirde teòiridheach airson meud frèam de 1014 bytes. Mar as trice chan eil an leithid de thionndadh air a choileanadh ann an da-rìribh, oir tha e co-cheangailte ri duilgheadasan mòra. Mar sin, chan urrainn dhomh ach gabhail ris gun deach an deuchainn a dhèanamh le bhith a’ cleachdadh frèamaichean eadhon nas reamhar de 64 kilobytes le ìre teòiridheach de 1023 Mbps aig a ’char as àirde, a tha a’ faighinn taic bho chuid de luchd-atharrachaidh lìonra a-mhàin. Ach tha seo gu tur neo-iomchaidh ann an suidheachaidhean fìor, no chan urrainnear a chleachdadh ach eadar dà stèisean ceangailte gu dìreach, a-mhàin taobh a-staigh a ’bheing deuchainn.
Ach leis gu bheil an tunail VPN air a chuir air adhart eadar dà aoigh a ’cleachdadh ceangal eadar-lìn nach eil a’ toirt taic do fhrèamaichean jumbo idir, chan urrainnear an toradh a gheibhear air a ’bheing a ghabhail mar shlat-tomhais. Is e dìreach coileanadh obair-lann neo-phractaigeach a tha seo a tha do-dhèanta agus neo-iomchaidh ann an suidheachaidhean sabaid fìor.
Fiù 's a' suidhe anns an ionad dàta, cha b 'urrainn dhomh frèamaichean nas motha na 9000 bytes a ghluasad.
Tha an slat-tomhais airson iomchaidheachd ann am fìor bheatha air a bhriseadh gu tur agus, mar a tha mi a’ smaoineachadh, chuir ùghdar an “tomhais” a rinn e droch chliù air fhèin airson adhbharan follaiseach.
An sealladh mu dheireadh de dhòchas
Tha làrach-lìn WireGuard a’ bruidhinn mòran mu shoithichean agus bidh e soilleir carson a tha e dha-rìribh an dùil.
VPN sìmplidh agus luath nach fheum rèiteachadh sam bith agus faodar a chleachdadh agus a rèiteachadh le innealan orcastra mòr mar a tha aig Amazon san sgòth aca. Gu sònraichte, bidh Amazon a’ cleachdadh na feartan bathar-cruaidh as ùire air an tug mi iomradh na bu thràithe, leithid an AVX512. Tha seo air a dhèanamh gus an obair a luathachadh agus gun a bhith ceangailte ri x86 no ailtireachd sam bith eile.
Bidh iad a’ dèanamh an fheum as fheàrr de chur-a-steach agus pacaidean nas motha na 9000 bytes - bidh iad sin nam frèaman mòra dùinte airson soithichean gus conaltradh ri chèile, no airson obair cùl-taic, a’ cruthachadh dhealbhan no a’ cleachdadh na h-aon shoithichean sin. Cha toir eadhon seòlaidhean IP fiùghantach buaidh air gnìomhachd WireGuard ann an dòigh sam bith a thaobh an t-suidheachaidh air an tug mi cunntas.
S math a chluich thu. Buileachadh sgoinneil agus protocol gu math tana, cha mhòr a’ toirt iomradh.
Ach chan eil e dìreach a’ freagairt air saoghal taobh a-muigh ionad dàta air a bheil thu gu tur a’ cumail smachd. Ma ghabhas tu an cunnart agus ma thòisicheas tu a’ cleachdadh WireGuard, feumaidh tu co-rèiteachadh cunbhalach a dhèanamh ann an dealbhadh agus buileachadh a’ phròtacal crioptachaidh.
co-dhùnadh
Tha e furasta dhomh co-dhùnadh nach eil WireGuard deiseil fhathast.
Chaidh a dhealbhadh mar fhuasgladh aotrom agus luath air grunn dhuilgheadasan le fuasglaidhean a tha ann mar-thà. Gu mì-fhortanach, air sgàth nam fuasglaidhean sin, dh'ìobair e mòran fheartan a bhios buntainneach don mhòr-chuid de luchd-cleachdaidh. Sin as coireach nach urrainn dha a dhol an àite IPsec no OpenVPN.
Gus am bi WireGuard gu bhith farpaiseach, feumaidh e co-dhiù suidheachadh seòladh IP agus rèiteachadh slighe agus DNS a chuir ris. Gu follaiseach, is ann airson seo a tha seanalan crioptaichte.
Is e tèarainteachd am prìomh phrìomhachas agam, agus an-dràsta chan eil adhbhar sam bith agam a chreidsinn gu bheil IKE no TLS ann an dòigh air choireigin ann an cunnart no briste. Tha crioptachadh ùr-nodha a’ faighinn taic anns an dà chuid, agus tha iad air a bhith air an dearbhadh le deicheadan de ghnìomhachd. Dìreach air sgàth 's gu bheil rudeigin nas ùire chan eil sin a' ciallachadh gu bheil e nas fheàrr.
Tha eadar-obrachadh air leth cudromach nuair a bhios tu a’ conaltradh ri treas phàrtaidhean aig nach eil smachd agad air na stèiseanan aca. Is e IPsec an ìre de facto agus tha e a’ faighinn taic cha mhòr anns a h-uile àite. Agus tha e ag obair. Agus ge bith ciamar a tha e coltach, ann an teòiridh, is dòcha nach bi WireGuard san àm ri teachd co-chòrdail eadhon le dreachan eadar-dhealaichte dheth fhèin.
Tha dìon criptografach sam bith air a bhriseadh nas luaithe no nas fhaide air adhart agus, a rèir sin, feumar a chur na àite no ùrachadh.
Tha a bhith a’ diùltadh na fìrinnean sin gu lèir agus gu dall ag iarraidh WireGuard a chleachdadh gus do iPhone a cheangal ris an ionad-obrach dachaigh agad dìreach na phrìomh chlas ann a bhith a’ steigeadh do cheann sa ghainmhich.
Source: www.habr.com